通信网络安全防护定级备案——通保介绍

除了等保、分保、密评这些合规要求之外，近几年又出现了通保，笔者将结合自己的工作经验写几篇文章分享通保相关的知识和资源。

注：不同地区的通保工作主管部门对通保的具体要求存在差异，笔者将以上海的有关要求为主进行分享。

什么是通保

全称为通信网络安全防护定级备案，简称为通保，和等级保护有些类似，对不同类型和不同等级的信息系统有不同的技术要求（管理侧的要求较少），对信息系统进行定级、符合性评测、应用安全风险评估三项工作，这里的信息系统特指在互联网上提供服务的系统，通常是核心业务信息系统（门户网站也算是核心业务信息系统），企业内部网络中的其他信息系统不需要做通保。

主管部门

中华人民共和国工业和信息化部信息通信管理局，具体落实工作和进行监督检查的的是各地的通信管理局（以下简称通管局），例如上海这边由上海市通信管理局牵头开展通保有关的各项工作。

相关法规要求

《互联网信息服务管理办法》

第四条  国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务。
第八条  从事非经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。

《通信网络安全防护管理办法》

该办法是通保的主要管理和指导办法，需要重点学习
第四条  中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。
各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
第五条  通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。
第七条　 通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。
电信管理机构应当组织专家对通信网络单元的分级情况进行评审。
第十一条 通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：
（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；
（二）二级通信网络单元应当每两年进行一次符合性评测。
通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。
通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。
第十二条　通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：
（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；
（二）二级通信网络单元应当每两年进行一次安全风险评估。
国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。
通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。
第十九条 通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患，应当及时整改。

总体指导标准文件

《YD-T 3799-2020 电信网和互联网网络安全防护定级备案实施指南》
《电信网和互联网网络安全防护定级备案实施指南（1号修改单）》
《YD/T 1728-2008 电信网和互联网安全防护管理指南》
《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》
《YD/T 1730-2008 电信网和互联网安全风险评估实施指南》（2024年7月1日起实行1730-2024新标准，但上海这边目前没有使用该新标准的相关消息）
《YD/T 1756-2008 电信网和互联网管理安全等级保护要求》
《YD/T 1757-2008 电信网和互联网管理安全等级保护检测要求》
…
 

安全防护基线配置及检测要求标准

《YD/T 2698-2014 电信网和互联网安全防护基线配置要求及检测要求 网络设备》
《YD/T 2699-2014 电信网和互联网安全防护基线配置要求及检测要求 安全设备》
《YD/T 2700-2014 电信网和互联网安全防护基线配置要求及检测要求 数据库》
《YD/T 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统》
《YD-T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求 中间件》
《YD-T 2703-2014 电信网和互联网安全防护基线配置要求及检测要求 web应用系统》
…
 

通保工作的对象及频次

1.检查企业

获得电信主管部分许可的基础电信企业、互联网企业、互联网域名注册管理和服务机构。其中互联网企业指：取得ICP/EDI/ISP/IDC等许可资质的企业，即取得《增值电信业务经营许可证》的企业。工业互联网企业和车联网企业也需要按照相应的行业管理要求开展网络安全防护相关工作。

2.检查业务

通过公共互联网收集、存储与处理用户信息和数据的重要信息系统，包括但不限于：互联网数据中心、云服务平台、域名服务系统、门户网站、即时通信系统、网络交易系统、电子邮件系统、软件应用商店、移动应用程序等。
概括讲就是：基础电信企业和互联网企业在互联网上提供服务的核心业务信息系统。

3.具体评估对象

在互联网上提供服务的信息系统（门户网站也算），包括网站前台、APP、小程序，该信息系统在企业内部网络中的管理后台也要做评估。如果没有APP或小程序，则只对网站和系统管理后台进行评估。企业内部网络中的其他信息系统不需要做通保。

