某公司网络安全产品维护经理认证体系教材1609023483.docx

《某公司网络安全产品维护经理认证体系教材1609023483.docx》由会员分享，可在线阅读，更多相关《某公司网络安全产品维护经理认证体系教材1609023483.docx（205页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、产品维护经经理认证体系教材-网络安安全中国电信维维护岗位认认证教材编编写小组编编制目 录第1章信信息安全管管理基础51.1 信息安安全概述51.1.11 信息安安全面临的的主要问题题51.1.22 信息安安全的相对对性51.2 信息安安全管理相相关概念51.2.11 什么是是信息安全全51.2.22 信息安安全的发展展过程61.2.33 信息安安全的基本本目标61.2.44 如何实实现信息安安全61.2.55 信息安安全需要遵遵循的模式式71.3 BS77799概概述71.3.11 BS 7799971.3.22 ISOO 17779981.3.33 安全管管理体系规规范141.3.44 IS

2、MMS管理框框架15第2章 网网络安全防防护实施标标准172.1 电电信网和互互联网安全全防护管理理指南172.2 电电信网和互互联网安全全等级保护护实施指南南252.3 电电信网和互互联网安全全风险评估估实施指南南512.4 电电信网和互互联网安全全等级保护护实施指南南76第3章 中中国电信安安全维护规规范913.1 安安全域划分分及边界整整合913.1.11 安全域域划分与边边界整合913.1.22 定级备备案913.1.33 安全域域职责分工工913.1.44 网络接接入913.2 安安全管理规规范913.2.11 安全操操作流程和和职责913.2.22 安全对对象管理923.2.33

3、安全日日常维护管管理923.2.44 第三方方服务管理理933.2.55 介质安安全管理933.2.66 设备安安全规范管管理933.3 访访问控制943.3.11 网络访访问控制943.3.22 操作系系统的访问问控制953.3.33 应用访访问控制953.3.44 网络访访问与使用用的监控953.3.55 远程访访问控制963.4 网网络与系统统风险评估估963.5 安安全事件与与应急响应应963.5.11 安全事事件报告机机制963.5.22 应急响响应973.6 安安全审计管管理973.6.11 审计内内容要求973.6.22 审计原原则973.6.33 审计管管理98第4章 安安全评

4、估994.1 安全评估估概述994.1.11 安全评评估目的994.1.22 安全评评估要素994.1.22 安全评评估过程1014.1.44 安全评评估工具1024.1.55 安全评评估标准1024.2 安安全扫描1034.2.11漏洞及其其分类1034.2.22 网络扫扫描技术104第5章 常常见安全产产品1075.1防病病毒网关1075.1.11 防病毒毒网关基础础概念1075.1.22 防病毒毒网关与防防火墙区别别1085.1.33 防病毒毒网关与防防病毒软件件区别1105.1.44 防病毒毒网关关键键技术1115.2 防防火墙1135.2.11 防火墙墙基本知识识1135.2.22

5、防火墙墙基本配置置1175.3 入入侵检测1235.3.11 入侵检检测与入侵侵防御概述述1235.3.22 入侵检检测系统介介绍1265.3.33 入侵防防御系统介介绍1345.4 VVPN1385.4.11 VPNN的基本原原理1385.4.22 VPNN的安全协协议139附录：第一一章安全配配置1561.1 网网络设备安安全配置1561.1.11 交换机机安全配置置1561.1.22 路由器器安全配置置1581.2 主主机安全配配置1681.2.11 Winndowss安全配置置1681.2.22 Sollariss安全配置置1731.2.33 Linnux安全全配置175附录 第二二章

6、密码学学基础1772.1密密码学概述述1772.1.11 密码学学概述1772.1.22 密码码体制的分分类1772.1.44 密码学学的主要应应用1802.1.55 信息加加密方式1802.2 对称密码码学1822.3 非对称密密码学1822.4 消息认证证技术183第1章信信息安全管管理基础1.1 信息安安全概述1.1.11 信息安安全面临的的主要问题题1、人员问问题： 信息安全意意识薄弱的的员工误操操作、误设设置造成系系统宕机、数数据丢失，信信息泄漏等等问题 特权人员越越权访问，如如：系统管管理员，应应用管理员员越权访问问、传播敏敏感数据 内部员工和和即将离职职员工窃取取企业秘密密，尤其

