文件名称:
3.电信网和互联网安全风险评估实施指南.pdf
开发工具:
文件大小: 499kb
下载次数: 0
上传时间: 2019-10-31
详细说明:中华人名共和国通信行业标准-电信网和互联网安全风险评估实施指南YD/T XXXX-XXXX
目次
1范围
2规范性引用文件...
3术语和定义
4风险评估框架及流程.
4.1风险要素关系.
4.2实施流程
4466
4.3工作形式
.·
4.4遵循的原则
5风险评估实施
5.1风险评估的准备..
5.2资产识别
.·;.···.;.····
5.3威胁识别,.
12
5.4脆弱性识别
14
5.5威胁利用脆弱性的关联关系
16
5.6已有安全措施的确认
5.7风险分析
··
17
5.8风险评估文件
6风险评估在电信网和互联网及相关系统生命周期中的不同要求
6.1电信网和互联网及相关系统生命周期概述
6.2启动阶段的风险评估
6.3设计阶段的风险评估.
2
6.4实施阶段的风险评估
23
6.5运维阶段的风险评估.
6.6废疥阶段的风险评估.
21
附录A(规范性附录)资产价值的计算方法
A.1对数法
25
A.2矩阵法
YD/T XXXX-XXXX
附录B(规范性附录)风险值的计算方法,...
B.1相乘法
B.2矩阵法
参考文献
29
II
YD/T XXXX-XXXX
前
本标准是“电信网和互联网安仝防护体系”系列标准之一。该系列标准预计结构及名称如下:
1、《电信网和工联网安仝防护管理指南》
2、《电信网和可联网安全等级保护实施指南》
3、《电信网和互联网安全风险评佔实旌指南》(本标准)
4、《电信网和互联网灾难备份及恢复实施指南》
5、《固定通信网安全防扩要求》
6、《移动通信网安全防扩要求》
7、《互联网安全防护要求》
8、《增值业务网一消息网安全防护要求》
9、《增值业务网一智能网安全防护要求》
10
《接入网安全防护要求》
《传送网安全防护要求》
《IP承载网安全防护要求》
《信令网安全防护要求》
14、
《同步网安全防护要求》
15
《支撑网安全防护要求》
16、《非核心生产单元安全防护要求》
17、《电信网和互联网物理环境安全等级保护要求》
18、
《电信网和互联网管理安全等级保扩要求》
19
《固定通信网安全防护检测要求》
20、
《移动通信网安全防护检测要求》
《互联网安全防护检测要求》
《増值业务网一消息网安全防护检测要求》
23
《増佰业务网一—智能网安仝防护检测要求》
21、
《接入网安仝防护检测要求》
25、
《传送网安全防护检测要求》
26
《TP承载网安全防护检测要求
27
《信令网安全防护检测要求》
YD/T XXXX-XXXX
《同步网安全防护检测要求》
《支撑网安全防护检测要求》
30、
《非核心生产单元安全防护检测要求》
31、
《电信网和互联网物理环境安全等级保护检测要求》
《电信网和互联网管理安全等级保扩检测要求》
木标准的附录A和附录B是规范性附录。
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安仝防护体系的相关标准。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网终
通信集团公司、中国联合通信有限公司、中国铁通集团有限公司。
本标准主要起草人:魏薇、赵阳、周智、殷琪、杜之亭、张云勇、冯铭。
YD/T XXXX-XXXX
电信网和互联网安全风险评估实施指南
1范围
木标准规定了对电信网和联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形
式、遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点
本标准适用于电信网和互联网的风险评估工作。
本标准可作为电信网和互联网安仝风险评估的总体指导性文件,针对具体网络的安仝风险评估可
参见具体网络的安仝防护要求和安仝防护检测要求。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注口期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方
研究是否可使用这些文件的最新版木。凡是不注日期的引用文件,其最新版木适用」木标准。
GBT5271.8-2001信息技术词汇第8部分:安全
GBT9361-2000
计算机场地安全要求
GBT19716-2005信息技术信息安仝管理实用规则
YDT75495
通信机房静电防护通则
YDT5026-2005
电信机房铁架安装设计标准
YD5002-94
邮电建筑防火设计标准
YD5098-2005
通信局(站)防雷与接地工程设计规范
YDN126-2005
增值电信业务网络信息安全保障基本要求
YDN1272005
电信设备的安全准则
ISO仼EC13335.1-2004信息技术一安全技术-I安全管理指南第1部分:I安全管理概念和模型
ISO/IEC17799-2005信息技术一安全技术一信息安全管理实施准则
3术语和定义
GBT5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。
YD/T XXXX-XXXX
电信网 telecom network
利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递
的网络,包括固定通信网、移动通信网等。
