中國電信

IT安全保障體系建設

總體規(guī)范

V1.0

中國電信集團公司

2011年10月

電中四電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

文檔信息

版本版本控制信息更新日期更新人審閱人

V0.1創(chuàng)建2011年5月20日張興國張新躍、賈照坤

V0.2增加各章節(jié)內容2011年6月1日張興國張新躍、賈照坤

V0.3修訂各章節(jié)格式2011年6月20日張興國張新躍、賈照坤

V0.4調整部分文檔結構2011年7月5日張興國張新躍、賈照坤

調整部分文檔內容細

V0.52011年7月15日張興國張新躍、賈照坤

節(jié)

V0.6修訂部分章節(jié)2011年7月31日張興國張新躍、賈照坤

V0.6.1省公司討論修修訂2011年9月2日張興國張新躍、賈照坤

V0.8修訂部分章節(jié)2011年9月28日張興國張新躍、賈照坤

V0.9格式化文檔2011年10月20日張興國張新躍、賈照坤

V1.0標準化文檔2011年10月30日張興國張新躍、賈照坤

電中四電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

前百

當前網絡與信息安全已成為關系國家經濟、政治、國防、文化等領域的重大問題,

世界各主要國家相繼制定和大幅調整了網絡安全戰(zhàn)略，設立了專門的機構，加大了人員

和資金的投入，維護其網絡空間的利益。同時，隨著信息通訊網絡的快速發(fā)展和融合創(chuàng)

新，各種新技術、新業(yè)務、新終端層出不窮。網絡、系統(tǒng)、終端的安全問題相互交織、

相互影響，違法不良信息擴散、病毒傳播、網絡攻擊等非傳統(tǒng)安全威脅日益增多，使得

保障基礎信息網絡和重要信息系統(tǒng)的安全，營造健康的網絡環(huán)境，面臨著前所未有?的壓

力和挑戰(zhàn)。

近年來，在信息網絡化的環(huán)境下，網絡與信息系統(tǒng)成為安全事件和泄密事件的主要

途徑，國家對安全工作日趨重視，多次發(fā)文提出嚴格要求，相關部委也加大了安全與保

密檢查的頻度與處罰力度；同時，伴隨著中國電信深度轉型戰(zhàn)略的要求，新技術的發(fā)展

和全業(yè)務運營對中國電信IT系統(tǒng)安全提出了新挑戰(zhàn)，無論是從防護能力和管理水平都提

出了更高要求。隨著中國電信全業(yè)務運營和IT系統(tǒng)集中化，安全問題引發(fā)的損失日益增

大，電信行業(yè)頻發(fā)的安全事件給IT安全工作敲響了警鐘；但是前期安全建設相對滯后于

系統(tǒng)建設，多數(shù)省公司仍沒有形成較完備的IT安全保障體系，無法有效保障IT系統(tǒng)安全

穩(wěn)定的運行。

為了全面保證IT系統(tǒng)整體安全，統(tǒng)一規(guī)范中國電信IT安全建設是做好未來工作的基

石，建立健全IT安全保障體系是未來幾年IT安全工作的重心。為了指導各省公司后續(xù)開

展IT安全工作，集團組織業(yè)內知名安全專家和各省公司資深安全專家共同編寫了中國電

信IT安全保障體系建設規(guī)范，規(guī)范遵循“管理和技術并重，預防為主，注重長效”的原

則，力爭用2-3年的時間建設成較完備的■,安全保障體系，逐步提升“風險識別、威脅

主動防御、事件響應處理”三項安全保障能力。

IT安全保障體系建設總體規(guī)范是指導中國電信IT安全規(guī)劃和建設、落實IT安全工

作要求、支撐全業(yè)務安全運營的總體綱領。

電中四電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

目錄

第1章文檔說明..........................3

1.1編制說明......................................................................3

1.2適用范圍......................................................................3

1.3文檔結構......................................................................3

1.4起草單位......................................................................4

1.5解釋權........................................................................4

1.6版權..........................................................................4

第2章術語定義..........................5

第3章中國電信IT安全現(xiàn)狀...............6

3.1安全現(xiàn)狀與挑戰(zhàn)................................................................6

3.2安全需求......................................................................7

3.3IT安全保障體系發(fā)展歷程.......................................................8

第4章中國電信IT安全保障體系的架構...........................10

4.1中國電信IT安全保障體系設計原則..............................................10

4.2中國電信IT安全保障體系架構..................................................I0

第5章中國電信IT安全保障體系的建設...................................13

5.1中國電信IT安全保障體系建設目標..............................................I3

5.2中國電信IT安全保障體系建設要求.............................................13

5.3中國電信IT安全保障體系建設規(guī)范.............................................14

5.3.1規(guī)范總體說明............................................................................................................15

5.3.2中國電信1T安全保障體系規(guī)范.管理分冊...............................................................16

5.3.3中國電信IT安全保障體系規(guī)范-技術分冊...............................................................21

5.4中國電信IT安全保障體系建設成效考量.........................................28

5.4.1IT安全建設考量指標...............................................................................................29

5.4.2IT安全建設成效考量...............................................................................................30

第6章IT安全保障體系的實施路線...............................33

6.1第一階段：可管階段...........................................................33

6.1.1管理體系....................................................................................................................33

