增值电信企业网络单元定级流程及方法
增值电信企业网络单元定级流程及方法增值电信企业应按照如下流程和方法对网络单元定级:1、网络单元划分增值电信企业应当对本单位业务系统按照专业类型(如门户综合网站、即时通信、网络交易、信息社区服务、邮件系
增值电信企业网络单元定级流程及方法
增值电信企业应按照如下流程和方法对网络单元定级:
1、网络单元划分
增值电信企业应当对本单位业务系统按照专业类型(如门户综合网站、即时通信、网络交易、信息社区服务、邮件系统、搜索系统、互联网接入服务系统、内容分发网络、互联网数据中心、移动互联网应用商店等)进行单元划分,划分后的网络单元应边界清晰、管理责任主体分明、属于同一种类型的业务系统。每个定级对象不应包含多个类型的业务系统,企业所有定级对象均应备案。
增值电信业务系统的网络单元名称(即定级对象名称)命名规则是:[运营企业简称][业务系统类型]。
2、网络单元定级
增值电信企业应当按照《电信网和互联网安全等级保护实施指南》以及有关增值电信业务系统相关安全防护定级和评测实施规范的要求定级,增值电信业务系统相关的安全防护标准见附件1。
增值电信企业应当按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,将本单位的通信网络单元由低到高分别划分为第1级、第2级、第3级(包含第3.1级和第3.2级)、第4级和第5级。安全等级划分总体原则参见附件2。
增值电信企业应当按照各专业网络定级指标赋值原则(参见附件
,3)确定网络单元定级要素的赋值,并通过安全等级计算方法计算得出网络单元的安全等级(参见附件4)。依据工信保函[2010]14号《关于开展通信网络单元安全防护定级备案调整工作的通知》中附件1《电信网和互联网安全防护体系的定级对象划分及建议安全等级》,增值电信企业定级对象的建议安全等级为1级、2级、3.1级、3.2级,一般情况下不应出现4级和5级。
,附件1:
增值电信业务系统相关的安全防护标准
1、 YD/T 1729-2008《电信网和互联网安全等级保护实施指南》;
2、 YDB 106-2012《增值电信业务系统安全防护定级和评测实施规范-门户综合网站系统》;
3、 YDB 107-2012《增值电信业务系统安全防护定级和评测实施规范-即时通信系统》;
4、 YDB 108-2012《增值电信业务系统安全防护定级和评测实施规范-网络交易系统》;
5、 YDB 109-2012《增值电信业务系统安全防护定级和评测实施规范-信息社区服务系统》;
6、 YDB 110-2012《增值电信业务系统安全防护定级和评测实施规范-邮件系统》;
7、 YDB 111-2012《增值电信业务系统安全防护定级和评测实施规范-搜索系统》;
8、 YDB 112-2012《增值电信业务系统安全防护定级和评测实施规范-互联网接入服务系统》;
9、 YDB 113-2012《域名服务系统安全防护定级和评测实施规范》;
10、 YDB 114-2012《互联网内容分发网络安全防护要求》;
,11、 YDB 115-2012《互联网内容分发网络安全防护检测要求》;
12、 YDB 116-2012《互联网数据中心安全防护要求》;
13、 YDB 117-2012《互联网数据中心安全防护检测要求》。
,附件2:
通信网络单元安全等级划分原则
在电信网和互联网及相关系统中进行安全等级划分的总体原则是:定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。
电信网和互联网及相关系统的安全等级划分如下:
第1级
定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。 本级由网络和业务运营商依据国家和通信行业有关标准进行保护。
第2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
第3级
进一步划分为两个等级:
第3.1级
,定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。
第3.2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。
第5级
定级对象受到破坏后,会对国家安全造成特别严重损害。
本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。
, ,附件3:
各类型网络单元定级指标赋值
依据YD/T 1729-2008《电信网和互联网安全等级保护实施指南》以及各类业务系统安全防护标准,确定定级对象安全等级应根据社会影响力、规模和服务范围、所提供服务的重要性三个相互独立的定级要素。结合各类业务系统特点,定级三要素的具体赋值指标可以进一步细化。
1、 域名服务系统
域名服务系统的定级对象可以是域名注册服务系统、域名解析服务系统(可划分为权威解析服务系统、递归解析服务系统)、域名查询服务系统。如果域名服务系统中包含域名注册服务系统、域名解析服务系统和域名查询系统,社会影响力取最高赋值。
表1 社会影响力赋值表
域名服务系统定级对象的规模和服务范围由其服务用户数来确定。各域名服务系统的实际服务用户数,可由域名注册管理机构、域名注册服务机构电信业务经营机构等提供。对于提供注册服务的域名系统,服务规模以月均注册域名数(R1)来表示;对于提供权威解析服务的域名系统,服务规模以权威解析域名数(R2)来表示;对
,于提供递归解析服务的域名系统,服务规模以递归服务用户数(R3)来表示;对于提供查询服务的域名系统,服务规模以查询的域名数(R4)来表示。对于同时提供多类服务的定级对象(如合设式域名服务系统),R 取单项赋值最高的指标。
表2 域名注册服务系统的规模和服务范围R1赋值表
表3 权威解析服务系统的规模和服务范围R2赋值表
表4 递归解析服务系统的规模和服务范围R3赋值表
,表5 域名查询服务系统的规模和服务范围R4赋值表
表6 所提供服务的重要性赋值表
2、 互联网数据中心
互联网数据中心(简称IDC )服务对象可能是国家机关部委、企事业单位和其他各类互联网内容服务商等。建议IDC 的社会影响力赋值如下:
表7 社会影响力赋值表