基礎電信運營企業互聯網網站安全定級方法的探討

孔令飛 中國聯通河北省分公司網絡與信息安全部高級工程師

卜哲 中國信息通信研究院安全研究所高級工程師

專家視點

基礎電信運營企業互聯網網站安全定級方法的探討

孔令飛 中國聯通河北省分公司網絡與信息安全部高級工程師

卜哲 中國信息通信研究院安全研究所高級工程師

探討了基礎電信企業在開展互聯網網站安全定級工作中可以遵循的一種方法。通過聚類、歸并分析等方式，識別出對互聯網網站安全屬性具有標識意義的要素，進而考察各要素間的關系，結合實踐數據找到了一種方法并給出了形式化描述。

網絡安全；電信網；互聯網；安全等級；定級；方法

1 工作概況

互聯網網站承載了大范圍的公眾通信應用服務，其安全狀況對于國家安全、社會秩序、經濟建設、公共利益、承載網絡自身以及河北聯通公司的利益等，具有重要意義。通過對互聯網網站進行安全等級劃分，按照安全等級保護要求進行規劃、建設、運維、管理和監督，可以實現對互聯網網站的重點保護和有效保護，增強安全保護的整體性、針對性和實效性。

河北聯通根據開展國有企業互聯網網站安全專項整治行動的實踐需要，確定了本公司互聯網網站安全等級的定級方法。

2 工作開展現狀

開展互聯網網站安全專項整治行動的工作過程中發現對于如何確定互聯網網站的安全等級還缺乏明確的標準，已有的類似標準的內容也相對滯后、依據間也存在一些矛盾。

2.1 兩個可供參考標準的局限性

一個是《電信網和互聯網安全等級保護實施指南》（YD/T 1729-2008），該標準是2008年制定，是面向電信網與互聯網的通用性準則，缺乏對互聯網網站定級工作的針對性。

另一個是《電信網和互聯網信息服務業務系統安全防護要求》（YD/T 2243-2011）。由于互聯網網站屬于信息服務業務系統類型，若依照該標準，則其中定級部分是參考了YD/T 1729-2008，同樣面臨缺乏針對性的問題。同時，互聯網網站又屬于“非核心生產單元”，定級和符合性評測的內容有些滯后。

2.2 以增值電信業務系統的定級作為參考

為了加強對互聯網企業的定級備案管理，工業和信息化部在2012年發布了一系列的標準，對互聯網網站的業務類型規范較細，每個類型業務的定級方法對本次網站定級的參考性很強。但其中的若干指標過于寬泛，很難應用到基礎電信企業的網站。在此基礎上，河北聯通針對基礎電信企業的情況和能力，提出了一種定級方法。

3 一種定級方法

3.1 安全等級的劃分原則

（1）適用性聲明：考察互聯網網站遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為第1、2、3（包含第3.1和3.2）、4和5級。

依據監管部門的有關要求，河北聯通將互聯網網站的建議安全等級范圍限定為：1、2、3.1和

3.2級。

（2）安全等級劃分的總體原則：根據互聯網網站受到破壞后對國家安全、社會秩序、經濟運行、公共利益以及網絡和業務運營單位的合法權益的損害程度確定安全等級。

（3）安全等級的劃分：

第1級，指互聯網網站受到破壞后，會對其網絡和業務運營單位的合法權益造成輕微損害，但不損害國家安全、社會秩序、經濟運行和公共利益。

第2級，指互聯網網站受到破壞后，會對網絡和業務運營單位的合法權益產生嚴重損害，或者對社會秩序、經濟運行和公共利益造成輕微損害，但不損害國家安全。

第3級，進一步劃分為兩個等級：

第3.1級，指互聯網網站受到破壞后，會對網絡和業務運營單位的合法權益產生很嚴重損害，或者對社會秩序、經濟運行和公共利益造成較大損害，或者對國家安全造成輕微損害。

第3.2級，指互聯網網站受到破壞后，會對網絡和業務運營單位的合法權益產生特別嚴重損害，或者對社會秩序、經濟運行和公共利益造成嚴重損害，或者對國家安全造成較大損害。

3.2 劃分安全等級的流程

互聯網網站的安全等級劃分可分為3個步驟：單元劃分、賦值計算、確定等級。

（1）單元劃分：對本單位的互聯網網站系統按照專業類型進行單元劃分，劃分后的網絡單元應邊界清晰、管理責任主體分明、屬于同一種類型的業務系統。每個定級對象不得包含多個類型的網站系統。對于存在多個功能的大型網站，可按照其主要功能進行分類，可根據互聯網網站提供服務的情況分為如下類型：門戶綜合型網站、信息社區服務型網站、網絡交易型網站、即時通信型網站、移動互聯網應用商店型網站等。信息社區服務型網站是指：各種網絡論壇、BBS、網上社區等類型的網站。網絡交易型網站是指：各種以提供在線交易功能為主要服務內容的網站，例如網店等。即時通信型網站是指：微信公眾號平臺等。

完成單元劃分之后，需要對其進行命名?；ヂ摼W網站的網絡單元名稱（即定級對象名稱）的命名規則可以是：[責任主體簡稱][業務系統類型][網站名稱]系統。例如，“河北聯通xx型網站yy系統”、“唐山聯通xx型網站yy系統”等。