6.1.2技術體系....................................................................................................................34

6.2第二階段：可挖階段...........................................................36

6.2.1管理體系....................................................................................................................36

6.2.2技術體系....................................................................................................................36

6.3第三階段：可信階段...........................................................37

6.3.J管理體系....................................................................................................................38

6.3.2技術體系....................................................................................................................38

第7章IT安全保障體系的持續(xù)改進................................39

第8章附錄.............................40

第1頁/共56頁

電中四電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

8.1文檔編制人員名單.............................................................55

8.2參考文獻.....................................................................40

8.3IT安全體系實施細則..........................................................40

8.4IT安全保障體系與工信部等保對應關系.........................................45

第2頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

第1章文檔說明

1.1編制說明

本規(guī)范作為中國電信IT規(guī)范的重要組成部分，為中國電信建立健全IT安全

保障體系提供依據。本規(guī)范是在《CTG-MBOSSIT總體規(guī)范V1.0》和《中國電

信企業(yè)信息化戰(zhàn)略規(guī)劃》（ITSP2.0）總體框架體系的指導下，參考了《中國電

信CTG-MBOSSIT安全規(guī)范VI.0?及近年來發(fā)布的其他安全政策和指導意見等

相關內容，繼承和吸收了原有安全管理實踐的經驗成果，充分考慮到各省公司的

現(xiàn)狀和IT安全新技術應用，并結合了行業(yè)最佳實踐的情況下編制而成。本規(guī)范

全面闡述了中國電信IT安全保障體系的總體架構、安全管理和技術規(guī)范、建設

路線和實施演進策略等內容。

1.2適用范圍

本規(guī)范適用于中國電信集團公司及下屬省（市）公司企業(yè)信息化部

CTG-MBOSS（其中OSS僅包含資源管理類、服務開通類系統(tǒng)）進行IT安全規(guī)

劃和建設，為IT系統(tǒng)安全相關的開發(fā)建設、升級改造、運行維護、系統(tǒng)演進提

供指導和依據，各省公司根據自身實際情況制定并自行維護相應的保障體系實施

規(guī)范。

1.3文檔結構

本規(guī)范由文檔說明、綜述、IT安全保障體系建設綱要、【T安全保障體系建

設規(guī)范和IT安全保障體系實施和演進路線7個部分構成。其中，第1章為文檔

說明，介紹本規(guī)范的編制說明、適用范圍、文檔結構、起草單位、解釋權和版權。

第2章為本規(guī)范中涉及的術語進行定義和解釋，包括IT安全和IT安全保障體系

等。第3章對中國電信IT安全背景進行描述，包括安全現(xiàn)狀和挑戰(zhàn)，以及安全

需求。第4章對IT安全保障體系概要描述，包括IT安全保障體系設計原則和體

系架構解釋。第5章闡述了IT安仝保障體系建設綱要，包括介紹和論證中國電

第3頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

信IT安全保障體系建設目標、建設要求和建設規(guī)范以及體系度量標準和指標設

定。第6章設定了IT安全保障體系未來的建設實施規(guī)劃和任務分配。第7章著

重描述如何持續(xù)優(yōu)化本規(guī)范。第8章為附錄，包活規(guī)范參考的文獻列表。

1.4起草單位

本規(guī)范的起草單位是中國電信集團公司企業(yè)信息化部。

1.5解釋權

本規(guī)范的解釋權屬于中國電信集團公司企業(yè)信息化部。

1.6版權

本規(guī)范的版權屬于中國電信集團公司企業(yè)信息化部。

第4頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

第2章術語定義

術語英文解釋

本規(guī)范中IT特指中國電信企業(yè)信息化相關

Information

IT系統(tǒng)，主要包括MSS、BSS、OSS和EDA

Technology

系統(tǒng)。

信息Information本規(guī)范中信息特指中國電信企業(yè)信息化相

關系統(tǒng)所產生、存儲和使用的有價值數(shù)據。

本規(guī)范中安全特指中國電信企業(yè)信息化的

保護對象不受偶然的或者惡意的原因而遭

安全Security

到破壞、更改、泄露，確保IT系統(tǒng)連續(xù)可

靠正常地運行，業(yè)務不中斷。

保障

Security本規(guī)范中保障特指采取各種措施、手段和方

Guarantee法保護中國電信企業(yè)信息化IT系統(tǒng)資源安

全可控。

體系System本規(guī)范中體系特指按照一定的秩序和內部

聯(lián)系組合而成的系統(tǒng)全面科學的整體。

中國電信IT安全是確保IT系統(tǒng)的硬件、軟

1T安全ITSecurity件、數(shù)據等相關資產的機密性、完整性和可

用性。

IT安全保障體系是實施中國電信IT安全保

IT

IT安全保障體障的策略、組織、運行和技術等方面有機結

SecurityGuarantee

系合的整體，是保證中國電信企業(yè)信息化安全

System

的基礎。

第5頁/共56頁

華中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

第3章中國電信IT安全現(xiàn)狀

3.1安全現(xiàn)狀與挑戰(zhàn)

