资源
中国通信企业协会网络安全人员能力认证考试知识点大纲
中国通信企业协会网络安全人员能力认证管理类基础级考试课件
中国通信企业协会网络安全人员能力认证考试管理类基础级复习资料
中国通信企业协会网络安全人员能力认证考试管理类基础级模拟题
系列文章
【通信安全CACE-管理类基础级】第1章 网络安全基础知识
【通信安全CACE-管理类基础级】第3章 国际安全标准体系概述
【通信安全CACE-管理类基础级】第4章 国内安全标准体系概述
【通信安全CACE-管理类基础级】第5章 安全体系最佳实践
【通信安全CACE-管理类基础级】第6章 风险评估
【通信安全CACE-管理类基础级】第7章 安全运维
【通信安全CACE-管理类基础级】第8章 网络安全应急响应
【通信安全CACE-管理类基础级】第10章 网络攻击
【通信安全CACE-管理类基础级】第11章 防护技术
目录
4.1 通信网络安全防护标准
4.1.1 电信网和互联网安全防护管理指南
电信网和互联网安全防护体系构成
- 第1层:整个安全防护体系的总指导性规范,明确了对电信网和互联网安全防护的定义、目标、原则,并说明了安全防护体系的组成
- 第2层:从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。
- 第3层:具体规定了电信网和互联网安全防护工作的要求
- 安全防护要求:明确了电信网和互联网及相关系统需要落实的安全管理和技术措施,涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容,其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。
- 安全防护检测要求:与安全防护要求相对应,提供了对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。
安全等级保护实施基本过程
安全风险评估实施基本过程
灾难备份及恢复实施基本过程
安全等级保护、安全风险评估、灾难备份及恢复三者关系
- 三者之间密切相关、互相渗透、互为补充。
- 三者在各自实现过程中互相参考
- 三者应随着发展变化而动态调整,适应国家对电信网和互联网的安全要求。
4.1.2 电信网和互联网安全风险评估实施指南
电信网和互联网相关系统生命周期中的风险要素
风险要素:业务战略、资产价值、安全需求、安全事件
相关属性:脆弱性、电信网和互联网及相关系统资产、资产价值、威胁、风险、残余风险、安全措施
风险实施的流程
4.1.3 电信网和互联网灾难备份及恢复实施指南
灾难备份及恢复定级的5个等级的主要内容
等级 | 损害内容 | 保护标准和部门 |
---|---|---|
1 | 网络和业务运营商的合法权益(轻微损害);社会秩序、经济运行和公共利益(不损害);国家安全(不损害) | 国家和通信行业有关标准 |
2 | 网络和业务运营商的合法权益(严重损害);社会秩序、经济运行和公共利益(轻微损害);国家安全(不损害) | 国家和通信行业有关标准;主管部门对其安全等级保护工作进行指导 |
3.1 | 网络和业务运营商的合法权益(特别严重损害);秩序、经济运行和公共利益(较大损害);国家安全(轻微损害) | 国家和通信行业有关标准进行保护;主管部门对其安全等级保护工作进行监督、检查。 |
3.2 | 网络和业务运营商的合法权益(特别严重损害);社会秩序、经济运行和公共利益(严重损害);国家安全(较大损害) | 国家和通信行业有关标准进行保护;主管部门对其安全等级保护工作进行重点监督、检查 |
4 | 社会秩序、经济运行和公共利益(严重损害);国家安全(严重损害) | 国家和通信行业有关标准以及业务的特殊安全要求进行保护;主管部门对其安全等级保护工作进行强制监督、检查 |
5 | 国家安全(特别严重损害) | 国家和通信行业有关标准以及业务的特殊安全需求进行保护;主管部门对其安全等级保护工作进行专门监督、检查。 |
4.1.4 电信网和互联网安全等级保护实施指南
安全等级保护对象
电信网和互联网及相关系统:
固定网、移动网、互联网、增值业务网、接入网、传送网、IP承载网、核心网、信令网、同步网、支撑网、网络终端等。
- 增值业务网:消息网、智能网等业务平台、业务管理平台
- 接入网:各种有线、无线和卫星接入网
- 传送网:光缆、波分、SDH
- 核心网:固定交换、移动交换、软交换、集群、卫星网、3G和下一代网络相关的核心网
- 支撑网:业务支撑、网管系统。
安全等级保护实施的基本过程
- 电信网和互联网及相关系统定级
- 安全规划设计
- 安全实施安全运维
- 电信网和互联网及相关系统终止
电信网和互联网及相关系统定级方法
划分原则: 电信网和互联网及相关系统受到破坏后对 [国家安全]、[社会秩序、经济建设和公共利益]、[网络和业务运营商] 的损害程度(较小、较大、很大、非常大)
级别:
- 自主保护级
- 指导保护级
- 监督保护级
- 普通监督保护级
- 重点监督保护级