等级保护测评网络安全优质资料

等级保护测评网络安全优质资料(可以直接使用，可编辑优质资料，欢迎下载）

全局性项目等级保护测评网络安全优质资料(可以直接使用，可编辑优质资料，欢迎下载）安全子类测评项结果记录符合情况结构安全a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。访问控制a)应在网络边界部署访问控制设备，启用访问控制功能；边界完整性检查a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。入侵防范a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范a)应在网络边界处对恶意代码进行检测和清除；b)应维护恶意代码库的升级和检测系统的更新。交换机安全子类测评项结果记录符合情况访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；f)重要网段应采取技术手段防止地址欺骗；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)应限制具有拨号访问权限的用户数量。安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。网络设备防护a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；h)应实现设备特权用户的权限分离。备份和恢复a)应能够对重要信息进行备份和恢复；b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。防火墙模块安全子类测评项结果记录符合情况访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；f)重要网段应采取技术手段防止地址欺骗；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)应限制具有拨号访问权限的用户数量。安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。网络设备防护a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；h)应实现设备特权用户的权限分离。备份和恢复a)应能够对重要信息进行备份和恢复；b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41.1中华人民共和国工业和信息化部11号令41.2中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122.1电信网和互联网安全防护管理指南122.2电信网和互联网安全等级保护实施指南202.3电信网和互联网安全风险评估实施指南472.4电信网和互联网安全等级保护实施指南72第3章网络安全架构873.1概述873.1.1基本原则873.1.2适应范围873.1.3安全策略体系架构及目标873.2组织与人员883.2.1组织机构883.2.2人员管理883.3网络建设与开发893.3.1设计、建设和验收893.3.2系统的安全要求893.3.3开发和支持过程中的安全893.3.4系统文件的安全893.3.5安全培训893.3.6系统验收903.3.7设备安全准入90第4章安全维护规范914.1安全域划分及边界整合914.1.1安全域划分与边界整合914.1.2定级备案914.1.3安全域职责分工914.1.4网络接入914.2安全管理规范914.2.1安全操作流程和职责913.2.2安全对象管理924.2.3安全日常维护管理924.2.4第三方服务管理934.2.5介质安全管理934.2.6设备安全规范管理934.3访问控制944.3.1网络访问控制944.3.2操作系统的访问控制954.3.3应用访问控制954.3.4网络访问与使用的监控954.3.5远程访问控制964.4网络与系统分先评估964.5安全事件与应急响应964.5.1安全事件报告机制964.5.2应急响应974.6安全审计管理974.6.1审计内容要求974.6.2审计原则984.6.3审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令《通信网络安全防护管理办法》已经2021年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，现予公布，自2021年3月1日起施行。部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位）管理和运行的公用通信网和互联网（以下统称“通信网络）的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案，应当提交以下信息：（一）通信网络单元的名称、级别和主要功能；（二）通信网络单元责任单位的名称和联系方式；（三）通信网络单元主要负责人的姓名和联系方式；（四）通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；（五）电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的，通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；（二）二级通信网络单元应当每两年进行一次符合性评测。通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。第十四条通信网络运行单位应当组织演练，检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。