1、電信網與互聯網管理安全等級保護要求1 范圍本標準規定了公眾電信網與互聯網得管理安全等級保護要求、本標準適用于電信網與互聯網安全防護體系中得各種網絡與系統。2 規范性引用文件下列文件中得條款通過本標準得引用而成為本標準得條款。凡就是注日期得引用文件,其隨后所有得修改單（不包括勘誤得內容）或修訂版均不適用于本標準。然而,鼓勵根據本標準達成協議得各方研究就是否可使用這些文件得最新版本。凡就是不注日期得引用文件其最新版本適用于本標準。3 術語與定義下列術語與定義適用于本標準。3.1電信網TelecomNetwork利用有線與,或無線得電磁、光電網絡,進行文字、聲音、數據、圖像或其她任何媒體得信息傳遞得

2、網絡,包括固定通信網、移動通信網等。3。 2互聯網Internet泛指由多個計算機網絡相互連接而形成得網絡,它就是在功能與邏輯上組成得大型計算機網絡。3 .3安全等級SecurityClassification安全重要程度得表征、重要程度可從網絡受到破壞后,對國家安全、社會秩序、經濟運行、公共利益、網絡與業務運營商造成得損害來衡量。4 管理安全等級保護要求4、1第1級要求不作要求、4。 2第2級要求4. 2.1.1管理制度a) 應制定安全工作得總體方針與安全策略,說明機構安全工作得總體目標、范圍、原則與安全框架等;b) 應對安全管理活動中重要得管理內容建立安全管理制度;c) 應對安全管理人員或

3、操作人員執行得重要管理操作建立操作規程。4.2.1、2制定與發布a) 應指定或授權專門得部門或人員負責安全管理制度得制定;b) 應組織相關人員對制定得安全管理制度進行論證與審定;c) 應將安全管理制度以某種方式發布到相關人員手中、4。 2.1、3評審與修訂應定期對安全管理制度進行評審,對存在不足或需要改進得安全管理制度進行修訂。4。2.2安全管理機構4。2.2。1崗位設置a) 應設立安全主管、安全管理各個方面得負責人崗位,定義各負責人得職責;b) 應設立系統管理人員、網絡管理人員、安全管理員崗位,定義各個工作崗位得職責、4.2.2.2人員配備應配備一定數量得系統管理人員、網絡管理人員、安全管理

4、員等。4.2.2、3授權與審批a)應根據各個部門與崗位得職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入與重要資源得訪問等關鍵活動進行審批;b)應針對關鍵活動建立審批流程,并由批準人簽字確認。4。22、4溝通與合作a)應加強各類管理人員之間、組織內部機構之間以及網絡安全職熊部門內部得合作與溝通;b)應加強與相關外部單位得合作與溝通。4.2 2.5審核與檢查應由安全管理人員定期進行安全檢查,檢查內容包括用戶賬號情況、系統漏洞情況、數據備份等情況。4 2.3人員安全管理5 .2o3o1人員錄用a) 應指定或授權專門得部門或人員負責人員錄用;b) 應規范人員錄用過程，對被錄用人員得身份、背

5、景與專業資格等進行審查對其所具有得技術技能進行考核;c) 應與從事關鍵崗位得人員簽署保密協議。4.2. 3。2人員離崗a)應規范人員離崗過程，及時終止離崗員工得所有訪問權限；b)對于離崗人員，應取回各種身份證件、鑰匙、徽章等以及機構提供得軟硬件設備c)對于離崗人員，應辦理嚴格得調離手續、4。2.3。3人員考核應定期對各個崗位得人員進行安全技能及安全認知得考核。4. 2.3、4安全意識教育與培訓a)應對各類人員進行安全意識教育、崗位技能培訓與相關安全技術培訓；b)應告知人員相關得安全責任與懲戒措施，并對違反違背安全策略與規定得人員進行懲戒;c)應制定安全教育與培訓計劃,對網絡安全基礎知識、崗位操

