I Ⅱ 12規范性引用文件 13術語和定義 1 25安全防護體系 3 4 58災難備份及恢復 59安全等級保護、安全風險評估、災難備份及恢復三者之間的關系 6 7電信網和互聯網安全防護管理指南GB/T5271.8-2001信息技術詞匯第8部分：安全2人為或自然的威脅可能利用電信網和互聯網及相關系統存在的脆弱性導致安全事件的發生及其對組評估安全事件一旦發生，可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全措施，防范和化解電信網和互聯網及相關系統安全風險，將風險控制在可接受的水平，為最大限度地保障電信網和由于各種原因，造成電信網和互聯網及相關系統故障或癱瘓，使電信網和互聯網及相關系統支持的電信網和互聯網災難備份BackupforDis為了將電信網和互聯網及相關系統從災難造成的故障或癱瘓狀態恢復到正常運行狀態或部分正常運電信網和互聯網安全防護工作的目標就是要加強電信網和互聯網的安全防護能力，確保網絡的安全為了實現該目標，網絡和業務運營商、設備制造商要充分考慮電信網和互聯網不同等級的安全要求，從環境因素以及人為因素分析電信網和互聯網面臨的威脅，從技術和管理兩個方面分析電信網和互聯網存在的脆弱性，充分考慮現有安全措施，分析電信網和互聯網現存風險，平衡效益與成本，制定災難備份電信網和互聯網安全防護工作要在適度安全原則的指導下，采用自主保護和重點保護方法，在安全防護工作安排部署過程中遵循標準性、可控性、完備性、最小影響和保密原則，實現同步建設、統籌兼——標準性原則：安全防護工作開展的指導性●人員可控性：相關的安全防護工作人員應具●工具可控性：要充分了解安全防護工作中所使用3●項目過程可控性：要對整個安全防護項目進行科學的項目管理，實現項目過程的可控性。 保密性原則：相關安全防護工作人員應簽署協議，承諾對所進行的安全防護工作保密，確保不電信網和互聯網安全防護范疇包括基礎電信運營企業運營的傳輸、承載各類電信業務的公共電信網 (含公共互聯網)及其組成部分，支撐和管理公共電信網及電信業務的業務單元和控制單元以及企業辦公系統(含文件管理系統、員工郵件系統、決策支持系統、人事管理系統等)、客服呼叫中心、企業門戶網站等非核心生產單元。此外，電信網絡安全防護工作的范圍還包括經營性互聯網信息服務單位、移動信息服務單位、互聯網接入服務單位、互聯網數據中心、互聯網域名服務機構等單位運營的網絡或信第二層從宏觀的角度明確了如何進行安全防護工作，規范了安全防護體系中安全等級保護、安全風根據電信網和互聯網全程全網的特點，電信網和互聯網的安全防護工作可從固定通信網、移動通信網、互聯網、增值業務網、非核心生產單元來開展。其中，互聯網包括經營性互聯網信息服務單位、互聯網接入服務單位、互聯網數據中心、互聯網域名服務機構等單位運營的網絡或信息系統。增值業務網對固定通信網、移動通信網、互聯網實施安全防護，應分別從構成上述網絡的不同電信網和互聯網其中，接入網包括各種有線、無線和衛星接入網等，傳送網包括光纜、波分、SDH、衛星等，而支撐網安全防護要求明確了電信網和互聯網及相關系統需要落實的安全管理和技術措施，涵蓋了安全等級保護、安全風險評估、災難備份及恢復等三部分內容，其中安全等級保護工作需要落實的物理環境和管4IP承載網習能游智能網消息鬥安全防護要求增值業務網互聯附圖1電信網和互聯網安全防護體系5安全運維電信網和互聯網安全風險評估應貫穿于電信網和互聯網生命周期的各階段中，在生命周期不同階段的風險評估原則和方法是一致的。在電信網和互聯網的安全風險評估工作中，應首先進行相關工作的準安全風險分析中要涉及資產、威脅、脆弱性等基本要素，每個要素有各自的屬性。資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度威脅出現安全事件的可能性存在的脆安全事件資產價值風險評估鳳險處理電信網和互聯網災難備份及恢復工作利用技術、管理手段以及相關資源，確保已有的電信網和互聯網在災難發生后，在確定的時間內可以恢復和繼續運行。災難備份及恢復工作需要防范包括地震、水災等自然災難以及火災、戰爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件。保證在災難發生后單一地區的災難不影響災難發生地理范圍以外地區的語音業務，并且發生災難的地區的語音業務能夠通過有效災難恢復計劃的實施，在一定時間范圍(指標應與災難級別對應)內恢復通信。6關、互相滲透、互為補充。電信網和互聯網安全防護應將安全等級保護、安全風險評估、災難備份及恢復工作有機結合，加強相關工作之間的整合和銜接，保證電信網絡安全防護工作的整體性、統一性和協調性。電信網絡安全防護工作應按照根據被保護對象的重要性進行分等級保護的思想，通過安全風險評估的方法正確認識被保護對象存在的脆弱性和面臨的威脅，進而制定、落實和改進與安全保護等級和風險大小相適應的一系列管理、技術、災難備份等安全等級保護措施，最終達到提高電信網絡安全保護能在開展安全等級保護工作時，要充分應用安全風險評估的方法，認識、分析不存在的脆弱性和面臨的威脅，進而制定和落實與被保護對象的類型、脆弱性和威脅相適應的基本安全保護措施要求，提高安全等級保護工作的針對性和適用性。在開展安全風險評估工作時，在分析被保護對象綜合