增值電信企業(yè)網(wǎng)絡單元定級流程及方法

2017-03-27

30652

增值電信企業(yè)網(wǎng)絡單元定級流程及方法增值電信企業(yè)應按照如下流程和方法對網(wǎng)絡單元定級：1、網(wǎng)絡單元劃分增值電信企業(yè)應當對本單位業(yè)務系統(tǒng)按照專業(yè)類型（如門戶綜合網(wǎng)站、即時通信、網(wǎng)絡交易、信息社區(qū)服務、郵件系

增值電信企業(yè)應按照如下流程和方法對網(wǎng)絡單元定級：

1、網(wǎng)絡單元劃分

增值電信企業(yè)應當對本單位業(yè)務系統(tǒng)按照專業(yè)類型（如門戶綜合網(wǎng)站、即時通信、網(wǎng)絡交易、信息社區(qū)服務、郵件系統(tǒng)、搜索系統(tǒng)、互聯(lián)網(wǎng)接入服務系統(tǒng)、內(nèi)容分發(fā)網(wǎng)絡、互聯(lián)網(wǎng)數(shù)據(jù)中心、移動互聯(lián)網(wǎng)應用商店等）進行單元劃分，劃分后的網(wǎng)絡單元應邊界清晰、管理責任主體分明、屬于同一種類型的業(yè)務系統(tǒng)。每個定級對象不應包含多個類型的業(yè)務系統(tǒng)，企業(yè)所有定級對象均應備案。

增值電信業(yè)務系統(tǒng)的網(wǎng)絡單元名稱（即定級對象名稱）命名規(guī)則是：[運營企業(yè)簡稱][業(yè)務系統(tǒng)類型]。

2、網(wǎng)絡單元定級

增值電信企業(yè)應當按照《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》以及有關增值電信業(yè)務系統(tǒng)相關安全防護定級和評測實施規(guī)范的要求定級，增值電信業(yè)務系統(tǒng)相關的安全防護標準見附件1。

增值電信企業(yè)應當按照各通信網(wǎng)絡單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度，將本單位的通信網(wǎng)絡單元由低到高分別劃分為第1級、第2級、第3級（包含第3.1級和第3.2級）、第4級和第5級。安全等級劃分總體原則參見附件2。

增值電信企業(yè)應當按照各專業(yè)網(wǎng)絡定級指標賦值原則（參見附件

3）確定網(wǎng)絡單元定級要素的賦值，并通過安全等級計算方法計算得出網(wǎng)絡單元的安全等級（參見附件4）。依據(jù)工信保函[2010]14號《關于開展通信網(wǎng)絡單元安全防護定級備案調(diào)整工作的通知》中附件1《電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系的定級對象劃分及建議安全等級》，增值電信企業(yè)定級對象的建議安全等級為1級、2級、3.1級、3.2級，一般情況下不應出現(xiàn)4級和5級。

附件1：

增值電信業(yè)務系統(tǒng)相關的安全防護標準

1、 YD/T 1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》;

2、 YDB 106-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-門戶綜合網(wǎng)站系統(tǒng)》;

3、 YDB 107-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-即時通信系統(tǒng)》;

4、 YDB 108-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-網(wǎng)絡交易系統(tǒng)》;

5、 YDB 109-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-信息社區(qū)服務系統(tǒng)》;

6、 YDB 110-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-郵件系統(tǒng)》;

7、 YDB 111-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-搜索系統(tǒng)》;

8、 YDB 112-2012《增值電信業(yè)務系統(tǒng)安全防護定級和評測實施規(guī)范-互聯(lián)網(wǎng)接入服務系統(tǒng)》;

9、 YDB 113-2012《域名服務系統(tǒng)安全防護定級和評測實施規(guī)范》;

10、 YDB 114-2012《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡安全防護要求》；

11、 YDB 115-2012《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡安全防護檢測要求》；

