首页 > 通信行业标准(YD) > YD/T 1729-2008 电信网和互联网安全等级保护实施指南
YD/T 1729-2008

基本信息

标准号: YD/T 1729-2008

中文名称:电信网和互联网安全等级保护实施指南

标准类别:通信行业标准(YD)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:927277

相关标签: 电信网 互联网安全 等级 保护 实施 指南

标准分类号

关联标准

出版信息

相关单位信息

标准简介

YD/T 1729-2008.lmplementation Guide for Classified Security Protection of Telecom Network and Internet.
1范围
YD/T 1729规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。
YD/T 1729适用于电信网和互联网的安全等级保护工作。
YD/T 1729是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全
YD/T 1730-2008电信网和互联网安全风险评估实施抬南
3术语和定义
GB/T 5271.8- 2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1
电信网Telecom Network
利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。
3.2
电信网和互联网安全防护体系Security Protection Architecture of Telecom Network and Internet
电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。

标准图片预览






标准内容

中华人民共和国通信行业标准
YD/T1729-2008
电信网和互联网安全等级保护实施指南Implementation Guide for Classified Security Protection otTelecom Network and Internet2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前…
1范围·
2规范性引用文件
3术语和定义
4安全等级保扩概述
4.「安全等级保护对象
4.2安全等级保护目标,
5安个等级划分及定级方法·
5.1安全等级划分
5.2定级方法-
6安全等级保护的实施过程:
6.1基本原则
6.2基本过程·
6.3安全等级保护工作与电信网和互联网及相关系统生命周期的关系了安全等级确定阶段
7.1安全等级确定阶段的土要活动7.2电信网和联网的识别和描述·7.3定级对象的划分
7.4安全等级确定、评审和备案·名安全总体规划阶段
8.1主要活动
8.2安全需求分析·
8.3安全总体设计
8.4安全建设规划
9安全设计与实施阶段
9.1工要活动·
9.2安全方案详细设计…
9.3安全详细设计方案实施.
9.4安全检测****
10安全运维阶段:
10.1+要活动+
10.2运行管理和控制
10.3变更管理和控制
10.4安全状态监控
TKAONTKAca-
YD/T 1729-2008
YD/T 1729-2008
10.5安全事件处置和应急预案
10.6安全检查和持续改进
10.7安全检测
11安全资产终止阶段
11.1主要活动.·
11.2信息转移、暂存或清除…
11.3设备迁移或废弃.
11.4存储介质的清除或销毁
11.5安全检测-
附录A(规范性附录)安全等级的计算方法一一对数法
附录B(资料性附录)定级实例
参考文献
YD/T1729-2008
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和互联网安全防护管理指南;2.Y>/T1729-2008电信网和互联网安金等级保护实施指南:3. YD/T 1730-2008
电信网和互联网安全风险评估实施指南:8电信网和互联网灾难备份及恢复实施指南:4. YD/T 1731-2008
5.YD/T 1732-2008
6. YD/T 1733-2008
7. YD/T 1734-2008
固定通信网安全防护要求:
固定通信网安全防护检测要求;移动通信网安全防护要求:
8.:YD/T 1735-2008
移动通信网安全防护检测要求:9. YD/T 1736-2008
互联网安金防护要求:bZxz.net
8互联网安全防护检测要求:
10, YD/T 1737-2008
11. YD/T 1738-2008
一消息网安金防护要求:
增值业务网——
增值业务网—消息网安全防护检测要求:12.YD/T 1739-2008
13.YD/T1740-2008