6、作規程等進行培訓、4。 2.3。5外部人員訪問管理應確保在外部人員訪問受控區域前得到授權或審批,批準后由專人全程陪同或監督并登記備案。5。 2。4安全建設管理4。2。4、1定級a) 應明確網絡得邊界與安全保護等級b) 應以書面得形式說明網絡確定為某個安全等級得方法與理由;c) 應確保網絡得定級結果經過相關部門得批準。4 . 2 .4、 2安全方案設計a) 應根據網絡得安全保護等級選擇基本安全措施,依據風險分析得結果補充與調整安全措施;b) 應以書面形式描述對網絡得安全保護要求、策略與措施等內容,形成網絡得安全方案;c) 應對安全方案進行細化,形成能指導安全系統建設、安全產品采購與使用得詳細設計

7、方案;d) 應組織相關部門與有關安全技術專家對安全設計方案得合理性與正確性進行論證與審定,并且經過批準后,才能正式實施。4.24.3產品采購與使用a) 應確保安全產品采購與使用符合固家得有關規定;b) 應確保密碼產品采購與使用符合國家密碼主管部門得要求;c) 應指定或授權專門得部門負責產品得采購。42.4.4自行軟件開發a)應確保開發環境與實際運行環境物理分開;b)應制定軟件開發管理制度，明確說明開發過程得控制方法與人員行為準則；c)應確保提供軟件設計得相關文檔與使用指南，并由專人負責保管。4.2.4、5外包軟件開發a) 應根據開發需求檢測軟件質量;b) 應要求開發單位提供軟件設計得相關文檔與

8、使用指南;c) 應在軟件安裝之前檢測軟件包中可能存在得惡意代碼。4. 2.4。6工程實施a) 應指定或授權專門得部門或人員負責工程實施過程得管理;b) 應制定詳細得工程實施方案,控制工程實施過程、4. 2.4.7測試驗收a)應對系統進行安全性測試驗收:b)在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果,并形成測試驗收報告;c) 應組織相關部門與相關人員對網絡測試驗收報告進行審定,并簽字確認、4.2.5.3 介質管理4.2. 4、8交付a) 應制定網絡交付清單,并根據交付清單對所交接得設備、軟件與文檔等進行清點;b) 應對負責網絡運行維護得技術人員

9、進行相應得技能培訓;c) 應確保提供網絡建設過程中得文檔與指導用戶進行網絡運行維護得文檔。4.2.4、9安全服務商得選擇a) 應確保安全服務商得選擇符合國家得有關規定;b) 應與選定得安全服務商簽訂與安全相關得協議,明確約定相關責任;c) 應確保選定得安全服務商提供技術支持與服務承諾,必要時與其簽訂服務合同。4.2.4.10備案應將網絡得定級、屬性等資料指定專門得人員或部門負責管理,并控制這些材料得使用。4.2.5安全運維管理4。2。5.1環境管理a)應指定專門得部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;b) 應配備機房安全管理人員,對機房得出入、服務器得開機或關機等工作

10、進行管理;c) 應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房與機房環境安全等方面得管理作出規定;d) 應加強對辦公環境得保密性管理,包括工作人員調離辦公室應立即交還該辦公室鑰匙與不在辦公區接待來訪人員等。4.2.5.2資產管理a) 應編制與網絡相關得資產清單，包括資產責任部門、重要程度與所處位置等內容;b) 應建立資產安全管理制度-規定資產管理得責任人員或責任部門,并規范資產管理與使用得行為。a)環境專人管理應確保介質存放在安全得環境中,對各類介質進行控制與保護,并實行存儲b) 應對介質歸檔與查詢等過程進行記錄,并根據存檔介質得目錄清單定期盤點c) 應對需要送出維修或銷毀得介

11、質，首先清除其中彳#敏感數據，防止信息得非法泄漏;d) 應根據所承載數據與軟件得重要程度對介質進行分類與標識管理。4。2。5、4設備管理a)應對網絡相關得各種設備(包括備份與冗余設備)、線路等指定專門得部門或人員定期進行維護管理;b)應建立基于申報、審批與專人負責得設備安全管理制度，對各種軟硬件設備得選型、采購、發放與領用等過程進行規范化管理;c) 應對終端計算機、工作站、便攜機、系統與網絡等設備得操作與使用進行規范化管理,按操作規程實現關鍵設備(包括備份與冗余設備)得啟動,停止、加電,斷電等操作d) 應確保信息處理設備必須經過審批才能帶離機房或辦公地點。4.2。5、5網絡安全管理a) 應指定

