【正文】 通過(guò)采用合理的方式對(duì)存儲(chǔ)介質(zhì)進(jìn)行清除或銷毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。 c）處理過(guò)程記錄 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)記錄信息轉(zhuǎn)移、暫存和清除的過(guò)程，包括參與的人員、轉(zhuǎn)移、暫存和清除的方式以及目前信息所處的位置等，輸出信息轉(zhuǎn)移、暫存和清除處理報(bào)告。 本標(biāo)準(zhǔn)在安全資產(chǎn)終止階段關(guān)注網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商對(duì)信息轉(zhuǎn)移、暫存和清除、設(shè)備遷移或廢棄、存儲(chǔ)介質(zhì)的清除或銷毀等活動(dòng)，重點(diǎn)描述各個(gè)活動(dòng)的主要內(nèi)容，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可根據(jù)網(wǎng)絡(luò)的實(shí)際情況考慮對(duì)安全資產(chǎn)終止階段具體活動(dòng)內(nèi)容進(jìn)行添加或刪減。 。針對(duì)不同等級(jí)、不同優(yōu)先級(jí)的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序，說(shuō)明應(yīng)急預(yù)案啟動(dòng)的條件，發(fā)生安全事件后要采取的流程和措施等，充分體現(xiàn)自主保護(hù)的原則，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)運(yùn)行。 運(yùn)行管理和控制包括以下主要活動(dòng)內(nèi)容： a) 變更需求和影響分析 通過(guò)對(duì)變更需求和變更影響的分析，制定變更方案。安全運(yùn)維階段的工作還包括對(duì)安全等級(jí)保護(hù)工作落實(shí)情況進(jìn)行的安全檢測(cè)。 安全等級(jí)保護(hù)管理實(shí)施主要是建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制，包括建立配套的安全管理機(jī)構(gòu)和人員，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等，并且在安全實(shí)施過(guò)程中，對(duì)工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)管。 b）規(guī)劃結(jié)果文檔化 最終將安全建設(shè)規(guī)劃的結(jié)果文檔化，形成分階段的安全建設(shè)方案，安全建設(shè)方案中包括總體安全建設(shè)規(guī)劃、技術(shù)體系建設(shè)規(guī)劃和管理體系建設(shè)規(guī)劃等。 b） 制定額外的安全需求 在確定初步安全需求的基礎(chǔ)上，參照《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》對(duì)安全等級(jí)保護(hù)對(duì)象進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，即通過(guò)分析安全等級(jí)保護(hù)對(duì)象中的重要資產(chǎn)的資產(chǎn)價(jià)值、存在的脆弱性、面臨的威脅、以及已經(jīng)采取的安全措施，判斷安全等級(jí)保護(hù)對(duì)象可能存在的安全風(fēng)險(xiǎn)，在初步安全需求的基礎(chǔ)上，制定出額外的安全需求。 表4 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的定級(jí)對(duì)象劃分b）詳細(xì)描述定級(jí)對(duì)象 劃分并確定定級(jí)對(duì)象后，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)準(zhǔn)確描述劃分出的定級(jí)對(duì)象，包括劃分后的定級(jí)對(duì)象的個(gè)數(shù)，每個(gè)定級(jí)對(duì)象的涵蓋范圍、架構(gòu)、邊界、設(shè)備部署、業(yè)務(wù)/應(yīng)用范圍、處理或傳送的信息資產(chǎn)類型、服務(wù)范圍和用戶類型等方面的內(nèi)容，形成對(duì)定級(jí)對(duì)象的詳細(xì)描述文件。 c) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)信息 了解電信網(wǎng)和互聯(lián)網(wǎng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備的部署情況、業(yè)務(wù)/應(yīng)用范圍、網(wǎng)絡(luò)處理和傳送的信息資產(chǎn)、服務(wù)范圍和用戶類型等信息，明確網(wǎng)絡(luò)邊界。圖2 安全等級(jí)保護(hù)過(guò)程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系 新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級(jí)保護(hù)的主要活動(dòng)。 d) 安全運(yùn)維階段 安全運(yùn)維階段需要進(jìn)行的安全控制活動(dòng)很多，本標(biāo)準(zhǔn)描述一些重要的安全控制活動(dòng)。如圖 1 所示。