增值业务网——智能网安全防护要求:14.YD/T1741-2008
增值业务网—智能网安全防护检测要求;15,YD/T1742-2008接入网安全防护要求;16.YD/T 1743-2008
接入网安全防护检测要求;
传送网安全防护要求:
17. YD/T 1744-2008
18. YD/T 1745-2008
传送网安全防护检测要求:
19.YD/T1746-2008IP承载网安全防护要求:20.YD/T1747-2008P承裁网安全防护检测要求:21. YD/T1748-2008
信令网安全防护要求:
22.YD/T1749-2008信令网安全防护检测要求:23. YD/T 1750-2008
同步网安全防护要求;
24. YD/T 1751-2008
8同步网安全防护检测要求:
25. YD/T 1752-2008
26. YD/T 1753-2008
支撑网安全防护要求:
支撑网安全防护检测要求,
27. YD/T 1754-2008L
电信网和互联网物理环境安全等级保护要求:28. YD/T 1755-2008
电信网和互联网物理环境安全等级保护检测要求:8电信网和互联网管理安全等级保护要求:29. YD/T 1756-2008
30.YD/T1757-2008
31.YD/T1758-2008
32. YD/T 1759-2008
电信网和互联网管理安全等级保护检测要求:非核心生产单元安全防护要求;非核心生产单元安全防护检测要求。随者电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。KAONTKAca-
YD/T 1729-2008
本标雄的附录A是规范性附录,附录B是资料性附录。本标摊由中国通信标推化协会提出并归口本标准起草单位:信息产业部电信研究院,中国移动通信集团公司,中国电信集团公司,中国网络通信集团公司、中国铁通集团有限公司本标谁主要起草人:魏
阳、殿
琪、严
薇、杨
永、越
电信网和互联网安全等级保护实施指南YD/T 1729-2008
本标准规定了电信网和互联网安全等级保书的概念、对象、且标,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护1作的要阶段及主要活动:
本标准适用于电信网和互联网的安全等级保护工作。本标准是电信网和互联网安全等级保扩的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2规范性引用件
下列文件中的条款过本标准的引用而成为本标准的条款。凡是注日期的引文件,式随后所有的修改单(不包括勘误的内容或修订版均不冠用丁本标准。然而,鼓刷根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注口期的引用文件,其最新版本适用于本标准。GB/T 5271.8-2001
信息技术词汇第8部分:安全
YD/T 1730-2008
3术语和定义
电信网利互联网安全风险评估实施指南GB/T5271.8-2001确立.的术语和定义以及下列术语和定义适用丁本标准。3.1
电信网TelecomNetwark
利用有线和/或无线的电磁、光电系统,进行文字,声音、数据、图像或其他任何媒体的信息传递的网络,包括圈定通信网,移动通信网等。3.2
电信网和互联网安全防护体系SecurityProtectionArchitectureofTelecomNetworkandlnternet电信网和互联网的安全等级保护,安全风险评估,灾难备份及恢复三项工作互为依托、互为补充,相互配合,共同构成了电信网利万联网安全防护体系。3.3
电信网和互联网相关系统SystemofTelecomNetworkandInternet凯成电信网和互联网的机关系统,包括接入网、传送网、P承载网、信令网、同步网、支撑网等。其中,接入网包括各种有线、无线和卫显接入网等,传送网包括光缆、波分、SDH、!星等,而支撑网包括业务支撑和网管系统。
电信网和互联网安全等级SecurityClassificationofTelecomNetworkandInternet电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡景。3.5
KAONTKAca-
YD/T 1729-2008
电信网和互联网安全等级保护ClassifiedSecurityProtectionofTelecomNetworkandinternet指对电信网和互联网及相关系统分等级实施安全保护。3.6
电信网和互联网基本保护要求BasicProtectionRequirementsofTelecomNetworkandInternet为确保电信网利互联网及相关系统具有与其安全等数相对应的安个保护能力应该满足的最低要求。3.7
电信网和互联网安全检测SecurityTestingofTelecomNetworkandInternet对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8