7、是是骨干员工工流动、集集体流动等等2、技术问问题： 病毒和黑客客攻击越来来越多、爆爆发越来越越频繁，直直接影响企企业正常的的业务运作作3、法律方方面 网络滥用：员工发表表政治言论论、访问非非法网站 法制不健全全，行业不不正当竞争争（如：窃窃取机密，破破坏企业的的业务服务务）1.1.22 信息安安全的相对对性安全没有1100%，完完美的健康康状态永远远也不能达达到。安全工作的的目标：将将风险降到到最低。1.2 信息安安全管理相相关概念1.2.11 什么是是信息安全全ISO177799中中的描述：“Infoormattion is aan assset whicch, llike otheer i

8、mmporttant busiinesss asssets, hass vallue tto ann orgganizzatioon annd coonseqquenttly nneedss to be ssuitaably prottecteed. ” “Infformaationn cann exiist iin maany fformss. Itt cann be prinnted or wwrittten oon paaper, stoored elecctronnicallly, trannsmittted by ppost or uusingg eleectroonic meann

9、s, sshownn on filmms, oor sppokenn in convversaationn. 定义中强调调信息： 是一种资产产 同其它重要要的商业资资产一样 对组织具有有价值 需要适当的的保护 以各种形式式存在：纸纸、电子、影影片、交谈谈等ISO177799中中的描述:“Infoormattion secuurityy prootectts innformmatioon frrom aa widde raange of tthreaats iin orrder to eensurre buusineess ccontiinuitty, mminimmize busiinesss

10、 dammage and maxiimizee retturn on iinvesstmennts aand bbusinness oppoortunnitiees.”信息安全： 保护信息免免受各方威威胁 确保组织业业务连续性性 将信息不安安全带来的的损失降低低到最小 获得最大的的投资回报报和商业机机会1.2.22 信息安全全的发展过过程20世纪初初：强调保保密性（密密码学）20世纪660年代：保密性、完完整性、可可用性（CCIA）20世纪880年代：保密性、完完整性、可可用性、抗抗抵赖、可可控性、真真实性1.2.33 信息安全全的基本目目标保密性（CConfiidenttialiity）：确

11、保信息息在存储、使使用、传输输过程中不不会泄漏给给非授权用用户或实体体。完整性（IInteggrityy）：确保保信息在存存储、使用用、传输过过程中不会会被非授权权用户篡改改，同时还还要防止授授权用户对对系统及信信息进行不不恰当的篡篡改，保持持信息内、外外部表示的的一致性。可用性（AAvaillabillity）：确保授权权用户或实实体对信息息及资源的的正常使用用不会被异异常拒绝，允允许其可靠靠而及时地地访问信息息及资源。1.2.44 如何实现现信息安全全物理安全技技术：环境境安全、设设备安全、媒媒体安全；系统安全技技术：操作作系统及数数据库系统统的安全性性；网络安全技技术：网络络隔离、访访问

12、控制、VVPN、入入侵检测、扫扫描评估；应用安全技技术：Emmail 安全、WWeb 访访问安全、内内容过滤、应应用系统安安全；数据加密技技术：硬件件和软件加加密，实现现身份认证证和数据信信息的CIIA 特性性；认证授权技技术：口令令认证、SSSO 认认证（例如如Kerbbeross）、证书书认证等；访问控制技技术：防火火墙、访问问控制列表表等；审计跟踪技技术：入侵侵检测、日日志审计、辨辨析取证；防病毒技术术：单机防防病毒技术术逐渐发展展成整体防防病毒体系系；灾难恢复和和备份技术术：业务连连续性技术术，前提就就是对数据据的备份。1.2.55 信息安全全需要遵循循的模式在信息安全全管理方面面，B