12、 YDB 116-2012《互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護要求》；

13、 YDB 117-2012《互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護檢測要求》。

附件2：

通信網(wǎng)絡單元安全等級劃分原則

在電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)中進行安全等級劃分的總體原則是：定級對象受到破壞后對國家安全、社會秩序、經(jīng)濟運行、公共利益以及網(wǎng)絡和業(yè)務運營商的合法權益的損害程度。

電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)的安全等級劃分如下：

第1級

定級對象受到破壞后，會對其網(wǎng)絡和業(yè)務運營商的合法權益造成輕微損害，但不損害國家安全、社會秩序、經(jīng)濟運行和公共利益。本級由網(wǎng)絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護。

第2級

定級對象受到破壞后，會對網(wǎng)絡和業(yè)務運營商的合法權益產(chǎn)生嚴重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成輕微損害，但不損害國家安全。

本級由網(wǎng)絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護，主管部門對其安全等級保護工作進行指導。

第3級

進一步劃分為兩個等級：

第3.1級

定級對象受到破壞后，會對網(wǎng)絡和業(yè)務運營商的合法權益產(chǎn)生很嚴重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成較大損害，或者對國家安全造成輕微損害。

本級由網(wǎng)絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護，主管部門對其安全等級保護工作進行監(jiān)督、檢查。

第3.2級

定級對象受到破壞后，會對網(wǎng)絡和業(yè)務運營商的合法權益產(chǎn)生特別嚴重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成嚴重損害，或者對國家安全造成較大損害。

本級由網(wǎng)絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護，主管部門對其安全等級保護工作進行重點監(jiān)督、檢查。

第4級

定級對象受到破壞后，會對社會秩序、經(jīng)濟運行和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

本級由網(wǎng)絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準以及業(yè)務的特殊安全要求進行保護，主管部門對其安全等級保護工作進行強制監(jiān)督、檢查。

第5級

定級對象受到破壞后，會對國家安全造成特別嚴重損害。

本級由網(wǎng)絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準以及業(yè)務的特殊安全需求進行保護，主管部門對其安全等級保護工作進行專門監(jiān)督、檢查。

, ,

附件3:

各類型網(wǎng)絡單元定級指標賦值

依據(jù)YD/T 1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》以及各類業(yè)務系統(tǒng)安全防護標準，確定定級對象安全等級應根據(jù)社會影響力、規(guī)模和服務范圍、所提供服務的重要性三個相互獨立的定級要素。結合各類業(yè)務系統(tǒng)特點，定級三要素的具體賦值指標可以進一步細化。

1、域名服務系統(tǒng)

域名服務系統(tǒng)的定級對象可以是域名注冊服務系統(tǒng)、域名解析服務系統(tǒng)（可劃分為權威解析服務系統(tǒng)、遞歸解析服務系統(tǒng)）、域名查詢服務系統(tǒng)。如果域名服務系統(tǒng)中包含域名注冊服務系統(tǒng)、域名解析服務系統(tǒng)和域名查詢系統(tǒng)，社會影響力取最高賦值。

表1 社會影響力賦值表

域名服務系統(tǒng)定級對象的規(guī)模和服務范圍由其服務用戶數(shù)來確定。各域名服務系統(tǒng)的實際服務用戶數(shù)，可由域名注冊管理機構、域名注冊服務機構電信業(yè)務經(jīng)營機構等提供。對于提供注冊服務的域名系統(tǒng)，服務規(guī)模以月均注冊域名數(shù)（R1）來表示；對于提供權威解析服務的域名系統(tǒng)，服務規(guī)模以權威解析域名數(shù)（R2）來表示；對

于提供遞歸解析服務的域名系統(tǒng)，服務規(guī)模以遞歸服務用戶數(shù)（R3）來表示；對于提供查詢服務的域名系統(tǒng)，服務規(guī)模以查詢的域名數(shù)（R4）來表示。對于同時提供多類服務的定級對象（如合設式域名服務系統(tǒng)），R 取單項賦值最高的指標。

表2 域名注冊服務系統(tǒng)的規(guī)模和服務范圍R1賦值表