关于电信网和互联网安全防护方面的通信行业系列标准

        根据我国相关国家法规与管理规定，特别是国家信息化领导小组于2003年8月发布的《关于加强信息安全保障工作的意见》（中办发[2003] 27号），中国通信标准化协会（CCSA）于2006年10月启动了电信网和互联网的网络安全防护的系列标准的制定工作。并从2008年1月开始陆续颁布了关于电信网和互联网的安全防护方面的系列通信行业标准，其中在2008年1月14日就一次性发布了该系列的32项标准。该系列标准是基于国家实行的网络安全等级保护制度而建立其的电信网和互联网安全防护体系标准。
        欲具体了解电信网和互联网安全等级及等级防护介绍的请进入。
        一、标准的基本情况
        该系列标准参照我国相关信息安全方面的国家标准要求，以指导电信网和互联网安全防护工作为目的，结合电信网全程全网、网络分层的特点，其安全防护范围包括：基础网络；业务单元和控制单元；非核心生产单元；互联网的其它网络或信息系统等四大部分。该系列标准对电信网和互联网安全防护体系各部分内容及其关系，安全等级划分、定级方法和定级备案，安全等级保护实施过程中的基本原则，风险评估的要素及实施流程、工作形式、遵循的原则，灾难备份及恢复工作的目标和原则等做出了具体规定。
        该系列标准主体构成分为三层，它构成了电信网和互联网安全防护体系标准。其第一层是管理指南，即YD/T 1728《电信网和互联网安全防护管理指南》（代替原YDC 049）。第二层是四个实施指南，即YD/T 1729《电信网和互联网安全等级保护实施指南》（代替原YDC 04950）、YD/T 1730《电信网和互联网安全风险评估实施指南》（代替原YDC 051）、YD/T 1731《电信网和互联网灾难备份及恢复实施指南》（代替原YDC 052）和YD/T 3799《电信网和互联网网络安全防护定级备案实施指南》。第三层是电信网和互联网相关系统（即指具体业务网络或专业网络）的安全防护技术要求标准，包括“安全防护要求”和“安全防护检测要求”两类。
        该系列标准将电信网和互联网安全防护体系中的等级保护、风险评估、灾难备份及恢复这三者有机结合，其目的就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。下附件汇总了目前已发布的电信网和互联网安全防护方面的通信行业系列标准索引。
        附件：电信网和互联网安全防护方面的通信行业标准索引（截止于2024年3月底）
        欲详细了解电信网和互联网安全防护体系介绍的请进入。
        二、关于《指南》类标准
        电信网和互联网安全防护的五个《指南》类标准是电信网和互联网安全防护体系的纲领性标准，以具体指导电信网和互联网安全防护工作的规范性实施。
        管理指南（YD/T 1728）为整个安全防护体系总体指导性规范，明确了电信网和互联网安全防护的定义、目标、原则，并说明了安全防护体系的组成。四个实施指南从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中，安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤及工作内容等。下表2给出了电信网和互联网安全防护《指南》类标准的基本情况，包括标准的编号与名称、标准的发布时间与实施时间、标准的概要和适用范围等。它们至今都没有被修订。
        表 2：电信网和互联网安全防护《指南》类标准的基本情况
        三、关于电信网和互联网相关系统的安全防护技术要求类标准
        由于现代电信网与互联网是分业务、分专业、分层次所构建的通信网络。因此，电信网与互联网的相关系统是指，包括接入网（含各种有线、无线、卫星网等）、传送网（含光缆、波分、SDH、卫星等）、IP承载网、信令网、同步网、支撑网（含业务支撑系统和网管系统等）等网络系统。承然，关于电信网和互联网相关系统的安全防护技术要求类标准是电信网和互联网安全防护体系标准的主要构成部分的内容，其标准的数量巨大。
        这些电信网和互联网相关系统的安全防护技术要求类标准，应包括“安全防护要求”和“安全防护检测要求”，两种要求的标准应配套使用。其中，安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施，涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容；安全防护检测要求与安全防护要求相对应，提供了对电信网和互联网安全防护工作进行检测的方法，从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。
        这类标准目前覆盖了固定网、移动网、互联网、增值业务网（如消息网、智能网等）、接入网、传送网、IP承载网、信令网、同步网、支撑网、非核心生产单元等近30个专业网络或业务网络。目前，这类标准，某些业务网络或专业网络的已经有修订版本了。
        需要指出的是：该类标准还包括了：一是关于安全等级保护工作需要落实的物理环境（YD/T 1754和YD/T 1755）和管理（YD/T 1756和YD/T 1757）的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。二是关于电信网和互联网相关系统的安全基线配置要求和检测要求也列在其中，它们由多个标准组成，目前都没有被修订。下表3给出了电信网和互联网安全基线配置要求和检测要求方面的标准基本情况，包括标准的编号与名称、标准的发布时间与实施时间、标准的概要和适用范围等。
        表 3：电信网和互联网安全基线配置要求和检测要求标准的基本情况
        欲详细了解电信网和互联网相关系统的安全防护要求类标准情况的请进入。
        电信网和互联网安全防护体系的标准，是随着电信网和互联网的发展演进，将不断补充和完善的，相关标准在不断的制定与发布。
        欲进一步了解关于信息系统或信息网络安全保护方面相关标准情况的请进入。