第十七条电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施：（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；（三）向通信网络运行单位工作人员询问了解有关情况；（四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；（六）法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动。第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患，应当及时整改。第二十条电信管理机构对通信网络安全防护工作进行检查，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的，由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第二十四条本办法自2021年3月1日起施行。1.2中华人民共和国工业和信息化部24令《电信和互联网用户个人信息保护规定》已经2021年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过，现予公布，自2021年9月1日起施行。部长苗圩2021年7月16日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规，制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。法律责任第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款。第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告；构成犯罪的，依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的，依法追究刑事责任。第六章附则第二十五条本规定自2021年9月1日起施行。第2章网络安全防护实施标准2.1电信网和互联网安全防护管理指南1.范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时，对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。2.规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全3.术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2互联网Internet泛指广域网、局域网及终端（包括计算机、等）通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络。3.3电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.4电信网和互联网安全等级securityclassificationoftelecomnetworkandInternet电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5电信网和互联网安全等级保护classifiedsecurityprotectionoftelecomnetworkandInternet指对电信网和互联网及相关系统分等级实施安全保护。3.6电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.8电信网和互联网灾难disasteroftelecomnetworkandInternet由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.9电信网和互联网灾难备份backupfordisasterrecoveryoftelecomnetworkandInternet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.10电信网和互联网灾难恢复disasterrecoveryoftelecomnetworkandInternet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4.目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。为了实现该目标，网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求，从环境因素以及人为因素分析电信网和互联网面临的威胁，从技术和管理两个方面分析电信网和互联网存在的脆弱性，充分考虑现有安全措施，分析电信网和互联网现存风险，平衡效益与成本，制定灾难备份及恢复计划，将电信网和互联网的安全控制在可接受的水平。电信网和互联网安全防护工作要在适度安全原则的指导下，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。——适度安全原则：安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级，平衡效益与成本，采取适度的安全技术和管理措施。——标准性原则：安全防护工作开展的指导性原则。指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准。——可控性原则：指电信网和互联网安全防护工作的可控性，包括：人员可控性：相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。