根据我国国家相关政策法规及国家信息化领导小组的中办发[2003]27号《关于加强信息安全保障工作的意见》,中国通信标准化协会(CCSA)于2006年10月启动了电信网和互联网的网络安全防护的系列标准制定工作。并从2008年1月开始陆续颁布了关于电信网和互联网的安全防护方面的系列通信行业标准,其中于2008年1月14日一次性发布了该系列的32项标准。
该系列标准参照我国关于信息安全方面的国家标准要求,以指导安全防护工作为目的,结合电信网全程全网、网络分层的特点,其安全防护范围包括基础网络;业务单元和控制单元;非核心生产单元;互联网的其它网络或信息系统等四大部分。该系列标准对电信网和互联网安全防护体系各部分内容及其关系,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,风险评估的要素及实施流程、工作形式、遵循的原则,灾难备份及恢复工作的目标和原则等作出了具体规定。
该系列标准将电信网和互联网安全防护体系中的等级保护、风险评估、灾难备份及恢复这三者有机结合,其目的就是要加强电信网和互联网的安全防护能力,确保网络的安全性和可靠性,尽可能实现对电信网和互联网安全状况的实时掌控,保证电信网和互联网能够完成其使命。
该系列标准主体组成包括:一是一个管理指南即《电信网和互联网安全防护管理指南》(YD/T 1728-2008)。二是三个实施指南即《电信网和互联网安全等级保护实施指南》(YD/T 1729-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)和《电信网和互联网灾难备份及恢复实施指南》(YD/T 1731-2008)。三是具体网络的安全防护标准即"安全防护要求"和"安全防护检测要求",具体网络的安全防护要求与安全防护检测要求配套使用。四是相关配套标准,如网络安全应急处理服务、安全防护名词术语、网络安全事件描述和交换格式等的规范。
YD/T 1728对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。YD/T 1729规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。YD/T 1730规定了电信网和互联网的安全进行风险评估的要素和要素之间的关系、实施流程、工作形式遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点。YD/T 1731对电信网和互联网灾难备份及恢复工作的目标和原则进行了描述和规范,同时规定了电信网和互联网灾难备份及恢复的等级划分和实施等级要求。
具体网络的安全防护标准,目前覆盖了固定网(YD/T 1732-2008和YD/T 1733-2008)、移动网(YD/T 1734-2008和YD/T 1735-2008)、互联网(YD/T 1736-2008和YD/T 1737-2008)、消息网(YD/T 1738-2008和YD/T 1739-2008)、智能网(YD/T 1740-2008和YD/T 1741-2008)、接入网(YD/T 1742-2008和YD/T 1743-2008)、传送网(YD/T 1744-2008和YD/T 1745-2008)、IP承载网(YD/T 1746-2008和YD/T 1747-2008)、信令网(YD/T 1748-2008和YD/T 1749-2008)、同步网(YD/T 1750-2008和YD/T 1751-2008)、支撑网(YD/T 1752-2008和YD/T 1753-2008)、非核心生产单元(YD/T 1758-2008和YD/T 1759-2008)等12个具体网络。其中安全等级保护工作需要落实的物理环境(YD/T 1754-2008和YD/T 1755-2008)和管理(YD/T 1756-2008和YD/T 1757-2008)的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。其中安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施,涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容;安全防护检测要求与安全防护要求相对应,提供了对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。 |