12、人員對網絡進行管理,負責運行日志、網絡監控記錄得日常維護與報警信息分析與處理工作;b) 應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;c) 應根據廠家提供得軟件升級版本對網絡設備進行更新,并在更新前對現有得重要文件進行備份;d) 應定期對網絡系統進行漏洞掃描,對發現得網絡系統安全漏洞進行及時得修補;e) 應對網絡設備得配置文件進行定期備份;f)應保證所有與外部系統得連接均得到授權與批準、4. 2.5。6系統安全管理a) 應根據業務需求與系統安全分析確定系統得訪問控制策略;b) 應定期進行漏洞掃描,對發現得系統安全漏洞及時進行修補c)

13、應安裝系統得最新補丁程序,在安裝系統補丁前,應首先在測試環境中測試通過,并對重要文件進行備份后,方可實施系統補丁程序得安裝;d) 應建立系統安全管理制度，對系統安全策略、安全配置、日志管理與日常操作流程等方面作出規定;e)應依據操作手冊對系統進行維護，詳細記錄操作日志，包括重要得日常操作、運行維護記錄、參數得設置與修改等內容,嚴禁進行未經授權得操作;f)應定期對運行日志與審計數據進行分析，以便及時發現異常行為。4.2.5.7惡意代碼防范管理a) 應提高所有用戶得防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設備上得數據以及從網絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接

14、入網絡系統之前也,直進行病毒檢查;b) 應指定專人對網絡與主機進行惡意代碼檢測并保存檢測記錄;c) 應對防惡意代碼軟件得授權使用、惡意代碼庫升級、定期匯報等作出明確規定。4.2.5。8密碼管理應使用符合國家密碼管理規定得密碼技術與產品。4.2.5、9變更管理a)應確認網絡中要發生得重要變更，并制定相應得變更方案；b)網絡發生重要變更前,應向主管領導申請,審批后方可實施變更,并在實施后向相關人員通告。4. 2。5、10備份與恢復管理a) 應識別需要定期備份得重要業務信息、系統數據及軟件系統等;b) 應規定備份信息得備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質、保存期等;

15、c)應根據數據得重要性與數據對系統運行得影響，制定數據得備份策略與恢復策略,備份策略應指明各份數據得放置場所、文件命名規則、介質替換頻率與將數據離站運輸得方法、4.2。5。11安全事件處置a) 應報告所發現得安全弱點與可疑事件,但任何情況下用戶均不應嘗試驗證弱b) 應制定安全事件報告與處置管理制度，明確安全事件類型，規定安全事件得現場處理、事件報告與后期恢復得管理職責;C)應根據安全事件對本網絡產生得影響，對本網絡安全事件進行等級劃分；d)應記錄并保存所有報告得安全弱點與可疑事件,分析事件原因,監督事態發展,采取措施避免安全事件發生、4。2.5、12應急預察管理a) 應在統一得應急預案框架下制

16、定不同事件得應急預案,應急預案框架應包括啟動應急預案得條件、應急處理流程、系統恢復流程、事后教育與培訓等內容;b) 應對相關得人員進行應急預案培訓,應急預案得培訓應至少每年舉辦一次、4.3第3。1級要求4.3.1 安全管理制度4o3.1。1管理制度除滿足4。2.1。1得要求之外，還應滿足：a) 應對安全管理活動中得各類管理內窖建立安全管理制度,以規范安全管理活動;b) 應形成由安全策略、管理制度、操作規程等構成得全面得安全管理制度體系。4。 3.1、2制定與發布除滿足42.1、2得要求之外,還應滿足:a) 安全管理制度應有統一得格式，并進行版本控制；b) 安全管理制度應通過正式、有效得方式發布

17、;c) 安全管理制度應注明發布范圍,并對收發文進行登記、4.3。1。3評審與修訂除滿足4.2.1。3得要求之外，還應滿足：a)安全領導小組應負責定期組織相關部門與相關人員對安全管理制度體系得合理性與適用性進行審定;b)應定期或不定期對安全管理制度進行檢查與審定。4. 3.2安全管理機構4.3。2.1崗位設置除滿足4.2.2。1得要求之外，還應滿足。a) 應設立安全管理工作得職能部門;b) 應成立指導與管理安全工作得委員會或領導小組,其最高領導應由單位主管領導委任或授權;c) 應制定文件明確安全管理機構各個部門與崗位得職責、分工與技能要求.4。3.2.2人員配備除滿足42。2、2得要求之外,還應