工具可控性：要充分了解安全防护工作中所使用的技术工具，并进行一些实验，确保这些技术工具能被正确地使用。项目过程可控性：要对整个安全防护项目进行科学的项目管理，实现项目过程的可控性。——完备性原则：安全防护工作要覆盖电信网和互联网的安全范围。——最小影响原则：从项目管理层面和技术管理层面，将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。——保密性原则：相关安全防护工作人员应签署协议，承诺对所进行的安全防护工作保密，确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。5.安全防护体系电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网（含公共互联网）及其组成部分，支撑和管理公共电信网及电信业务的业务单元和控制单元，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护范畴，建立的电信网和互联网安全防护体系如图1所示。整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对电信网和互联网安全防护的定义、目标、原则，并说明了安全防护体系的组成。第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。第三层具体规定了电信网和互联网安全防护工作的要求，即安全防护要求和安全防护检测要求。根据电信网和互联网全程全网的特点，电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展。其中，互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。增值业务网包括消息网、智能网等业务平台以及业务管理平台。对固定通信网、移动通信网、互联网实施安全防护，应分别从构成上述网络的不同电信网和互联网相关系统入手。电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网则包括业务支撑和网管系统。安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施，涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容，其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。安全防护检测要求与安全防护要求相对应，提供了对电信网和互联网安全防护工作进行检测的方法，从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。随着电信网和互联网的发展，随着安全防护体系的进一步完善，第三层的内容将进一步补充完善。6.安全等级保护电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段，是一个不断循环和不断提高的过程。首先，根据电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级；通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距，确定安全需求，设计合理的、满足安全等级保护要求的总体安全方案，制定出安全建设规划；并进一步将其落实到电信网和互联网及相关系统中，形成安全技术和管理体系；在电信网和互联网安全运维阶段，根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进，确保电信网和互联网及相关系统满足相应等级的安全要求；在安全资产终止阶段对信息、设备、介质进行终止处理时，防止敏感信息的泄露，保障电信网和互联网及相关系统的安全。安全等级保护工作的实施过程如图2所示。7.安全风险评估电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中，在生命周期不同阶段的风险评估原则和方法是一致的。在电信网和互联网的安全风险评估工作中，应首先进行相关工作的准备，通过安全风险分析计算电信网和互联网及相关系统的风险值，进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。安全风险评估的实施流程如图3所示。8.灾难备份及恢复电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源，确保已有的电信网和互联网在灾难发生后，在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图4所示，灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。针对电信网和互联网的不同网络、不同重要级别的业务，灾难备份及恢复所要达到的目标是不同的。例如，在电信网和互联网中，对于普通话音业务，可以要求网络和业务运营商通过灾难备份及恢复工作，保证在灾难发生后单一地区的灾难不影响灾难发生地理范围以外地区的话音业务，并且发生灾难的地区的话音业务能够通过有效灾难恢复计划的实施，在一定时间范围（指标应与灾难级别对应）内恢复通信。9.安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复三者之间密切相关、互相渗透、互为补充。电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全等级保护措施，最终达到提高电信网络安全保护能力和水平的目的。在开展安全等级保护工作时，要充分应用安全风险评估的方法，认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求，提高安全等级保护工作的针对性和适用性。