新闻动态
支撑网安全防护要求- 广东抗震支架厂家
1 范围 本标准规定了支撑网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。本标准适用于公众电信网中的支撑网。2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 YD/T 1729-2008 电信网和互联网安全等级保护实施指南 YD/T 1730-2008 电信网和互联网安全风险评估实施指南 YD/T 1731-2008 电信网和互联网灾难备份及恢复实施指南 YD/T 1754-2008 电信网和互联网物理环境安全等级保护要求 YD/T 1756-2008 电信网和互联网管理安全等级保护要求3 术语和定义 下列术语和定义适用于本标准。3.1 支撑网安全等级 Security Classification of Supporting Network 支撑网安全重要程度的表征,重要程度可从支撑网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.2 支撑网安全等级保护 Classified Security Protection of Supporting Network 对支撑网分等级实施安全保护。3.3 组织 Organization 组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。3.4 支撑网安全风险 Security Risk of Supporting Network 人为或自然的威胁可能利用支持网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.5 支撑网安全风险评估 Security Risk Assessment of Supporting Network 指运用科学的方法和手段,系统地分析支撑网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解支撑网安全风险。或者将风险控制在可接受的水平,为最大限度地为保障支撑网的安全提供科学依据。3.6 支撑网资产 Asset of Supporting Network 支撑网中具有价值的资源,是安全防护保护的对象。支撑网中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如网络管理系统、计费系统等。3.7 支撑网资产价值 Asset Value of Supporting Network 支撑网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.8 支撑网威胁 Threat of Supporting Network 可能导致对支撑网产生危害的不希望事故的潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的支撑网威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。3.9 支撑网脆弱性 Vulnerability of Supporting Network 支撑网脆弱性是指支撑网中存在的弱点、缺陷与不足,不直接对资产造成危害-但可能被威胁所利用从而危害资产的安全。3.10 支撑网灾难 Disaster of Supporting Network 由于各种原因,造成支撑网故障或瘫痪,使支撑网的功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11 支撑网灾难备份 Backup for Disaster Recovery of Supporting Network 为了支撑网灾难恢复而对相关网络要素进行备份的过程。3.12 支撑网灾难恢复 Disaster Recovery of Supporting Network为了将支撑网从灾难造成的故障或瘫痪状态恢复到正常运行状态成都分正常运行状态、并将其功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。 4 支撑网安全防护概述 4.1 支撑网安全防护范围 支撑网是独立于业务两之外的用于支持阿络及设备维护、业务运营和账务管理的综合信息系统所组成的网络。本标准中支撑网的安全防护范围包括网管系统和业务运营支捧系统。本标准中的网管系统覆盖以下网络:固定通信网、移动通信网、消息网、智能网、接入网、传送网、IP承载网、信令网、九州酷游网。本标准中的业务运营支撑系统包括计费系统、营业系统、账务系统。4.2 支撑网安全防护内容 根据电信网和互联网安全防护体系的要求,将支撑网安全防护内容分为安全等级保护、安全风险评估、灾难备份及恢复等3个部分。 ——支撑网安全等级保护 主要包括业务安全、网络安全、主机安全、应用安全、数据安全及备份恢复、物理环境安全、管理安全等。 ——支撑网安全风险评估 主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等,本标准文件仅对支撑网进行资产分析、脆弱性分析、威胁分析,在支撑网安全风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、威胁的赋值方法及资产价值、风险值的计算方法参见YD/T 1730-2008《电信网和互联网安全风险评估实施指南》。 ——支撑网灾难备份及恢复主要包括灾难备份及恢复等级确定、针对灾难备份及恢复各资源要素的具体实施等。 5 支撑网定级对象和安全等级确定 本标准文件中支撑网的定级对象为各类网管系统和业务运营支撑系统,可按照全国、省和地市将各个系统分为不同级别。网络和业务运营商应根据YD/T 1729-2008《电信网和互联网安全等级保护实施指南》中确定安全等级的方法对支撑网进行定级,即根据社会影响力、所提供服务的重要性、规模和服务范围的大小对各类网管系统和业务运营支撑系统分别定级。定级方法中的权重α、β、γ可根据具体网络情况进行调节。 6 支撑网资产、脆弱性、威胁分析 6.1 资产分析 支撑网的资产可分为设备硬件、软件、数据、网络、服务、文档和人员等.表l给出支撑网的资产列表。表1 支撑网资产列表
分类 | 示例 |
设备硬件 | 支撑网中的各种主机设备,网络设备 |
设备软件 | 设备中的软件,包括操作系统、中间件软件、数据库软件、应用软件等 |
重要数据 | 保存在设备上的各种重要数据,包括网元和网络配置数据、管理员操作维护记录、用户信息、计费数据和账单等 |
同络 | 承载支撑网的网络 |
服务 | 账单服务等 |
文档 | 纸质以及保存在电脑中的各种文件。如设计文档、技术要求、管理规定(机构设置、管理制度、人员管理办法)、工作计划、技术或财务报告、用户手册等 |
人员 | 管理人员,掌握重要技术的人员,如网络维护人员、设备维护人员、研发人员锋 |
类型 | 对象 | 存在的脆弱性 |
技术脆弱性 | 服务,应用 | 由于网络和设备的处理或备份能力不够而导致服务提供不连续 |
网络 | 网络拓扑设计不合理,无冗余链路,单点故障隐患,与互联网连接造成的访问控制漏洞 | |
设备(软件、硬 件和数据) | 设备老化、系统设计缺陷、无数据备份、无过载保护、无防病毒黑客攻击的手段等系统存在可技外界利用的漏洞 | |
物理环境 | 机房场地选择不合理,防火、供配电、防静电、接地与防霄、电磁防护、温湿度控制不符合规范I通信线路、机房设备的保护不符合规范 | |
管理脆弱性 | (1)安全管理机构方面:岗位设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等: (2)安全管理制度方面:管理审|度不完善、制度评审和修订不及时等; (3)人员安全管理方面;人员录用不符合程序、人员离岗未办理安全手续、人员束进行安全培训、对于外部人员未进行限制访问等; (4)建设管理方面:安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等; (5)运维管理方面:物理环境管理措施简单、存储介质使用不受限、设备没有定期维护、厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防范措施、无数据备份和恢复策略、访问控制不严格、操作管理不规范等,应急保障措施不到位等 |
来源 | 威胁描述 | |
设备威胁 | 各类设备本身的软硬件故障,设备和介质老化造成的数据丢失,系统宕机 | |
环境成胁 | 物理环境 | 断电、静电、灰尘、潮湿、温度、电磁干扰等I意外事故或通信线路方面的故障 |
自然灾害 | 鼠蚊虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷电 | |
人为威胁 | 恶意人员 | 不满的或有预谋的内部人员滥用权限进行恶意破坏;采用自主或内外勾结的方式盗窃或篡改机密信息;外部人员利用恶意代码和病毒对网络或系统进行攻击;外部人员进行物理破坏、盗窃等 |
非恶意人员 | 内部人员由于缺乏责任心或者无作为而没有执行应当执行的操作,或无意地执行了错误的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件 |