电信网和互联网安全风险SecurityRiskofTelecomNetworkandInternet人为或白然的威胁叫能利用电信网和互联网及相关系统中存在的脆频性导致安全奔件的发生及其对组织造成的影响。
电信网和互联网安全风险评估SecurityRiskAssessmentofTelecomNetworkandInternet指运用科学的方法利于段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的随弱性:评估安全件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.10
电信网和互联网灾难Disasterof TelecomNetworkand Internet由于各种原因,造成电信网和互联网及相关系统故障或摊换,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受以及达到特定时问的突发性事件。3.11
电信网和互联网灾难备份BackupforDisasterRecoveryofTelecomNetworkandInternet为了电信网和五联网及相关系统灾难恢复而对相关网络要素进行备份的过程,3.12
电信网和互联网难恢复 Disaster Recovery af Telecom Network and Internet为了将电信网和互联网及相关系统从灾难造成的故障或摊痰状态嵌复到正常运行状态或部分止常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4安全等级保护概述
4.1安全等级保护对象
电信网和互联网安全防护工作的范围包括网络和业务运营商运营的传输、承载各类电信业务的公众电信网(含公众互联网)及其组成部分,支撑和管理公众电信网及电信业务的业务单元和控制单元以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心牛产单元。此外,电信网和互联网安全防护工作的范围还包括经营性联网信息服务单位,移动信息服务单位、百联网接入服务单位、五联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。
YD/T 1729-2008
根据电信网和互联网安全防护标准体系,安全等级保护对象包括固定信网、移动通信网、五联网,增值业务网等业务网,接入网、传送网、P承载网、信令网、向步网、支撑网等电信网和互联网相关系统以及非核心生产单元,其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统,增值业务网目前包括消息网、智能网等业务平台以及业务管理平台。随者安全防扩标准体系进一步完善,标准体系还将包括针对增值业务提供商提供的其他增值业务系统的相关标准。4.2安全等级保护目标
安伞等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分,按照本系列标准中的安全等级保护要求进行规划、设计,建设、运维等工作,加强电信网和互联网及相关系统的安全防护能力,确保其安全性和可靠性。
本系列标准对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求,这些基本保护要求是保障各等级电信网和互联网及树关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。5安全等级划分及定级方法
5.1安全等级划分
在电信网和互联网及相关系统中进行安全等级划分的总体原则是:定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。中信网和互联网及相关系统的安金等级划分如下。第1级
定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。本级由网络和业务运营商依据国家和通信行业有关标准进行保护。第2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,战者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
第3级
进一步划分为两个等级。
第3.1级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重的损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级出网络和业务运营商依据国家和通信行业有关标准进行保护,土管部门对其安金等级保护工作进行监督,检查。
第3.2级
定级刘象受到破坏后,会对网络和业务运营商的合法权益产生特别严重的损害,或者对社会秩序,经济运行利公共利益造成严重的损害,或者对国家安全造成较大损害。3
