电信网和互联网安全风险评估实施指南.docx

Y口中华人民共和国通信行业标准YD／T1730-2008电信网和互联网安全风险评估实施指南ImplementationGuideforSecurityRiskAssessmentofTelecomNetworkandInternet2008-01-14发布2008-01-14实施中华人民共和国信息产业部发布YD厂r1730-2008目次前言IIl范I虱-“12规范性引用文件13术语和定义l4风险评估框架及流程34．1风险要素关系34．2实施流程44．3工作形式54．4遵循的原则55风险评估实施·”55．1风险评估的准备55．2资产识别65．3威胁识别85．4脆弱性识别lO5．5威胁利用脆弱性的关联关系115．6已有安全措施的确认125．7风险分析135．8风险评估文件-．．146风险评估在电信网和互联网及相关系统生命周期中的不同要求156．1电信网和互联网及相关系统生命周期概述156．2启动阶段的风险评估166-3设计阶段的风险评估166．4实施阶段的风险评估166,5运维阶段的风险评估176．6废弃阶段的风险评估18附录A(规范性附录)资产价值的计算方法19附录B(规范性附录)风险值的计算方法20参考文献21YD，T1730—2008刖目本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称如下：1．YDfr1728—2008电信网和互联网安全防护管理指南；2．YDfr1729—2008电信网和互联网安全等级保护实施指南；3．YDfr1730—2008电信网和互联网安全风险评估实施指南；4．YDfr1731—2008电信网和互联网灾难备份及恢复实施指南；5．YDfr1732—2008固定通信网安全防护要求；6．YDfr1733—2008固定通信网安全防护检测要求；7．YDfr1734—2008移动通信网安全防护要求；8．YDfr1735—2008移动通信网安全防护检测要求；9．YDfr1736—2008互联网安全防护要求；10．YDfr1737—2008互联网安全防护检测要求；11．YDfr1738—2008增值业务网——消息网安全防护要求；12．YDfr1739—2008增值业务网——消息网安全防护检测要求；13．YDfr1740-2008增值业务网——智能网安全防护要求；14．YDfr1741—2008增值业务网——智能网安全防护检测要求：15．YD／T1742-2008接入网安全防护要求；16．YDfr1743—2008接入网安全防护检测要求：17．YDfr1744-2008传送网安全防护要求；18．YD／T1745—2008传送网安全防护检测要求；19．YDfr1746—2008Ⅲ承载网安全防护要求：20．YDfr1747—2008IP承载网安全防护检测要求；21．YDfr1748—2008信令网安全防护要求；22．YDfr1749—2008信令网安全防护检测要求：23．YDfr1750-2008同步网安全防护要求：24．YDfr1751—2008同步网安全防护检测要求：25．YDfr1752—2008支撑网安全防护要求；26．YDfr1753—2008支撑网安全防护检测要求；27．YDfr1754—2008电信网和互联网物理环境安全等级保护要求；28．YDfr1755—2008电信网和互联网物理环境安全等级保护检测要求；29．YDfr1756—2008电信网和互联网管理安全等级保护要求；30．YDfr1757—2008电信网和互联网管理安全等级保护检测要求；31．YDfr1758—2008非核心生产单元安全防护要求；32．YDfr1759—2008非核心生产单元安全防护检测要求。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。IlYD厂r1730-2008本标准的附录A和附录B是规范性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司、中国铁通集团有限公司本标准主要起草人：魏薇、赵阳、周智、殷琪、杜之亭、张云勇、冯铭YD厂r1730-2008电信网和互联网安全风险评估实施指南1范围本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、遵循的原则，在电信网和互联网生命周期不同阶段的不同要求和实施要点。本标准适用于电信网和互联网的风险评估工作。本标准可作为电信网和互联网安全风险评估的总体指导性文件，针对具体网络的安全风险评估可参见具体网络的安全防护要求和安全防护检测要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。