在开展安全风险评估工作时，在分析被保护对象综合风险和制定改进方案的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的可接受风险和制定确实必要的整改措施，避免无限度的改进提高。在开展灾难备份及恢复工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份措施，并将有关备份的要求体现在安全等级保护的要求中进行落实。电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网和互联网的发展变化而动态调整，适应国家对电信网和互联网的安全要求。2.2电信网和互联网安全等级保护实施指南1范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标，安全等级划分和定级方法，安全等级保护实施过程中的基本原则，并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。本标准是电信网和互联网安全等级保护的总体指导性文件，针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全3术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网包括业务支撑和网管系统。3.4电信网和互联网安全等级securityclassificationoftelecomnetworkandInternet电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5电信网和互联网安全等级保护classifiedsecurityprotectionoftelecomnetworkandInternet指对电信网和互联网及相关系统分等级实施安全保护。3.6电信网和互联网基本保护要求basicprotectionrequirementsoftelecomnetworkandInternet为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要求。3.7电信网和互联网安全检测securitytestingoftelecomnetworkandInternet对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.9电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.10电信网和互联网灾难disasteroftelecomnetworkandInternet由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11电信网和互联网灾难备份backupfordisasterrecoveryoftelecomnetworkandInternet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12电信网和互联网灾难恢复disasterrecoveryoftelecomnetworkandInternet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4安全等级保护概述4.1安全等级保护对象电信网和互联网安全防护工作的范围包括网络和业务运营商运营的传输、承载各类电信业务的公众电信网（含公众互联网）及其组成部分，支撑和管理公众电信网及电信业务的业务单元和控制单元，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网和互联网安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护标准体系，安全等级保护对象包括固定通信网、移动通信网、互联网、增值业务网等业务网，接入网、传送网、IP承载网、信令网、同步网、支撑网等电信网和互联网相关系统以及非核心生产单元。其中，互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统，增值业务网目前包括消息网、智能网等业务平台以及业务管理平台。随着安全防护标准体系进一步完善，标准体系还将包括针对增值业务提供商提供的其他增值业务系统的相关标准。4.2安全等级保护目标安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分，按照本系列标准中的安全等级保护要求进行规划、设计、建设、运维等工作，加强电信网和互联网及相关系统的安全防护能力，确保其安全性和可靠性。本系列标准对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求，这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。5安全等级划分及定级方法5.1安全等级划分在电信网和互联网及相关系统中进行安全等级划分的总体原则是：定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。电信网和互联网及相关系统的安全等级划分如下：第1级定级对象受到破坏后，会对其网络和业务运营商的合法权益造成轻微损害，但不损害国家安全、社会秩序、经济运行和公共利益。本级由网络和业务运营商依据国家和通信行业有关标准进行保护。第2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导。