隨著中國電信全業(yè)務運營戰(zhàn)略的推進，IT系統(tǒng)已經成為電信生產環(huán)節(jié)中不可

或缺的部分，IT系統(tǒng)的安全問題也□趨重要，當前中國電信IT系統(tǒng)面臨新的

安全挑戰(zhàn)。

1）攻擊手段和攻擊方式在發(fā)生變化

從近年來安全事件的原因分析來看，一方面隨著技術的發(fā)展，來源于外部攻

擊的方式層出不窮，攻擊更加隱蔽，攻擊工具更智能化，攻擊的破壞力更大，更

加難于處理和防范；另一方面，來自于內部的攻擊威脅日趨嚴重，以經濟利益驅

動的攻擊和竊取企業(yè)重要數(shù)據行為成為新形勢下的主要攻擊形式。

IT系統(tǒng)內的計費與帳務數(shù)據、客戶相關敏感數(shù)據、市場經營分析數(shù)據、企業(yè)

經營決策文件是中國電信保持企業(yè)核心競爭力的基礎，保護重要信息就是保護企

業(yè)核心競爭力。近年來，電信運營商敏感信息數(shù)據泄漏安全事件頻發(fā)，不僅對客

戶的隱私和個人信息安全構成不同程度的危害，也對運營商自身的核心機密、同

行業(yè)競爭力和市場聲譽造成了嚴重損害。

2）全業(yè)務運營帶來新的挑戰(zhàn)

在中國電信新的市場戰(zhàn)略驅動下，IT系統(tǒng)集中程度越來越高，數(shù)據大集中對

系統(tǒng)可靠性、穩(wěn)定性的要求隨之提高，數(shù)據集中化處理使IT系統(tǒng)的訪問對象也

日趨復雜，各種安全威脅日益增多，一旦發(fā)生重大網絡安全事件，往往會導致災

難性的后果，由此所帶來的經濟損失及企業(yè)品牌的負面影響非常巨大。IT全業(yè)

務運營主要面臨了如下新挑戰(zhàn)：

（1）新技術發(fā)展帶來的安全挑戰(zhàn)：安全形式發(fā)生了新的變化，新技術帶來

新挑戰(zhàn)，IT基礎設施更應該關注新興的業(yè)務和新技術帶來的安全問題。虛擬化、

云計算環(huán)境下比較突出的是用戶數(shù)據資料和資源濫用的問題。用戶數(shù)據、應用等

都集中在云上，一方面往往會成為黑客關注的焦點，另一方面對于運營者系統(tǒng)的

可用性也將造成新的壓力。云計算對于運營者而言，如何防止用戶濫用云端資源,

第6頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

做好細顆粒度的身份鑒別和審計；以及如何保障放置云端數(shù)據的安全，保障企業(yè)

在云端的資料不會外泄，都是IT安全需要重點關注的問題。

（2）新運營模式帶來的安全挑戰(zhàn)：隨著智能移動終端使用的日漸廣泛，更

多的應用承載在智能終端上，針對其漏洞的攻擊、植入惡意代碼等行為也越來越

多，移動互聯(lián)網正在伴生出新的安全問題：如由封閉向開放轉變帶來接口和訪問

方式的復雜化，甄別合法/非法行為的安全防護能力難度加大；合作運營模式增

多帶來接入方式和管控流程環(huán)節(jié)增多。因此解決移動互聯(lián)網業(yè)務對傳統(tǒng)互聯(lián)網監(jiān)

管模式造成的新挑戰(zhàn)至關重要。

（3）新業(yè)務帶來新安全挑戰(zhàn)：移動互聯(lián)網和寬帶全業(yè)務等新類型業(yè)務使用

和業(yè)務融合導致安全控制點增多，安全防護的深度和難度加大。融合業(yè)務對IT

的依賴越來越大，細小安全事件的影響容易被放大，對企業(yè)的全業(yè)務運營造成嚴

重的損害。

3）企業(yè)戰(zhàn)略對安全工作提出了新要求

構建IT安全運營環(huán)境，是中國電信企業(yè)核心價值觀的實際體現(xiàn)，是實現(xiàn)中

國電信對客戶服務的承諾，也是電信運營商的社會責任。但是IT安全建設與系

統(tǒng)建設相對滯后，如何建立健全IT安全保障體系是保障中國電信IT系統(tǒng)安全穩(wěn)