13、S77799 标准为我我们提供了了指导性建建议，即基基于PDCCA（Pllan、DDo、Chheck 和Actt，即戴明明环）的持持续改进的的管理模式式。1.3 BS77799概概述1.3.11 BS 77999（一）BSS 77999简介 BS 77799是是英国标准准协会（BBritiish SStanddardss Insstituute，BBSI）制制定的信息息安全标准准，由信息息安全方面面的最佳惯惯例组成的的一套全面面的控制集集，是信息息安全管理理方面最受受推崇的国国际标准。BS77999和ISO1177999的区别：BS77999： 英国标准 已被多个国国家认同（如如澳大利亚亚等）

14、 第二部分是是可认证标标准 2002年年新修订了了第2部分分。新版本本风格接近近ISO99000和和ISO1140000。ISO177799 2000年年采纳了BBS77999的第一一部分 第二部分还还在讨论中中（二）BSS 77999的历史史沿革 19990年代初初 英英国贸工部部（DTII）成立工工作组，立立项开发一一套可供开开发、实施施和测量有有效安全管管理惯例并并提供贸易易伙伴间信信任的通用用框架。 19993年9月月 颁布布信息安安全管理实实施细则，形形成BS 77999的基础。 19995年2月月 首次次出版BSS 77999-1:19955信息安安全管理实实施细则。 19998年

15、2月月 英国国公布BSS 77999-2:信息安安全管理体体系规范。 19999年4月月 BSS 77999-1与与BS 77799-2修订后后重新发布布。 20000年122月 国际标标准组织 ISO/IEC JTC 1/SCC27工作作组认可通通过BS 77999-1，颁颁布ISOO/IECC 177799-11:20000信息息技术信息安全全管理实施施细则。 20002年9月月 BSSI对BSS 77999-2进进行了改版版，用来替替代原标准准（BS 77999-2:11999）使使用，并可可望通过IISO组织织认可。ISO277001:20055 建立信信息安全管管理体系（IISMS）

16、的的一套规范范（Speecifiicatiion ffor IInforrmatiion SSecurrity Manaagemeent SSysteems），其其中详细说说明了建立立、实施和和维护信息息安全管理理体系的要要求，指出出实施机构构应该遵循循的风险评评估标准 。1.3.22 ISOO 177799 图：ISOO 177799:22005内内容框架（一）信息息安全管理理细则 信息安全策策略 安全组织 资产分类和和控制 人员安全 物理和环境境安全 通信和操作作管理 访问控制 系统获得、开开发和维护护 信息安全事事件管理 业务连续性性管理 依从性（二）信息息安全策略略u 目标： 信息安全

17、策策略为信息息安全提供供与业务需需求和法律律法规相一一致的管理理指示及支支持u 安全策策略应该做做到： 对信息息安全加以以定义 陈述管管理层的意意图 分派责责任 约定信信息安全管管理的范围围 对特定定的原则、标标准和遵守守要求进行行说明 对报告告可疑安全全事件的过过程进行说说明 定义用用以维护策策略的复查查过程（三）安全全组织u 目标： 信息安全全基础设施施在组织织内部管理理信息安全全 外部组组织保持组组织的被外外部组织访访问、处理理、沟通或或管理的信信息及信息息处理设备备的安全u 包含的的内容： 建立管管理委员会会，定义安安全管理的的角色和责责任 对软硬硬件的采购购建立授权权过程 与第三方签

18、签订的协议议中应覆盖盖所有相关关的安全要要求。 外包合合同中的安安全需求 包括内部组组织和外部部伙伴（四）资产产管理u 目标： 资产责任实现并并保持组织织资产的适适当保护 信息分类确保对对信息资产产的保护达达到恰当的的水平u 包含的的内容： 组织可可以根据业业务运作流流程和信息息系统拓扑扑结构来识识别信息资资产。 按照信信息资产所所属系统或或所在部门门列出资产产清单。 所有的的信息资产产都应该具具有指定的的属主并且且可以被追追溯责任。 信息应应该被分类类，以标明明其需求、优优先级和保保护程度。 根据组组织采用的的分类方案案，为信息息标注和处处理定义一一套合适的的程序。（五）人力力资源安全全u

