[TOC]
0x00 前言
描述:从2019年七月初起公司接收到增值电信定级备案以及“增值电信业务许可证”年检的企业通知,经过几天的梳理总结了这一篇文章,给正在进行增值电信定级备案的小伙伴们一个参考;
中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,并且由中国信息通信研究院制定通信行业相关标准(电信网和互联网网络安全防护定级备案实施指南),工业和信息化部与通信管理局统称”电信管理机构”。
问:为什么要定级备案?(很火热基本大家都知道)
- 法律法规要求:网络安全法
- 履行基本义务:按照”谁主管谁负责,谁运营谁负责”的原则开展工作,承担网络安全主体责任
- 企业自身需求:通过定级备案程序全面审视自身网络安全潜在风险,降低法律、经营、服务风险,合理安排资源、预算,提高管控效率。
什么是工信部定级备案?
答:根据《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》工信厅网安函〔2018〕261号第三条第(一)项要求:定级备案,各网络运行单位要按照《通信网络安全防护管理办法》的规定
,在工业和信息化部“通信网络安全防护管理系统”( https://zzqy.mii-aqfh.cn/cnspmsv.web/ )对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。
工信部定级备案具体要求?
- 适用主体:所有参与年检的增值电信业务持证企业(含全网、地网)
- 定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》
- 备案机构:发牌机构(全网资质为工信部、地网资质为省通信管理局)
- 测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测
- 测评机构:有中国通信企业协会通信网络安全委员会颁发“通信网络安全服务能力评定” 证书的企业 法律后果:不做将有年报不通过、进入工信部灰名单、责令企业整改的风险。
根据《中华人民共和国网络安全法》和工信部的《通信网络安全防护管理办法》(工信部11号令)条例中的主要管理办法,自2010年3月1日起施行的:
- 第七条:通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
WeiyiGeek.定级原则对象查看
- 第九条:通信网络运行单位办理通信网络单元备案,应当提交以下信息:(定级报告模板.doc)
- (一)通信网络单元的名称、级别和主要功能;
- (二)通信网络单元责任单位的名称和联系方式;
- (三)通信网络单元主要负责人的姓名和联系方式;
- (四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;
- (五)电信管理机构要求提交的涉及通信网络安全的其他信息。 注意:前款规定的备案信息发生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。
- 第十一条:通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测
- (一)三级及三级以上通信网络单元应当每年进行一次符合性评测;
- (二)二级通信网络单元应当每两年进行一次符合性评测。
- 第十二条:通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:
- (一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;
- (二)二级通信网络单元应当每两年进行一次安全风险评估。 注意:国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估
- 第十三条:通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。
- 第十四条:通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。
- 第十五条:通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测。
网络安全防护三同步要求 工信部年报中要求企业必须做的的”定级备案””三同步情况报告”指的是什么? 电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。
- 同规划:安全需求分析、安全总体设计、安全建设规划
- 同建设:安全方案详细设计、安全详细设计方案的实施、安全检测
- 同运行:通过运行管理和控制、变更管理和控制、安全状态监控,对发生的安全事件及时响应,确保电信网和互联网及相关系统正常运行
三同步适用的范围: 适用新建、改建、扩建及相关技术改造通信网络、业务平台、系统。覆盖的专业项目类型包括核心网、数据网、传输网、有线接入网、无线接入网、业务网、业务运营支撑系统、其它自用或合作运营类系统。也就是我们持”增值电信业务许可证”的企业都是适用范围。
网络安全防护同规划、同建设、同运行的实施内容包括:同规划、同建设、同运行。
- (1) 安全技术措施同规划 企业通过安全需求分析判断网络安全保护现状与安全要求之间的差距,确定初步的安全需求 ,通过分析业务风险确定进一步的安全需求 ;然后根据网络的实际情况,设计出合理的、满足安全等级保护要求的安全总体方案,并制定出安全建设的方案,以指导后续的网络安全建设工程实施。
- (2) 安全技术措施同建设 企业通过安全方案详细设计,将安全技术措施同规划的安全总体方案和安全建设方案具体落实到网络中,最终提交满足安全需求的网络、以及配套的安全技术和管理体系。之后应在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求。
- (3) 安全技术措施同运行 通过安全检查和持续改进不断跟踪电信网和互联网及相关系统的变化,并依据变化调整其安全等级和安全措施;通过安全检测,确保电信网和互联网及相关系统满足 相应安全等级的要求。
网络安全防护同规划、同建设、同运行实施过程中应遵循以下基本原则:
- a) 自主保护原则
- b) 重点保护原则
- c) 同建设原则
- d) 动态调整原则
实施流程:
WeiyiGeek.
0x01 定级备案以及流程
如何进行定级备案流程?