定運行的基礎，是IT管理者共同面臨的一個課題。

3.2安全需求

中國電信IT安全保隙體系的需求主要來源于以下五個方面：

?國家法律法規(guī)和監(jiān)管機構對安全的要求；

?通信行業(yè)新技術新業(yè)務發(fā)展對安全的要求；

?中國電信IT內控管理的要求；

?中國電信的戰(zhàn)略深度轉型全業(yè)務運營的驅動；

?中國電信IT安全現(xiàn)狀。

第7頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

3.3IT安全保障體系發(fā)展歷程

從計算機誕生之口起，IT安全問題就伴隨著整個信息化發(fā)展的進程，過去企

業(yè)往往依靠單一的安全產品來提高安全管理水平，隨著IT系統(tǒng)日趨復雜和多樣

化，單一的安全產品已經無法滿足企業(yè)安全防護的需要。如何構建安全體系，成

為了眾多企業(yè)共同研究和探討的課題，而安全體系歷經了通信安全、計算機個體

安全、信息安全和全方位的IT安全保障體系幾個發(fā)展階段」

通信安全：

上世紀40—70年代，IT安全主要是指：通過密碼技術解決通信保密問題，

保證數(shù)據的保密性與完整性，主要技術是加密。

計算機系統(tǒng)安全：

上世紀70—80年代，IT安全的重點是：確保計算機系統(tǒng)中硬件、軟件及正

在處理、存儲、傳輸信息的機密性、完整性；主要安全威脅擴展到非法訪問、惡

意代碼、脆弱口令等；主要保護措施是安全操作系統(tǒng)設計技術，例如：TCBo

信息安全：

上世紀90年代以來，IT安全的重點再次發(fā)生轉移：保護信息，確保信息在

存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務和限制非投

權用戶的服務，以及必要的防御攻擊的措施；這個階段強調信息的保密性、完整

性、可控性、可用性；主要安全威脅發(fā)展到網絡入侵、病毒破壞、信息對抗的攻

擊等；主要保護措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKkVPN、

安全管理等。

安全保障體系：

近年來，隨著信息技術的進一步發(fā)展，人們逐漸認識到，構建安全保障體系

必須從安全的各個方面進行綜合考慮，只有將組織、策略、運行、技術等方面緊

密結合，構成全方位的安全保障體系，才能真正保障企業(yè)核心資產的安全；IT

安全不再是簡單的、孤立的、碎片化的傳統(tǒng)技術手段，而是聚焦于體系化的安全

保障。

第8頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

國外的安全保障理論也在不斷的發(fā)展完善中，美國國家安全局從1998年以

來開展了信息安全保障技術框架（IATF）的研究工作并發(fā)布了IATF3.1版本，

提出了深度防御戰(zhàn)略模型，強調了多層次立體防護的概念，并逐漸為國內外企業(yè)

所接受。

第9頁/共56頁

華中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

第4章中國電信IT安全保障體系的架構.

4.1中國電信IT安全保障體系設計原則

中國電信IT安全保障體系設計遵循全面性、平衡性、實用性、差異性、前

瞻性、先進性和兼容性七大原則，其中：

全面性原則：體系能夠涵蓋安全工作各種業(yè)務，各個層面，各領域，以及IT

安全風險管理的全過程；

平衡性原則：體系充分考慮管理與技術兩個保障手段，堅持管理與技術并重

的原則；

實用性原則：突出重點與適度保護，最終形成的IT安全保障體系應該是可

量化、可考量、易建設的；

差異性原則：借鑒等級保護的思想，依據公安部、工信部關于等級保護的要

求，結合中國電信業(yè)務特點，對不同的保護對象實行不同級別的安全保護；

前瞻性原則：體系設計具有良好的前瞻性和擴展性，充分考慮未來新技術新

業(yè)務的發(fā)展；

先進性原則：充分借鑒國際信息安全最佳實踐，采用成熟的模型，同時考慮

在中國電信的實用性；

兼容性原則：體系和規(guī)范能夠向上兼容國家政策、上級主管單位關于風險評

估、等級保護、信息保密等安全方面的要求，同時與企業(yè)IT內控安全管理的要

求兼容。

4.2中國電信IT安全保障體系架構

中國電信IT安全保障體系是支撐中國電信企業(yè)IT安全建設和管理的基礎架

構，是集團和各省公司企業(yè)信息化安全規(guī)劃與建設的依據。IT安全保障體系整

體框架如下所示：

第10頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

IT安全技術體系

依測，識別I安全防護

IT安全運行體系

系

安

統(tǒng)