19、目标： 雇佣前前确保员员工、合同同访和第三三方用户了了解他们的的责任并适适合于他们们所考虑的的角色，减减少盗窃、滥滥用或设施施误用的风风险。 雇佣中中确保所所有的员工工、合同方方和第三方方用户了解解信息安全全威胁和相相关事宜、他他们的责任任和义务，并并在他们的的日常工作作中支持组组织的信息息安全方针针，减少人人为错误的的风险。 解聘和和变更确保员工工、合同方方和第三方方用户离开开组织或变变更雇佣关关系时以一一种有序的的方式进行行。u 包含的的内容： 故意或或者无意的的人为活动动可能给数数据和系统统造成风险险 在正式式的工作描描述中建立立安全责任任，员工入入职审查 （六）物理理和环境安安全u 目

20、标： 安全区区域防止非非授权访问问、破坏和和干扰业务务运行的前前提条件及及信息。 设备安安全预防资资产的丢失失、损坏或或被盗，以以及对组织织业务活动动的干扰。u 包含的的内容： 应该建建立带有物物理入口控控制的安全全区域 应该配配备物理保保护的硬件件设备 应该防防止网络电电缆被塔线线窃听 将设备备搬离场所所，或者准准备报废时时，应考虑虑其安全（七）通信信和操作管管理u 目标： 操作程程序和责任任确保信信息处理设设施的正确确和安全操操作。 第三方方服务交付付管理实施并保保持信息安安全的适当当水平，确确保第三方方交付的服服务符合协协议要求。 系统规规划与验收收减少系系统失效带带来的风险险。 防范恶

21、意意代码和移移动代码保护软软件和信息息的完整性性。 备份保持信息息和信息处处理设施的的完整性和和可用性 网络安安全管理确保对对网络中信信息和支持持性基础设设施的安全全保护。 介质处处理和安全全防止对对资产的未未授权泄漏漏、修改、移移动或损坏坏，及对业业务活动的的干扰。 信息和和软件的交交换应保持持组织内部部或组织与与外部组织织之间交换换信息和软软件的安全全。 电子商务务服务 确保电电子商务的的安全及他他们的安全全使用。 监督检检测未经授授权的信息息处理活动动。u 包含的的内容： 防病毒毒，防恶意意软件 进行变变更控制 做好备备份，存储储介质的安安全处理，保保存正确的的访问日志志，系统文文件的安

22、全全性 电子邮邮件安全性性 保护传传输中的数数据（八）访问问控制u 目标： 访问控控制的业务务需求控制对信信息的访问问。 用户访访问管理确保授授权用户的的访问，并并预防信息息系统的非非授权访问问。 用户责责任预防未未授权用户户的访问，信信息和信息息处理设施施的破坏或或被盗。 网络访访问控制防止对对网络服务务未经授权权的访问。 操作系系统访问控控制防止对对操作系统统的未授权权访问。 应用访访问控制防止对对应用系统统中信息的的未授权访访问。 移动计计算和远程程工作确保在使使用移动计计算和远程程工作设施施时信息的的安全。 u 包含的的内容： 口令的的正确使用用 对终端端的物理访访问 自动终终止时间

23、软件监监视等（九）系统统获得、开开发与维护护u 目标： 系统的的安全需求求确保安安全内建于于信息系统统中。 应用系系统的安全全防止应应用系统信信息的错误误、丢失、未未授权的修修改或误用用。 加密控控制通过加加密手段来来保护细腻腻的保密性性、真实性性或完整性性。 系统文文件的安全全确保系系统文档的的安全。 开发和和支持过程程的安全保持应应用系统软软件和信息息的安全。 技术漏洞管管理减少由由利用公开开的技术漏漏洞带来的的风险。u 包含的的内容： 在系统统设计时应应该考虑输输入数据校校验、数据据加密、数数据文件的的安全性、测测试数据的的保护 软件开开发和维护护中应该建建立配置管管理、变更更控制等机机