在確定某一個(gè)定級(jí)要素的賦值時(shí)，無(wú)需考慮其他兩個(gè)定級(jí)要素。損害經(jīng)濟(jì)運(yùn)行的事項(xiàng)包括（不限于）如下方面： u ? 直接或間接導(dǎo)致國(guó)家經(jīng)濟(jì)活動(dòng)主體的經(jīng)濟(jì)損失等。本級(jí)由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商依據(jù)國(guó)家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對(duì)其安全等級(jí)保護(hù)工作進(jìn)行重點(diǎn)監(jiān)督、檢查。 5 安全等級(jí)劃分及定級(jí)方法 安全等級(jí)劃分在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級(jí)劃分的總體原則是：定級(jí)對(duì)象受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)運(yùn)行、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的合法權(quán)益的損害程度。4 安全等級(jí)保護(hù)概述 安全等級(jí)保護(hù)對(duì)象電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的范圍包括網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商運(yùn)營(yíng)的傳輸、承載各類電信業(yè)務(wù)的公眾電信網(wǎng)（含公眾互聯(lián)網(wǎng)）及其組成部分，支撐和管理公眾電信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元，以及企業(yè)辦公系統(tǒng)（含文件管理系統(tǒng)、員工郵件系統(tǒng)、決策支持系統(tǒng)、人事管理系統(tǒng)等）、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元。 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù) classified security protection of tele networkand Internet 指對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級(jí)實(shí)施安全保護(hù)。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。在開(kāi)展安全風(fēng)險(xiǎn)評(píng)估工作時(shí)，在分析被保護(hù)對(duì)象綜合風(fēng)險(xiǎn)和制定改進(jìn)方案的過(guò)程中，要始終與被保護(hù)對(duì)象的安全保護(hù)等級(jí)相結(jié)合，合理確定被評(píng)估對(duì)象的可接受風(fēng)險(xiǎn)和制定確實(shí)必要的整改措施，避免無(wú)限度的改進(jìn)提高。災(zāi)難備份及恢復(fù)工作需要防范包括地震、水災(zāi)等自然災(zāi)難以及火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件。首先，根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)運(yùn)行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成的損害程度來(lái)確定安全等級(jí)；通過(guò)進(jìn)一步分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全等級(jí)保護(hù)要求之間的差距，確定安全需求，設(shè)計(jì)合理的、滿足安全等級(jí)保護(hù)要求的總體安全方案，制定出安全建設(shè)規(guī)劃；并進(jìn)一步將其落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中，形成安全技術(shù)和管理體系；在電信網(wǎng)和互聯(lián)網(wǎng)安全運(yùn)維階段，根據(jù)安全等級(jí)保護(hù)的需要對(duì)安全技術(shù)和管理體系不斷調(diào)整和持續(xù)改進(jìn)，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)滿足相應(yīng)等級(jí)的安全要求；在安全資產(chǎn)終止階段對(duì)信息、設(shè)備、介質(zhì)進(jìn)行終止處理時(shí)，防止敏感信息的泄露，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全。增值業(yè)務(wù)網(wǎng)包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺(tái)以及業(yè)務(wù)管理平臺(tái)。 5. 安全防護(hù)體系 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)范疇包括基礎(chǔ)電信運(yùn)營(yíng)企業(yè)運(yùn)營(yíng)的傳輸、承載各類電信業(yè)務(wù)的公共電信網(wǎng)（含公共互聯(lián)網(wǎng)）及其組成部分，支撐和管理公共電信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元，以及企業(yè)辦公系統(tǒng)（含文件管理系統(tǒng)、員工郵件系統(tǒng)、決策支持系統(tǒng)、人事管理系統(tǒng)等）、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元。