Step1.工信部网络安全防护管理系统访问地址:https://zzqy.mii-aqfh.cn/cnspmsv.web/, 选择”增值企业和互联网企业定级备案”按钮进入登录画面(参考增值电信企业备案填报指南.pdf) Step2.根据 <定级报告模板.doc>填写相关资料即XXX(网络/系统单元名称)定级报告,网络单元划分/网络单元赋值; Step3.根据<电信网和互联网网络安全防护定级备案实施指南-20190220.doc> 查看网络和系统单元划分类型规则(即定级对象名称) Step4.根据上面文档中的安全等级计算公式以及参数进行计算出系统定级级别,可以等级网络和系统单元类型参考<定级备案网络单元赋值参考表.docx>进行计算参数值进行确认; Step5.将上述结果填入定级报告模板中(对国家以及公众的危害情况),并且在通信网络安全防护管理系统中进行填写提交; Step6.填写提交后等待通信院反馈备案情况
WeiyiGeek.
工信部定级备案具体要求? 适用主体:所有参与年检的增值电信业务持证企业(含全网、地网) 定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》 备案机构:发牌机构(全网资质为工信部、地网资质为省通信管理局) 测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测 测评机构:有中国通信企业协会通信网络安全委员会颁发”通信网络安全服务能力评定”证书的企业 法律后果:不做将有年报不通过、进入工信部灰名单、责令企业整改的风险。
1.网络单元划分和规则
(1) 企业应当对本单位业务系统按照专业类型:
- 如门户综合网站、即时通信、网络交易、信息社区服务、邮件系统、搜索系统、互联网接入服务系统、内容分发网络、互联网数据中心、移动互联网应用商店等)进行单元划分
WeiyiGeek.
- 划分后的网络单元应边界清晰、管理责任主体分明。
注:每个定级对象不应包含多个类型的业务系统,网络单元名称(即定级对象名称)命名规则是:
(运营企业简称)(业务系统类型)
,如北京市xxxx责任公司门户综合网站
;
2.网络单元赋值
这里主要参考<定级备案网络单元赋值参考表.docx>文档中的以互联网信息服务企业门户综合网站系统的赋值情况为例。
注意:对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。
三个要素的赋值方法分别是
- 社会影响力-I
- 规模和服务范围-R
- 所提供服务重要性-V
社会影响力 -I: 网络/系统单元的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度。
WeiyiGeek.网络/系统单元的社会影响力赋值表
比如:互联网信息服务企业门户综合网站系统
的服务对象特征范围广泛,数量众多,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为 3。
规模和服务范围 -R: 网络/系统单元的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小。
参考1:
WeiyiGeek.网络/系统单元的规模和服务范围赋值表
互联网信息服务企业门户综合网站系统的定级对象的规模和服务范围R可根据如下指标确定:日均访问用户数R1、人均页面访问量R2。R取R1和R2中的较大值,建议所提供服务的重要性赋值为 3。
参考2:
WeiyiGeek.定级对象的规模和服务范围R
所提供服务重要性 -V: 网络/系统单元所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度,此定级要素可通过网络/系统单元所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
WeiyiGeek.网络/系统单元所提供服务的重要性赋值表
比如:互联网信息服务企业门户综合网站系统
所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害,建议所提供服务的重要性赋值为 2。
3.安全等级计算
根据网络/系统单元的 社会影响力I、规模和服务范围R、所提供服务重要性V
三个定级要素的赋值,采用以下公式来计算网络/系统单元的安全等级值:
WeiyiGeek.计算公式
参数说明:
- I=2(社会影响力赋值)
- R=3(规模和服务范围赋值)
- V=2(提供服务的重要性赋值)
- α、β、γ分别表示网络/系统单元的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,分别为1/3、1/3、1/3。
- Round1{}表示四舍五入处理,保留1位小数
- Log2[]表示取以2为底的对数
WeiyiGeek.安全等级值与安全等级映射关系对应表
代码语言:javascript复制#!/usr/bin/python
# coding:utf-8
# 定级方法计算公式
import sys
import math
def calculation(argv):
I,R,V = int(argv[0]),int(argv[1]),int(argv[2])
result = round(math.log2((1/3)*(pow(2,I)) (1/3)*(pow(2,R)) (1/3)*(pow(2,V))),1)
return result
def relation(res):
if (1 <= res and res < 1.5):
print("安全等级-第一级")
elif (1.5 <= res and res < 2.5):
print("安全等级-第二级")
elif (2.5 <= res and res <= 4):
print("安全等级-第三级")
elif (4 < res and res < 4.5):
print("安全等级-第四级")
elif (4.5 <= res and res <= 5):
print("安全等级-第五级")
else:
print("计算有误,请验证输入的数据!")
if __name__ == '__main__':
if len(sys.argv) < 3:
print("Useage:secure.py I R V")
exit(0)
res = calculation(sys.argv[1:])
print("K =",res)
relation(res)
4.定级备案填写提交
基本情况部分应描述网络单元以下相关内容: (一)概述:描述该网络单元的业务/应用范围、服务范围、用户类型等; (二)管理情况:描述该网络单元所属单位的基本情况、安全管理架构等内容; (三)技术情况:描述网络单元的物理环境(动环系统)、网络拓扑结构、硬件设备的部署情况和基本信息、网络边界划分等。
定级备案检查需要的文档:
- 机房进出登记表
- 网络拓扑图
- 定级报告
- 安全相关的规章制度
补充重点:
问:工信部定级备案和公安部等报备案有什么不同?
