[TOC]
描述:从2019年七月初起公司接收到增值电信定级备案以及“增值电信业务许可证”年检的企业通知,经过几天的梳理总结了这一篇文章,给正在进行增值电信定级备案的小伙伴们一个参考;
中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,并且由中国信息通信研究院制定通信行业相关标准(电信网和互联网网络安全防护定级备案实施指南),工业和信息化部与通信管理局统称”电信管理机构”。
问:为什么要定级备案?(很火热基本大家都知道)
什么是工信部定级备案?
答:根据《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》工信厅网安函〔2018〕261号第三条第(一)项要求:定级备案,各网络运行单位要按照《通信网络安全防护管理办法》的规定
,在工业和信息化部“通信网络安全防护管理系统”( https://zzqy.mii-aqfh.cn/cnspmsv.web/ )对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。
工信部定级备案具体要求?
根据《中华人民共和国网络安全法》和工信部的《通信网络安全防护管理办法》(工信部11号令)条例中的主要管理办法,自2010年3月1日起施行的:
WeiyiGeek.定级原则对象查看
网络安全防护三同步要求 工信部年报中要求企业必须做的的”定级备案””三同步情况报告”指的是什么? 电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。
三同步适用的范围: 适用新建、改建、扩建及相关技术改造通信网络、业务平台、系统。覆盖的专业项目类型包括核心网、数据网、传输网、有线接入网、无线接入网、业务网、业务运营支撑系统、其它自用或合作运营类系统。也就是我们持”增值电信业务许可证”的企业都是适用范围。
网络安全防护同规划、同建设、同运行的实施内容包括:同规划、同建设、同运行。
网络安全防护同规划、同建设、同运行实施过程中应遵循以下基本原则:
实施流程:
WeiyiGeek.
如何进行定级备案流程?
Step1.工信部网络安全防护管理系统访问地址:https://zzqy.mii-aqfh.cn/cnspmsv.web/, 选择”增值企业和互联网企业定级备案”按钮进入登录画面(参考增值电信企业备案填报指南.pdf) Step2.根据 <定级报告模板.doc>填写相关资料即XXX(网络/系统单元名称)定级报告,网络单元划分/网络单元赋值; Step3.根据<电信网和互联网网络安全防护定级备案实施指南-20190220.doc> 查看网络和系统单元划分类型规则(即定级对象名称) Step4.根据上面文档中的安全等级计算公式以及参数进行计算出系统定级级别,可以等级网络和系统单元类型参考<定级备案网络单元赋值参考表.docx>进行计算参数值进行确认; Step5.将上述结果填入定级报告模板中(对国家以及公众的危害情况),并且在通信网络安全防护管理系统中进行填写提交; Step6.填写提交后等待通信院反馈备案情况
WeiyiGeek.
工信部定级备案具体要求? 适用主体:所有参与年检的增值电信业务持证企业(含全网、地网) 定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》 备案机构:发牌机构(全网资质为工信部、地网资质为省通信管理局) 测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测 测评机构:有中国通信企业协会通信网络安全委员会颁发”通信网络安全服务能力评定”证书的企业 法律后果:不做将有年报不通过、进入工信部灰名单、责令企业整改的风险。
(1) 企业应当对本单位业务系统按照专业类型:
WeiyiGeek.
(运营企业简称)(业务系统类型)
,如北京市xxxx责任公司门户综合网站
;
这里主要参考<定级备案网络单元赋值参考表.docx>文档中的以互联网信息服务企业门户综合网站系统的赋值情况为例。
注意:对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。
三个要素的赋值方法分别是
社会影响力 -I: 网络/系统单元的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度。
WeiyiGeek.网络/系统单元的社会影响力赋值表
比如:互联网信息服务企业门户综合网站系统
的服务对象特征范围广泛,数量众多,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为 3。
规模和服务范围 -R: 网络/系统单元的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小。
参考1:
WeiyiGeek.网络/系统单元的规模和服务范围赋值表
互联网信息服务企业门户综合网站系统的定级对象的规模和服务范围R可根据如下指标确定:日均访问用户数R1、人均页面访问量R2。R取R1和R2中的较大值,建议所提供服务的重要性赋值为 3。
参考2:
WeiyiGeek.定级对象的规模和服务范围R
所提供服务重要性 -V: 网络/系统单元所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度,此定级要素可通过网络/系统单元所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
WeiyiGeek.网络/系统单元所提供服务的重要性赋值表
比如:互联网信息服务企业门户综合网站系统
所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害,建议所提供服务的重要性赋值为 2。
根据网络/系统单元的 社会影响力I、规模和服务范围R、所提供服务重要性V
三个定级要素的赋值,采用以下公式来计算网络/系统单元的安全等级值:
WeiyiGeek.计算公式
参数说明:
WeiyiGeek.安全等级值与安全等级映射关系对应表
#!/usr/bin/python
# coding:utf-8
# 定级方法计算公式
import sys
import math
def calculation(argv):
I,R,V = int(argv[0]),int(argv[1]),int(argv[2])
result = round(math.log2((1/3)*(pow(2,I)) + (1/3)*(pow(2,R)) + (1/3)*(pow(2,V))),1)
return result
def relation(res):
if (1 <= res and res < 1.5):
print("安全等级-第一级")
elif (1.5 <= res and res < 2.5):
print("安全等级-第二级")
elif (2.5 <= res and res <= 4):
print("安全等级-第三级")
elif (4 < res and res < 4.5):
print("安全等级-第四级")
elif (4.5 <= res and res <= 5):
print("安全等级-第五级")
else:
print("计算有误,请验证输入的数据!")
if __name__ == '__main__':
if len(sys.argv) < 3:
print("Useage:secure.py I R V")
exit(0)
res = calculation(sys.argv[1:])
print("K =",res)
relation(res)
基本情况部分应描述网络单元以下相关内容: (一)概述:描述该网络单元的业务/应用范围、服务范围、用户类型等; (二)管理情况:描述该网络单元所属单位的基本情况、安全管理架构等内容; (三)技术情况:描述网络单元的物理环境(动环系统)、网络拓扑结构、硬件设备的部署情况和基本信息、网络边界划分等。
定级备案检查需要的文档:
补充重点:
问:工信部定级备案和公安部等报备案有什么不同?
