根據我國國家相關政策法規及國家信息化領導小組的中辦發[2003]27號《關于加強信息安全保障工作的意見》,中國通信標準化協會(CCSA)于2006年10月啟動了電信網和互聯網的網絡安全防護的系列標準制定工作。并從2008年1月開始陸續頒布了關于電信網和互聯網的安全防護方面的系列通信行業標準,其中于2008年1月14日一次性發布了該系列的32項標準。
該系列標準參照我國關于信息安全方面的國家標準要求,以指導安全防護工作為目的,結合電信網全程全網、網絡分層的特點,其安全防護范圍包括基礎網絡;業務單元和控制單元;非核心生產單元;互聯網的其它網絡或信息系統等四大部分。該系列標準對電信網和互聯網安全防護體系各部分內容及其關系,安全等級劃分和定級方法,安全等級保護實施過程中的基本原則,風險評估的要素及實施流程、工作形式、遵循的原則,災難備份及恢復工作的目標和原則等作出了具體規定。
該系列標準將電信網和互聯網安全防護體系中的等級保護、風險評估、災難備份及恢復這三者有機結合,其目的就是要加強電信網和互聯網的安全防護能力,確保網絡的安全性和可靠性,盡可能實現對電信網和互聯網安全狀況的實時掌控,保證電信網和互聯網能夠完成其使命。
該系列標準主體組成包括:一是一個管理指南即《電信網和互聯網安全防護管理指南》(YD/T 1728-2008)。二是三個實施指南即《電信網和互聯網安全等級保護實施指南》(YD/T 1729-2008)、《電信網和互聯網安全風險評估實施指南》(YD/T 1730-2008)和《電信網和互聯網災難備份及恢復實施指南》(YD/T 1731-2008)。三是具體網絡的安全防護標準即"安全防護要求"和"安全防護檢測要求",具體網絡的安全防護要求與安全防護檢測要求配套使用。四是相關配套標準,如網絡安全應急處理服務、安全防護名詞術語、網絡安全事件描述和交換格式等的規范。
YD/T 1728對電信網和互聯網安全防護的定義、目標、原則進行了描述和規范。同時,對電信網和互聯網安全防護體系、安全防護體系三部分工作及其關系進行了說明。YD/T 1729規定了電信網和互聯網安全等級保護的概念、對象、目標,安全等級劃分和定級方法,安全等級保護實施過程中的基本原則,并結合電信網和互聯網的生命周期定義了電信網和互聯網安全等級保護工作的主要階段及主要活動。YD/T 1730規定了電信網和互聯網的安全進行風險評估的要素和要素之間的關系、實施流程、工作形式遵循的原則,在電信網和互聯網生命周期不同階段的不同要求和實施要點。YD/T 1731對電信網和互聯網災難備份及恢復工作的目標和原則進行了描述和規范,同時規定了電信網和互聯網災難備份及恢復的等級劃分和實施等級要求。
具體網絡的安全防護標準,目前覆蓋了固定網(YD/T 1732-2008和YD/T 1733-2008)、移動網(YD/T 1734-2008和YD/T 1735-2008)、互聯網(YD/T 1736-2008和YD/T 1737-2008)、消息網(YD/T 1738-2008和YD/T 1739-2008)、智能網(YD/T 1740-2008和YD/T 1741-2008)、接入網(YD/T 1742-2008和YD/T 1743-2008)、傳送網(YD/T 1744-2008和YD/T 1745-2008)、IP承載網(YD/T 1746-2008和YD/T 1747-2008)、信令網(YD/T 1748-2008和YD/T 1749-2008)、同步網(YD/T 1750-2008和YD/T 1751-2008)、支撐網(YD/T 1752-2008和YD/T 1753-2008)、非核心生產單元(YD/T 1758-2008和YD/T 1759-2008)等12個具體網絡。其中安全等級保護工作需要落實的物理環境(YD/T 1754-2008和YD/T 1755-2008)和管理(YD/T 1756-2008和YD/T 1757-2008)的安全等級保護要求被單獨提出作為電信網和互聯網及相關系統的通用安全等級保護要求。其中安全防護要求明確了電信網和互聯網及相關系統需要落實的安全管理和技術措施,涵蓋了安全等級保護、安全風險評估、災難備份及恢復等三部分內容;安全防護檢測要求與安全防護要求相對應,提供了對電信網和互聯網安全防護工作進行檢測的方法,從而確認網絡和業務運營商、設備制造商在安全防護工作實施過程中是否滿足了相關安全防護要求。