全

狹

檢

取6

CTG-MBOSS信息化架構

圖4-1中國電信集團公司IT安全保障體系框架圖

中國電信IT安全保障體系以中國電信CTG-MBOSS信息化架構為基礎，以

IT安全戰(zhàn)略為指導，通過安全管理體系和安全技術體系兩個重要部分來實現(xiàn)可

管、可控和可信的三個IT安全目標。體系建設遵循“管理與技術并重、分級防

護、集中管控、循序漸進”方針，最終實現(xiàn)可信賴的IT安全運營環(huán)境愿景。

IT安全戰(zhàn)略：打造國內一流的IT安全保障體系，構建安全支撐環(huán)境，為中

國電信全業(yè)務運營保駕護航。

IT安全階段性目標：IT安全保障體系的三個階段性目標可以通過可管、可

控和可信。安全可管階段的特征是“職責明晰、預防為主、有效識別”；可控階

段的特征是“主動防御、及時響應、集中管控”；可信階段的特征是“體系完善、

流程通暢、全員參與”。

IT安全規(guī)范總體方針

管理與技術并重：采用管理和技術相結合的方式，建立有效識別和預防IT

安全風險機制，合理選擇安全控制方式，有效降低IT安全風險。

分級防護：依據國家相關規(guī)定和信息安全管理最佳實踐，根據信息資產的重

要性等級，對重要信息資產和系統(tǒng)劃分不同的保護等級，執(zhí)行差異化的安全保護

措施。

第11頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

集中管控：在集團范圍內建立層次化IT安全管理組織和集中的安全管控措

施，統(tǒng)一進行IT全網信息系統(tǒng)安全的規(guī)劃、建設及管控。

循序漸進：建立全面覆蓋IT安全各個領域的、可度量、可管理的安全保隙

體系，并在此基礎上進行持續(xù)改進，不斷自我完善，為業(yè)務的平穩(wěn)運行提供可信

的IT支撐環(huán)境。

IT安全管理體系：安全管理在IT安全保障體系中占有重要的地位，包括安

全策略、安全組織和安全運行三大體系。

安全策略體系總述了中國電信IT安全的總體方針、標準和指南、以及各類

實施細則組成。

安全組織體系定義了保障IT安全策略有效執(zhí)行需要的角色和職責，從職能

上分為決策、管理和執(zhí)行三個層次。

安全運行體系從IT系統(tǒng)生命周期和安全風險管控流程出發(fā)，從開發(fā)、建設、

維護、響應和核查五個階段提出安全風險管控的要點，明確了不同階段安全保護

的具體要求，涵蓋了風險管理、系統(tǒng)開發(fā)建設、運行維護、事件響應、安全監(jiān)控、

安全檢查等內容。

IT安全技術體系：安全技術是實現(xiàn)IT安全保隙體系的重要手段，從物理安

全、網絡安全、系統(tǒng)安全、應用安全、數(shù)據安全和終端安全六個方面實現(xiàn)監(jiān)測與

識別、安全主動防御和審計與恢復三大防護能力。如下所述：

安全識別與監(jiān)控能力：主要包含了威脅識別、入侵檢測、漏洞掃描等安全功

能要求；

安全防護能力：主要包含了身份認證、攻擊防護、數(shù)據加密、訪問控制、安

全配置等安全功能要求；

安全審計與恢復能力：主要包含了操作審計、應急響應、災備恢復等安全功

能內容。

第12頁/共56頁

華中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

第5章中國電信IT安全保障體系的建設

5.1中國電信IT安全保障體系建設目標

中國電信集團與各省公司始終圍繞建立健全IT安全保障體系，全面保證IT

系統(tǒng)整體安全的目標，本著“管理與技術并重、分級防護、集中管控、循序漸進”