（2）賦值計算：按照各專業類型網站的定級指標賦值原則確定網絡單元定級要素的賦值，并通過安全等級計算公式計算得出網絡單元的安全等級。

（3）確定等級：根據計算結果確定等級。

3.3 定級要素的賦值

互聯網網站的安全等級由兩個客觀因素決定：受保護對象遭到破壞時所侵害的客體和對客體造成侵害的程度。受侵害的客體是指：

（1）公民、法人和其他組織的合法權益。

（2）社會秩序、公共利益。

（3）國家安全。

對客體的侵害程度由對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對受保護對象的破壞實現的，因此，對客體的侵害外在表現為對受保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。受保護對象受到破壞后對客體造成侵害的程度歸結為以下3種：

（1）造成一般損害。（2）造成嚴重損害。

（3）造成特別嚴重損害。

受侵害的客體以及對客體的侵害程度這兩個客觀因素的相互作用可以被歸納為3個相互獨立的要素，分別是：社會影響力、規模和服務范圍、所提供服務的重要性。這3個要素被稱為互聯網網站安全等級的定級要素。各定級要素的取值范圍定為：1、2、3、4和5。各專業類型網站系統的定級要素的賦值各不相同，可具體參照下述方法確定。

（1）門戶綜合型網站系統

門戶綜合型網站系統的服務對象范圍廣泛，數量眾多，受到破壞后會對社會秩序、經濟運行和公共利益造成較為嚴重的損害，建議社會影響力賦值為3。

門戶綜合型網站系統的規模和服務范圍R可根據日均訪問用戶數R1、人均頁面訪問量R2兩個指標來確定，將R1和R2中的較大的值賦予R。表1、2給出了R1和R2的賦值。

門戶綜合型網站系統所提供服務的重要性較大，被破壞后會對河北聯通的合法權益（企業形象）造成較大損害，建議所提供服務的重要性賦值為3。

表1 日均訪問用戶數R1賦值表

表2 人均頁面訪問量R2賦值表

（2）信息社區服務型網站系統

信息社區服務型網站系統的服務對象范圍廣泛，數量眾多，其上承載了多種業務功能，受到破壞后會對社會秩序、社會輿論、經濟運行和公共利益造成較為嚴重的損害，建議社會影響力賦值為3。

信息社區服務型網站系統的定級對象的規模和服務范圍R可根據注冊帳戶數R1（指信息社區服務系統累計注冊的帳戶總數）、活躍帳戶數R2（指一個時段內，通常是一個月，至少使用一次信息社區服務系統的帳戶總數）兩個指標來確定，將R1和R2中的較大的值賦予R。表3、4給出了R1和R2的賦值。

表3 注冊帳戶數R1賦值表

表4 活躍帳戶數R2賦值表

信息社區服務型網站系統所提供服務的重要性較高，被破壞后會對社會秩序以及河北聯通的合法權益造成較大損害，建議提供服務的重要性賦值為3。

（3）網絡交易型網站系統

網絡交易型網站系統的服務對象范圍廣泛，數量眾多，且其上承載了交易、支付等金融類業務功能，受到破壞后會對社會秩序、經濟運行和用戶利益造成較為嚴重的損害，建議社會影響力賦值為3。

網絡交易型網站系統的定級對象的規模和服務范圍R可根據規模由注冊用戶數R1（網絡交易平臺注冊用戶數量，包括注冊商家及普通用戶）和每天交易金額R2（每天完成的網絡交易金額）兩個指標來確定，將R1和R2中的較大的值賦予R。表5、6給出了R1和R2的賦值。

表5 注冊用戶數R1賦值表

表6 第天交易金額R2賦值表

網絡交易型網站系統所提供服務的重要性較高，被破壞后會對河北聯通以及合法用戶的合法權益造成嚴重損害，建議所提供服務的重要性賦值為3。

（4）即時通信型網站系統

即時通信型網站系統的服務對象范圍廣泛，數量眾多，且其上承載了多種業務功能，受到破壞后會對社會秩序、經濟運行和公共利益造成較為嚴重的損害，建議社會影響力賦值為3。

半楓荷在我國中藥應用的歷史上包括多種植物的材料，半楓荷同名異物的品種有6種之多，均與金縷梅科的半楓荷具有相似的藥效[2]。楊武亮等[3]查閱有關文獻和標本，統計出以半楓荷同名同用途的植物有5科6屬12種。林華[4]認為有5科8屬14種。各個研究說法不一，為加以明確，指導中草藥生產和加工利用，本研究綜合多人的研究[2-7]，將較為公認的半楓荷同名同用途物種(5科7屬14種)列表說明(表1)。

即時通信型網站系統的定級對象的規模和服務范圍R可根據注冊賬戶數R1（指即時通訊軟件累計注冊

的賬戶總數）、活躍賬戶數R2（指一個時段內，通常是一個月，至少使用一次即時通訊服務的賬戶總數）兩個指標來確定，將R1和R2中較大的值賦予R。表7、8給出了R1和R2的賦值。

