I Ⅱ 12規(guī)范性引用文件 13術語和定義 1 25安全防護體系 3 4 58災難備份及恢復 59安全等級保護、安全風險評估、災難備份及恢復三者之間的關系 6 7電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南GB/T5271.8-2001信息技術詞匯第8部分：安全2人為或自然的威脅可能利用電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)存在的脆弱性導致安全事件的發(fā)生及其對組評估安全事件一旦發(fā)生，可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全措施，防范和化解電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)安全風險，將風險控制在可接受的水平，為最大限度地保障電信網(wǎng)和由于各種原因，造成電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)故障或癱瘓，使電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)支持的電信網(wǎng)和互聯(lián)網(wǎng)災難備份BackupforDis為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到正常運行狀態(tài)或部分正常運電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作的目標就是要加強電信網(wǎng)和互聯(lián)網(wǎng)的安全防護能力，確保網(wǎng)絡的安全為了實現(xiàn)該目標，網(wǎng)絡和業(yè)務運營商、設備制造商要充分考慮電信網(wǎng)和互聯(lián)網(wǎng)不同等級的安全要求，從環(huán)境因素以及人為因素分析電信網(wǎng)和互聯(lián)網(wǎng)面臨的威脅，從技術和管理兩個方面分析電信網(wǎng)和互聯(lián)網(wǎng)存在的脆弱性，充分考慮現(xiàn)有安全措施，分析電信網(wǎng)和互聯(lián)網(wǎng)現(xiàn)存風險，平衡效益與成本，制定災難備份電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作要在適度安全原則的指導下，采用自主保護和重點保護方法，在安全防護工作安排部署過程中遵循標準性、可控性、完備性、最小影響和保密原則，實現(xiàn)同步建設、統(tǒng)籌兼——標準性原則：安全防護工作開展的指導性●人員可控性：相關的安全防護工作人員應具●工具可控性：要充分了解安全防護工作中所使用3●項目過程可控性：要對整個安全防護項目進行科學的項目管理，實現(xiàn)項目過程的可控性。 保密性原則：相關安全防護工作人員應簽署協(xié)議，承諾對所進行的安全防護工作保密，確保不電信網(wǎng)和互聯(lián)網(wǎng)安全防護范疇包括基礎電信運營企業(yè)運營的傳輸、承載各類電信業(yè)務的公共電信網(wǎng) (含公共互聯(lián)網(wǎng))及其組成部分，支撐和管理公共電信網(wǎng)及電信業(yè)務的業(yè)務單元和控制單元以及企業(yè)辦公系統(tǒng)(含文件管理系統(tǒng)、員工郵件系統(tǒng)、決策支持系統(tǒng)、人事管理系統(tǒng)等)、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產單元。此外，電信網(wǎng)絡安全防護工作的范圍還包括經營性互聯(lián)網(wǎng)信息服務單位、移動信息服務單位、互聯(lián)網(wǎng)接入服務單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務機構等單位運營的網(wǎng)絡或信第二層從宏觀的角度明確了如何進行安全防護工作，規(guī)范了安全防護體系中安全等級保護、安全風根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)全程全網(wǎng)的特點，電信網(wǎng)和互聯(lián)網(wǎng)的安全防護工作可從固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務網(wǎng)、非核心生產單元來開展。其中，互聯(lián)網(wǎng)包括經營性互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務機構等單位運營的網(wǎng)絡或信息系統(tǒng)。增值業(yè)務網(wǎng)對固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)實施安全防護，應分別從構成上述網(wǎng)絡的不同電信網(wǎng)和互聯(lián)網(wǎng)其中，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH、衛(wèi)星等，而支撐網(wǎng)安全防護要求明確了電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)需要落實的安全管理和技術措施，涵蓋了安全等級保護、安全風險評估、災難備份及恢復等三部分內容，其中安全等級保護工作需要落實的物理環(huán)境和管4IP承載網(wǎng)習能游智能網(wǎng)消息鬥安全防護要求增值業(yè)務網(wǎng)互聯(lián)附圖1電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系5安全運維電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估應貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各階段中，在生命周期不同階段的風險評估原則和方法是一致的。在電信網(wǎng)和互聯(lián)網(wǎng)的安全風險評估工作中，應首先進行相關工作的準安全風險分析中要涉及資產、威脅、脆弱性等基本要素，每個要素有各自的屬性。資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度威脅出現(xiàn)安全事件的可能性存在的脆安全事件資產價值風險評估鳳險處理電信網(wǎng)和互聯(lián)網(wǎng)災難備份及恢復工作利用技術、管理手段以及相關資源，確保已有的電信網(wǎng)和互聯(lián)網(wǎng)在災難發(fā)生后，在確定的時間內可以恢復和繼續(xù)運行。災難備份及恢復工作需要防范包括地震、水災等自然災難以及火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件。保證在災難發(fā)生后單一地區(qū)的災難不影響災難發(fā)生地理范圍以外地區(qū)的語音業(yè)務，并且發(fā)生災難的地區(qū)的語音業(yè)務能夠通過有效災難恢復計劃的實施，在一定時間范圍(指標應與災難級別對應)內恢復通信。6關、互相滲透、互為補充。電信網(wǎng)和互聯(lián)網(wǎng)安全防護應將安全等級保護、安全風險評估、災難備份及恢復工作有機結合，加強相關工作之間的整合和銜接，保證電信網(wǎng)絡安全防護工作的整體性、統(tǒng)一性和協(xié)調性。電信網(wǎng)絡安全防護工作應按照根據(jù)被保護對象的重要性進行分等級保護的思想，通過安全風險評估的方法正確認識被保護對象存在的脆弱性和面臨的威脅，進而制定、落實和改進與安全保護等級和風險大小相適應的一系列管理、技術、災難備份等安全等級保護措施，最終達到提高電信網(wǎng)絡安全保護能在開展安全等級保護工作時，要充分應用安全風險評估的方法，認識、分析不存在的脆弱性和面臨的威脅，進而制定和落實與被保護對象的類型、脆弱性和威脅相適應的基本安全保護措施要求，提高安全等級保護工作的針對性和適用性。在開展安全風險評估工作時，在分析被保護對象綜合