第3级进一步划分为两个等级：第3.1级定级对象受到破坏后，会对网络和业务运营商的合法权益产生很严重损害，或者对社会秩序、经济运行和公共利益造成较大损害，或者对国家安全造成轻微损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行监督、检查。第3.2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成严重损害，或者对国家安全造成较大损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查。第4级定级对象受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重损害，或者对国家安全造成严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护，主管部门对其安全等级保护工作进行强制监督、检查。第5级定级对象受到破坏后，会对国家安全造成特别严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护，主管部门对其安全等级保护工作进行专门监督、检查。5.2定级方法确定定级对象的安全等级应根据如下三个相互独立的定级要素：a）社会影响力定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度，定级对象的社会影响力赋值原则如表1所示。损害国家安全的事项包括（不限于）如下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；‹影响国家对外活动中的政治、经济利益；‹影响国家重要的安全保卫工作；‹影响国家经济竞争力和科技实力等。损害社会秩序的事项包括（不限于）如下方面：‹影响国家机关社会管理和公共服务的工作秩序；‹影响各种类型的经济活动秩序；‹影响各行业的科研、生产秩序；‹影响公众在法律约束和道德规范下的正常生活秩序等。损害经济运行的事项包括（不限于）如下方面：‹直接或间接导致国家经济活动主体的经济损失等。损害公共利益的事项包括（不限于）如下方面：‹影响社会成员使用公共设施；‹影响社会成员获取公开信息资源；‹影响社会成员接受公共服务等。对此定级要素进行赋值时，应先确定对国家安全的损害程度，再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。b）规模和服务范围定级对象的规模表示其服务的用户数多少，服务范围表示其服务的地区范围大小，定级对象的规模和服务范围赋值如表2所示。表2电信网和互联网及相关系统的规模和服务范围赋值表c）所提供服务的重要性定级对象所提供服务的重要性表示其提供的服务被破坏后对网络和业务运营商的合法权益的影响程度，其重要性赋值如表3所示。表3定级对象所提供服务的重要性赋值表此定级要素可通过定级对象所提供的服务本身的重要性来衡量，如业务的经济价值，业务重要性，对企业自身形象的影响等方面。在确定好定级对象的社会影响力、规模和服务范围、所提供服务的重要性三个定级要素的赋值后，可采用附录A中安全等级的计算方法确定定级对象的安全等级。在确定某一个定级要素的赋值时，无需考虑其他两个定级要素。安全等级确定可能不是一个过程就可以完成的，而是需要经过定级要素赋值、定级、定级结果调整的循环过程，最终才能确定出较为科学、准确的安全等级。6安全等级保护的实施过程6.1基本原则电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上，电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则：a)自主保护原则各网络和业务运营商应遵照本标准的定级方法确定其运营的电信网和互联网及相关系统的安全等级，并依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护。b)同步建设原则各网络和业务运营商在对电信网和互联网及相关系统进行新建、改建、扩建时，应当同步规划和设计其安全方案，投入一定比例的资金实施安全方案，保障电信网和互联网及相关系统与其所属安全等级的要求相适应。c)重点保护原则各网络和业务运营商通过对电信网和互联网及相关系统划分不同的安全等级，根据基本保护要求实现不同程度的安全保护，集中资源优先保护关键的电信网和互联网及相关系统。d)适当调整原则各网络和业务运营商跟踪电信网和互联网及相关系统的变化情况调整其安全等级，并根据安全等级的调整情况及时调整相应的安全保护措施。6.2基本过程虽然安全等级保护是一个不断循环和不断提高的过程，但是实施安全等级保护的一次完整过程是可以区分清楚的，包括五个主要阶段：安全等级确定、安全总体规划、安全设计与实施、安全运维、安全资产终止。如图1所示。安全等级保护的五个主要阶段及其主要活动为：a)安全等级确定阶段安全等级确定阶段主要包括对电信网和互联网的识别和描述，定级对象的划分以及安全等级确定、评审和备案等几个主要安全活动。通过对电信网和互联网的识别和描述，划分并确定定级对象，根据本标准中的定级方法科学准确地确定各定级对象的安全等级，并对定级结果进行评审和备案。b)安全总体规划阶段安全总体规划阶段主要包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。网络和业务运营商通过安全需求分析判断网络安全保护现状与安全要求之间的差距，确定初步的安全需求，通过风险评估确定额外的安全需求；然后根据网络的实际情况，设计出合理的、满足安全等级保护要求的安全总体方案，并制定出安全建设的方案，以指导后续的网络安全建设工程实施。c)安全设计与实施阶段安全设计与实施阶段主要包括安全方案详细设计、安全详细设计方案的实施、安全检测等几个主要活动。网络和业务运营商通过安全方案详细设计，将安全总体规划阶段的安全总体方案和安全建设方案具体落实到网络中，最终提交满足安全需求的网络、以及配套的安全技术和管理体系。