一、引述
我們知道,對于現(xiàn)代電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò),其人為或自然的威脅可能利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)存在的脆弱性導致安全事件的發(fā)生及其對組織造成影響,這就是電信網(wǎng)與互聯(lián)網(wǎng)的安全風險。因此,需要對電信網(wǎng)與互聯(lián)網(wǎng)實施安全保護,我國對電信網(wǎng)與互聯(lián)網(wǎng)實施的安全保護采用的是分等級安全防護。所謂電信網(wǎng)與互聯(lián)網(wǎng)安全等級,是指對電信網(wǎng)與互聯(lián)網(wǎng)及其相關(guān)系統(tǒng)重要程度的表征。重要程度從對電信網(wǎng)與互聯(lián)網(wǎng)及其相關(guān)系統(tǒng)受到破壞后對國家安全、社會秩序、經(jīng)濟運行、公共利益、網(wǎng)絡(luò)與業(yè)務運營商等成的損害來衡量。電信網(wǎng)與互聯(lián)網(wǎng)的相關(guān)系統(tǒng)是指,包括接入網(wǎng)(含各種有線、無線、衛(wèi)星網(wǎng)等)、傳送網(wǎng)(含光纜、波分、SDH、衛(wèi)星等)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)(含業(yè)務支撐系統(tǒng)和網(wǎng)管系統(tǒng)等)等網(wǎng)絡(luò)系統(tǒng)。
鑒于上述,電信網(wǎng)與互聯(lián)網(wǎng)的分等級安全防護,其等級劃分主要是基于管理的角度,即是在網(wǎng)絡(luò)遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級到五級。并對其相應的安全等級提出安全保護能力的最低要求,這種要求主要包括安全風險的評估、災難備份與恢復。安全風險的評估是指,針對電信網(wǎng)與互聯(lián)網(wǎng)的存在的脆弱性可能造成的危害程度,提出有針對性的抵御威脅的保護對策和安全措施。災難備份與恢復是指,一旦電信網(wǎng)與互聯(lián)網(wǎng)發(fā)生災難時,能夠使盡快恢復到可接受的狀態(tài)而設(shè)計的工作活動和流程,把災難損失盡可能的金地到最小程度。
為此,我國在電信網(wǎng)與互聯(lián)網(wǎng)的分等級安全防護方面,確立了法規(guī)制度的管理要求和建立了具體實施的技術(shù)標準要求,為電信網(wǎng)與互聯(lián)網(wǎng)的分等級安全防護提供了強有力的支撐。
二、管理規(guī)定
1、國家法律要求
在2017年開始實施的《中華人民共和國網(wǎng)絡(luò)安全法》中的第二十一條明確規(guī)定:國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行安全保護義務,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。并列出了相應的安全保護義務。
欲詳細了解《中華人民共和國網(wǎng)絡(luò)安全法》具體內(nèi)容的
請進入。
2、行政法規(guī)要求
在現(xiàn)行的《中華人民共和國電信條列》(國務院令第291號)中的第五章“電信安全”,對電信網(wǎng)絡(luò)的安全管理做出了詳細的規(guī)定。其中,第五十九條規(guī)定:電信業(yè)務經(jīng)營者應當按照國家有關(guān)電信安全的規(guī)定,建立健全內(nèi)部安全保障制度,實行安全保障責任制。第六十條規(guī)定:電信業(yè)務經(jīng)營者在電信網(wǎng)絡(luò)的設(shè)計、建設(shè)和運行中,應當做到與國家安全和電信網(wǎng)絡(luò)安全的需求同步規(guī)劃,同步建設(shè),同步運行。
欲詳細了解《中華人民共和國電信條列》具體內(nèi)容的
請進入。
另外,國家信息化工作領(lǐng)導小組在2003年8月26日發(fā)布了《關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003] 27號)。該《意見》是為進一步提高我國信息安全保障工作的能力和水平,維護公眾利益和國家安全,促進信息化建設(shè)健康發(fā)展而提出的。《意見》內(nèi)容共有十條,其中,第二條“實行信息安全等級保護”對我國實行信息安全等級保護提出了具體要求,詳見下表2-2。
表 2-2:我國實行信息安全等級保護的要求(中辦發(fā)[2003] 27號)
