26AM01--通信网络安全防护政策解读

通信网络安全防护政策解读中国通信企业协会通信网络安全专业委员会专家组封莎2014年6月主要内容一《通信网络安全防护管理办法》出台背景《通信网络安全防护管理办法》主要内容二通信网络单元定级方法介绍三2•确定等级•按照等级，落实安全保护措施风险评估等级保护灾难备份及恢复Ø落实27、66号文件要求Ø将公安部、原国信办所推进的等级保护、风险评估、灾难备份及恢复有机结合起来，构成通信网络安全防护体系•评估网络存在的风险•提出并落实整改措施•与等级保护工作一体•按照等级，落实灾难备份及恢复措施通信网络安全防护三方面工作评测评测评估落实中央文件，开展通信网络安全防护3通信网络安全防护工作•工作目标：加强通信和互联网行业网络安全管理，保障基础通信网络和重要业务系统安全•工作原则：积极防御、综合防范、分级保护•工作内容：把等级保护、风险评估、灾难备份等各项制度要求有机结合、整体推进；通过加强组织领导，完善制度规范，强化监督检查，构建适应形势发展变化，科学、系统、规范的通信网络安全防护体系41、预防为主，突出重点2、规范管理，标准先行3、分级保护，分类指导4、提升能力，完善手段5、强化检查，抓好落实6、倡导自律，促进合作网络安全防护--总体思路56政策指导定级备案安全检查（评测、评估）2009年1、工信部保[2009]224号《关于开展通信网络安全检查工作的通知》2、工信保函[2009]338号《关于开展通信网络安全抽查工作的通知》2008年信部科[2008]27号《关于发布电信网和互联网安全防护管理指南等32项通信行业标准的通知》1、信电函[2008]51号《关于开展承担奥运赛事城市3级及以上定级对象安全防护检查工作的通知》2007年1、信部电[2007]555号《关于进一步开展电信网络安全防护工作的实施意见》2、信安通[2007]14号《关于电信系统信息安全等级保护工作有关问题的意见》信电函[2007]101号《关于贯彻落实电信网络等级保护定级工作的通知》信部电函[2007]304号《关于开展电信网络安全防护试点工作的通知》2006年信电函[2006]35号《关于电信网络等级保护工作有关问题的通知》通信网络安全防护相关政策文件列表研究起草、出台《通信网络安全防护管理办法》7政策指导定级备案安全检查（评测、评估）2013年工业和信息化部关于开展2013年基础电信企业网络安全防护检查工作的通知2012年关于开展2012年度通信网络安全防护检查工作的通知2011年1、关于做好通信网络安全防护和2011年度安全防护检查工作的通知2、工信保函[2011]289号《关于开展增值电信业务和互联网域名服务网络安全防护试点工作的通知》2010年工业和信息化部第11号令《通信网络安全防护管理办法》工信保函[2010]14号《关于开展通信网络单元安全防护定级备案调整工作的通知》工信部保函[2010]275号《关于开展2010年度通信网络安全防护检查工作的通知》通信网络安全防护相关政策文件列表中国电信中国网通中国移动中国联通华为技术有限公司中兴通讯股份公司工业和信息化部电信研究院武汉邮电科学研究院西安邮电学院CNNIC北京创原天地科技有限公司亿阳安全技术有限公司中国铁通中国卫通标准特设组CNCERT/CC中国通信标准化协会特设“电信网安全防护标准起草组”（2006-至今）不断有新成员加入标准的起草和讨论CNNIC绿盟天融信北邮恒安嘉新成员单位腾讯万网搜狐蓝讯…8《电信网和互联网安全等级保护实施指南》等保概念、对象、目标、原则，安全等级划分和定级方法，等级保护基本过程等《电信网和互联网安全等级保护实施指南》等保概念、对象、目标、原则，安全等级划分和定级方法，等级保护基本过程等23《电信网和互联网安全风险评估实施指南》风险评估要素及要素间关系、实施流程、工作形式、遵循原则，不同阶段不同要求和实施要点等《电信网和互联网安全风险评估实施指南》风险评估要素及要素间关系、实施流程、工作形式、遵循原则，不同阶段不同要求和实施要点等4《电信网和互联网灾难备份及恢复实施指南》灾难