电信网和互联网的安全等级保护,是我国电信网和互联网安全防护体系中的重要工作之一。为此,我国通信行业标准YD/T 1729《电信网和互联网安全等级保护实施指南》规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。该标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络或系统的安全等级保护可参考相应网络/系统的安全防护要求和安全防护检测要求。以下概要介绍安全等级保护实施指南的主要内容,若详细了解YD/T 1729标准具体内容的请查阅下附件0-1。
附件 0-1:YD/T 1729-2024《电信网和互联网安全等级保护实施指南》
欲具体了解电信网和互联网安全防护体系介绍的请进入。
同时,YD/T 3799《电信网和互联网网络安全防护定级备案实施指南》规定了电信网和互联网中网络和系统单元定级备案的实施方法和划分准则,包括网络和系统单元划分类型、命名规则、定级要素赋值细化指标以及安全等级的计算方法等。因此,介绍YD/T 1729时应结合YD/T 3799标准一起介绍,若详细了解YD/T 3799标准具体内容的请查阅下附件0-2。
附件 0-2:YD/T 3799-2020《电信网和互联网网络安全防护定级备案实施指南》
欲更多了解YD/T 1729与YD/T 3799标准版本情况的请进入。
电信网和互联网安全等级(Security Classification of Telecom Network and Internet)是电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络运营者造成的损害来衡量。电信网和互联网安全等级保护(Classified Security Protection of Telecom Network and Internet)是指对电信网和互联网及相关系统分等级实施安全保护。电信网和互联网相关系统(System of Telecom Network and Internet)是指组成电信网和互联网相关网络/系统单元,具体在YD/T 3799标准中有详细地命名。
一、电信网和互联网安全等级保护对象
电信网和互联网安全防护工作的范围包括网络运营者(电信业务经营者、互联网域名服务提供者和互联网信息服务提供者)管理运营的公用通信网和互联网及其组成部分。安全等级保护对象应包括YD/T 3799标准描述的电信网和互联网安全防护体系中各种网络或系统。YD/T 3799标准的表1共提供了27种电信网和互联网安全防护体系中的网络或系统,具体罗列于下表1中。
表 1:电信网和互联网安全防护体系中的网络或系统的类型(27种)
YD/T 3799/表1命名的27种电信网和互联网安全防护体系中的网络或系统类型可进一步分为A类网络/系统单元和B类网络/系统单元的两个层次。其中未涵盖的类型,根据网络或业务的实际情况,按照:网络/系统类型→A类网络/系统单元→B类网络/系统单元的层次,灵活划分网络/系统单元。
二、电信网和互联网安全等级保护目标
安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分,按照电信网和互联网安全防护管理系列标准中的安全等级保护要求进行规划、设计、建设、运维等工作,加强电信网和互联网及相关系统的安全防护能力,确保其安全性和可靠性。
三、电信网和互联网安全等级划分
在电信网和互联网及相关系统中进行安全等级划分的总体原则是:定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络运营者的合法权益的损害程度。电信网和互联网及相关系统的安全等级共划分为5级,数字越大,网络安全等级级别越高。下表3给出了电信网和互联网安全等级划分及各等级保护责任主体。温馨提示的是YD/T 1729-2024取消了早期版本中的将第3级进一步细分为3.1级和3.2级的划分。
表 3:电信网和互联网安全等级的划分及各等级保护责任主体
四、电信网和互联网定级方法
1、定级赋值
确定定级对象的安全等级应根据社会影响力、规模和服务范围、所提供服务的重要性三个相互独立的定级要素。依据YD/T 1729-2024的要求,电信网和互联网定级方法应按照YD/T 3799描述的方法对网络/系统单元进行定级。那么YD/T 3799标准给出了27种网络/系统类型的对网络/系统单元(可包含A、B层单元)进行了定级,并且分别直接给出了三个定级要素的赋值(最高分值为5分),结合各类业务系统的特点,定级三要素的具体赋值指标可进一步细分。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。
2安全等级的计算方法--对数法
根据YD/T 3799标准,在确定好定级对象的三个定级要素的赋值后,可采用下述的安全等级的计算方法-“对数法”来确定定级对象的安全等级。对数法使用下面的公式来计算定级对象的安全等级值:
k = Roundl {[ Log2 [α×2I + β×2R + γ×2V ]}
其中,k代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Roundl {}表示四舍五入处理,保留1位小数,Log2 [ ]表示取以2为底的对数,α、β、γ分别表示定级对象的社会影响力、规模和服务范围以及所提供服务的重要性赋值所占的权重,且α+β+γ=1。通常α、β、γ的取值分别为1/3。计算所得定级对象(网络/系统单元)的安全等级值与安全等级的映射关系如下表4-2所示。
表 4-2:安全等级值与安全等级的映射关系
五、安全等级保护的实施过程
1、基本原则
电信网和互联网的安全等级保护工作应首先满足电信网和互联网的安全防护工作提出的适度安全原则、标准性原则、可控性原则、最小影响原则以及保密性原则。这些原则是由YD/T 1728-2008《电信网和互联网安全防护管理指南》中提出的。
欲详细了解YD/T 1728-2008标准内容的请进入。
在此基础上,电信网和互联网的安全等级保护工作在实施过程中还应重点遵循的原则有:自主保护原则、同步建设原则、重点保护原则和动态调整原则,这些原则的释义详见下表5-1。
表 5-1:电信网和互联网的安全等级保护工作在实施过程中还应重点遵循的原则
2、实施的基本过程
虽然安全等级保护是一个不断循环和不断提高的过程,但实施安全等级保护的一次完整过程是可以区分清楚的,包括5个主要阶段:安全等级确定;安全总体规划;安全设计与实施;安全运维;服务终止,具体如下图5-2所示。在YD/T 1729-2024标准中,对实施过程的5个阶段所应开展的工作活动分别有其详细的描述,具体请查阅该标准原文。
图 5-2:电信网和互联网安全等级保护实施的基本过程
3、安全等级保护工作与电信网和互联网及相关系统生命周期的关系
电信网和互联网及相关系统的生命周期包括5个阶段,即:启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。电信网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为对新建电信网和互联网及相关系统的安全等级保护和对已建电信网和互联网及相关系统的安全等级保护,两者在电信网和互联网及相关系统生命周期中的切入点是不同的,但是安全等级保护工作的主要活动基本相同。安全等级保护过程与电信网和互联网及相关系统生命周期的关系如下图5-3所示。
图 5-3:安全等级保护过程与电信网和互联网及相关系统生命周期的关系
欲进一步了解通信网络与信息安全保护等级划分要求的请进入。