的方針，逐步提升“風險識別、威脅主動防御、事件響應處理”三項安全保障能

力。各省公司力爭用3-5年的時間建設較完備的IT安全保障體系，具體建設目

標包括以下幾個方面：

>建立健全IT安全管理組織，明確安全職責，確保集團安全策略和方針

有效執(zhí)行，安全制度和安全工作落實到位；

>建立完善IT安全策略體系，形成一套完整的、可操作的管理制度和管

理流程，確保安全工作有法可依、有章可循；

>建立完善的IT安全運行體系，圍繞IT系統(tǒng)生命周期，將安全管理的要

求落實到系統(tǒng)的需求分析、規(guī)劃建設、控制實施、運行監(jiān)控、響應恢復

等各個環(huán)節(jié)中，將安全管控的要點固化到日常工作運行流程中，形成標

準的行為和操作規(guī)范；

>部署全方位立體的安全保護措施，圍繞三大能力進行安全工程建設，逐

步實現(xiàn)安全對象的統(tǒng)一監(jiān)控、主動防御、快速響應，最終實現(xiàn)全面地安

全保障防御體系，確保中國電信IT核心系統(tǒng)和核心業(yè)務數(shù)據在存儲、

傳輸和使用過程中的安全，保障中國電信IT系統(tǒng)持續(xù)、穩(wěn)定、安全的

運行；

5.2中國電信IT安全保障體系建設要求

中國電信IT安全保隙體系圍繞“可管、可控、可信”三個階段性目標逐步

進行建設，遵循安全與信息化”同步規(guī)劃、同步建設、同步運行”的建設原則。

為有序開展中國電信IT安全保障體系建設，具體要求如下：

>思路統(tǒng)一：IT安全保障體系建設一方面要符合國家、行業(yè)和集團相關政

第13頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

策規(guī)定，另一方面要遵照總體體系規(guī)范建設階段目標和演進路線；

＞責任清晰：IT安全保障體系建設工作需要集團及各省公司領導政策層面

的的大力支持,各級執(zhí)行組織和個人明確安全職責，落實1T安全建設工

作；

＞資金支持：為了實現(xiàn)中國電信IT安全保障工作有序地建設，根據國資委

對央企信息系統(tǒng)建設安全投入不低于15%的原則，應確保每年用于IT

安全投資應占總IT投資的8%-12%；

＞組織保障：集團及各省公司應建立IT安全管理組織，配置專職安全崗位,

明確安全管理職責，確保IT安全工作順利執(zhí)行；

＞成效明確：建設保障體系的同時，依照建設成效考量標準，確保三年之

內達到可控級別。

5.3中國電信IT安全保障體系建設規(guī)范

建設IT安全保障體系是中國電信IT安全工作的任務和目標，IT安全保障體

系建設規(guī)范是IT安全建設的總體指導依據，規(guī)范文檔從IT安全保障體系的管理

和技術兩個角度，對IT安全保障體系的建設進行規(guī)范化和標準化。

依照IT安全組織體系、安全策略體系和安全運行體系架構制定安全管理分

冊的三層義檔結構；制定安全組織管理規(guī)范，定義集團和省公司安全組織架構，

明確了組織層次模型和相關人員角色職責，指導集團及各省公司的IT安全組織

的建立和運作；制定安全策略、安全規(guī)定和安全管理細則，以及安全運維管理流

程，規(guī)范和約束后期的IT安全管理和運維工作。

依照安全技術體系架構制定安全技術分冊，技術規(guī)范通過定義層文檔規(guī)范定

義安全保護對象和等級定義要求，明確不同安全技術保護措施或手段；通過管控

層文檔規(guī)范，提出合適的安全管控措施，實現(xiàn)用戶統(tǒng)一認證授權管理和集中的安

全運維管理;通過防護層文檔規(guī)范，對三大防護能力的功能和實現(xiàn)提出明確要求，

制定相應的安全技術配置指南和操作手冊，便于后期的安全技術檢查和管理。

第14頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

531規(guī)范總體說明

中國電信IT安全保障體系規(guī)范是支撐中國電信企業(yè)全業(yè)務運營和IT安全建

設的基礎框架，是集團和各省公司企業(yè)信息化安全建設的愿景，也是指導集團和

各省公司企業(yè)信息化安全規(guī)劃、建設與管理的依據，由IT安全目標、方針、安

全管理制度規(guī)范體系和技術安全保護體系構成。

中國甩信IT安全保障體系是支撐中國電信企業(yè)IT安全建設和管理的基礎架

構，是集團和各省公司企業(yè)信息化安全規(guī)劃與建設的依據。IT安全保障體系文

檔框架圖如下所示：

IT安全技術目標

IT安全管理策略決定

策義對象等級定義

總體策略層層

安全保護要求

IT管控

IT安全管理規(guī)定

管

管

檢

建

人

運

組詼別、防護、響應三大能力

控

理

查

設

員

維

織

管

管

管

管

層

管

層集中賬號安全運維

理

理

理

理

理管理平臺管理平臺

IT安全管理細則IT安全防護

執(zhí)防

物理環(huán)境賬號與密終端安安全而訪問控制入侵防御準入控制

行護

安全管理碼管理全管理護措施應用防護安全審計……

層層

IT系統(tǒng)IT網絡連安全配

......網絡安全主機安全終端安全

上線驗收接與準入置指可應用安全代碼安全……

中國電信CTGMBOSS規(guī)范

圖5-1中國電信集團公司IT安全保障體系規(guī)范文檔架構圖

根據中國電信IT安全保障體系文檔架構圖，定義相應的規(guī)范文檔，各文檔

與文檔架構圖的相關內容相對應，文檔視圖分為兩類文檔和三個層面：管理分冊

第15頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

（決策層、管理層和執(zhí)行層）和技術分冊（定義層、管控層和防護層）。具體文

檔視圖如下所示:

D1-中國電信IT安全保障體系建設總體規(guī)范

1個D2.ITT安全管理鬣事D3.1IT系統(tǒng)安全技術保井要求

M.2-IT安AO1R02.3■人員■■安D2.5-mM-D2.6-IT*Att>

安全rat范安全num

D2.7-AX?aM02.1?-IT?a±tHftD2.11-WMM*

UMIUM

02.12-ITJKaR?ttD11XT安全?拄與D2.1?-ITUH￡Ktt011AIT安全?件亶08.14-inMHkM

人安*summit

02.20-imfimM02.21-ITMIM#

金普南UMcmmM丁EM

執(zhí)行層

0X22-IT??MJtW

17個估EMIM

▼

船體3文件管理類文件技水英文忤

圖5-2中國電信集團公司IT安全保障體系規(guī)范文檔視圖

5.3.2中國電信IT安全保障體系規(guī)范.管理分冊

IT安全保障體系規(guī)范管理分冊是圍繞中國電信IT安全目標和方針，參考國

際信息安全和IT服務最佳實踐并結合集團IT建設實際狀況，從安全管理角度制

定的文檔體系。

管理分冊分為“決策層”、“管理層”和“執(zhí)行層”三個層面，通過明確IT

安全管理策略，制定安全管理規(guī)定及相應的安全管理細則、流程文件和操作手冊，

增加IT全網安全保護水平，提高IT安全保障能力。

5.3.2.1決策層

在決策層面，通過IT安全管理策略對IT安全方針進一步進行詮釋和明確。

安全策略包括以下八個方面：

（1）IT安全組織策略

第16頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

包括構建符合電信公司管理的IT安全保障體系架構，明確IT安全崗位的角

色劃分的安全管理策略。

(2)人員信息安全管理策略

包括公司內部人員從入職前到離職后整個過程中的安全管理策略，以及外來

人員的安全管理策略。

(3)IT資產安全管理策略

包括IT資產的識別、分類分級定義以及IT資產處置的安全管理策略。

(4)物理與環(huán)境安全管理策略

包括電信機房和辦公區(qū)等重要場所以及場所外部的物理環(huán)境的安全管理策

略。

(5)訪問控制管理策略

包括用戶對設備、系統(tǒng)和文件等IT網絡信息資源以及業(yè)務系統(tǒng)之間的訪問

控制策略。

(6)IT系統(tǒng)建設管理策略

包括IT系統(tǒng)的建設過程、IT安全產品選型與供應商管理等方面的安全管理

策略。

(7)IT系統(tǒng)運維管理策略

包括IT系統(tǒng)的口常運維工作和運維流程管理方面的安全策略。

(8)法律法規(guī)符合性管理策略

包括轉化外部法律法規(guī)、監(jiān)管要求、最新安全技術要求為內部實施細則，并

學習、宣貫和檢查等方面的安全管理策略。

53.2.2管理層

在管理層面，圍繞集團IT安全管理策略，通過具體的各個文件管理制度，

參考國際信息安全管理和信息技術服務最佳實踐，明確集團層面對IT安全管理

工作的各項具體要求，以全面覆蓋和滿足外部法律法規(guī)、主管單位、監(jiān)管機構、

技術發(fā)展及相關合同協(xié)議的最新IT安全要求。管理層的主要文件管理制度包括:

