增值电信业务网络信息安全保障要求编制说明（三次征求）040917

增值电信业务网络信息安全保障基本要求

Base Requirements for Network and Information Security of Value-added

Telecommunication Services

（送审稿） 编制说明

信息产业部电信研究院标准所

2004年10月

1、任务来源

本项目是根据信产部下达的《增值电信业务网络信息安全保障基本要求》任务而进行制订的。本项目起草单位是信息产业部电信研究院标准所。标准主要起草人是谢玮、傅景广、葛坚、孙明俊。

2、制定（修订）本标准的意义

增值电信业务网络目前发展非常迅速。而增值电信业务网络信息的安全涉及到国家安全、社会稳定、用户隐私、业务连续性等方方面面。因此迫切需要制定出相应的标准，为增值电信业务经营者建立自身网络信息安全保障框架、制定相关安全管理制度提供指导作用，也是增值电信业务监管机构检查经营者安全保障措施实施情况的重要依据。 3、编制（修订）过程

本标准借鉴了国内外增值电信业务网络、数据网安全等方面的技术资料，并结合国内增值电信业务网络的具体运营情况制定。

2004年8月11日本标准征求意见稿在安全组成都会议上提交与会代表审查，代表们经过认真讨论，提出了若干修改意见，详见附件《征求意见稿意见汇总表》。课题组根据代表们的意见对本规范进行了修改。会议要求再次召开更大范围的征求意见会，广泛听取增值电信业务运营商的意见。

2004年9月14日在北京再次召开了本标准的征求意见会，邀请了更多增值电信业务运营商参会，与会代表经过认真讨论，提出了详细的修改意见，详见附件《二次征求意见稿意见汇总表》。课题组根据代表们的意见对本规范进行了修改，形成了送审稿。 4、编制原则

本标准遵循以下原则进行编制：1）充分考虑我国目前运营的增值电信网络业务发展和安全要求，力求该标准的可执行性和规范性更强；2）本标准的制定是在充分的企业调研和国际安全技术和标准研究的基础之上的，应具有一定的技术先进性。 5、起草依据

本标准主要参考标准有： GB XXXX－XXXX YD/T 1132-2001

6、内容说明

《防范互联网垃圾电子邮件技术要求》 《防火墙设备技术要求》

本标准定义了增值电信业务网络信息安全保障框架，规定了增值电信业务网络信息的安全风险评估要求、安全行政保障措施要求、安全管理保障措施要求、安全技术保障措施要求等。

主要内容包括：

? ? ? ?

增值电信业务分类描述；

增值电信业务网络信息安全保障框架；

增值电信业务安全风险评估，确定保护对象、分析风险、确定保护等级； 安全行政保障措施要求，包括领导机构要求、执行机构要求、专职人员要求等；

1

?

安全管理保障措施要求，包括信息资源安全管理、硬件设备和环境安全管理、网络安全管理、平台系统安全管理、业务系统安全管理、应急保障机制等；

安全技术保障措施要求，包括网络传输层面安全保障措施、系统平台层面安全保障措施、业务应用层面安全保障措施要求等；

?

7、贯彻执行本标准的效果和建议

本标准适用于我国增值电信业务网络信息安全保障体系的建设。本标准中的网络信息安全保障措施并不一定充分，各企业应以本规范作为基准，根据本企业业务特点制订不包括在本标准内的其它安全保障措施。

本标准中的安全行政保障措施要求和安全管理保障措施要求需要通过增值电信业务运营者本身制定相应的规章制度来体现和落实；而安全技术保障措施要求则是指各种设备、系统所要具备的安全功能，应通过设备和系统的功能说明书体现。

2

征求意见会意见汇总2004-8-11

项目 内容 提出单位 章节 处理结果 1. 课题的意义 电信管理局 全文 讨论 2. 重大事件的定义，参照中兴 7.1 采纳 国家相关法律法规 3. 有关日志审计，用户审泰尔实验室 全文 采纳 计的内容应该加强；第六章和第七章调换 4. 核心系统密码：对于弱中兴 8.5 采纳 密钥的自检；有重大事件随时更新的机制；与信息安全中用户分级制度相结合；心 密码的说法改为口令 大唐 迈普 5. 遵守国家安全局的相大唐 全文 采纳 关规定 6. 对于操作系统、数据库大唐，中兴，全文 讨论 等应该有一定准入机信息安全中制 心 7. 第五章的内容需要加 5 采纳 强 3

二次征求意见会意见汇总2004－9－14

单位 建议 答复 备注 黄 安全等级的划分，是否参照传输所：没有参照，因为 公安部的等级。17859。 业务的多样性、复杂。与目前有多种等级。 计算机的等级 可以参照，再研究； 把安全对象分成范围； 陈建勇：研究，在下一次稿讨论； 魏亮：对增值业务本身范围明确，不需要对它定等级。 内容可参考安全部标准。 创业天地 5．1中 业务应用的信息安传输所：认证授权属于业 全 务内的； 不全，如不可抵赖性、认证合法性是必须的； 授权等 标准的对象界定，进一步合法性的实现。 研究； 陈建勇：每个内容必须明确，有具体内容。“等”去掉； 移动 对象名称不清，如运营商和传：同意，文中定义； SP，不知指那个。 2：名称要有权威性，电信建议： 运营商； 通道提供商 陈：从产业链划分:内容、内容提供商 基础 戴 6．2．1中把文字整理。分进一步修改。 成条目。 6．2．2 专职人员和专门人员； 北京京山：SP有些部门不存在。 标准中体现增值业务中不同角色不同的要求； 运营商提供商和内容提供4

本文来源：https://www.bwwdw.com/article/3hhv.html