网络安全-网络安全架构与维护规范.doc
《网络安全-网络安全架构与维护规范.doc》由会员分享,可在线阅读,更多相关《网络安全-网络安全架构与维护规范.doc(78页珍藏版)》请在咨信网上搜索。
1、网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41.1 中华人民共和国工业和信息化部11号令41。2 中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122。1 电信网和互联网安全防护管理指南122.2 电信网和互联网安全等级保护实施指南202.3 电信网和互联网安全风险评估实施指南472.4 电信网和互联网安全等级保护实施指南72第3章网络安全架构873。1 概述873。1.1 基本原则873.1。2 适应范围873.1.3 安全策略体系架构及目标873.2 组织与人员883。2。1 组织机构883.2。2 人员管理883。3 网络建设与开发893.3。1
2、设计、建设和验收893.3。2 系统的安全要求893。3.3 开发和支持过程中的安全893.3。4 系统文件的安全893。3。5 安全培训893.3。6 系统验收903。3.7 设备安全准入90第4章安全维护规范914.1 安全域划分及边界整合914.1。1 安全域划分与边界整合914.1.2 定级备案914.1.3 安全域职责分工914.1.4 网络接入914。2 安全管理规范914。2。1 安全操作流程和职责913.2。2 安全对象管理924.2。3 安全日常维护管理924。2。4 第三方服务管理934.2.5 介质安全管理934.2。6 设备安全规范管理934。3 访问控制944。3。1
3、 网络访问控制944。3。2 操作系统的访问控制954。3.3 应用访问控制954.3.4 网络访问与使用的监控954.3。5 远程访问控制964。4 网络与系统分先评估964。5 安全事件与应急响应964。5.1 安全事件报告机制964。5。2 应急响应974。6 安全审计管理974。6。1 审计内容要求974.6。2 审计原则984.6。3 审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令通信网络安全防护管理办法已经 2009 年 12 月 29 日中华人民共和国工业和信息化部第 8 次部务会议审议通过,现予公布,自 2010 年 3 月 1 日起施行
4、。部长李毅中二一年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据中华人民共和国电信条例,制定本办法.第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位)管理和运行的公用通信网和互联网(以下统称“通信网络)的网络安全防护工作,适用本办法。本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或
5、者被篡改而开展的工作.第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准.各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构.第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目,
6、应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行.通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照以下规定向
7、电信管理机构备案:(一)基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案;(二)增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案;(三)互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案,应当提交以下信息:(一)通信网络单元的名称、级别和主要功能;(二)通信网络单元责任单位的名称和联系方式;(三)通信网络单元主要负责人的姓名和联系方式;(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;
8、(五)电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查,发现备案信息不真实、不完整的,通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测:(一)三级及三级以上通信网络单元应当每年进行一次符合性评测;(二)二级通信网络单元应当每两年进行一次符合性评测.通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测。通
9、信网络运行单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:(一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;(二)二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估.通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统
10、和数据等进行备份。第十四条通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要,加强对前款规定的受托机构的安全评测、评估、监测能力指导.第十七条电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施:(一)查阅通信网络运行单位的符合性评测报告和风险评估报告;(
11、二)查阅通信网络运行单位有关网络安全防护的文档和工作记录;(三)向通信网络运行单位工作人员询问了解有关情况;(四)查验通信网络运行单位的有关设施;(五)对通信网络进行技术性分析和测试;(六)法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动。第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动,对于检查中发现的重大网络安全隐患,应当及时整改。第二十条电信管理机构对通信网络安全防护工作进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管
12、理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私,有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的,由电信管理机构依据职权责令改正;拒不改正的,给予警告,并处五千元以上三万元以下的罚款.第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第二十四条本办法自 2010 年 3 月 1 日起施行。1.2 中华人民共和国工业和信息化部24令电信和互联网用户个人信息保护规定已经 2013 年 6 月 28 日中华人
13、民共和国工业和信息化部第 2 次部务会议审议通过,现予公布,自2013 年 9 月 1 日起施行。部长苗圩2013 年 7 月 16 日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据全国人民代表大会常务委员会关于加强网络信息保护的决定、中华人民共和国电信条例和互联网信息服务管理办法等法律、行政法规,制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定.第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理
14、。第四条本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作.第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、
15、使用规则,并在其经营或者服务场所、网站等予以公布.第九条未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项.电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和
16、使用,并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供.第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务.第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联
17、系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;(六)记录对
18、用户个人信息进行操作的人员、时间、地点、事项等信息;(七)按照电信管理机构的规定开展通信网络安全防护工作;(八)电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告.电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有
19、关行为,电信业务经营者和互联网信息服务提供者应当执行.第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查
20、,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。第五章 法律责任第二十二条
21、电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款.第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。第六章附则第二十五条本规定自 2013 年 9 月 1 日起施行。第
22、2章网络安全防护实施标准2.1 电信网和互联网安全防护管理指南1。 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网.2。 规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于
23、本标准.GB/T 5271.82001 信息技术词汇第 8 部分:安全3. 术语和定义GB/T 5271。82001确立的术语和定义,以及下列术语和定义适用于本标准。3。1 电信网 telecom network 利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3。2 互联网 Internet 泛指广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的,功能和逻辑上的大型网络。3.3 电信网和互联网安全防护体系 security protection architect
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 架构 维护 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。