相關(guān)安全防護(hù)工作的檢測(cè)機(jī)構(gòu)應(yīng)具有主管部門授權(quán)的電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)檢測(cè)服務(wù)資質(zhì)。為了實(shí)現(xiàn)該目標(biāo)，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商、設(shè)備制造商要充分考慮電信網(wǎng)和互聯(lián)網(wǎng)不同等級(jí)的安全要求，從環(huán)境因素以及人為因素分析電信網(wǎng)和互聯(lián)網(wǎng)面臨的威脅，從技術(shù)和管理兩個(gè)方面分析電信網(wǎng)和互聯(lián)網(wǎng)存在的脆弱性，充分考慮現(xiàn)有安全措施，分析電信網(wǎng)和互聯(lián)網(wǎng)現(xiàn)存風(fēng)險(xiǎn)，平衡效益與成本，制定災(zāi)難備份及恢復(fù)計(jì)劃，將電信網(wǎng)和互聯(lián)網(wǎng)的安全控制在可接受的水平。重要程度從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)運(yùn)行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成的損害來(lái)衡量。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)。文檔架構(gòu)如下圖所示：第一級(jí) ：方針策略，《信息安全管理手冊(cè)》是xx信息安全管理工作的綱領(lǐng)性文件 。一個(gè)文檔化的ISMS應(yīng)該闡述：要保護(hù)的資產(chǎn)，組織進(jìn)行風(fēng)險(xiǎn)管理的途徑，控制目標(biāo)和控制方式，需要的保障程度。? 應(yīng)該設(shè)計(jì)、實(shí)施、測(cè)試和維護(hù)BCP（十二）符合性u(píng) 目標(biāo)：? 與法律法規(guī)要求的符合性——避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。? 技術(shù)漏洞管理——減少由利用公開(kāi)的技術(shù)漏洞帶來(lái)的風(fēng)險(xiǎn)。? 操作系統(tǒng)訪問(wèn)控制——防止對(duì)操作系統(tǒng)的未授權(quán)訪問(wèn)。? 介質(zhì)處理和安全——防止對(duì)資產(chǎn)的未授權(quán)泄漏、修改、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的干擾。? 解聘和變更——確保員工、合同方和第三方用戶離開(kāi)組織或變更雇傭關(guān)系時(shí)以一種有序的方式進(jìn)行。 ISO 17799 圖：ISO 17799:2005內(nèi)容框架（一）信息安全管理細(xì)則? 信息安全策略? 安全組織? 資產(chǎn)分類和控制? 人員安全? 物理和環(huán)境安全? 通信和操作管理? 訪問(wèn)控制? 系統(tǒng)獲得、開(kāi)發(fā)和維護(hù)? 信息安全事件管理? 業(yè)務(wù)連續(xù)性管理? 依從性（二）信息安全策略u(píng) 目標(biāo)：? 信息安全策略——為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持u 安全策略應(yīng)該做到：? 對(duì)信息安全加以定義? 陳述管理層的意圖? 分派責(zé)任? 約定信息安全管理的范圍? 對(duì)特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說(shuō)明? 對(duì)報(bào)告可疑安全事件的過(guò)程進(jìn)行說(shuō)明? 定義用以維護(hù)策略的復(fù)查過(guò)程（三）安全組織u 目標(biāo)：? 信息安全基礎(chǔ)設(shè)施——在組織內(nèi)部管理信息安全? 外部組織——保持組織的被外部組織訪問(wèn)、處理、溝通或管理的信息及信息處理設(shè)備的安全u 包含的內(nèi)容：? 建立管理委員會(huì)，定義安全管理的角色和責(zé)任? 對(duì)軟硬件的采購(gòu)建立授權(quán)過(guò)程? 與第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。 第二部分還在討論中（二）BS 7799的歷史沿革 1990年代初 —— 英國(guó)貿(mào)工部（DTI）成立工作組，立項(xiàng)開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。BS7799和ISO17799的區(qū)別：BS7799：216。 確保組織業(yè)務(wù)連續(xù)性216。安全工作的目標(biāo)：將風(fēng)險(xiǎn)降到最低。