【文章內(nèi)容簡介】 評估應(yīng)貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各階段中，在生命周期不同階段的風(fēng)險評估原則和方法是一致的。在電信網(wǎng)和互聯(lián)網(wǎng)的安全風(fēng)險評估工作中，應(yīng)首先進(jìn)行相關(guān)工作的準(zhǔn)備，通過安全風(fēng)險分析計算電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的風(fēng)險值，進(jìn)而確定其風(fēng)險等級和風(fēng)險防范措施。安全風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素，每個要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；而脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度等。安全風(fēng)險評估的實施流程如圖3所示。 8. 災(zāi)難備份及恢復(fù) 電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)工作利用技術(shù)、管理手段以及相關(guān)資源，確保已有的電信網(wǎng)和互聯(lián)網(wǎng)在災(zāi)難發(fā)生后，在確定的時間內(nèi)可以恢復(fù)和繼續(xù)運行。災(zāi)難備份及恢復(fù)工作需要防范包括地震、水災(zāi)等自然災(zāi)難以及火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件。如圖4所示，災(zāi)難備份及恢復(fù)工作應(yīng)根據(jù)安全等級保護(hù)確定的安全等級以及安全風(fēng)險分析的相關(guān)結(jié)果進(jìn)行需求分析，制定、實現(xiàn)相應(yīng)的災(zāi)難備份及恢復(fù)策略，并構(gòu)建災(zāi)難恢復(fù)預(yù)案，這是一個循環(huán)改進(jìn)的過程。 針對電信網(wǎng)和互聯(lián)網(wǎng)的不同網(wǎng)絡(luò)、不同重要級別的業(yè)務(wù)，災(zāi)難備份及恢復(fù)所要達(dá)到的目標(biāo)是不同的。例如，在電信網(wǎng)和互聯(lián)網(wǎng)中，對于普通話音業(yè)務(wù)，可以要求網(wǎng)絡(luò)和業(yè)務(wù)運營商通過災(zāi)難備份及恢復(fù)工作，保證在災(zāi)難發(fā)生后單一地區(qū)的災(zāi)難不影響災(zāi)難發(fā)生地理范圍以外地區(qū)的話音業(yè)務(wù)，并且發(fā)生災(zāi)難的地區(qū)的話音業(yè)務(wù)能夠通過有效災(zāi)難恢復(fù)計劃的實施，在一定時間范圍（指標(biāo)應(yīng)與災(zāi)難級別對應(yīng)）內(nèi)恢復(fù)通信。9. 安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三者之間的關(guān)系 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中的安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三者之間密切相關(guān)、互相滲透、互為補(bǔ)充。電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)應(yīng)將安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)工作有機(jī)結(jié)合，加強(qiáng)相關(guān)工作之間的整合和銜接，保證電信網(wǎng)絡(luò)安全防護(hù)工作的整體性、統(tǒng)一性和協(xié)調(diào)性。電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)按照根據(jù)被保護(hù)對象的重要性進(jìn)行分等級保護(hù)的思想，通過安全風(fēng)險評估的方法正確認(rèn)識被保護(hù)對象存在的脆弱性和面臨的威脅，進(jìn)而制定、落實和改進(jìn)與安全保護(hù)等級和風(fēng)險大小相適應(yīng)的一系列管理、技術(shù)、災(zāi)難備份等安全等級保護(hù)措施，最終達(dá)到提高電信網(wǎng)絡(luò)安全保護(hù)能力和水平的目的。在開展安全等級保護(hù)工作時，要充分應(yīng)用安全風(fēng)險評估的方法，認(rèn)識、分析不同類型的網(wǎng)絡(luò)和業(yè)務(wù)存在的脆弱性和面臨的威脅，進(jìn)而制定和落實與被保護(hù)對象的類型、脆弱性和威脅相適應(yīng)的基本安全保護(hù)措施要求，提高安全等級保護(hù)工作的針對性和適用性。在開展安全風(fēng)險評估工作時，在分析被保護(hù)對象綜合風(fēng)險和制定改進(jìn)方案的過程中，要始終與被保護(hù)對象的安全保護(hù)等級相結(jié)合，合理確定被評估對象的可接受風(fēng)險和制定確實必要的整改措施，避免無限度的改進(jìn)提高。在開展災(zāi)難備份及恢復(fù)工作時，要結(jié)合被備份對象的安全保護(hù)等級和面臨的威脅，制定相適應(yīng)的備份措施，并將有關(guān)備份的要求體現(xiàn)在安全等級保護(hù)的要求中進(jìn)行落實。電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)、安全風(fēng)險評估和災(zāi)難備份及恢復(fù)工作應(yīng)隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展變化而動態(tài)調(diào)整，適應(yīng)國家對電信網(wǎng)和互聯(lián)網(wǎng)的安全要求。 電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南 1 范圍本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的概念、對象、目標(biāo)，安全等級劃分和定級方法，安全等級保護(hù)實施過程中的基本原則，并結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)的生命周期定義了電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作的主要階段及主要活動。 本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)工作。 本標(biāo)準(zhǔn)是電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的總體指導(dǎo)性文件，針對具體網(wǎng)絡(luò)的安全等級保護(hù)可參考具體網(wǎng)絡(luò)的安全防護(hù)要求和安全防護(hù)檢測要求。 2 規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 GB/T 信息技術(shù) 詞匯 第8部分：安全3 術(shù)語和定義GB/T ，以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。 電信網(wǎng) telenetwork 利用有線和/或無線的電磁、光電系統(tǒng)，進(jìn)行文字、聲音、數(shù)據(jù)、圖象或其它任何媒體的信息傳遞的網(wǎng)絡(luò)，包括固定通信網(wǎng)、移動通信網(wǎng)等。 