互联网安全防护要求.docx

ICS 35．110M 11Y口中华人民共和国通信行业标准YD厂r 1 736-2009 代替YD厂r 1736-2008互联网安全防护要求Security protection requirements for internet2009—12—11发布 20lO-Ol-Ol实施中华人民共和国工业和信息化部发布YD厂厂1 736-2009目次前言 IIl范围 l2规范性引用文件13术语和定义14缩略语35互联网安全防护概述35．1互联网安全防护范围35．2互联网安全防护内容46互联网定级对象和安全等级确定47互联网资产、脆弱性、威胁分析57．1资产分析57．2脆弱性分析5713威胁分析68互联网安全等级保护要求78 l第1级要求78．2第2级要求78．3第3 1级要求118．4第3．2级要求148．5第4级要求- ”148．6第5级要求- ”149互联网灾难备份及恢复要求149．1互联网灾难备份及恢复等级要求149．2第l级要求149．3第2级要求149．4第3．1级要求159．5第3．2级要求169．6第4级要求169 7第5级要求16 参考文献17YD厂r 1 736-2009前言本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下1．《电信网和互联网安全防护管理指南》2．《电信网和互联网安全等级保护实施指南》3．《电信网和互联网安全风险评估实施指南》4．《电信网和互联网灾难备份及恢复实施指南》5 《同定通信网安全防护要求》6．《移动通信网安全防护要求》7．《互联网安全防护要求》(本标准)8《增值业务网一消息网安全防护要求》9．《增值业务网一智能网安全防护要求》10．《接入网安全防护要求》11 《传送网安全防护要求》12 《IP承载网安全防护要求》13．《信令网安全防护要求》14．《同步网安全防护要求》15．《支撑网安全防护要求》16 《非核心生产单元安全防护要求》17 《电信网和互联网物理环境安全等级保护要求》18．《电信网和互联网管理安全等级保护要求》19．《固定通信网安全防护检测要求》20．《移动通信网安全防护检测要求》21．《互联网安全防护检测要求》22．《增值业务网一消息网安全防护检测要求》23．《增值业务网一智能网安全防护检测要求》24 《接入网安全防护检测要求》25．《传送网安全防护检测要求》26．《口承载网安全防护检测要求》27．《信令网安全防护检测要求》28．《同步网安全防护检测要求》29．《支撑网安全防护检测要求》30．《非核心生产单元安全防护检测要求》31．《电信网和互联网物理环境安全等级保护检测要求》32．《电信网和互联网管理安全等级保护检测要求》33．《域名系统安全防护要求》IIYDfl 1736-200934．《域名系统安全防护检测要求》35．《网上营业厅安全防护要求》36．《网上营业厅安全防护检测要求》本标准与YD厂r 1737—2009《互联网安全防护检测要求》(恸,TYDCr 1737—2008《互联网安全防护检测要求》)配套使用。本标准是YD，r 1736—2008《互联网安全防护要求》的修订版本。本标准与YD仃1736-2008的主要差异在于：1．本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。2本标准的第4章“缩略语”中补充和更新了标准正文中适用的缩略语。3-本标准的第5章“互联网安全防护概述”中增加了“互联网安全等级保护”相关“业务及应用系统安全”要求的内容和说明。4t本标准的第7章“互联网资产、脆弱性、威胁分析”中增加了‘‘环境和设施”类资产及其主要资 产说明。5本标准的第8章“互联网安全等级保护要求”中修改和补充了安全等级保护相关要求和内容，主 要涉及8．2节、8．3书-。其中，“业务及应用安全要求”部分增加了‘‘互联网虚拟专用网服务，，相关内容， 土要涉及8．2．1．6节、8．3．1 6节；增加了“业务及应用系统安全要求’’相关内容，主要涉及8．2．2节、8．3．2节：修改了“设备安全要求”相关内容，主要涉及8．2．3．2节、8 3 3 2节；增加了“物理环境安全要求，，的树关 内容，主要涉及8 2．4节、8．3 4节：删除了“移动互联网信息服务安全要求¨桕关内容，主要涉及原8 2 1 7 节、原8．3．1．7节。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。 本标准起草单位：工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中幽联合网络通信集团有限公司。本标准主要起草人：杨剑锋、杨洋、田慧蓉、赵阳、刘楠、李金玉、杜之亭、张云勇。 本标准于2008年1月首次发布，本次为第一次修订。IⅡYD厂r 1736—2009互联网安全防护要求1