產(chǎn)品維護(hù)經(jīng)理認(rèn)證體系教材網(wǎng)絡(luò)安全中國(guó)電信維護(hù)崗位認(rèn)證教材編寫(xiě)小組編制目 錄第1章 信息安全管理基礎(chǔ) 5 信息安全概述 5 信息安全面臨的主要問(wèn)題 5 信息安全的相對(duì)性 5 信息安全管理相關(guān)概念 5 什么是信息安全 5 信息安全的發(fā)展過(guò)程 6 信息安全的基本目標(biāo) 6 如何實(shí)現(xiàn)信息安全 6 信息安全需要遵循的模式 7 BS7799概述 7 BS 7799 7 ISO 17799 8 安全管理體系規(guī)范 14 ISMS管理框架 15第2章 網(wǎng)絡(luò)安全防護(hù)實(shí)施標(biāo)準(zhǔn) 17 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南 17 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南 25 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南 51 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南 76第3章 中國(guó)電信安全維護(hù)規(guī)范 91 安全域劃分及邊界整合 91 安全域劃分與邊界整合 91 定級(jí)備案 91 安全域職責(zé)分工 91 網(wǎng)絡(luò)接入 91 安全管理規(guī)范 91 安全操作流程和職責(zé) 91 安全對(duì)象管理 92 安全日常維護(hù)管理 92 第三方服務(wù)管理 93 介質(zhì)安全管理 93 設(shè)備安全規(guī)范管理 93 訪問(wèn)控制 94 網(wǎng)絡(luò)訪問(wèn)控制 94 操作系統(tǒng)的訪問(wèn)控制 95 應(yīng)用訪問(wèn)控制 95 網(wǎng)絡(luò)訪問(wèn)與使用的監(jiān)控 95 遠(yuǎn)程訪問(wèn)控制 96 網(wǎng)絡(luò)與系統(tǒng)風(fēng)險(xiǎn)評(píng)估 96 安全事件與應(yīng)急響應(yīng) 96 安全事件報(bào)告機(jī)制 96 應(yīng)急響應(yīng) 97 安全審計(jì)管理 97 審計(jì)內(nèi)容要求 97 審計(jì)原則 97 審計(jì)管理 98第4章 安全評(píng)估 99 安全評(píng)估概述 99 安全評(píng)估目的 99 安全評(píng)估要素 99 安全評(píng)估過(guò)程 101 安全評(píng)估工具 102 安全評(píng)估標(biāo)準(zhǔn) 102 安全掃描 103 103 網(wǎng)絡(luò)掃描技術(shù) 104第5章 常見(jiàn)安全產(chǎn)品 107 107 防病毒網(wǎng)關(guān)基礎(chǔ)概念 107 防病毒網(wǎng)關(guān)與防火墻區(qū)別 108 防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別 110 防病毒網(wǎng)關(guān)關(guān)鍵技術(shù) 111 防火墻 113 防火墻基本知識(shí) 113 防火墻基本配置 117 入侵檢測(cè) 123 入侵檢測(cè)與入侵防御概述 123 入侵檢測(cè)系統(tǒng)介紹 126 入侵防御系統(tǒng)介紹 134 VPN 138 VPN的基本原理 138 VPN的安全協(xié)議 139附錄：第一章安全配置 156 網(wǎng)絡(luò)設(shè)備安全配置 156 交換機(jī)安全配置 156 路由器安全配置 158 主機(jī)安全配置 168 Windows安全配置 168 Solaris安全配置 173 Linux安全配置 175附錄 第二章密碼學(xué)基礎(chǔ) 177 密碼學(xué)概述 177 密碼學(xué)概述 177 密碼體制的分類 177 密碼學(xué)的主要應(yīng)用 180 信息加密方式 180 對(duì)稱密碼學(xué) 182 非對(duì)稱密碼學(xué) 182 消息認(rèn)證技術(shù) 183第1章 信息安全管理基礎(chǔ) 信息安全概述 信息安全面臨的主要問(wèn)題人員問(wèn)題：216。 信息安全管理相關(guān)概念 什么是信息安全I(xiàn)SO17799中的描述：“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 定義中強(qiáng)調(diào)信息：216。 將信息不安全帶來(lái)的損失降低到最小 216。 英國(guó)標(biāo)準(zhǔn)216。 1993年9月 —— 頒布《信息安全管理實(shí)施細(xì)則》，形成BS 7799的基礎(chǔ)。? 外包合同中的安全需求? 包括內(nèi)部組織和外部伙伴（四）資產(chǎn)管理u 目標(biāo)：? 資產(chǎn)責(zé)任——實(shí)現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)? 信息分類——確保對(duì)信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)?shù)乃絬 包含的內(nèi)容：? 組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別信息資產(chǎn)。u 包含的內(nèi)容：? 故意或者無(wú)意的人為活動(dòng)可能給數(shù)據(jù)和系統(tǒng)造成風(fēng)險(xiǎn)? 在正式的工作描述中建立安全責(zé)任，員工入職審查 （六）物理和環(huán)境安全u 目標(biāo)：? 安全區(qū)域——防止非授權(quán)訪問(wèn)、破壞和干擾業(yè)務(wù)運(yùn)行的前提條件及信息。? 信息和軟件的交換——應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的