24、制（十）信息息安全事件件管理u 目标： 报告信息安安全事件和和弱点确保与信信息系统有有关的安全全事件和弱弱点的沟通通能够及时时采取纠正正措施。 信息安全事事故的管理理和改进确保使使用持续有有效的方法法管理信息息安全事故故。 u 包含的的内容： 正常的事件件报告和分分类程序，这这类程序用用来报告可可能对机构构的财产安安全造成影影响的不同同种类的事事件和弱点点 所有的员工工、合同方方和第三方方用户都应应该知晓这这套报告程程序。 要求员工需需要尽可能能快地将信信息安全事事件和弱点点报告给指指定的联系系方。 （十一）业业务连续性性管理u 目标： 业务连续性性管理的信信息安全方方面：防止止业务活动动的中

25、断，保保护关键业业务流程不不会受信息息系统重大大失效或自自然灾害的的影响，并并确保他们们的及时恢恢复。u 包含的的内容： 全面理理解业务连连续性计划划（BCPP） 理解组组织面临的的风险，识识别关键业业务活动和和优先次序序。 确认可可能对业务务造成影响响的中断。 应该设设计、实施施、测试和和维护BCCP（十二）符符合性u 目标： 与法律法规规要求的符符合性避免违反反法律、法法规、规章章、合同要要求和其他他的安全要要求。 符合安全方方针、标准准，技术符符合性确保系统统符合组织织安全方针针和标准。 信息系统审审核的考虑虑因素最大化信信息系统审审核的有效效性，最小小化来自/对信息系系统审核的的影响。

26、u 包含的的内容： 组织应应该确保遵遵守相关的的法律法规规和合同义义务 软件版版权，知识识产权等1.3.33 安全管管理体系规规范 （一）BSS77999-2简介介BS 77799标准准对信息安安全管理体体系（ISSMS）并并没有一个个明确的定定义，可以以将其理解解为组织管管理体系的的一部分。ISMS涉涉及到的内内容：用于于组织信息息资产风险险管理、确确保组织信信息安全的的、包括为为制定、实实施、评审审和维护信信息安全策策略所需的的组织机构构、目标、职职责、程序序、过程和和资源。标准要求的的ISMSS建立过程程：制定信信息安全策策略，确定定体系范围围，明确管管理职责，通通过风险评评估确定控控制

27、目标和和控制方式式。体系一旦建建立，组织织应该按规规定要求进进行运作，保保持体系的的有效性。ISMS应应形成一定定的文档，包包括策略、适适用性声明明文件和实实施安全控控制所需的的程序文件件。一个文档化化的ISMMS应该阐阐述：要保保护的资产产，组织进进行风险管管理的途径径，控制目目标和控制制方式，需需要的保障障程度。（二）ISSMS的作作用 强化员工的的信息安全全意识，规规范组织信信息安全行行为； 对组织的关关键信息资资产进行全全面系统的的保护，维维持竞争优优势； 在信息系统统受到侵袭袭时，确保保业务持续续开展并将将损失降到到最低程度度； 使组织的生生意伙伴和和客户对组组织充满信信心，如果果通

28、过体系系认证，表表明体系符符合标准，证证明组织有有能力保障障重要信息息，提高组组织的知名名度与信任任度； 促使管理层层坚持贯彻彻信息安全全保障体系系。（三）ISSO 277001定定义的信息息安全管理理体系1.3.44 ISMMS管理框框架建立ISMMS管理框框架的过程程：ISMS是是一个文档档化的体系系。文档架架构如下图图所示：第一级 ：方针策略略，信息息安全管理理手册是是xx信息息安全管理理工作的纲纲领性文件件 。第二级 ：管理规定定、规范、程程序文件用用来规定所所要求的管管理制度或或技术控制制措施。第三级 ：管理办法法和实施细细则解释特特殊工作和和活动的细细节。第四级 ：记录活动动实行以