网络和业务运营商应在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测，确保其达到安全防护要求。d)安全运维阶段安全运维阶段需要进行的安全控制活动很多，本标准描述一些重要的安全控制活动。网络和业务运营商通过运行管理和控制、变更管理和控制、安全状态监控，对发生的安全事件及时响应，确保电信网和互联网及相关系统正常运行；通过安全检查和持续改进不断跟踪电信网和互联网及相关系统的变化，并依据变化调整其安全等级和安全措施；通过安全检测，确保电信网和互联网及相关系统满足相应安全等级的要求。e)安全资产终止阶段安全资产终止阶段主要包括对电信网和互联网及相关系统中的信息转移、暂存或清除，设备迁移或废弃，存储介质的清除或销毁，安全检测等主要活动。核心关注点是对电信网和互联网及相关系统中过时或无用部分进行报废处理的过程，防止敏感信息泄漏。在安全运维阶段，当电信网和互联网及相关系统发生局部调整时，如果不影响其安全等级，应从安全运维阶段进入安全设计与实施阶段，重新调整和实施安全措施，确保满足安全等级保护的要求；当电信网和互联网及相关系统发生重大变更影响其安全等级时，应从安全运维阶段进入安全等级确定阶段，重新开始一次安全等级保护的实施过程。6.3安全等级保护工作与电信网和互联网及相关系统生命周期的关系电信网和互联网及相关系统的生命周期包括五个阶段，即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。电信网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为：对新建电信网和互联网及相关系统的安全等级保护和对已建电信网和互联网及相关系统的安全等级保护，两者在电信网和互联网及相关系统生命周期中的切入点是不同的，但是安全等级保护工作的主要活动基本相同，其安全等级保护过程与电信网和互联网及相关系统生命周期的关系如图2所示。图2安全等级保护过程与电信网和互联网及相关系统生命周期的关系新建的电信网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段，应该仔细分析和合理划分各个电信网和互联网，确定各个定级对象的安全等级，定级过程也可能在设计阶段；在设计阶段，应根据各个定级对象的安全等级，进行安全总体规划；在实施阶段，应在网络建设的同时，同步进行安全措施的设计与实施；在运维阶段，应按照本系列标准中安全等级保护的要求进行安全运维；在废弃阶段，应对废弃的信息、设备或存储介质等资产进行有效的安全管理。已建的电信网和互联网及相关系统通常处于运维阶段，由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足，因此应在运维阶段启动安全等级保护工作，安全等级保护过程中的安全等级确定、安全总体规划、安全设计与实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的电信网和互联网及相关系统，工作的重点是在现有网络的基础上，根据安全等级保护要求，在安全总体规划阶段如何制定满足要求的补充的安全建设方案，在安全设计与实施阶段如何保证在不影响现有业务/应用的情况下，分步骤分阶段分目标地使各类安全补救措施可以顺利落实。在已建的电信网和互联网及相关系统基础上进行扩容的安全等级保护工作，扩容部分应与新建的电信网和互联网及相关系统的安全等级保护过程一致。7安全等级确定阶段7.1安全等级确定阶段的主要活动安全等级确定阶段的主要活动如图3所示。7.2电信网和互联网的识别和描述活动输入：电信网和互联网的技术文档、管理文档活动输出：电信网和互联网的总体描述文件活动描述：网络和业务运营商对电信网和互联网的识别和描述过程主要包括以下活动内容：a)识别电信网和互联网的基本信息调查了解电信网和互联网的企业特征、业务范围、地理位置以及其它基本情况。b)识别电信网和互联网的管理信息了解电信网和互联网的组织管理结构及其主要职能、岗位职责等内容，获得支持网络运营的管理特征和管理框架方面的信息。c)识别电信网和互联网的技术信息了解电信网和互联网的物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、网络处理和传送的信息资产、服务范围和用户类型等信息，明确网络边界。d)描述电信网和互联网对收集的电信网和互联网的基本信息、管理信息和技术信息等方面的内容进行整理、分析，形成对电信网和互联网进行总体描述的文件。7.3定级对象的划分活动输入：电信网和互联网的总体描述文件活动输出：定级对象的详细描述文件活动描述：定级对象的划分包括以下主要的活动：a）划分和确定定级对象电信网和互联网根据所提供的业务划分成固定通信网、移动通信网、互联网、增值业务网-消息网、增值业务网-智能网等类型的业务网，业务网的底层支撑网络划分成接入网、传送网、IP承载网、信令网、同步网、支撑网等各类电信网和互联网相关系统。将电信网和互联网按照上述网络类型进行划分，并结合服务地域、责任主体等因素，进一步划分成各个定级对象。将非核心生产单元按照企业办公系统、客服呼叫中心、企业门户网站等类型进行划分，并根据管理级别进一步划分成各个定级对象。划分后的每个定级对象应属于同一种类型的网络/系统，并由单一的责任主体负责。定级对象的划分情况如表4所示。B类定级对象是在A类定级对象的基础上进一步划分出的定级对象，网络和业务运营商可以根据具体网络情况选择A类定级对象或B类定级对象进行定级。表4电信网和互联网安全防护体系的定级对象划分b）详细描述定级对象划分并确定定级对象后，网络和业务运营商应准确描述划分出的定级对象，包括划分后的定级对象的个数，每个定级对象的涵盖范围、架构、边界、设备部署、业务/应用范围、处理或传送的信息资产类型、服务范围和用户类型等方面的内容，形成对定级对象的详细描述文件。