YDT-1730-2008-《电信网和互联网安全风险评估实施指南》

b中华人民共和国通信行业标准YD/T××××—××××电信网和互联网安全风险评估实施指南ImplementationGuideforSecurityRiskAssessmentofTelecomNetworkandInternet（报批稿）××××-××-××发布××××-××-××实中华人民共和国信息产业部发布YDYD/Txxxx-xxxxI目次前言............................................................................III1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14风险评估框架及流程..................................................................44.1风险要素关系......................................................................44.2实施流程..........................................................................64.3工作形式..........................................................................64.4遵循的原则........................................................................75风险评估实施........................................................................75.1风险评估的准备....................................................................75.2资产识别..........................................................................95.3威胁识别.........................................................................125.4脆弱性识别.......................................................................145.5威胁利用脆弱性的关联关系.........................................................165.6已有安全措施的确认...............................................................175.7风险分析.........................................................................175.8风险评估文件.....................................................................206风险评估在电信网和互联网及相关系统生命周期中的不同要求.............................216.1电信网和互联网及相关系统生命周期概述.............................................216.2启动阶段的风险评估...............................................................226.3设计阶段的风险评估...............................................................226.4实施阶段的风险评估...............................................................236.5运维阶段的风险评估...............................................................236.6废弃阶段的风险评估...............................................................24附录A（规范性附录）资产价值的计算方法...........................................25A.1对数法...........................................................................25A.2矩阵法...........................................................................25YD/Txxxx-xxxxII附录B（规范性附录）风险值的计算方法.............................................27B.1相乘法..........................................................................27B.2矩阵法..........................................................................27参考文献.............................................................................29YD/Txxxx-xxxxIII前言本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下：1、《电信网和互联网安全防护管理指南》2、《电信网和互联网安全等级保护实施指南》3、《电信网和互联网安全风险评估实施指南》（本标准）4、《电信网和互联网灾难备份及恢复实施指南》5、《固定通信网安全防护要求》6、《移动通信网安全防护要求》7、《互联网安全防护要求》8、《增值业务网—消息网安全防护要求》9、《增值业务网—智能网安全防护要求》10、《接入网安全防护要求》11、《传送网安全防护要求》12、《IP承载网安全防护要求》13、《信令网安全防护要求》14、《同步网安全防护要求》15、《支撑网安全防护要求》16、《非核心生产单元安全防护要求》17、《电信网和互联网物理环境安全等级保护要求》18、《电信网和互联网管理安全等级保护要求》19、《固定通信网安全防护检测要求》20、《移动通信网安全防护检测要求》21、《互联网安全防护检测要求》22、《增值业务网—消息网安全防护检测要求》23、《增值业务网—智能网安全防护检测要求》24、《接入网安全防护检测要求》25、《传送网安全防护检测要求》26、《IP承载网安全防护检测要求》27、《信令网安全防护检测要求》YD/Txxxx-xxxxIV28、《同步网安全防护检测要求》29、《支撑网安全防护检测要求》30、《非核心生产单元安全防护检测要求》31、《电信网和互联网物理环境安全等级保护检测要求》32、《电信网和互联网管理安全等级保护检测要求》本标准的附录A和附录B是规范性附录。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司、中国铁通集团有限公司。本标准主要起草人：魏薇、赵阳、周智、殷琪、杜之亭、张云勇、冯铭。YD/Txxxx-xxxx1电信网和互联网安全风险评估实施指南1范围本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、遵循的原则，在电信网和互联网生命周期不同阶段的不同要求和实施要点。本标准适用于电信网和互联网的风险评估工作。本标准可作为电信网和互联网安全风险评估的总体指导性文件，针对具体网络的安全风险评估可参见具体网络的安全防护要求和安全防护检测要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的昀新版本。凡是不注日期的引用文件，其昀新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全GB/T9361-2000计算机场地安全要求GB/T19716-2005信息技术信息安全管理实用规则YD/T754-95通信机房静电防护通则YD/T5026-2005电信机房铁架安装设计标准YD5002-94邮电建筑防火设计标准YD5098-2005通信局（站）防雷与接地工程设计规范YDN126-2005增值电信业务网络信息安全保障基本要求YDN127-2005电信设备的安全准则ISO/IEC13335.1-2004信息技术-安全技术-IT安全管理指南第1部分:IT安全管理概念和模型ISO/IEC17799-2005信息技术-安全技术-信息安全管理实施准则3术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1YD/Txxxx-xxxx2电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网包括业务支撑和网管系统。3.4资产asset电信网和互联网及相关系统中具有价值的资源，是安全防护体系保护的对象。电信网和互联网及相关系统中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如IP承载网中的路由器、支撑网中的用户数据、传送网的网络布局。3.5资产价值assetvalue电信网和互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。3.6威胁threat可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的网络威胁有偷窃、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。3.7YD/Txxxx-xxxx3脆弱性vulnerability脆弱性是电信网和互联网及相关系统资产中存在的弱点、