网络安全-网络安全架构与维护规范.docx

网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41.1 中华人民共和国工业和信息化部11号令41.2 中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122.1 电信网和互联网安全防护管理指南122.2 电信网和互联网安全等级保护实施指南202.3 电信网和互联网安全风险评估实施指南472.4 电信网和互联网安全等级保护实施指南72第3章网络安全架构873.1 概述873.1.1 基本原则873.1.2 适应范围873.1.3 安全策略体系架构及目标873.2 组织与人员883.2.1 组织机构883.2.2 人员管理883.3 网络建设与开发893.3.1 设计、建设和验收893.3.2 系统的安全要求893.3.3 开发和支持过程中的安全893.3.4 系统文件的安全893.3.5 安全培训893.3.6 系统验收903.3.7 设备安全准入90第4章安全维护规范914.1 安全域划分及边界整合914.1.1 安全域划分与边界整合914.1.2 定级备案914.1.3 安全域职责分工914.1.4 网络接入914.2 安全管理规范914.2.1 安全操作流程和职责913.2.2 安全对象管理924.2.3 安全日常维护管理924.2.4 第三方服务管理934.2.5 介质安全管理934.2.6 设备安全规范管理934.3 访问控制944.3.1 网络访问控制944.3.2 操作系统的访问控制954.3.3 应用访问控制954.3.4 网络访问与使用的监控954.3.5 远程访问控制964.4 网络与系统分先评估964.5 安全事件与应急响应964.5.1 安全事件报告机制964.5.2 应急响应974.6 安全审计管理974.6.1 审计内容要求974.6.2 审计原则984.6.3 审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令《通信网络安全防护管理办法》已经 2009 年 12 月 29 日中华人民共和国工业和信息化部第 8 次部务会议审议通过，现予公布，自 2010 年 3 月 1 日起施行。部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位）管理和运行的公用通信网和互联网（以下统称“通信网络）的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案，应当提交