3、部門規(guī)章要求
在2010年1月21日工業(yè)和信息化部,為了加強對通信網(wǎng)絡(luò)安全的管理,提高通信網(wǎng)絡(luò)安全防護能力,保障通信網(wǎng)絡(luò)安全暢通,根據(jù)《中華人民共和國電信條例》,制定并發(fā)布了《通信網(wǎng)絡(luò)安全防護管理辦法》(中華人民共和國工業(yè)和信息化部令第11號)。其中,第三條明確要求:通信網(wǎng)絡(luò)安全防護工作堅持積極防御、綜合防范、分級保護的原則。在第七條規(guī)定:通信網(wǎng)絡(luò)運行單位應當對本單位已正式投入運行的通信網(wǎng)絡(luò)進行單元劃分,并按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。同時,該《管理辦法》,還對分級的定級;定級評審、定級報備;相應分等級別的安全措施、風險測評、數(shù)據(jù)備份等做出了管理要求,以及對通信網(wǎng)絡(luò)安全防護工作的監(jiān)督檢查提出了要求。該《管理辦法》完善了通信網(wǎng)絡(luò)安全保障法規(guī)制度,有利于提高通信網(wǎng)絡(luò)安全防護能力和水平。
欲詳細了解《通信網(wǎng)絡(luò)安全防護管理辦法》具體內(nèi)容的
請進入。
三、標準要求
1、概述
為了落實上述我國法規(guī)制度中關(guān)于電信網(wǎng)與互聯(lián)網(wǎng)分等級安全防護的規(guī)定要求,扎實開展電信網(wǎng)與互聯(lián)網(wǎng)的分等級安全防護工作,工業(yè)和信息化部專門制定并發(fā)布了一系列的相關(guān)通信行業(yè)標準,為我國電 信網(wǎng)與互聯(lián)網(wǎng)分等級安全防護工作的實施提出了具體的技術(shù)要求及技術(shù)指南,建立健全了電信網(wǎng)與互聯(lián)網(wǎng)的分等級安全防護體系的標準。所謂電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系,是指電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護與相應等級網(wǎng)絡(luò)的安全風險評估、災難備份及恢復三項工作互為依托、互為補充、相互配合,共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系。
欲詳細了解電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系內(nèi)容介紹的
請進入。
2、內(nèi)容構(gòu)成
關(guān)于電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系的一系列相關(guān)通信行業(yè)標準,主要是由一個管理指南、三個實施指南、及其相應網(wǎng)絡(luò)與相關(guān)系統(tǒng)的安全等級防護技術(shù)要求(包括安全防護要求和安全防護監(jiān)測要求)等所構(gòu)成。管理指南對電信網(wǎng)和互聯(lián)網(wǎng)安全防護的定義、目標、原則進行了描述和規(guī)范。同時,對電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系、安全防護體系三部分工作及其關(guān)系進行了說明。該管理指南是我國電信網(wǎng)和互聯(lián)網(wǎng)的安全防護體系總體指導性規(guī)范。三個實施指南是指電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護實施指南、安全風險評估實施指南、災難備份及恢復實施指南,對這三項工作的具體實施給以規(guī)范性指導。上述四個指南是電信網(wǎng)和互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)及相關(guān)系統(tǒng)的安全等級防護技術(shù)要求的綱領(lǐng)性要求。
欲詳細了解我國電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系的整套標準情況的
請進入。
三、關(guān)于信息網(wǎng)絡(luò)的安全與電信網(wǎng)/互聯(lián)網(wǎng)的安全分等級保護