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系 security protection architecture of tele network and Internet 電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三項工作互為依托、互為補(bǔ)充、相互配合，共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng) systems of tele network and Internet 組成電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)系統(tǒng)，包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)等。其中，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH、衛(wèi)星等，而支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。 電信網(wǎng)和互聯(lián)網(wǎng)安全等級 security classification of tele network and Internet 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全重要程度的表征。重要程度可從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后，對國家安全、社會秩序、經(jīng)濟(jì)運行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害來衡量。 電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù) classified security protection of tele networkand Internet 指對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級實施安全保護(hù)。 電信網(wǎng)和互聯(lián)網(wǎng)基本保護(hù)要求 basic protection requirements of tele network and Internet 為確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)具有與其安全等級相對應(yīng)的安全保護(hù)能力應(yīng)該滿足的最低要求。 電信網(wǎng)和互聯(lián)網(wǎng)安全檢測 security testing of tele network and Internet 對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力是否達(dá)到相應(yīng)保護(hù)要求進(jìn)行衡量。 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險 security risk of telenetwork and Internet 人為或自然的威脅可能利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估 security risk assessmentof tele network and Internet 指運用科學(xué)的方法和手段，系統(tǒng)地分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和安全措施，防范和化解電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全風(fēng)險，將風(fēng)險控制在可接受的水平，為最大限度地保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全提供科學(xué)依據(jù)。 電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難 disaster of tele network and Internet 由于各種原因，造成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)故障或癱瘓，使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時間的突發(fā)性事件。 電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份 backup for disaster recovery of telenetwork andInternet 為了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)災(zāi)難恢復(fù)而對相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過程。 電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難恢復(fù) disaster recovery of tele network and Internet 為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運行狀態(tài)或部分正常運行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計的活動和流程。4 安全等級保護(hù)概述 安全等級保護(hù)對象電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的范圍包括網(wǎng)絡(luò)和業(yè)務(wù)運營商運營的傳輸、承載各類電信業(yè)務(wù)的公眾電信網(wǎng)（含公眾互聯(lián)網(wǎng)）及其組成部分，支撐和管理公眾電信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元，以及企業(yè)辦公系統(tǒng)（含文件管理系統(tǒng)、員工郵件系統(tǒng)、決策支持系統(tǒng)、人事管理系統(tǒng)等）、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元。此外，電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的范圍還包括經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)單位、移動信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務(wù)機(jī)構(gòu)等單位運營的網(wǎng)絡(luò)或信息系統(tǒng)。 根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)標(biāo)準(zhǔn)體系，安全等級保護(hù)對象包括固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)等業(yè)務(wù)網(wǎng)，接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)等電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)以及非核心生產(chǎn)單元。其中，互聯(lián)網(wǎng)包括經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務(wù)機(jī)構(gòu)等單位運營的網(wǎng)絡(luò)或信息系統(tǒng)，增值業(yè)務(wù)網(wǎng)目前包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺以及業(yè)務(wù)管理平臺。