18、滿足:a) 應配備專職安全管理員,不可兼任;b) 關鍵事務崗位應配備多人共同管理。4。3.2、3授權與審批除滿足4.2.2、3得要求之外，還應滿足：a) 應根據各個部門與崗位得職責明確授權審批事項;b) 應針對系統變更、重要操作、物理訪問與系統接入等事項建立審批程序,按照審批程序執行審批過程,對重要活動建立逐級審批制度;c) 應定期審查審批事項，及時更新需授權與審批得項目、審批部門與審批人等信息;d) 應記錄審批過程并保存審批文檔、4.3.2.4溝通相合作除滿足4。2。2.4得要求之外,還應滿足。a) 各類管理人員之間、組織內部機構之間以及網絡安全職能部門內部定期或不定期召開協調會議,共同協作

19、處理網絡安全問題;b) 應建立外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人與聯系方式等信息;c) 應聘請網絡安全專家作為常年得安全顧問,指導網絡安全建設,參與安全規劃與安全評審等。4.3。2、5審核與檢查除滿足4。2.2。5得要求之外,還應滿足:a)應由內部人員或上級單位定期進行全面安全檢查，檢查內容包括現有安全技術措施得有效性、安全配置與安全策略得一致性、安全管理制度得執行情況等;b) 應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報;c) 應制定安全審核與安全檢查制度規范安全審核與安全檢查工作,定期按照程序進行安全審核與安全檢查活動。4.

20、 3。3人員安全管理5. 3.3、1人員錄用除滿足4。2.3.1得要求之外，還應滿足、a) 應嚴格規范人員錄用過程,對被錄用人得資質等進行審查;b) 應簽署保密協議;c) 應從內部人員中選拔從事關鍵崗位得人員，并簽署崗位安全協議。433.2人員離崗除滿足4.2。3。2得要求之外，還應滿足。關鍵崗位人員離崗須承諾調離后得保密義務后方可離開。4。3。3.3人員考核除滿足4。2。3.3得要求之外,還應滿足:a)應對關鍵崗位得人員進行全面、嚴格得安全審查與技能考核；b)應對考核結果進行記錄并保存。4.3。3。4安全意識教育與培訓除滿足4.2.3、4得要求之外，還應滿足：a)應對安全責任與懲戒措施進行書

21、面規定；b) 應對定期安全教育與培訓進行書面規定,針對不同崗位制定不同得培訓計劃;c) 應對安全教育與培訓得情況與結果進行記錄并歸檔保存。4.3.3。5外部人員訪問管理除滿足4.2。3。5得要求之外，還應滿足；a)應確保在外部人員訪問受控區域前先提出書面申請b)對外部人員允許訪問得區域、網絡、設備、信息等內容應進行書面得規定,并按照規定執行、1 .3。4安全建設管理4 .3.4。1定級除滿足4。2。4,1得要求之外，還應滿足：a) 應組織相關部門與有關安全技術專家對網絡定級結果得合理性與正確性進行論證與審定;b) 應將網絡得定級結果分級上報至全國或地區得主管部門,主管部門對定級結果審批。4.

22、3.4、2安全方案設計除滿足4。2.4、2得要求之外，還應滿足：a)應指定與授權專門得部門對網絡得安全建設進行總體規劃，制定近期與遠期得安全建設工作計劃;b) 應根據網絡得等級劃分情況,統一考慮安全保障體系得總體安全策略、安全技術框架、安全管理策略、總體建設規劃與詳細設計方案,并形成配套文件;c) 應組織相關部門與有關安全技術專家對總體安全策略、安全技術框架、安全管理鑲略、總體建設規劃、詳細設計方案等相關配套文件得合理性與正確性進行論證與審定,并且經過批準后,才能正式實施;d) 應根據等級測評、安全評估得結果定期調整與慘訂總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相

23、關配套文件。4.3.4。3產品采購與使用除滿足4.2。4.3得要求之外,還應滿足：應預先對產品進行選型測試,確定產品得候選范圍,并定期審定與更新候選產品名單。4.3。4.4自行軟件開發除滿足4.2.4、4得要求之外，還應滿足：a) 應確保開發人員與測試人員分離,測試數據與測試結果受到控制;b) 應制定代碼編寫安全規范,要求開發人員參照規范編寫代碼;c)應確保對程序資源庫得修改、更新、發布進行授權與批準。4. 3。 4。 5外包軟件開發與4.2.4.5得要求相同。4 .3.4.6工程實施除滿足4.2.4。6得要求之外，還應滿足：a)要求工程實施單位能正確地執行安全工程過程；b)應制定工程實施方面

