YD/T 1737-2009
基本信息
标准号: YD/T 1737-2009
中文名称:互联网安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
发布日期:2009-12-11
实施日期:2010-01-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:223206
标准分类号
关联标准
替代情况:替代YD/T 1737-2008
出版信息
出版社:中国标准出版社
标准价格:0.0 元
出版日期:2010-01-01
相关单位信息
发布部门:工业和信息化部
标准简介
YD/T 1737-2009 互联网安全防护检测要求 YD/T1737-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.110
中华人民共和国通信行业标准
YD/T1737-2009
代替YD/T1737-2008
互联网安全防护检测要求
Security protectiontest requirements forinternet2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件
术语和定义
缩略语..
互联网安全防护检测概述.
5.1互联网安全防护检测范围…
互联网安全防护检测对象
互联网安全防护检测内容.
5.4互联网安全防护检测结果判定互联网安全等级保护检测要求.
第1级要求·
第2级要求
第3.1级要求..bzxZ.net
第3.2级要求
第4级要求
第5级要求
互联网安全风险评估检测要求
安全风险评估范围·
安全风险评估内容
安全风险评估要素…
安全风险评估赋值原则
安全风险评估赋值计算方法
安全风险评估文件类型·
7.7安全风险评估文件记录
互联网灾难备份及恢复检测要求8
第1级要求
第2级要求
第3.1级要求…
第3.2级要求.
第4级要求…
第5级要求
参考文献
YD/T1737-2009
··27
YD/T1737-2009
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》1.
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《互联网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网一消息网安全防护要求》《增值业务网一智能网安全防护要求》《接入网安全防护要求》
《传送网安全防护要求》
《IP承载网安全防护要求》
《信令网安全防护要求》
《同步网安全防护要求》
《支撑网安全防护要求》
《非核心生产单元安全防护要求》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《固定网安全防护检测要求》
《移动通信网安全防护检测要求》(互联网安全防护检测要求》(本标准)《增值业务网一消息网安全防护检测要求》《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
《传送网安全防护检测要求》
《IP承载网安全防护检测要求》《信令网安全防护检测要求》
《同步网安全防护检测要求》
《支撑网安全防护检测要求》
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全防护检测要求》《电信网和互联网管理安全检测要求》1
YD/T1737-2009
33.《域名系统安全防护要求》
《域名系统安全防护检测要求》34.
35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》本标准与YD/T1736-2009《互联网安全防护要求》(修订YD/T1736-2008《互联网安全防护要求》)配套使用。
本标准是YD/T1737-2008《互联网安全防护检测要求》的修订版本。本标准与YD/T1737-2008的主要差异在于:
1.本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。2.本标准的第4章“缩略语”中补充和更新了标准正文中适用的缩略语。3.本标准的第5章“互联网安全防护检测概述”中增加了“互联网安全防护检测内容”相关“业务及应用系统安全检测”要求的内容和相应检测结果计算比重的说明。4.本标准的第6章“互联网安全等级保护检测要求”中修改和补充了安全等级保护相关检测要求和内容,主要涉及6.3节、6.4节。其中,“业务及应用安全检测要求”部分增加了“互联网虚拟专用网服务”相关内容,主要涉及6.3.1.6节、6.4.1.6节:增加了“业务及应用系统安全检测要求”相关内容,主要涉及6.3.2节、6.4.2节;修改了“设备安全要求”相关内容,主要涉及6.3.3.2节、6.4.3.2节;增加了“物理环境安全检测要求”的相关内容,主要涉及6.3.4节、6.4.4节;删除了“移动互联网信息服务安全要求”相关内容,主要涉及原6.3.1.7节、原6.4.1.7节。5.本标准的第7章“互联网安全风险评估”中增加了“安全风险评估要素”相关“环境和设施”类资产的检测要求,主要涉及7.3节。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。
本标准主要起草人:杨剑锋、杨洋、田慧蓉、箕
晖、刘楠、白海龙。
本标准于2008年1月首次发布,本次为第一次修订。m
1范围
互联网安全防护检测要求
YD/T1737-2009
本标准规定了互联网业务及应用系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
本标准适用手互联网业务及应用系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T5271.8-2001
YD/T1736-2009
YD/T1743-2008
YD/T1745-2009
YD/T1747-2008
YD/T1755-2008
YD/T1757-2008
YD/T2053-2009
3术语和定义
信息技术词汇第8部分:安全
互联网安全防护要求
接入网安全防护检测要求
传送网安全防护检测要求
IP承载网安全防护检测要求
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求域名系统安全防护检测要求
GB/T5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1.1
EsystemsofIntemet
互联网相关系统
组成互联网的相关系统,包括接入网、传送网和IP承载网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH和卫星等。3.1.2
互联网安全等级
securityclassificationofInternet互联网及相关系统重要程度的表征。重要程度从互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.3