隨著安全防護(hù)標(biāo)準(zhǔn)體系進(jìn)一步完善，標(biāo)準(zhǔn)體系還將包括針對增值業(yè)務(wù)提供商提供的其他增值業(yè)務(wù)系統(tǒng)的相關(guān)標(biāo)準(zhǔn)。 安全等級保護(hù)目標(biāo)安全等級保護(hù)的目標(biāo)是通過對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級劃分，按照本系列標(biāo)準(zhǔn)中的安全等級保護(hù)要求進(jìn)行規(guī)劃、設(shè)計、建設(shè)、運維等工作，加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)能力，確保其安全性和可靠性。 本系列標(biāo)準(zhǔn)對不同安全等級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)提出不同的基本保護(hù)要求，這些基本保護(hù)要求是保障各等級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全的最基本要求。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)能夠滿足其所屬安全等級的基本保護(hù)要求。 5 安全等級劃分及定級方法 安全等級劃分在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級劃分的總體原則是：定級對象受到破壞后對國家安全、社會秩序、經(jīng)濟(jì)運行、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益的損害程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級劃分如下： 第1級定級對象受到破壞后，會對其網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益造成輕微損害，但不損害國家安全、社會秩序、經(jīng)濟(jì)運行和公共利益。本級由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第2級定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序、經(jīng)濟(jì)運行和公共利益造成輕微損害，但不損害國家安全。本級由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行指導(dǎo)。第3級進(jìn)一步劃分為兩個等級：定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生很嚴(yán)重?fù)p害，或者對社會秩序、經(jīng)濟(jì)運行和公共利益造成較大損害，或者對國家安全造成輕微損害。本級由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。 定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對社會秩序、經(jīng)濟(jì)運行和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成較大損害。本級由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行重點監(jiān)督、檢查。 第4級定級對象受到破壞后，會對社會秩序、經(jīng)濟(jì)運行和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。本級由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)以及業(yè)務(wù)的特殊安全要求進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第5級定級對象受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。本級由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)以及業(yè)務(wù)的特殊安全需求進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。 定級方法確定定級對象的安全等級應(yīng)根據(jù)如下三個相互獨立的定級要素： a）社會影響力 定級對象的社會影響力表示其受到破壞后對國家安全、社會秩序、經(jīng)濟(jì)運行和公共利益的損害程度，定級對象的社會影響力賦值原則如表1所示。損害國家安全的事項包括（不限于）如下方面： u 影響國家政權(quán)穩(wěn)固和國防實力；u 影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；u ? 影響國家對外活動中的政治、經(jīng)濟(jì)利益；u ? 影響國家重要的安全保衛(wèi)工作；u ? 影響國家經(jīng)濟(jì)競爭力和科技實力等。損害社會秩序的事項包括（不限于）如下方面： u ? 影響國家機(jī)關(guān)社會管理和公共服務(wù)的工作秩序；u ? 影響各種類型的經(jīng)濟(jì)活動秩序；u ? 影響各行業(yè)的科研、生產(chǎn)秩序；u ? 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等。損害經(jīng)濟(jì)運行的事項包括（不限于）如下方面： u ? 直接或間接導(dǎo)致國家經(jīng)濟(jì)活動主體的經(jīng)濟(jì)損失等。u 損害公共利益的事項包括（不限于）如下方面： u ? 影響社會成員使用公共設(shè)施；u ? 影響社會成員獲取公開信息資源；u ? 影響社會成員接受公共服務(wù)等。對此定級要素進(jìn)行賦值時，應(yīng)先確定對國家安全的損害程度，再確定對社會秩序、經(jīng)濟(jì)運行和公共利益的損害程度。定級對象的社會影響力賦值應(yīng)是對國家安全、社會秩序、經(jīng)濟(jì)運行和公共利益的損害程度最嚴(yán)重者。 b）規(guī)模和服務(wù)范圍 定級對象的規(guī)模表示其服務(wù)的用戶數(shù)多少，服務(wù)范圍表示其服務(wù)的地區(qū)范圍大小，定級對象的規(guī)模和服務(wù)范圍賦值如表2所示。 表2 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值表 c）所提供服務(wù)的重要性 定級對象所提供服務(wù)的重要性表示其提供的服務(wù)被破壞后對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益的影響程度，其重要性賦值如表3所示。 表3 定級對象所提供服務(wù)的重要性賦值表此定級要素可通過定級對象所提供的服務(wù)本身的重要性來衡量，如業(yè)務(wù)的經(jīng)濟(jì)價值，業(yè)務(wù)重要性，對企業(yè)自身形象的影響等方面。 在確定好定級對象的社會影響力、規(guī)模和服務(wù)范圍、所提供服務(wù)的重要性三個定級要素的賦值后，可采用附錄A中安全等級的計算方法確定定級對象的安全等級。在確定某一個定級要素的賦值時，無需考慮其他兩個定級要素。 安全等級確定可能不是一個過程就可以完成的，而是需要經(jīng)過定級要素賦值、定級、定級結(jié)果調(diào)整的循環(huán)過程，最終才能確定出較為科學(xué)、準(zhǔn)確的安全等級。6 安全等級保護(hù)的實施過程 基本原則電信網(wǎng)和