TKAONTKAca=
YD/T1729-2008
本级由网络和业务运营商依据国家利通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
第4级
定级对象受到破坏后:会对社会秩序、经济运行和公共利益造成特别严平的损害,或者对国家安全造成严重的损害。
本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保扩工作逝行强制监督、检查。第5级
定级对象受到破坏后,会对国家安全造成特别严重的损害。本级山网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。5.2定级方法
确定定级对象的安全等级应根据以下3个相互独立的定级要素。a)社会影响力
定级对象的社会影响力表示其受到破环后对国家安全、社会秩序、经济运行和公共利益的损害程度定级对象的社会影响力赋值原则见表1。表1定级对象的杜会影响力赋值原则社会影响力定义
定级对象受到破坏君不损害国家安全、让会秩序。经济运行和公共利益定级对象受到碰坏后不损害国家安全,对杜会秩序、经济运行和公共利益造成轻徽损害定级对象受到破坏后对国家安全造成较大损害,或者对社会秩序、经矫运行和公共利益造成较为产重的损害定级对象受到破坏后对国家安全造成严重损害,或者对社会秩序、经济运行和公共利益造成特别严重损害定级对象受致破坏后对家安全造成特别严重损害损害国家安企的事项包括(不限于)以下几个方面:影响国家政权稳固和国防实力
◆影响国家统一、民族卧结和社会安定:影响国家对外活动中的政治、经济利益;→影响国家重要的安全保卫工作;影响国家经济竞了力和科技实力等。损忠社会秩序的事项包括【不限于)以下几个万面:,影响国家机关社会管理和公共服务的工作秩序:影响件种类型的经济活动厚:
争影响各行业的科研,生产秩序:影响公众在法律约束利道德规范下的正常生活秩序等。损害经济运行的事项包括(不限于)以下方面:争肖接或间接导致国家经济活动上体的经济损失等。损害公共利益的事项包括(不限于)以下几个方面:争影响社会成员使月公共设施:4
→影响社会成员获取公开信息资源:影响社会成员接受公共服务等。YD/T1729-2008
对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社公秩序、经济运行和公共利益的损害程度最重者。
h)规模和服务范囤
定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小,定级对象的规模和服务范制赋值如表2所示。
表2电信网和互联网及相关系统的规模和服务范固赋值规模和服务范围定义
定级对象被破环后对较少的甬户造成影响,或者对较小的地区造成影响定级对缺鼓破坏后对较多的用户造成影响,或者对较人的地这造成影响定级对象被破坏后对很多的用户造成影咱,或者对很大的地风造成影噪定级对象被被坏后对非常多的用户造成影响,或者对非常人的地区造成影响定级对象被破坏后对特别多的用户造成影,或者对特别大的范区造成影)所提供服务的重要性
定级对象所提供服务的重要性表示其提供的服务被破环后,对网络和业务运营商的合法权益的影程度,其重要性赋值如表3所示。表3定级对象所提供服务的重要性赋值所提供服务的量要性定文
定级对象所提供服务的重婴性较低,被破坏后对网结和业务运商的合法权益造成轻微损害定级对象所提供服务的重要性:一般,被破坏后对网露和业务运营商的合法权益造成较人损害定级对象所提供服务的重要性很高,被破坏后对网络和业务运告商的合法权益造成很人损害定级对象所提供服务的重要性非常高,被破坏后对网络和业务运营商的合法权益造成非常大的损害定级刘象所提供服务的重要性特别高,被破坏后对网络和业务运营商的合法权益造成特别严重的损害赋侦
此定级要素问通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值、业务的重要性对企业白身形象的影响等方面。在确定好定级对象的社会影响力、规模、服务范围和所提供服务的重要性三个定级要素的赋值后,可来用附录A中安全等级的计算方法确定定级对象的安全等级。在确定某一个定级要素的赋值时,无需考其他两个定级要素。
安金等级的确定可能不是一个过程就可以完成的,而是需要经过定级要素赋值、定级、定级结果调整的循环过程,最终才能确定山较为科学、确的安全等缀。6安全等级保护的实施过程
6.1基本原则
电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可挖性原则、完备性原则、最小影响原则以及保密性原则。在此基础上,电信网和联网安全等级保护丁件在实施过程中还应重点遵循以原则。a)凹工保护原则
YKAONKAca=
YD/T 1729-2008
各网络和业务运营商应遵照本标准的定级方法确定其运肯的电信网和互联网及相关系统的安金等级,并依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护。b)同步建设原则