表7 注冊帳號數R1賦值表

圖8活躍帳號數R2賦值表

即時通信型網站系統所提供服務的重要性一般，被破壞后會對河北聯通的合法權益造成損害通常不大，建議提供服務的重要性賦值為2。

（5）移動互聯網應用商店型網站系統

移動互聯網應用商店型網站系統服務于公眾用戶，建議社會影響力賦值為2。

建議規模和服務范圍通過訪問用戶獨立IP數、注冊用戶數、上線應用數、應用下載量、簽約開發者數等多個指標衡量，取各指標賦值最大值。表9給出了賦值。

移動互聯網應用商店型網站系統所提供服務的重要性與移動終端的使用范圍相關，建議提供服務的重要性賦值為2。

3.4 安全等級的計算

完成定級對象的社會影響力I、規模和服務范圍R、所提供服務重要性V3個定級要素的賦值后，采用以下公式來計算定級對象的安全等級值：

其中，k代表安全等級值，I代表社會影響力賦值、R代表規模和服務范圍賦值、V代表所提供服務的重要性賦值，Round1{}表示四舍五入處理，保留1位小數，Log2[]表示取以2為底的對數，α、β、γ分別表示定級對象的社會影響力、規模和服務范圍、所提供服務的重要性賦值所占的權重，α≥0，β≥0，γ≥0，且α+β+γ=1。建議權重值α、β、γ分別為：0.4、0.4、0.2，或者1/3、1/3、1/3，各企業也可根據實際情況確定權重值α、β、γ。

根據前述定級要素的賦值，代入公式計算后可得到k值。之后，根據映射關系表，最終確定安全等級（見表10）。

表10 安全等級值與安全等級的映射關系

4 應用實踐

河北聯通已在全省范圍內推廣本文的方法，現以一個網站的定級過程作為示例。

“虛擬主機業務平臺”：網站域名（www.hebidc.

cn），網站備案號（冀ICP備12018714-6）。該平臺主要用于對品牌建站子業務域名、虛擬主機、企業郵局的申請和續費使用。

表9 規模和服務范圍賦值表

對該網站進行定級如下：

（1）單元劃分：此網站屬于門戶綜合型網站。單元命名：河北聯通門戶綜合型網站虛擬主機業務平臺。

（2）定級要素的賦值。

社會影響力：因該網站用于業務的開通注冊，使用者較少，受到破壞不易造成嚴重損害，故社會影響力I=1。規模和服務范圍：該網站日均訪問客戶數在100萬以下，人均頁面訪問量在10次以上、20次以下，故日均訪問用戶數R1=1，人均頁面訪問量R2=2，所以規模和服務范圍R=2。所提供服務的重要性：被破壞后會對河北聯通合法權益造成損害，故所提供服務的重要性V=3。

（3）安全等級的計算

根據計算公式有：K=Round1{Log2{[0.4×2+0.4× 2×2+0.2×2×2×2]}}=2，或，

K=Round1{Log2{[1/3×2+1/3×2×2+1/3×2×2×2]}}= 2. 22

查表10，得出結論：該網站安全等級為第2級。

5 結束語

本文針對互聯網網站安全定級方法的討論，主要集中在依據已有的信息系統等級保護的方法論展開，針對若干典型的互聯網網站類型確定了定級要素的判斷指標，填補了國內相關領域的空白。但是，本項工作在應用實踐中還可能面臨一定的困難和不確定因素，例如網站用戶數的統計、網站訪問量的統計、網站類型的變化等還缺少技術手段進行精確統計和判斷。下一步工作思路，是報請集團公司和監管部門按照本文成果在部分省份開展試點工作，最佳實踐后，形成新的標準。

[1]中國通信標準化協會.電信網和互聯網安全等級保護實施指南:YD/T 1729-2008[S].北京:人民郵電出版社,2008.

[2]工業和信息化部.電信網和互聯網安全防護體系的互聯網網站劃分及建議安全等級:工信保函[2010]14號[R].

[3]全國信息安全標準化技術委員會.信息安全技術信息系統安全等級保護定級指南:GB/T 22240-2008[S].中國標準出版社,2008.

[4]中國通信標準化協會.增值電信業務系統安全防護定級和評測實施規范門戶綜合網站系統:YDB 106-2012[S]. 2012.

[5]中國通信標準化協會.增值電信業務系統安全防護定級和評測實施規范信息社區服務系統:YDB 109-2012[S]. 2012.

[6]中國通信標準化協會.增值電信業務系統安全防護定級和評測實施規范網絡交易系統:YDB 108-2012[S].2012.

[7]中國通信標準化協會.增值電信業務系統安全防護定級和評測實施規范-即時通信系統:YDB 107-2012[S]. 2012

Amethod for telecom carriers to define website security level

KONG Lingfei,BU Zhe

In this paper the author discussed such a method that may be followed by telecom carriers in taking classified security protection of websites.Through clustering and merging analysis,we identified some significant security attributes of the websites,marked the significance of those elements,and studied the relationship between them,then we combined with the practical data to find a method and gave the formal description.

network security;telecommunication network;Internet;define the security level;method

2016-10-20）