- 适用主体
- 公安部与各大部委牵头的信息安全等级保护是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
- 工信部的定级备案适用主体是指持有“增值电信业务许可证”的企业,等保对象涵盖了电子政务、金融业(含借贷行业)、征信、电力、广电、海关、交通、教育、税务、卫生、烟草、档案、国土、智慧城市建设、网约车、铁路等几乎所有涉网企业。
- 测评项目不同:等保测试项目分为技术措施和管理制度两大检测项,不同等级测评项目几百项不等。
- 备案机构不同:等保备案是在各地网安分局,且没有线上申报平台,需要递交纸质材料。
- 测试机构不同:定级备案和等保备案的测试机构是不同的主管单位推荐的。等保是国家网络安全等级保护工作协调小组办公室。
0x03 工信部年检报告
描述:在企业做增值电信许可年检报告的时候,会在报告的第三部分要求运营者上报企业网络信息安全情况以及备案和信息化安全规章制度建设情况;
主要根据企业的业务规模和性质上传以下材料;
- 工信部定级备案报告
- 三同步落实情况报告
- 安全人员分工请求报告
- 符合性评测、风险评估报告
- 应急演练等报告
Tips : 年报中要求在“通信网络安全防护管理系统”以附件形式上传符合性评测报告、风险评估报告。请在上传定级报告的位置上传符合性评测报告和风险评估报告,原先未上传的单位,点击“申请退回”,再进行上传。
注:符合性评测报告及风险评估报告需加盖测评机构公章。
定级备案、符合性评测和风险评估填报注意事项
- 1、如何进行定级备案信息的填报?
- 可以依据主页公告“填报指南”,分别进行企业信息和网络单元备案信息的填写和提交。
- 2、定级报告、符合性评测报告和风险评估报告如何提交?
- 请在网络单元备案信息填报页面进行上传。
3、符合性评测报告包含哪些内容?
- 符合性评测可以企业自行或委托第三方测评机构开展,请依据公告栏中提供的符合性评测表进行评测。
评测报告内容要包括但不限于评测项结果(是/否),评测项的结果分析,评测项对应的证明文件(如何证明满足评测项要求)
等内容。
4、风险评估报告包含哪些内容?
- 风险评估可企业自行或委托第三方测评机构开展,可依据《电信网和互联网风险评估实施指南》行业标准进行开展(目前标准处于修订中,定稿后会发在主页公告区)。
风险评估报告包括但不限于网络单元的脆弱性情况、存在的威胁情况、系统风险分析、相关的整改情况等内容
。
增值电信定级备案年报地址:https://mii-aqfh.cn/
帮助文档: https://zzqy.mii-aqfh.cn/cnspmsv.web/js/填报指南.pdf
1.三同步
什么是三同步? 描述: 《网络安全法》第三十三条规定:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”《条例》第十二条延续了《网络安全法》确定的“三同步”原则,进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”。
运营者在具体落实“三同步”原则时,可以从以下方面理解安全保护措施应当与关键信息基础设施的“三同步”:
- 首先,“同步规划”,是指在网络设施与信息系统的规划阶段同步引入安全保护措施;
- 其次,“同步建设”,要求在项目建设阶段,通过落实系统集成商、网络服务提供商,保证相关安全技术措施的顺利准时实施,保证项目上线时,安全保护措施的验收和工程验收同步,确保只有符合安全要求的系统才能上线;
- 最后,“同步使用”,网络设施和信息系统安全验收后的日常运行和维护中,应当保持网络设施与信息系统处于持续安全防护的水平,并符合国家的相关安全技术标准。
三同步适用的范围: 适用新建、改建、扩建及相关技术改造通信网络、业务平台、系统。覆盖的专业项目类型包括核心网、数据网、传输网、有线接入网、无线接入网、业务网、业务运营支撑系统、其它自用或合作运营类系统。也就是我们持“增值电信业务许可证”的企业都是适用范围。
三同步报告应该包括哪些内容?