备份及恢复的目标、原则、工作实施方法等《电信网和互联网灾难备份及恢复实施指南》灾难备份及恢复的目标、原则、工作实施方法等1《电信网和互联网安全防护管理指南》定义、目标、原则、安全防护体系、安全防护体系三部分工作及其关系等《电信网和互联网安全防护管理指南》定义、目标、原则、安全防护体系、安全防护体系三部分工作及其关系等总体指导性标准9安全防护标准体系各专业网安全标准“电信网安全防护标准起草组”讨论并确定标准架构，根据新增的标准不断补充完善安全防护标准体系（已正式发布62项）《电信网和互联网安全等级保护实施指南》等保概念、对象、目标、原则，安全等级划分和定级方法，等级保护基本过程等《电信网和互联网安全等级保护实施指南》等保概念、对象、目标、原则，安全等级划分和定级方法，等级保护基本过程等23《电信网和互联网安全风险评估实施指南》风险评估要素及要素间关系、实施流程、工作形式、遵循原则，不同阶段不同要求和实施要点等《电信网和互联网安全风险评估实施指南》风险评估要素及要素间关系、实施流程、工作形式、遵循原则，不同阶段不同要求和实施要点等4《电信网和互联网灾难备份及恢复实施指南》灾难备份及恢复的目标、原则、工作实施方法等《电信网和互联网灾难备份及恢复实施指南》灾难备份及恢复的目标、原则、工作实施方法等1《电信网和互联网安全防护管理指南》定义、目标、原则、安全防护体系、安全防护体系三部分工作及其关系等《电信网和互联网安全防护管理指南》定义、目标、原则、安全防护体系、安全防护体系三部分工作及其关系等总体指导性标准各专业网安全标准“电信网安全防护标准起草组”讨论并确定标准架构，根据新增的标准不断补充完善通信网络安全防护管理体系架构电信管理机构网络安全专业机构通信网络安全防护标准体系通信网络运行单位符合性评测风险评估容灾备份安全演练安全监测分级和备案监督检查委托检查第三方服务安全防护管理系统主要内容一《通信网络安全防护管理办法》出台背景《通信网络安全防护管理办法》主要内容二通信网络单元定级方法介绍三1213《通信网络安全防护管理办法》共二十四条：（一）总则部分•第1-6条：总则•第1-6条：总则（二）主要规定部分•第7-10条：通信网络的分级和备案制度•第11条：安全防护标准的符合性评测制度•第12条：通信网络安全风险评估制度•第13-16条：容灾备份、监测和演练等要求•第17-21条：通信网络安全防护检查制度•第7-10条：通信网络的分级和备案制度•第11条：安全防护标准的符合性评测制度•第12条：通信网络安全风险评估制度•第13-16条：容灾备份、监测和演练等要求•第17-21条：通信网络安全防护检查制度（三）罚则、附则部分•第22-23条：罚则•第24条：附则•第22-23条：罚则•第24条：附则14（一）总则部分•第一条：目的依据•第二条：适用范围•第三条：方针原则•第四条：职责分工•第五条：责任主体•第六条：同步要求151、目的依据（第一条）本办法1423加强对通信网络安全的管理提高通信网络安全防护能力根据《中华人民共和国电信条例》保障通信网络安全畅通162、适用范围（第二条）第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者（以下统称“通信网络运行单位”）管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法电信业务经营者基础电信业务经营者增值电信业务经营者17互联网域名服务设置域名数据库或者域名解析服务器为域名持有者提供域名注册服务或为域名持有者提供权威域名解析服务互联网域名服务提供者互联网域名注册管理机构互联网域名注册服务机构其他提供权威解析服务的实体权威域名解析对外提供服务经营性/非经营性18•公用通信网和互联网（统称“通信网络”）的范畴：–传统网（如固定、移动交换网，传送网、同步网、信令网等）–互联网骨干网、IP承载网–域名系统–支撑系统（如网管、计费系统，网上营业厅等）–各类增值电信业务网络或系统（如消息网、智能网、呼叫中心、IDC、CDN、ISP