29、符符合等级11,2,和和3的文件件要求的客客观证据，阐阐明所取得得的结果或或提供完成成活动的证证据 ISMS文文件体系逻逻辑框架图图：第2章 网网络安全防防护实施标标准2.1 电电信网和互互联网安全全防护管理理指南1. 范范围 本标准对电电信网和互互联网安全全防护的定定义、目标标、原则进进行了描述述和规范。同同时，对电电信网和互互联网安全全防护体系系、安全防防护体系三三部分工作作及其关系系进行了说说明。本标准适用用于电信网网和互联网网的安全防防护工作。本标准涉及及的电信网网和互联网网不包括专专用网，仅仅指公众电电信网和公公众互联网网。2. 规规范性引用用文件 下列文件中中的条款通通过本标准准的

30、引用而而成为指导导性技术文文件的条款款。凡是注注日期的引引用文件，其其随后所有有的修改单单（不包括括勘误的内内容）或修修订版均不不适用于本本标准。然然而，鼓励励根据本标标准达成协协议的各方方研究是否否可使用这这些文件的的最新版本本。凡是不不注日期的的引用文件件，其最新新版本适用用于本标准准。 GB/T 52711.8-22001 信息技术术 词汇汇 第 8 部分分：安全 3. 术术语和定义义 GB/T 52711.8-22001确确立的术语语和定义，以以及下列术术语和定义义适用于本本标准。 3.1 电信网 tteleccom nnetwoork 利用有线和和/或无线线的电磁、光光电系统，进进行

31、文字、声声音、数据据、图象或或其它任何何媒体的信信息传递的的网络，包包括固定通通信网、移移动通信网网等。 3.2 互联网 IInterrnet 泛指广域网网、局域网网及终端（包包括计算机机、手机等等）通过交交换机、路路由器、网网络接入设设备等基于于一定的通通讯协议连连接形成的的，功能和和逻辑上的的大型网络络。 3.3 电信网和互互联网安全全防护体系系 seccuritty prrotecctionn arcchiteecturre off tellecomm nettworkk andd Intterneet电信网网和互联网网的安全等等级保护、安安全风险评评估、灾难难备份及恢恢复三项工工作互为

32、依依托、互为为补充、相相互配合，共共同构成了了电信网和和互联网安安全防护体体系。 3.4 电信网和互互联网安全全等级 ssecurrity classsifiicatiion oof teelecoom neetworrk annd Innternnet 电信网和互互联网及相相关系统重重要程度的的表征。重重要程度从从电信网和和互联网及及相关系统统受到破坏坏后，对国国家安全、社社会秩序、经经济运行、公公共利益、网网络和业务务运营商造造成的损害害来衡量。 3.5 电信网和互互联网安全全等级保护护 cllassiifiedd seecuriity prottectiion of teleecom n

33、ettworkk andd Intterneet 指对对电信网和和互联网及及相关系统统分等级实实施安全保保护。 3.6 电信网和互互联网安全全风险 ssecurrity riskk of teleecom netwwork and Inteernett 人为或或自然的威威胁可能利利用电信网网和互联网网及相关系系统存在的的脆弱性导导致安全事事件的发生生及其对组组织造成的的影响。 3.7 电信网和互互联网安全全风险评估估 seccuritty riisk aassesssmennt off tellecomm nettworkk andd Intterneet 指运用科学学的方法和和手段，系系统地

34、分析析电信网和和互联网及及相关系统统所面临的的威胁及其其存在的脆脆弱性，评评估安全事事件一旦发发生可能造造成的危害害程度，提提出有针对对性的抵御御威胁的防防护对策和和安全措施施，防范和和化解电信信网和互联联网及相关关系统安全全风险，将将风险控制制在可接受受的水平，为为最大限度度地保障电电信网和互互联网及相相关系统的的安全提供供科学依据据。3.8 电信网和互互联网灾难难 dissasteer off tellecomm nettworkk anddInteernett 由于各各种原因，造造成电信网网和互联网网及相关系系统故障或或瘫痪，使使电信网和和互联网及及相关系统统支持的业业务功能停停顿或服务