电信网和互联网安全防护体系 secur ity protection ar chitecture of te lecom network and
Internet
电信网和互联网的安全等级保护、安全风险泮估、灾难备份及恢复三项工作互为依托、互为补充、
相互配合,共同构成了电信网和互联网安全防护体系。
电信网和互联网相关系统 systems of te| ecom network and internet
组成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。
其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网
包括业务支撑和网管系统。
资产 asset
电信网和互联网及相关系统中具有价值的資源,是安全防护体系保护的对象。电信网和互联网及
相关系统中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、
物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如I承载网中的路由器
支撑网中的用户数据、传送网的网络布局。
资产价值 asset value
电信网和互联网及相关系统中资产的重要程度或敏感稈度。资产价值是资产的属性,乜是进行资
产识别的主要内容。
威胁 threat
可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可
能是非人为的;可能是无意失误,也可能是恶意攻击。常见的网络威胁有偷窃、冒名顶替、病毒、特
洛伊*、错误路由、火灾、水灾等。
YD/T XXXX-XXXX
脆弱性 vul nerabilit
脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对资产造成危害,
但可能被威胁所利用从而危及资产的安全
3.8
组织 or gani zat ion
组织是由电信网和互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组
织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。
电信网和互联网安全风险 secur ity risk of te l ecom network and internet
人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安仝事件的发生及其对
组织造成的影响
10
电信网和互联网安全风险评估 secur ity risk assessment of telecom network and internet
指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱
性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防扩对策和安全措施,
防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电
信网和互联网及相关系统的安全提供科学依据。
3.11
残余风险 residua risk
采取了安全措施后,电信网和互联网及相关系统中仍然可能存在的风险。
3.12
可用性 availability
电信网和互联网及相关系统可正常提供服务。
业务战略 bus iness strategy
电信网和互联网及相关系统的组织为实现其发展目标而制定的一组规则或要求
安全事件 secur ity event
威胁利用脆弱性产生的对电信网和互联网及相关系统的危害情況。
YD/T XXXX-XXXX
3.15
安全需求 secur ity requi rement
为保证电信网和互联网及相关系统的组织业务战略的正常运作而在安全措施方面提出的要求
3.16
安全措施 secur ity measure
电信网和互联网及相关系统中保护資产、抵御威胁、减少脆弱性、降低人险、控制安全事件的影
响,以及打击犯罪而实施的各种实践、规程和札制的总称。安全措施主要体现在检测、阻止、防护
限制、修正、恢复和监视笭多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和
管理等四个领域。
3.17
自评估 se f assessment
由网终和业务运营商发起的,依据通信行业标准对电信网和互联网及相关系统进行的风险评什活
3.18
检查评估 inspection assessment
由主管部门发起的,依据通信行业标准对电信网和互联网及相关系统进行的具有强制性的检查活
4风险评估框架及流程
4.1风险要素关系
风险评仙中各要素的关系如图1所示:
(系统自动生成,下载前可以参看下载内容)
下载文件列表
相关说明
- 本站资源为会员上传分享交流与学习,如有侵犯您的权益,请联系我们删除.
- 本站是交换下载平台,提供交流渠道,下载内容来自于网络,除下载问题外,其它问题请自行百度。
- 本站已设置防盗链,请勿用迅雷、QQ旋风等多线程下载软件下载资源,下载后用WinRAR最新版进行解压.
- 如果您发现内容无法下载,请稍后再次尝试;或者到消费记录里找到下载记录反馈给我们.
- 下载后发现下载的内容跟说明不相乎,请到消费记录里找到下载记录反馈给我们,经确认后退回积分.
- 如下载前有疑问,可以通过点击"提供者"的名字,查看对方的联系方式,联系对方咨询.