互联网安全等级保护classifiedsecurityprotectionofIntermet对互联网及相关系统分等级实施安全保护。3.1.4
互联网安全检测
securitytestingofInternet
YD/T1737-2009
对互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.1.5
组织organization
由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。3.1.6
互联网安全风险securityriskofInternet人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
互联网安全风险评估securityriskassessmentofInternet运用科学的方法和手段,系统地分析互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供科学依据。
互联网资产assetofInternet
互联网及相关系统中具有价值的资源,是安全防护体系保护的对象。互联网及相关系统中的资产可能以多种形式存在,如无形的和有形的或硬件和软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如P承载网中的路由器、传送网的网络布局。3.1.9
互联网资产价值
assetvalueofInternet
互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
互联网威胁threatof Internet
可能导致对互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.11
互联网脆弱性vulnerabilityofIntermet互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对互联网资产造成危害,但可能被互联网威胁所利用从而危及互联网资产的安全。3.1.12
互联网灾难disasterofInternet由于各种原因,造成互联网及相关系统故障或瘫痪,使互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。2
互联网灾难备份backupfordisasterrecoveryofInternet为了互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.1.14
TdisasterrecoveryofIntemet
互联网灾难恢复
YD/T1737-2009
为了将互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.15
访谈interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16
examination
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.17
testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
4缩略语
下列缩略语适用于本标准。
Application ServiceProvider
DistributedDenialof Service
Denial of Service
Domain NameSystem
FileTransferProtocol
HyperTextTransferProtocol
InternetContentProvider
Internet Data Center
InternetProtocol
PostOfficeProtocolv3
Session Initiation Protocol
SimpleMailTransferProtocol
Virtual Private Network
WirelessApplicationProtocol
应用服务提供商
分布式拒绝服务
拒绝服务
域名系统
文件传输协议
超文本传输协议
互联网内容提供商
互联网数据中心
网际协议
邮政代理协议第3版
会话初始化协议
简单邮件传输协议
虚拟专用网
无线应用协议
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T1737-2009
代替YD/T1737-2008
互联网安全防护检测要求
Security protectiontest requirements forinternet2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件
术语和定义
缩略语..
互联网安全防护检测概述.
5.1互联网安全防护检测范围…
互联网安全防护检测对象
互联网安全防护检测内容.
5.4互联网安全防护检测结果判定互联网安全等级保护检测要求.
第1级要求·
第2级要求
第3.1级要求..bzxZ.net
第3.2级要求
第4级要求
第5级要求
互联网安全风险评估检测要求
安全风险评估范围·
安全风险评估内容
安全风险评估要素…
安全风险评估赋值原则
安全风险评估赋值计算方法
安全风险评估文件类型·
7.7安全风险评估文件记录
互联网灾难备份及恢复检测要求8
第1级要求
第2级要求
第3.1级要求…
第3.2级要求.
第4级要求…
第5级要求
参考文献
YD/T1737-2009
··27
YD/T1737-2009
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》1.
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《互联网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网一消息网安全防护要求》《增值业务网一智能网安全防护要求》《接入网安全防护要求》
《传送网安全防护要求》
《IP承载网安全防护要求》
《信令网安全防护要求》
《同步网安全防护要求》
《支撑网安全防护要求》
《非核心生产单元安全防护要求》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《固定网安全防护检测要求》
《移动通信网安全防护检测要求》(互联网安全防护检测要求》(本标准)《增值业务网一消息网安全防护检测要求》《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
《传送网安全防护检测要求》
《IP承载网安全防护检测要求》《信令网安全防护检测要求》
《同步网安全防护检测要求》
《支撑网安全防护检测要求》
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全防护检测要求》《电信网和互联网管理安全检测要求》1
YD/T1737-2009
33.《域名系统安全防护要求》
《域名系统安全防护检测要求》34.