35、务水平不可可接受、达达到特定的的时间的突突发性事件件。 3.9 电信网和互互联网灾难难备份 backkup ffor ddisasster recooveryy of teleecom netwwork and Inteernett为了电信网网和互联网网及相关系系统灾难恢恢复而对相相关网络要要素进行备备份的过程程。3.10 电信网和互互联网灾难难恢复 ddisasster recooveryy of teleecom netwwork and Inteernett 为了将将电信网和和互联网及及相关系统统从灾难造造成的故障障或瘫痪状状态恢复到到正常运行行状态或部部分正常运运行状态、并并将其支持持

36、的业务功功能从灾难难造成的不不正常状态态恢复到可可接受状态态，而设计计的活动和和流程。4. 目目标和原则则 电信网和互互联网安全全防护工作作的目标就就是要加强强电信网和和互联网的的安全防护护能力，确确保网络的的安全性和和可靠性，尽尽可能实现现对电信网网和互联网网安全状况况的实时掌掌控，保证证电信网和和互联网能能够完成其其使命。为为了实现该该目标，网网络和业务务运营商、设设备制造商商要充分考考虑电信网网和互联网网不同等级级的安全要要求，从环环境因素以以及人为因因素分析电电信网和互互联网面临临的威胁，从从技术和管管理两个方方面分析电电信网和互互联网存在在的脆弱性性，充分考考虑现有安安全措施，分分析

37、电信网网和互联网网现存风险险，平衡效效益与成本本，制定灾灾难备份及及恢复计划划，将电信信网和互联联网的安全全控制在可可接受的水水平。 电信网和互互联网安全全防护工作作要在适度度安全原则则的指导下下，采用自自主保护和和重点保护护方法，在在安全防护护工作安排排部署过程程中遵循标标准性、可可控性、完完备性、最最小影响和和保密原则则，实现同同步建设、统统筹兼顾、经经济实用和和循序渐进进地进行安安全防护工工作。 适度度安全原则则：安全防防护工作的的根本性原原则。安全全防护工作作应根据电电信网和互互联网的安安全等级，平平衡效益与与成本，采采取适度的的安全技术术和管理措措施。 标准准性原则：安全防护护工作开

38、展展的指导性性原则。指指电信网和和互联网安安全防护工工作的开展展应遵循相相关的国家家或行业标标准。 可控控性原则：指电信网网和互联网网安全防护护工作的可可控性，包包括： 人员可控控性：相关关的安全防防护工作人人员应具备备可靠的政政治素质、职职业素质和和专业素质质。相关安全防防护工作的的检测机构构应具有主主管部门授授权的电信信网和互联联网安全防防护检测服服务资质。 工具可控性性：要充分分了解安全全防护工作作中所使用用的技术工工具，并进进行一些实实验，确保保这些技术术工具能被被正确地使使用。 项目过程可可控性：要要对整个安安全防护项项目进行科科学的项目目管理，实实现项目过过程的可控控性。 完备备性

39、原则：安全防护护工作要覆覆盖电信网网和互联网网的安全范范围。 最小小影响原则则：从项目目管理层面面和技术管管理层面，将将安全防护护工作对电电信网和互互联网正常常运行的可可能影响降降低到最低低限度。 保密密性原则：相关安全全防护工作作人员应签签署协议，承承诺对所进进行的安全全防护工作作保密，确确保不泄露露电信网和和互联网及及安全防护护工作的重重要和敏感感信息。 5. 安安全防护体体系 电信网和互互联网安全全防护范畴畴包括基础础电信运营营企业运营营的传输、承承载各类电电信业务的的公共电信信网（含公公共互联网网）及其组组成部分，支支撑和管理理公共电信信网及电信信业务的业业务单元和和控制单元元，以及企

40、企业办公系系统（含文文件管理系系统、员工工邮件系统统、决策支支持系统、人人事管理系系统等）、客客服呼叫中中心、企业业门户网站站等非核心心生产单元元。此外，电电信网络安安全防护工工作的范围围还包括经经营性互联联网信息服服务单位、移移动信息服服务单位、互互联网接入入服务单位位、互联网网数据中心心、互联网网域名服务务机构等单单位运营的的网络或信信息系统。 根据电信网网和互联网网安全防护护范畴，建建立的电信信网和互联联网安全防防护体系如如图1所示示。整个体体系分为三三层，第一一层为整个个安全防护护体系的总总体指导性性规范，明明确了对电电信网和互互联网安全全防护的定定义、目标标、原则，并并说明了安安全防