我們知道,信息的安全涉及到信息系統(tǒng)或信息網(wǎng)絡(luò)的安全,那么信息系統(tǒng)或信息網(wǎng)絡(luò)的安全保護也是分等級安全保護。下述依據(jù)GB/T 22240和YD/T 1729等相關(guān)標準,對信息系統(tǒng)或信息網(wǎng)絡(luò)(簡稱“信息網(wǎng)絡(luò)”)的安全分等級保護與電信網(wǎng)/互聯(lián)網(wǎng)的安全分等級保護做一個簡單的對比分析。
欲詳細了解我國信息網(wǎng)絡(luò)安全分等級保護介紹的
請進入。
1、兩者的分級定級
兩者均分級為五級,但定級要求用所不同。信息網(wǎng)絡(luò)的安全等級的劃分,分為從技術(shù)角度的劃分和從管理角度的劃分;而上述介紹的電信網(wǎng)與互聯(lián)網(wǎng)的安全等級的劃分主要是基于管理角度。信息網(wǎng)絡(luò)的安全等級技術(shù)角度的劃分,是根據(jù)起對安全技術(shù)和安全風險控制的關(guān)系確定的(由GB 17859給出其劃分準則)。而信息網(wǎng)絡(luò)、電信網(wǎng)/互聯(lián)網(wǎng)的安全等級管理角度劃分,都是基于網(wǎng)絡(luò)受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益等造成的損害程度而確定的。然而,信息網(wǎng)絡(luò)和電信網(wǎng)/互聯(lián)網(wǎng)基于管理角度的劃分,由于其定級方法(主要指考慮網(wǎng)絡(luò)的定級要素,兩者定級要素具體詳見下表3-1-1介紹)的不同,其定級的結(jié)果仍然是略有不同的。為了大家比較,下表3-1-2給出了信息網(wǎng)絡(luò)和電信網(wǎng)/互聯(lián)網(wǎng)基于管理角度劃分的安全等級情況。
表 3-1-1:信息網(wǎng)絡(luò)和電信網(wǎng)/互聯(lián)網(wǎng)基于管理角度的安全等級定級要素
表 3-1-2:信息網(wǎng)絡(luò)和電信網(wǎng)/互聯(lián)網(wǎng)基于管理角度的安全等級定級結(jié)果
欲詳細了解信息網(wǎng)絡(luò)安全等級基于技術(shù)角度劃分的
請進入。
欲詳細了解兩類網(wǎng)絡(luò)安全等級基于管理角度的劃分具體介紹的
請進入:
信息網(wǎng)絡(luò);
電信網(wǎng)與互聯(lián)網(wǎng)
由上可以看出,兩者的基于管理角度劃分的安全等級的相同點是:級別數(shù)字越大其安全等級越高。因此,安全等級越高,發(fā)生的安全技術(shù)費用和工程成本越高,從而預期能夠抵御的安全威脅越大,建立起安全信心越強,使用網(wǎng)絡(luò)的風險越小(即安全防護能力越大)。
2、兩者的安全等級保護范圍
事實上,電信網(wǎng)/互聯(lián)網(wǎng)應是信息網(wǎng)絡(luò)或信息系統(tǒng)的一種功能應用系統(tǒng)。因為,信息網(wǎng)絡(luò)或信息系統(tǒng)是指對信息的存儲、傳輸、處理等功能的集合體。因此,信息網(wǎng)絡(luò)或信息系統(tǒng)的安全等級保護范圍應包括其各功能體部分。而電信網(wǎng)/互聯(lián)網(wǎng)則側(cè)重于體現(xiàn)其中的傳輸功能(這由YD/T 1728標準對電信網(wǎng)和互聯(lián)網(wǎng)的定義就可以看出,具體詳見下表3-2),即電信網(wǎng)/互聯(lián)網(wǎng)應是信息網(wǎng)絡(luò)的不可或缺的組成部分,體現(xiàn)于傳遞功能。因此,電信網(wǎng)/互聯(lián)網(wǎng)的安全等級保護范圍應主要是各類傳輸網(wǎng)絡(luò)。
表 3-2:電信網(wǎng)和互聯(lián)網(wǎng)術(shù)語的定義
3、兩者的安全等級保護對象
等級保護對象是指網(wǎng)絡(luò)安全等級保護工作直接作用的對象。信息網(wǎng)絡(luò)與電信網(wǎng)/互聯(lián)網(wǎng)的安全等級保護對象是不相同的,具體詳見下表3-3中。
表 3-3:信息網(wǎng)絡(luò)與電信網(wǎng)/互聯(lián)網(wǎng)的安全等級保護對象
4、兩者的安全等級保護的實施周期
信息網(wǎng)絡(luò)安全的分等級保護實施應是貫穿于信息系統(tǒng)的整個生命周期,即從規(guī)劃設(shè)計、建設(shè)建立到運行使用,直至其終止消除。當然,電信網(wǎng)/互聯(lián)網(wǎng)安全的分等級保護實施也應基于網(wǎng)絡(luò)的整個生命周期,但更多的是基于網(wǎng)絡(luò)的運行維護的使用過程。
欲進一步了解信息網(wǎng)絡(luò)安全等級保護相關(guān)國家標準情況的
請進入。