各网络利业务运营商在对电信网和互联网及相关系统进行新建、改建、扩建时,必问步规划和设计其安全方案,投入一定比例的资金实施安夺方案,保障电信网和互联网及相关系统寸其所属安全等级的要求相适应。
c)重点保护原则
各网络和业务运营商通过对电信网和点联网及相关系统划分不同的安个等级,根据基本保护要求实现不同程度的安全保护,集中资源优先保护关键的电信网和五联网及拍关系统。d)适当调整原则
各网络和业务运营商跟赚电指网利互联网及相关系统的变化情况调整其婴全等级,开根据安全等缴的调整情况及时谢整相应的安全保护措施。6.2基本过程
虽然安全等级保护是一个不断循环和不断提高的过程,但是实施安全等级保护的一次完整过程是可以区分清楚的,包括5个土要阶段:安全等级确定、安全总体规划、安全设计与实施、安全运维、安全资产终止,如图1所求。
安全等解确定
安全总体规划
安全设计与实施
同部调整建
安全运
安全资产终止
垂大变更
图1安全等级保护实施的基本过程安全等缀保的5个主要阶段及其主要活动如下。a)安全等级确定阶段
安全等级确定阶段主要包括对电信网和互联网的识别和描述,定级对象的划分以及安全等级确定,评审和备案等几个主要安全活动。通过对电信网和互联网的识别和描述,划分并确定定级对象。根据本标准中的定级方法,科学准确地确定各定级对象的安全等级,并对定级结果进行评审和备案。b)安全总体规划阶段
安全总体规划阶慰主要国括安全需求分析,安全总体设计,安全建设规划等儿个主要活动。网络和业务运营商通过安全需求分析判断网络安全保护现状与安全要求之问的差距,确定初步的安全需求,通过风险评估确定额外的安全需求:然后模据网络的实际情况,设计出合理的、满足安全等级保护要求的安全总体方案:并制定出安全键设的方案,以指导后续的网络安全建设工程实施。c)安全设计与实施阶段
安全设计与实施阶段主要包括安全方案详细设计、安全详细设厅案的实施、安全检视等几个主要6
YD/T1729-2008
活动。网络和业务运营商通过安全方案详细设计,将安全总体规划阶段的安全总体方案和安全建设方案具体落实到网络中,最终提交满足安全需求的网络以及配套的安全技术和管理体系。网络和业务运营商应在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求,d)安全运维阶段
安全运维阶段需要进行的安全控制活动很多,本标准描述些重要的安全控制活动。网络和业务运营商通过运行管理和控制、变更管理和控制、安全状态监控,对发生的安全事件及时响应,确保电信网和互联网及相关系统正常运行。通过安全检查和持续改进不断跟踪电信网利互联网及柏关系统的变化,开依变化调整真安全等级和安金措施。通过安全检测,确保电信网利互联网及相关系统满正相应安全等级的要求。
)安全资产终止阶段
安全资产终止阶段主要包括对电信网和互联网及相关系统中的信息转移、暂存或清除,设备迁移或废弃,存介质的清除或销毁,安全检测等主要活动。核心关注点是对电信网和五联网及相关系统中过时或无用部分进行报废处理的过程,防止敏感信息泄漏。在安全运维阶段,当电信网和互联网及相关系统发尘局部谢整时,如果不影响其安全等级,应从安全运维阶段进入安全设计与实施阶段,重新调整和实施安全措施,确保满足安全等级保护的要求。当电信网和互联网及相关系统发生重大变更影响其安全等级时,应从安全运维阶段逃入安全等级确定阶段:重新开始一次安全等级保护的实施过程。6.3安全等级保护工作与电信网和互联网及相关系统生命周期的关系电信网和互联网及相关系统的生命周期包括5个阶段:启动阶段、设计除段、实施阶段、运维阶段和骏弃阶段。电信网和互联网及相关系统的安全等级保护丁作将贯穿其生命周期的各个阶段。安全等级保护工作可分为:对新建电信网利互联网及相关系统的安全等级保护和对已建电信网和互联网及相关系统的安全等级保护,两者在电信网利互联网及相关系统生命周期中的切入点尽不同的,但是安会等级保扩工作的上要活动基本相同,其安全等级保护过程与电信网和互联网及相关系统生命周期的关系如图2所。
电危网和互联网及相关东统生命周期启动阶段
设计阶段
实施阶段
新建电信网和互联网及相关系统安全等级保护过程安全等级确定
安全总体
安全设计与实施
运维阶段
安全运维
废弃阶段
安全资产终止
[已建电信网和互联网技相关系统安全等级保护过程安企等
级确定
安全总
体规划
安会设让
与实施
图2安全等级保护过程与电信网和互联网及相关系统生命期的关系安全资产终止
新建的电信网和五联网及相关系统在生命周期中的各个阶段应同步考忠安全等级保护的主要活动。在启动阶段,应该仔细分析利合理划分各个电信网和互联网,确定各个定级对象的安全等级,定级过程也可能在设计阶段:在设计阶段,应根据各个定级对象的安全等级,进行安全总体规划:在实施阶段,7
TKAONTKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。