根据工信部已颁布的定级网络单元安全系列防护标准, 包括《电信网和互联网安全防护管理指南》、《电信网和互联网安全等级保护实施指南》、《电信网和互联网安全风险评估实施指南》、《电信网和互联网灾难备份及恢复实施指南》及已发布的56个专业网的安全防护要求、检测要求、基线配置要求,三同步报告至少应该包括管理职责分工和管理内容两个部分内容。
- 1.管理职责分工应按照部门,将工程规划、工程建设、落实项目中需投资解决的隐患问题的资金、安全职能管理、后期维护、验收等工作按照部门分工。
- 2.管理内容应该包括:规划阶段、立项阶段、上线风险评估阶段、安全验收阶段,并落实具体的流程环节。
(1) 同步规划:规划、规范制定阶段
- 在对新业务进行规划的环节同步纳入安全要求,包括业务安全要求和设备安全要求。明确对通用业务的安全要求,并与研究院等相关单位的合作,在新技术新业务规范中同步增加安全要求。各省要对本省自有的新业务系统同步明确安全要求。在项目规划、建设环节强化落实安全要求,避免设备带病入网,是做好后续安全维护工作的基础,也是保证系统安全防护能力的第一控制点。
(2) 同步实施:系统开发与测试阶段、项目实施阶段
- 在系统开发与测试阶段和项目实施阶段,有两项工作需要明确,首先,需通过合同条款落实系统集成商、厂家的责任,避免乙方后期不积极配合工作而甲方无据可依的情况发生,以此强化甲方对过程的管控能力,其次是要加强系统入网安全检测环节,在工程期间进行安全管理,确保只有符合安全要求的系统才能上线。在设备上线前进行入网验收相对于设备上线后再进行入网验收存在很多优势;
- 例如:整改风险小,无业务压力,整改难度小,整改成本投入小,系统厂商可控性强等,除此之外,通过入网安全验收可以了解设备的安全合规性,促进建设环节加强设备安全,降低设备带病入网风险性,并通过安全验收强制把安全意识有效的传递到开发厂商,让其重视安全。只有在源头开始重视安全,业务系统的安全才能更加得到保障,在运维阶段进行安全维护的成本就更低。因此开发系统入网验收电子流程,将业务系统入网验收流程化,对降低新业务系统安全风险具有重要作用。
(3) 同步发展:维护阶段
- 在入网安全检测流程完成之后,设备完成部署和上线,但安全工作丝毫不可松懈,安全监控、安全维护、安全应急三管齐下,通过安全日常运维,持续保持系统安全防护水平,同时加强版本入网安全管理,可进一步促进设备安全功能的提高。
信息技术中心作为的直属部门,积极响应“三同步”工作要求,严格落实“同步规划,同步实施,同步发展
”,尤其是系统入网安全检测流程的上线及投入使用,对项目实施阶段的安全管控起到了极大地作用。
2.风险评估报告
描述: 按照规定审核内容应查验项目文件完整性, 包括项目建议书、风险评估报告、整改报告、验收结论、网络基础设施备案表、WEB设施备案表、网络单元定级备案情况
。如果企业定级为二级以上,且有移动应用的企业需要第三方提供的报告,如果是一级,可以上传自测报告。
3.政策说明
0x04 附录
附录1.定级级别一览 级别|定级对象|主管部门职责 ——|——|—— 第1级|定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。|企业自主定级 第2级|定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全|指导 第3.1级|定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害|监督、检查 第3.2级|定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害|重点监督、检查 第4级|定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害|强制监督、检查 第5级|定级对象受到破坏后,会对国家安全造成特别严重损害|专门监督、检查
附录2.定级及安全防护参考标准
代码语言:javascript复制YD/T 1729-2008《电信网和互联网安全等级保护实施指南》;
YDB 106-2012《增值电信业务系统安全防护定级和评测实施规范-门户综合网站系统》;
YDB 107-2012《增值电信业务系统安全防护定级和评测实施规范-即时通信系统》;
YDB 108-2012《增值电信业务系统安全防护定级和评测实施规范-网络交易系统》;
YDB 109-2012《增值电信业务系统安全防护定级和评测实施规范-信息社区服务系统》;
YDB 110-2012《增值电信业务系统安全防护定级和评测实施规范-邮件系统》;
YDB 111-2012《增值电信业务系统安全防护定级和评测实施规范-搜索系统》;
YDB 112-2012《增值电信业务系统安全防护定级和评测实施规范-互联网接入服务系统》;
YDB 113-2012《域名服务系统安全防护定级和评测实施规范》;
YDB 114-2012《互联网内容分发网络安全防护要求》;
YDB 115-2012《互联网内容分发网络安全防护检测要求》;
YDB 116-2012《互联网数据中心安全防护要求》;
YDB 117-2012《互联网数据中心安全防护检测要求》。
附录3.增值电信企业备案相关附件 链接: https://share.weiyun.com/5mcK4f3 (密码:LTeV)