(1)II安全組織建設管理規(guī)定

第17頁/共56頁

華中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

根據中國電信IT安全策略，構建“決策監(jiān)督、管理審核、貫徹執(zhí)行”三個

層次的IT安全保障體系架構，按照“職責分離、權限制衡”的原則將IT安全崗

位的角色劃分為“管理、執(zhí)行、審核”三個類別的安全管理策略，以確保安全組

織正常運行。

(2)人員信息安全管理規(guī)定

從信息安全角度對內部人員入職、在職、職位變更和離職管理，以及對外來

人員的安全管理提出管理規(guī)定。

(3)IT系統(tǒng)建設安全管理規(guī)定

從系統(tǒng)規(guī)劃與設計、系統(tǒng)開發(fā)與測試、系統(tǒng)上線驗收、下線銷毀、1T安全產

品選型與供應商管理方面闡述安全建設管理規(guī)定。

(4)IT系統(tǒng)運維安全管理規(guī)定

以風險管理為核心，對IT系統(tǒng)日常運維過程從資產識別、安全巡檢、日常

監(jiān)控、運行維護、應急響應、審計恢復及運維流程和作業(yè)指南等方面進行全面要

求。

(5)IT安全檢查管理規(guī)定

對安全檢查提出基本要求，定義IT安全檢查方式：日常運維、專項巡檢和

安全基線檢查，描述各類安全檢查內容，對各檢查結果進行通報管理。

5.3.23執(zhí)行層

在執(zhí)行層面，將管理層面的規(guī)定和要求進一步落實為具體的管理細則、操作

流程及指南等，用以指導具體的IT安全操作行為。執(zhí)行層的文件制度包括：

(1)員工信息安全管理指南

依據中國電信人員IT安全管理策略，從人員入職、人員在職、人員離職及

外來人員等方面提出安全管理指南，主要采用背景調查、安全培訓與保密協(xié)以、

崗位安全技能培訓I、賬號與權限的更新和調整、賬號停用與權限關閉等管理措施。

(2)第三方IT安全管理指南

根據中國電信各IT系統(tǒng)維護工作的分包實施情況，針對各第三方代維單位

在維護過程的分工和安全職責界定，從第三方可能引入風險識別、合作前的背景

第18頁/共56頁

華中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

調查和責任說明、合作中的定期服務安全檢查和合作終止或變更后的保密措施管

理等提出安全操作指南。

(3)IT文檔安全與信息保護管理指南

依據IT資產安全管理策略，對文檔進行分類分級保護，從文檔制作、發(fā)布、

變更以及銷毀生命周期過程提供管理指南，并從文檔的加密、訪問認證、授權及

審計等方面提出技術實現(xiàn)要求。

(4)IT系統(tǒng)上線驗收安全管理指南

依據中國電信IT系統(tǒng)建設管理策略，提供IT系統(tǒng)的測試上線、部署安裝、

系統(tǒng)運行、系統(tǒng)驗收的安全管理指南，同時對獨立外購和定制開發(fā)的IT系統(tǒng)交

付物清單提H1建議。

(5)IT物理環(huán)境安全管理指南

參考工信部及中國電信集團公司相關要求，明確基本物理和機房環(huán)境的安全

保障措施，包括機房建設、物理訪問控制、環(huán)境保護、辦公環(huán)境等物理安全方面

的指南。

(6)IT系統(tǒng)網絡接入管理指南

基于業(yè)務和安全需求，制定1T系統(tǒng)的接入安全管理指南，通過明確接入審

批流程和采取有效的安全技術加固手段，控制連人系統(tǒng)的安全保護水平，保護內

部敏感數(shù)據信息。

(7)IT終端安全管理指南

依據運維管理策略，從終端的物理安全、安全配置、病毒防護、數(shù)據安全、

接入控制等方面提供管理指南，實現(xiàn)各終端的安全管理。

(8)IT賬號權限與密碼管理指南

從賬號創(chuàng)建、密碼管理、權限變更和賬號注銷等方面提供賬號權限和密碼的

管理指南，落實不同類型的IT賬號的安全管理，保障中國電信用戶的利益和IT

系統(tǒng)的安全運行。

(9)IT防病毒管理指南

為確保中國電信網絡與IT安全，采取積極有效的檢測和預防控制措施，制

定防病毒的安全管理職責與規(guī)定、操作程序和應急處理流程等管理指南，以減少

惡意軟件入侵帶來的風險。

(10)IT系統(tǒng)數(shù)據備份與恢復安全管理指南

第19頁/共56頁

華中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

對經安全等級定義的中國電信IT系統(tǒng)數(shù)據進行安全保護，從備份策略定義、

備份執(zhí)行和定期的備份數(shù)據恢復測試明確管理流程和操作步驟，確保突發(fā)事件發(fā)