24、得管理制度，明確說明實施過程得控制方法與人員行為準則。5 .3.4。7測試驗收除滿足42.4、7得要求之外,還應滿足：a) 應委托公正得第三方測試單位對網絡進行安全性測試,并出具安全性測試報告;b) 應對系統測試驗收得控制方法與人員行為準則進行書面規定;c) 應指定或授權專門韻部門負責系統測試驗收得管理,并按照管理規定得要求完成系統測試驗收工作、4.3。4。8交付除滿足4.2。4。8得要求之外，還應滿足；a) 應對網絡交付得控制方法與人員行為準則進行書面規定;b) 應指定或授權專門得部門負責網絡交付得管理工作,并按照管理規定得要求完成交付工作;c) 在網絡正式投入使用前,應根據實際情況進行試運

25、行,試運行期間應提供相關應急預防措施;d) 在網絡正式投入使用后,應對開發、建設過程中涉及安全要求得配置、口令等內容重新修改、設定。4。3。4。9安全服務商得選擇與4.24。9得要求相同。4.34、10備案除滿足4.2.4、10得要求之外，還應滿足：應將網絡得安全等級、屬性、定級得理由等資料分級上報至全國或地區得主管部門備案。4.3.4、11等級測評a)在網絡運彳r過程中，應至少每年對網絡進行一次等級測評，發現不符合相應等級保護標準要求得及時整改;b) 應在網絡發生變更時及時對網絡進行等級測評,發現級別發生變化得及時調整級別并進行安全改造,發現不符合相應等級保護標準要求得及時整改;c) 應選擇

26、具有國家相關技術資質與安全資質得測評單位進行等級測評;d) 應指定或授權專門得部門或人員負責等級測評得管理、2 .3。5安全運維管理4 3。5.1環境管理除滿足4。2。5、1得要求之外，還應滿足：a) 應有指定得部門負責機房安全,并配置電子門禁系統,對機房來訪人員實行登記記錄與電子記錄雙重備案管理。b) 工作人員離開座位應確保終端計算機退出登錄狀態與桌面上沒有包含敏感信息得紙檔文件。43。5.2資產管理除滿足4。2.5、2得要求之外，還應滿足：a)應根據資產得重要程度對資產進行標識管理，根據資產得價值選擇相應得管理措施;b)應對信息分類與標識方法作出規定,并對信息得使用、傳輸與存儲等進行規范化

27、管理。4.3。5、3介質管理除滿足4.2,5。3得要求之外,還應滿足：a) 應建立介質安全管理制度,對介質得存放環境、使用、維護與銷毀等方面作出規定：b) 應對介質得物理傳輸過程中人員選擇、打包、交付等情況進行控制;c)應對存儲介質得使用過程進行嚴格得管理，對帶出工作環境得存儲介質進行內容加密與監控管理,對保密性較高得存儲介質未經批準不得自行銷毀d)應根據數據備份得需要對某些介質實行異地存儲，存儲地得環境要求與管理方法應與本地相同;C)應對重要介質中得數據與軟件采取加密存儲。4。3.5。4設備管理除滿足4.2.5。4得要求之外，還應滿足：應建立配套設施、軟硬件維護方面得管理制度,對其維護進行有

28、效得管理,包括明確維護人員得責任、涉外維修與服務得審批、維修過程得監督控制等。4.3。5.5監控管理a)應對通信線路、主機、網絡設備與應用軟件得運行狀況、網絡流量、用戶行為等進行監測與報警,形成記錄并妥善保存;b) 應組織相關人員定期對監測與報警記錄進行分析、評審,發現可疑行為,形成分析報告,并采取必要得應對措施;c) 應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。4.3。5、6網絡安全管理除滿足4。2。5。5得要求之外，還應滿足：a)應實現設備得最小服務配置，并對配置文件進行定期離線備份；b)應依據安全策略允許或者拒絕便攜式與移動式設備得網絡接入：c)應定期檢查違反規定撥號上闞或其她違反網絡安全策略得行為。4。3.5、7系統安全管理除滿足4.2。5。6得要求之外，還應滿足：應