、ICP、门户网站、呼叫中心、即时消息系统等）19•网络安全防护工作的范畴：–工作思路•通过加强事前预防保护，减少网络安全事件的发生–工作目标•防止网络和业务系统阻塞、中断、瘫痪或被非法控制•防止数据信息丢失、泄露或被篡改–工作方法•分级保护、风险评估、灾难备份、安全监控、监督检查–工作重点•非传统安全问题20适用范围管理针对的行为管理针对的客体管理针对的主体电信业务经营者互联网域名服务提供者通信网络防止通信网络阻塞、中断、瘫痪或被非法控制防止通信网络中的数据丢失、泄露或被篡改213、方针原则（第三条）•积极防御、综合防范–技术和管理预防措施并重•分级保护–分安全保护等级224、职责分工（第四条）•工业和信息化部负责–全国通信网络安全防护工作的统一指导、协调和检查–组织建立健全通信网络安全防护体系–制定通信行业相关标准•通信管理局负责–对本行政区域内的通信网络安全防护工作进行指导、协调和检查。235、责任主体（第五条）•通信网络运行单位是本单位通信网络安全的第一责任主体。–“谁运行、谁负责”•通信网络运行单位开展通信网络安全防护工作的总体要求：–按照电信管理机构的规定–按照通信行业标准6、同步要求（第六条）保障经费新建改建扩建通信网络安全保护措施25（二）主要规定部分1、分级和备案制度（第7-10条）2、符合性评测制度（第11条）3、风险评估制度（第12条）4、容灾备份、监测等要求（第13-16条）5、监督检查制度（第17-21条)261、分级和备案制度•分级的目的：落实适度保护的原则，明确重点保护对象。•备案的目的：主管部门掌握情况。•《办法》回答了以下几个问题：–如何分级？–向谁备案？–备案时需提交什么信息？27•如何分级？（第七条）–第一步：对通信网络进行单元划分（按责任主体、地域、专业等进行划分，具体方法参见标准）。–第二步：按照通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度分为一至五级，一级最低，五级最高。–第三步：由电信管理机构组织专家进行评审。–通信网络单元的划分和级别应当适时调整。28•向谁备案？（第八条）–基础电信业务经营者集团公司向工业和信息化部备案–基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局备案–增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案–互联网域名服务提供者向工业和信息化部备案29•备案时需提交什么信息？（第九条）–通信网络单元的名称、级别和主要功能–通信网络单元责任单位的名称和联系方式–通信网络单元主要负责人的姓名和联系方式–通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置–电信管理机构要求提交的涉及通信网络安全的其他信息•备案信息发生变化：三十日内变更备案•报送信息要求：真实、完整（第十条）30•关于备案的补充说明–《办法》要求：1至5级全部需要备案–《关于进一步开展电信网络安全防护工作的实施意见》（信部电[2007]555号）、《关于开展通信网络单元安全防护定级备案调整工作的通知》（工信保函[2010]14号）：第2级及以上级别的网络单元才需要备案–以《办法》为准。312、符合性评测制度（第十一条）•应当按照有关标准，落实与通信网络单元级别相适应的安全防护措施。•符合性评测频次要求：–三级及三级以上通信网络单元应当每年进行一次符合性评测–二级通信网络单元应当每两年进行一次符合性评测•如果级别发生调整，应于90日内重新评测。•评测结束后30日内上报评测结果。323、风险评估制度（第十二条）•风险评估与符合性评测的区别：–符合性评测：检验防护措施是否符合标准规定，属于达标验证。–风险评估：在达标的基础上，结合威胁变化和形势要求，进一步深入分析威胁、排查隐患。•频次要求：–三级及三级以上通信网络单元应当每年进行一次安全风险评估–二级通信网络单元应当每两年进行一次安全风险评估–国家重大活