生后數(shù)據的及時恢復。

(11)IT系統(tǒng)安全補丁管理指南

為確保中國電信各IT系統(tǒng)的安全自身保護能力，需要及時各類更新安全補

T,該指南從安全補丁的獲取、測試、安裝和驗證等過程規(guī)范管理流程，兼顧了

IT安全補丁安裝及時性和系統(tǒng)運行的穩(wěn)定性。

(12)IT安全事件應急響應管理指南

規(guī)范IT安全事件管理流程，提供事件響應與處理、應急預案等具體管理指

南，確保安全事件被及時發(fā)現(xiàn)并得到有效處理，最大限度地減少安全事件對中國

電信IT系統(tǒng)運行造成影響的可能性。

(13)IT業(yè)務連續(xù)性計劃作業(yè)指南

實施業(yè)務連續(xù)性管理，從業(yè)務風險管理、業(yè)務沖擊分析、恢復能力分析、業(yè)

務連續(xù)性計劃方面提供業(yè)務連續(xù)性管理指南，制定并實施業(yè)務連續(xù)性計劃，確保

中國電信業(yè)務的連續(xù)性得到保障。

(14)IT網絡安全域管理指南

對建立起的IT網絡安全域進行日常維護和接入、變更管理，對接入系統(tǒng)/設

備進行安全審查，確保安全域的策略與訪問控制策略一致，防止無安全保護措施

的系統(tǒng)/設備給網絡安全域帶來風險。

(15)IT安全風險評估管理指南

定義IT安全風險評估原理、方法、步驟，明確資產梳理、威脅脆弱性評價、

風險接受準則和殘余風險處置等要求；在IT系統(tǒng)生命周期各階段的風險評估重

點。

(16)IT安全監(jiān)控與預警管理指南

針對IT系統(tǒng)統(tǒng)一監(jiān)控要求，描述重點監(jiān)控對象和內容，對監(jiān)控發(fā)現(xiàn)的異常或

預警進行管理，確保在事件發(fā)生早期發(fā)現(xiàn)并及時印制事態(tài)惡化。

(17)IT安全基線達標測評管理指南

從管理與技術層面設定并應用安全基線，通過基線達標測評工作以評促建，

實現(xiàn)對中國電信各省公司安全管理能力的動態(tài)管理，該指南沿用集團已發(fā)布的

《基線達標考評細則》。

第20頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

5.3.3中國電信IT安全保障體系規(guī)范?技術分冊

IT安全保障體系規(guī)范技術分冊是圍繞中國電信IT安全目標和方針，遵循國

家和工信部1T系統(tǒng)安全等級保護相關要求，結合1T技術發(fā)展現(xiàn)狀和中國電信實

際安全需求，從技術保護角度制定的文檔體系。

技術分冊從“定義層”，“管控層”和“防護層”三個層面，通過定義安全

技術保護要求，確定IT安全集中管控目標，明確安全保護措施，制定通用安全

配置和應用指南等，來提高整個企業(yè)的IT全網安全保護能力。

定義層

在技術保護框架的定義層中，明確中國電信的IT安全保護對象等級和等級

化的安全保護目標和要求，對不同安全等級的IT系統(tǒng)采取相應級別的IT安全保

障技術措施和手段，提高安全保護能力。

（DIT安全保護對象等級定義

依據工信部對于電信網和互聯(lián)網的安全等級劃分要求和中國電信各IT系統(tǒng)

的安全保護實際需求，根據安全保護對象遭破壞后對國家安全、社會秩序、經濟

運行、公共利益以及中國電信集團的業(yè)務運營、經濟利益或企業(yè)形象的損害程度,

中國電信集團將IT安全保護對象劃分為4個安全等級，分別為2.1、2.2、3.1、

3.2級。

中國電信安全IT安全保護對象的安全等級劃分具體標準為：

2.1級：IT安全保護對象遭到破壞后，將會對中國電信IT全網IT系統(tǒng)的正

常運行和企業(yè)合法權益（業(yè)務運營、經濟利益、企業(yè)形象等）造成一定程度的損

害，但尚未損害國家安全、社會秩序、經濟運行和公共利益。

2.2級：IT安全保護對象受到破壞后，將會對中國電信IT全網IT系統(tǒng)的正

常運行和企業(yè)合法權益包括（企業(yè)形象、經濟運行）造成比較嚴重的損害，但尚

未損害國家安全、社會秩序、經濟運行和公共利益。

3.1級：IT安全保護對象遭到破壞后，將會對中國電信的IT系統(tǒng)和企業(yè)合法

權益造成很嚴重的損害，或者對社會秩序、經濟運行和公共利益造成較大損害,

或者對國家安全造成輕微損害。

第21頁/共56頁

々中府電唁

*CHINATELECOM中國電信IT安全保障體系建設總體規(guī)范

3?2級：IT安全保護對象遭到破壞后，將會對中國電信的IT系統(tǒng)和企業(yè)合法

權益造成特別嚴重的損害，或者對社會秩序、經濟運行和公共利益造成嚴重損害,

或者對國家安全造成較大損害。

中國電信IT安全保障體系安全等級劃分與工信部“電信網和互聯(lián)網安全等

級”存在著以下對應關系：

表5-2中國電信IT安全保障體系等級定義對應表

中國電信IT安全保障體系安全等級