3.电信网和互联网安全风险评估实施指南.pdf中华人名共和国通信行业标准-电信网和互联网安全风险评估

文件名称: 3.电信网和互联网安全风险评估实施指南.pdf

所属分类: 电信

开发工具:

文件大小: 499kb

下载次数: 0

上传时间: 2019-10-31

提供者: baidu_3*******

下载 (499kb)

不能下载？报告错误

详细说明：中华人名共和国通信行业标准-电信网和互联网安全风险评估实施指南YD/T XXXX-XXXX 目次 1范围 2规范性引用文件... 3术语和定义 4风险评估框架及流程. 4.1风险要素关系. 4.2实施流程 4466 4.3工作形式 .· 4.4遵循的原则 5风险评估实施 5.1风险评估的准备.. 5.2资产识别 .·;.···.;.···· 5.3威胁识别,. 12 5.4脆弱性识别 14 5.5威胁利用脆弱性的关联关系 16 5.6已有安全措施的确认 5.7风险分析 ·· 17 5.8风险评估文件 6风险评估在电信网和互联网及相关系统生命周期中的不同要求 6.1电信网和互联网及相关系统生命周期概述 6.2启动阶段的风险评估 6.3设计阶段的风险评估. 2 6.4实施阶段的风险评估 23 6.5运维阶段的风险评估. 6.6废疥阶段的风险评估. 21 附录A(规范性附录)资产价值的计算方法 A.1对数法 25 A.2矩阵法 YD/T XXXX-XXXX 附录B(规范性附录)风险值的计算方法,... B.1相乘法 B.2矩阵法参考文献 29 II YD/T XXXX-XXXX 前本标准是“电信网和互联网安仝防护体系”系列标准之一。该系列标准预计结构及名称如下: 1、《电信网和工联网安仝防护管理指南》 2、《电信网和可联网安全等级保护实施指南》 3、《电信网和互联网安全风险评佔实旌指南》(本标准) 4、《电信网和互联网灾难备份及恢复实施指南》 5、《固定通信网安全防扩要求》 6、《移动通信网安全防扩要求》 7、《互联网安全防护要求》 8、《增值业务网一消息网安全防护要求》 9、《增值业务网一智能网安全防护要求》 10 《接入网安全防护要求》《传送网安全防护要求》《IP承载网安全防护要求》《信令网安全防护要求》 14、《同步网安全防护要求》 15 《支撑网安全防护要求》 16、《非核心生产单元安全防护要求》 17、《电信网和互联网物理环境安全等级保护要求》 18、《电信网和互联网管理安全等级保扩要求》 19 《固定通信网安全防护检测要求》 20、《移动通信网安全防护检测要求》《互联网安全防护检测要求》《増值业务网一消息网安全防护检测要求》 23 《増佰业务网一—智能网安仝防护检测要求》 21、《接入网安仝防护检测要求》 25、《传送网安全防护检测要求》 26 《TP承载网安全防护检测要求 27 《信令网安全防护检测要求》 YD/T XXXX-XXXX 《同步网安全防护检测要求》《支撑网安全防护检测要求》 30、《非核心生产单元安全防护检测要求》 31、《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安全等级保扩检测要求》木标准的附录A和附录B是规范性附录。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安仝防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网终通信集团公司、中国联合通信有限公司、中国铁通集团有限公司。本标准主要起草人:魏薇、赵阳、周智、殷琪、杜之亭、张云勇、冯铭。 YD/T XXXX-XXXX 电信网和互联网安全风险评估实施指南 1范围木标准规定了对电信网和联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点本标准适用于电信网和互联网的风险评估工作。本标准可作为电信网和互联网安仝风险评估的总体指导性文件,针对具体网络的安仝风险评估可参见具体网络的安仝防护要求和安仝防护检测要求。 2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注口期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版木。凡是不注日期的引用文件,其最新版木适用」木标准。 GBT5271.8-2001信息技术词汇第8部分:安全 GBT9361-2000 计算机场地安全要求 GBT19716-2005信息技术信息安仝管理实用规则 YDT75495 通信机房静电防护通则 YDT5026-2005 电信机房铁架安装设计标准 YD5002-94 邮电建筑防火设计标准 YD5098-2005 通信局(站)防雷与接地工程设计规范 YDN126-2005 增值电信业务网络信息安全保障基本要求 YDN1272005 电信设备的安全准则 ISO仼EC13335.1-2004信息技术一安全技术-I安全管理指南第1部分:I安全管理概念和模型 ISO/IEC17799-2005信息技术一安全技术一信息安全管理实施准则 3术语和定义 GBT5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。 YD/T XXXX-XXXX 电信网 telecom network 利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定通信网、移动通信网等。电信网和互联网安全防护体系 secur ity protection ar chitecture of te lecom network and Internet 电信网和互联网的安全等级保护、安全风险泮估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。电信网和互联网相关系统 systems of te| ecom network and internet 组成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网包括业务支撑和网管系统。资产 asset 电信网和互联网及相关系统中具有价值的資源,是安全防护体系保护的对象。电信网和互联网及相关系统中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如I承载网中的路由器支撑网中的用户数据、传送网的网络布局。资产价值 asset value 电信网和互联网及相关系统中资产的重要程度或敏感稈度。资产价值是资产的属性,乜是进行资产识别的主要内容。威胁 threat 可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的网络威胁有偷窃、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。 YD/T XXXX-XXXX 脆弱性 vul nerabilit 脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对资产造成危害, 但可能被威胁所利用从而危及资产的安全 3.8 组织 or gani zat ion 组织是由电信网和互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。电信网和互联网安全风险 secur ity risk of te l ecom network and internet 人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安仝事件的发生及其对组织造成的影响 10 电信网和互联网安全风险评估 secur ity risk assessment of telecom network and internet 指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防扩对策和安全措施, 防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。 3.11 残余风险 residua risk 采取了安全措施后,电信网和互联网及相关系统中仍然可能存在的风险。 3.12 可用性 availability 电信网和互联网及相关系统可正常提供服务。业务战略 bus iness strategy 电信网和互联网及相关系统的组织为实现其发展目标而制定的一组规则或要求安全事件 secur ity event 威胁利用脆弱性产生的对电信网和互联网及相关系统的危害情況。 YD/T XXXX-XXXX 3.15 安全需求 secur ity requi rement 为保证电信网和互联网及相关系统的组织业务战略的正常运作而在安全措施方面提出的要求 3.16 安全措施 secur ity measure 电信网和互联网及相关系统中保护資产、抵御威胁、减少脆弱性、降低人险、控制安全事件的影响,以及打击犯罪而实施的各种实践、规程和札制的总称。安全措施主要体现在检测、阻止、防护限制、修正、恢复和监视笭多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。 3.17 自评估 se f assessment 由网终和业务运营商发起的,依据通信行业标准对电信网和互联网及相关系统进行的风险评什活 3.18 检查评估 inspection assessment 由主管部门发起的,依据通信行业标准对电信网和互联网及相关系统进行的具有强制性的检查活 4风险评估框架及流程 4.1风险要素关系风险评仙中各要素的关系如图1所示:

(系统自动生成,下载前可以参看下载内容)