支撑网安全防护要求1范围本标准规定了支撑网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。本标准适用于公众电信网中的支撑网。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1729-2008电信网和互联网安全等级保护实施指南YD/T1730-2008电信网和互联网安全风险评估实施指南YD/T1731-2008电信网和互联网灾难备份及恢复实施指南YD/T1754-2008电信网和互联网物理环境安全等级保护要求YD/T1756-2008电信网和互联网管理安全等级保护要求3术语和定义下列术语和定义适用于本标准。3.1支撑网安全等级SecurityClassificationofSupportingNetwork支撑网安全重要程度的表征，重要程度可从支撑网受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.2支撑网安全等级保护ClassifiedSecurityProtectionofSupportingNetwork对支撑网分等级实施安全保护。3.3组织Organization组织是由不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。3.4支撑网安全风险SecurityRiskofSupportingNetwork人为或自然的威胁可能利用支持网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.5支撑网安全风险评估SecurityRiskAssessmentofSupportingNetwork指运用科学的方法和手段，系统地分析支撑网所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解支撑网安全风险。或者将风险控制在可接受的水平，为最大限度地为保障支撑网的安全提供科学依据。3.6支撑网资产AssetofSupportingNetwork支撑网中具有价值的资源，是安全防护保护的对象。支撑网中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如网络管理系统、计费系统等。3.7支撑网资产价值AssetValueofSupportingNetwork支撑网中资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。3.8支撑网威胁ThreatofSupportingNetwork可能导致对支撑网产生危害的不希望事故的潜在起因，它可能是人为的，也可能是非人为的：可能是无意失误，也可能是恶意攻击。常见的支撑网威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。3.9支撑网脆弱性VulnerabilityofSupportingNetwork支撑网脆弱性是指支撑网中存在的弱点、缺陷与不足，不直接对资产造成危害-但可能被威胁所利用从而危害资产的安全。3.10支撑网灾难DisasterofSupportingNetwork由于各种原因，造成支撑网故障或瘫痪，使支撑网的功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11支撑网灾难备份BackupforDisasterRecoveryofSupportingNetwork为了支撑网灾难恢复而对相关网络要素进行备份的过程。3.12支撑网灾难恢复DisasterRecoveryofSupportingNetwork为了将支撑网从灾难造成的故障或瘫痪状态恢复到正常运行状态成都分正常运行状态、并将其功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4支撑网安全防护概述4.1支撑网安全防护范围支撑网是独立于业务两之外的用于支持阿络及设备维护、业务运营和账务管理的综合信息系统所组成的网络。本标准中支撑网的安全防护范围包括网管系统和业务运营支捧系统。本标准中的网管系统覆盖以下网络：固定通信网、移动通信网、消息网、智能网、接入网、传送网、IP承载网、信令网、同步网。本标准中的业务运营支撑系统包括计费系统、营业系统、账务系统。4.2支撑网安全防护内容根据电信网和互联网安全防护体系的要求，将支撑网安全防护内容分为安全等级保护、安全风险评估、灾难备份及恢复等3个部分。——支撑网安全等级保护主要包括业务安全、网络安全、主机安全、应