描述:在企业做增值电信许可年检报告的时候,会在报告的第三部分要求运营者上报企业网络信息安全情况以及备案和信息化安全规章制度建设情况;
主要根据企业的业务规模和性质上传以下材料;
Tips : 年报中要求在“通信网络安全防护管理系统”以附件形式上传符合性评测报告、风险评估报告。请在上传定级报告的位置上传符合性评测报告和风险评估报告,原先未上传的单位,点击“申请退回”,再进行上传。
注:符合性评测报告及风险评估报告需加盖测评机构公章。
定级备案、符合性评测和风险评估填报注意事项
3、符合性评测报告包含哪些内容?
评测报告内容要包括但不限于评测项结果(是/否),评测项的结果分析,评测项对应的证明文件(如何证明满足评测项要求)
等内容。4、风险评估报告包含哪些内容?
风险评估报告包括但不限于网络单元的脆弱性情况、存在的威胁情况、系统风险分析、相关的整改情况等内容
。 增值电信定级备案年报地址:https://mii-aqfh.cn/
帮助文档: https://zzqy.mii-aqfh.cn/cnspmsv.web/js/%E5%A1%AB%E6%8A%A5%E6%8C%87%E5%8D%97.pdf
什么是三同步? 描述: 《网络安全法》第三十三条规定:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”《条例》第十二条延续了《网络安全法》确定的“三同步”原则,进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”。
运营者在具体落实“三同步”原则时,可以从以下方面理解安全保护措施应当与关键信息基础设施的“三同步”:
三同步适用的范围: 适用新建、改建、扩建及相关技术改造通信网络、业务平台、系统。覆盖的专业项目类型包括核心网、数据网、传输网、有线接入网、无线接入网、业务网、业务运营支撑系统、其它自用或合作运营类系统。也就是我们持“增值电信业务许可证”的企业都是适用范围。
三同步报告应该包括哪些内容?
根据工信部已颁布的定级网络单元安全系列防护标准, 包括《电信网和互联网安全防护管理指南》、《电信网和互联网安全等级保护实施指南》、《电信网和互联网安全风险评估实施指南》、《电信网和互联网灾难备份及恢复实施指南》及已发布的56个专业网的安全防护要求、检测要求、基线配置要求,三同步报告至少应该包括管理职责分工和管理内容两个部分内容。
(1) 同步规划:规划、规范制定阶段
(2) 同步实施:系统开发与测试阶段、项目实施阶段
(3) 同步发展:维护阶段
信息技术中心作为的直属部门,积极响应“三同步”工作要求,严格落实“同步规划,同步实施,同步发展
”,尤其是系统入网安全检测流程的上线及投入使用,对项目实施阶段的安全管控起到了极大地作用。
描述: 按照规定审核内容应查验项目文件完整性, 包括项目建议书、风险评估报告、整改报告、验收结论、网络基础设施备案表、WEB设施备案表、网络单元定级备案情况
。如果企业定级为二级以上,且有移动应用的企业需要第三方提供的报告,如果是一级,可以上传自测报告。
附录1.定级级别一览 级别|定级对象|主管部门职责 ——|——|—— 第1级|定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。|企业自主定级 第2级|定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全|指导 第3.1级|定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害|监督、检查 第3.2级|定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害|重点监督、检查 第4级|定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害|强制监督、检查 第5级|定级对象受到破坏后,会对国家安全造成特别严重损害|专门监督、检查
附录2.定级及安全防护参考标准
YD/T 1729-2008《电信网和互联网安全等级保护实施指南》;
YDB 106-2012《增值电信业务系统安全防护定级和评测实施规范-门户综合网站系统》;
YDB 107-2012《增值电信业务系统安全防护定级和评测实施规范-即时通信系统》;
YDB 108-2012《增值电信业务系统安全防护定级和评测实施规范-网络交易系统》;
YDB 109-2012《增值电信业务系统安全防护定级和评测实施规范-信息社区服务系统》;
YDB 110-2012《增值电信业务系统安全防护定级和评测实施规范-邮件系统》;
YDB 111-2012《增值电信业务系统安全防护定级和评测实施规范-搜索系统》;
YDB 112-2012《增值电信业务系统安全防护定级和评测实施规范-互联网接入服务系统》;
YDB 113-2012《域名服务系统安全防护定级和评测实施规范》;
YDB 114-2012《互联网内容分发网络安全防护要求》;
YDB 115-2012《互联网内容分发网络安全防护检测要求》;
YDB 116-2012《互联网数据中心安全防护要求》;
YDB 117-2012《互联网数据中心安全防护检测要求》。
附录3.增值电信企业备案相关附件 链接: https://share.weiyun.com/5mcK4f3 (密码:LTeV)