41、护体体系的组成成。 第二层从宏宏观的角度度明确了如如何进行安安全防护工工作，规范范了安全防防护体系中中安全等级级保护、安安全风险评评估、灾难难备份及恢恢复三部分分工作的原原则、流程程、方法、步步骤等。 第三层具体体规定了电电信网和互互联网安全全防护工作作的要求，即即安全防护护要求和安安全防护检检测要求。 根据电信信网和互联联网全程全全网的特点点，电信网网和互联网网的安全防防护工作可可从固定通通信网、移移动通信网网、互联网网、增值业业务网、非非核心生产产单元来开开展。其中中，互联网网包括经营营性互联网网信息服务务单位、互互联网接入入服务单位位、互联网网数据中心心、互联网网域名服务务机构等单单位运

42、营的的网络或信信息系统。增增值业务网网包括消息息网、智能能网等业务务平台以及及业务管理理平台。 对固定通信信网、移动动通信网、互互联网实施施安全防护护，应分别别从构成上上述网络的的不同电信信网和互联联网相关系系统入手。电电信网和互互联网相关关系统包括括接入网、传传送网、IIP承载网网、信令网网、同步网网、支撑网网等。其中中，接入网网包括各种种有线、无无线和卫星星接入网等等，传送网网包括光缆缆、波分、SSDH、卫卫星等，而而支撑网则则包括业务务支撑和网网管系统。 安全防护要要求明确了了电信网和和互联网及及相关系统统需要落实实的安全管管理和技术术措施，涵涵盖了安全全等级保护护、安全风风险评估、灾灾

43、难备份及及恢复等三三部分内容容，其中安安全等级保保护工作需需要落实的的物理环境境和管理的的安全等级级保护要求求被单独提提出作为电电信网和互互联网及相相关系统的的通用安全全等级保护护要求。 安全防护检检测要求与与安全防护护要求相对对应，提供供了对电信信网和互联联网安全防防护工作进进行检测的的方法，从从而确认网网络和业务务运营商、设设备制造商商在安全防防护工作实实施过程中中是否满足足了相关安安全防护要要求。 随着电信网网和互联网网的发展，随随着安全防防护体系的的进一步完完善，第三三层的内容容将进一步步补充完善善。 6. 安安全等级保保护电信网和互互联网安全全等级保护护工作贯穿穿于电信网网和互联网网

44、生命周期期的各个阶阶段，是一一个不断循循环和不断断提高的过过程。首先先，根据电电信网和互互联网及相相关系统受受到破坏后后，对国家家安全、社社会秩序、经经济运行、公公共利益、网网络和业务务运营商造造成的损害害程度来确确定安全等等级；通过过进一步分分析电信网网和互联网网及相关系系统的安全全保护现状状与安全等等级保护要要求之间的的差距，确确定安全需需求，设计计合理的、满满足安全等等级保护要要求的总体体安全方案案，制定出出安全建设设规划；并并进一步将将其落实到到电信网和和互联网及及相关系统统中，形成成安全技术术和管理体体系；在电电信网和互互联网安全全运维阶段段，根据安安全等级保保护的需要要对安全技技术和管理理体系不断断调整和持持续改进，确确保电信网网和互联网网及相关系系统满足相相应等级的的安全要求求；在安全资产产终止阶段段对信息、设设备、介质质进行终止止处理时，防防止敏感信信息的泄露露，保障电电信网和互互联网及相相关系统的的安全。安安全等级保保护工作的的实施过程程如图2所所示。 7. 安安全风险评评估 电信网和互互联网安全全风险评估估应贯穿于于电信网和和互联网生生命周期的的各阶段中中，在生命命周期不同同阶