互联网的安全防护要求

一、概述

互联网（internet）泛指广域网、局域网及终端（包括个人计算机终端、移动手机终端等）通过数据网络设备（交换机、路由器等）、网络接入设备（宽带网络接入服务器、WAP网关等）等基于一定的通信协议连接形成的功能和逻辑上的大型网络。目前我国运营的互联网业务包括互联网域名服务、互联网数据中心、互联网接入服务、互联网信息服务（如互联网信息浏览服务、互联网电子邮件服务、互联网信息发布服务、互联网用户通信服务等）、互联网虚拟专用网服务、在线数据处理与交易处理服务等。互联网安全防护范围包括互联网各类业务及应用系统、以及各类业务与应用的接入（其网络包括有线、无线、卫星等接入网络）、承载（核心层、汇聚层等）、传输（SDH、WDM、OTN、卫星等网络）等相关的互联网相关系统。下图1给出了互联网相关系统组成示意图。互联网的相关系统组成至少应包括接入网络、传送网络、IP承载网络等。

图 1：互联网相关系统组成示意图

我国通信行业标准YD/T 1736《互联网安全防护要求》对互联网业务及应用系统安全防护提出了具体要求。互联网相关系统中，如接入网安全防护的具体要求；传送网安全防护的具体要求；IP承载网安全防护的具体要求；等等，应见具体的相关系统的要求内容。

欲具体了解互联网相关系统的安全防护要求的请进入。

根据YD/T 1728《电信网和互联网安全防护管理指南》中电信网和互联网安全防护体系的要求，YD/T 1736的互联网安全防护内容分为安全等级保护、安全风险评估、灾难备份及恢复等三个部分。下述简要介绍其各部分的内容，若要详细了解YD/T 1736具体内容的请查阅下附件1-1。需要注意的是，互联网安全防护要求应和其检测要求配套使用，因此，也请了解互联网安全防护检测要求标准YD/T 1737具体内容的可查询下附件1-2。

附件 1-1：YD/T 1736-2009《互联网安全防护要求》

附件 1-2：YD/T 1737-2009《互联网安全防护检测要求》

欲详细了解安全防护管理指南（YD/T 1728）具体要求的请进入。

二、安全等级保护

互联网安全等级保护主要包括定级对象和安全等级确定、业务及应用安全、业务及应用系统安全、设备安全、物理环境安全和管理安全等。各项的含义详见下表2-0。

表 2-0：互联网安全等级保护内容的各项含义

1、互联网定级对象和安全等级确定

我国具有管辖权的互联网业务及应用系统的定级对象为各个互联网业务及应用系统。网络和业务运营商应根据YD/T 1729《电信网和互联网安全等级保护实施指南》附录A中确定网络安全等级的方法对互联网业务及应用系统定级。针对业务及应用系统，可根据相应的社会影响力、所提供服务的重要性、服务用户数的大小进行定级，权重α、β、γ可根据具体业务及应用的情况进行调节。

欲详细了解安全等级保护实施指南（YD/T 1729）具体要求的请进入。

2、互联网安全等级保护要求

依据YD/T 1729《电信网和互联网安全等级保护实施指南》的要求，互联网安全等级也分为5级。那么，依据YD/T 1736：对于第1级不作要求；对于第2级和第3.1级提出了具体要求；第3.2级要求与第3.1级要求相同；第4级要求同第3.2级要求；第5级要求待研究补充。因此，关于第2级和第3.1级具体要求请详见本文的附件1-1。

互联网安全等级保护要求是从业务及应用安全、设备安全、物理环境安全、管理安全等4个方面做出的。对于业务及应用安全方面提到的业务与应用的种类详见下表2-2。另外，物理环境安全要求和管理安全要求应分别满足YD/T 1754和YD/T 1756中相应等级级别的规定要求。

表 2-2：互联网业务与应用的种类

欲详细了解物理环境安全（YD/T 1754）和管理安全（YD/T 1756）具体要求的请进入。

三、互联网安全风险评估有要求

互联网安全风险评估有要求主要包括互联网业务及应用相关资产识别、脆弱性识别、威胁识别、已有安全措施确认、安全风险分析、安全风险评估文件处理等。YD/T 1736标准仅对互联网业务及应用系统进行资产分析、脆弱性分析、威胁分析（具体分析内容请详见本文的附件1-1），在互联网业务及应用系统安全风险评估过程中对资产、脆弱性、威胁的赋值方法及资产价值、风险值的计算方法见YD/T 1730《电信网和互联网安全风险评估实施指南》标准。

欲详细了解风险评估实施指南（YD/T 1730）具体要求的请进入。

1、资产分析

互联网业务及应用系统的资产至少应包括：设备硬件、设备软件、重要数据、提供的应用、文档、人员等。在YD/T 1736中给出具体的资产列表及相应资产分析。

2、脆弱性分析

互联网业务及应用系统的脆弱性可以从技术脆弱性和管理脆弱性2个方面考虑。脆弱性识别对象应以资产为核心。在YD/T 1736中给出了主要的脆弱性识别内容。

3、威胁分析

互联网业务及应用系统面临的威胁可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。在YD/T 1736中列举了互联网主要面临的威胁。

四、互联网灾难备份及恢复要求

互联网灾难备份及恢复要求主要包括互联网业务及应用相关灾难备份及恢复等级确定、针对灾难备份及恢复各资源要素的具体实施等。根据YD/T 1731《电信网和互联网灾难备份及恢复实施指南》，灾难备份及恢复定级应与安全等级保护确定的安全等级一致。

欲详细了解灾难备份及恢复实施指南（YD/T 1731）具体要求的请进入。

因此，根据YD/T 1736中互联网灾难备份及恢复要求：对于第1级不作要求；对于第2级和第3.1级提出了具体要求（具体详见本文附件1-1）；对于第3.2级要求与第3.1级要求相同；对于第4级要求同第3.2级要求；第5级要求待补充。

欲进一步了解电信网和互联网安全防护体系的请进入。