通保流程

包括网络单元类型划分、定级备案、符合性评测、风险评估与整改、提交报告、审核6个环节。
网络单元类型划分：确定信息系统属于什么类型的网络单元，目前有互联网交易系统、邮件系统、移动互联网应用商店、网络预约出租汽车服务平台、门户综合网站业务系统、信息社区服务系统等共计47种。
定级备案：确定信息系统对社会影响力、规模和服务范围、所提供服务的重要性三个要素的赋值以及安全等级计算结果k值，根据k值确定该网络单元的安全等级。编写《定级报告》。
符合性评测：对照通信网络安全防护符合性评测表，根据网络单元划分类型及其安全定级，对系统开展安全符合性评测工作，对符合性评测表中的检查内容逐项查验、撰写回答并提供相关截图。编写《符合性评测报告》。
风险评估与整改：梳理业务系统涉及的资产，分析资产风险并进行风险赋值，针对业务系统进行渗透测试，对符合性评测中的不符合项以及渗透测试发现的高危漏洞进行整改。编写《安全风险评估报告》。
提交报告：完成以上工作后，将《定级报告》、《符合性评测报告》、《风险评估报告》上传至通信网络安全防护管理系统（https://www.mii-aqfh.cn），报告模板可以在通信网络安全防护管理系统中下载。
审核：由评审专家对报告进行评审，先进行定级报告预审和初审环节，《定级报告》通过预审后才会进入初审环节审查《符合性评测报告》和《安全风险评估报告》，《定级报告》未通过预审会直接打回所有报告。在初审环节，如果三级系统的报告在评审中出现争议，则会被通管局专家组进行现场检查（通过的报告也会被抽检，也不一定是现场检查，也可能会是线上检查），如果检查未通过则会要求企业根据检查意见补充材料或打回三份报告重新开展评测评估工作。二级系统不涉及现场检查。正常情况下，每月月初开始对上个月提交的报告进行评审，月底给出评审结果（特殊时期会暂停相关工作，通信网络安全防护管理系统也会暂停服务，例如HW期间）。

注：各地通管局对提交材料有不同要求，如浙江通管局还要求提交《三同步报告》、《移动应用安全检测报告》（没有APP则无需提供）、《整改报告》，而上海通这边仅需要提交《定级报告》、《符合性评测报告》、《风险评估报告》。

企业可以自行开展备案和评估工作，也可以委托具备资质的第三方机构（即，属地通管局的网络安全支撑单位）开展通信网络单元的定级、评估、安全风险分析等工作。

三份主要报告的内容

注：网站的前台、后台、APP、小程序，三份报告中都要进行描述和评估（没有APP和小程序时可以跳过）。
《定级报告》：描述网络单元的 基本情况 与 定级情况。
**“基本情况”**包括业务系统概述、管理情况、技术情况，具体包括网络单元（即信息系统）的业务范围、用户类型、所属企业的基本情况、管理架构、各类硬件部署、边界划分等信息。
“定级情况” 需要说明核心业务系统 对社会影响力、规模和服务范围、所提供服务的重要性 三个要素的赋值以及安全等级计算结果k值，根据k值确定该网络单元（即该业务信息系统）的安全等级。

《符合性评测报告》：包含系统基本情况、网络拓扑图、各类资产总体情况、符合性评测结果表，最主要的工作是对照通信网络安全防护符合性评测表，根据网络单元划分类型及其安全等级，对系统开展安全符合性评测工作，对符合性评测表中的检查内容逐项查验、撰写回答并提供相关截图。如果业务系统有APP，对网站和APP都要进行符合性检查。

《风险评估报告》：对核心业务网络单元涉及的资产进行梳理，分析资产风险并进行风险赋值，针对业务系统进行渗透测试（包含业务系统的网站前台、后台，如果有APP和小程序还要对APP及小程序进行渗透测试），修复高危漏洞，对高危漏洞修复情况进行说明。
三份报告通过属地通管局审核之后，通信网络安全防护管理系统出具定级备案证明文件（需要企业自行下载）。