7.4安全等级确定、评审和备案活动输入：电信网和互联网的总体描述文件、定级对象的详细描述文件活动输出：定级报告活动描述：包括以下主要活动内容：a）初步确定定级对象的安全等级网络和业务运营商应根据本标准的定级方法，初步确定各个定级对象的安全等级。可采取两种方法确定某一定级对象的安全等级：一种方法是通过本标准的定级方法直接确定其安全等级，另一种方法是在构成此定级对象的B类定级对象的安全等级基础上，通过一定的算法（如取最高安全等级）得到此定级对象的安全等级。b）形成定级报告网络和业务运营商对电信网和互联网的总体描述、定级对象的详细描述、安全等级确定结果等内容进行整理，针对各定级对象形成定级报告，若定级对象包含两个或两个以上的安全等级，需针对每一个安全等级分别形成定级报告。c）定级结果评审和备案网络和业务运营商应根据要求，将定级结果上报评审并办理备案，填写备案信息登记表，并提交最终的定级报告。8安全总体规划阶段8.1主要活动网络和业务运营商在安全总体规划阶段的主要活动内容如图4所示。8.2安全需求分析活动输入：详细描述文件、定级报告、电信网和互联网安全风险评估实施指南、安全防护要求活动输出：电信网和互联网及相关系统的安全需求分析报告活动描述：安全需求分析包括以下主要活动内容：a）确定初步的安全需求网络和业务运营商首先应确定具体进行安全等级保护工作的对象，包括整体对象（如机房、办公环境、网络等）和具体对象（如边界设备、网关设备、服务器设备、工作站、应用系统等）；获得其技术和管理方面的信息，技术方面包括业务/应用、网络、设备、物理环境等信息，管理方面包括安全管理机构、安全管理制度、人员管理、网络建设和运维管理等信息。在此基础上，将安全等级保护对象对应的安全防护要求中安全等级保护管理和技术方面的安全指标作为依据，将安全等级保护对象的安全现状与指标进行逐一对比，通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的比较，通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的比较，判断安全管理和技术的各个方面与等级保护要求中的基本安全要求之间的差距，给出初步的安全需求。b）制定额外的安全需求在确定初步安全需求的基础上，参照《电信网和互联网安全风险评估实施指南》对安全等级保护对象进行安全风险评估，即通过分析安全等级保护对象中的重要资产的资产价值、存在的脆弱性、面临的威胁、以及已经采取的安全措施，判断安全等级保护对象可能存在的安全风险，在初步安全需求的基础上，制定出额外的安全需求。对于安全等级保护对象中的关键系统和数据，为确保在灾难发生后网络能够尽快恢复和继续运行，应制定出有效的灾难备份及恢复的额外需求。在制定额外安全需求时，应明确国家及企业的安全目标，借鉴以往建设的类似或相关的电信网和互联网及相关系统的安全需求，并且确保安全需求与其它相关标准或规范对其的安全需求不发生冲突。c）输出安全需求分析报告总结安全指标对比结果和风险评估的结果，获得安全等级保护对象安全现状的汇总、与安全防护要求中安全等级保护要求的差距汇总和额外的安全需求的汇总，最终形成安全需求分析报告，报告中应包括安全管理状况和安全技术状况。8.3安全总体设计活动输入：详细描述文件、定级报告、安全需求分析报告、安全防护要求活动输出：电信网和互联网及相关系统的安全总体方案活动描述：安全总体设计包括以下主要活动内容：a）设计各电信网和互联网及相关系统的安全措施对一个大型、复杂电信网和互联网及相关系统的构成内容进行抽象处理，提取共性形成模型和要素，如服务器设备、构成网络的网络设备等；根据安全防护要求中的等级保护相关要求和安全需求分析报告，针对模型要素提出需要实现的安全措施，包括安全技术方面的措施和安全管理方面的措施，以指导安全等级保护工作的具体实现。b）设计结果文档化最终将安全总体设计工作的结果文档化，形成满足其所属的安全等级要求的安全总体方案，安全总体方案中包括总体安全策略、技术措施和管理措施等。8.4安全建设规划活动输入：电信网和互联网及相关系统的安全总体方案活动输出：电信网和互联网及相关系统的安全建设方案活动描述：安全建设规划包括以下主要活动内容：确定分阶段的安全建设目标、内容、方案安全建设规划是依据电信网和互联网及相关系统安全总体方案、网络和业务运营商当前面临的机遇和挑战以及安全建设时间和经费投入状况，结合安全需求分析结果，同时考虑到网络和业务运营商的中长期发展规划，提出分阶段的安全建设目标、设计建设内容，形成安全建设方案，重点是形成近期可行的安全建设方案。安全建设方案中包括安全技术建设规划和安全管理建设规划。b）规划结果文档化最终将安全建设规划的结果文档化，形成分阶段的安全建设方案，安全建设方案中包括总体安全建设规划、技术体系建设规划和管理体系建设规划等。9安全设计与实施阶段9.1主要活动网络和业务运营商按照安全总体方案的要求，结合安全建设方案，分期分步骤地对其运营的电信网和互联网及相关系统落实安全措施。安全设计与实施阶段的主要活动如图5所示。9.2安全方案详细设计活动输入：电信网和互联网及相关系统的安全总体方案、安全建设方案、各类安全产品技术文档活动输出：电信网和互联网及相关系统的安全详细设计方案活动描述：安全方案详细设计包括以下主要活动内容：a）安全等级保护实施内容设计安全等级保护技术实施内容的设计是网络和业务运营商根据本期建设目标和建设内容，将安全总体方案和安全建设方案本阶段中的要求落实到产品功能或物理形态上，提出指定的产品或组件及其具体规范，明确安全产品的功能和性能要求设计，网络或设备的部署方案。安全等级保护管理实施内容的设计是网络和业务运营商根据当前安全管理和技术需要提出与安全总体方案中管理部分相适应的本期安全实施内容，以保证安全技术建设的同时，安全管理的同步建设。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配