35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》本标准与YD/T1736-2009《互联网安全防护要求》(修订YD/T1736-2008《互联网安全防护要求》)配套使用。
本标准是YD/T1737-2008《互联网安全防护检测要求》的修订版本。本标准与YD/T1737-2008的主要差异在于:
1.本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。2.本标准的第4章“缩略语”中补充和更新了标准正文中适用的缩略语。3.本标准的第5章“互联网安全防护检测概述”中增加了“互联网安全防护检测内容”相关“业务及应用系统安全检测”要求的内容和相应检测结果计算比重的说明。4.本标准的第6章“互联网安全等级保护检测要求”中修改和补充了安全等级保护相关检测要求和内容,主要涉及6.3节、6.4节。其中,“业务及应用安全检测要求”部分增加了“互联网虚拟专用网服务”相关内容,主要涉及6.3.1.6节、6.4.1.6节:增加了“业务及应用系统安全检测要求”相关内容,主要涉及6.3.2节、6.4.2节;修改了“设备安全要求”相关内容,主要涉及6.3.3.2节、6.4.3.2节;增加了“物理环境安全检测要求”的相关内容,主要涉及6.3.4节、6.4.4节;删除了“移动互联网信息服务安全要求”相关内容,主要涉及原6.3.1.7节、原6.4.1.7节。5.本标准的第7章“互联网安全风险评估”中增加了“安全风险评估要素”相关“环境和设施”类资产的检测要求,主要涉及7.3节。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。
本标准主要起草人:杨剑锋、杨洋、田慧蓉、箕
晖、刘楠、白海龙。
本标准于2008年1月首次发布,本次为第一次修订。m
1范围
互联网安全防护检测要求
YD/T1737-2009
本标准规定了互联网业务及应用系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
本标准适用手互联网业务及应用系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T5271.8-2001
YD/T1736-2009
YD/T1743-2008
YD/T1745-2009
YD/T1747-2008
YD/T1755-2008
YD/T1757-2008
YD/T2053-2009
3术语和定义
信息技术词汇第8部分:安全
互联网安全防护要求
接入网安全防护检测要求
传送网安全防护检测要求
IP承载网安全防护检测要求
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求域名系统安全防护检测要求
GB/T5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1.1
EsystemsofIntemet
互联网相关系统
组成互联网的相关系统,包括接入网、传送网和IP承载网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH和卫星等。3.1.2
互联网安全等级
securityclassificationofInternet互联网及相关系统重要程度的表征。重要程度从互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.3
互联网安全等级保护classifiedsecurityprotectionofIntermet对互联网及相关系统分等级实施安全保护。3.1.4
互联网安全检测
securitytestingofInternet
YD/T1737-2009
对互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.1.5
组织organization
由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。3.1.6
互联网安全风险securityriskofInternet人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
互联网安全风险评估securityriskassessmentofInternet运用科学的方法和手段,系统地分析互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供科学依据。
互联网资产assetofInternet
互联网及相关系统中具有价值的资源,是安全防护体系保护的对象。互联网及相关系统中的资产可能以多种形式存在,如无形的和有形的或硬件和软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如P承载网中的路由器、传送网的网络布局。3.1.9
互联网资产价值
assetvalueofInternet
互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
互联网威胁threatof Internet
可能导致对互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.11
互联网脆弱性vulnerabilityofIntermet互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对互联网资产造成危害,但可能被互联网威胁所利用从而危及互联网资产的安全。3.1.12
互联网灾难disasterofInternet由于各种原因,造成互联网及相关系统故障或瘫痪,使互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。2
互联网灾难备份backupfordisasterrecoveryofInternet为了互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.1.14
TdisasterrecoveryofIntemet
互联网灾难恢复
YD/T1737-2009
为了将互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.15
访谈interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16
examination
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.17
testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
4缩略语
下列缩略语适用于本标准。
Application ServiceProvider
DistributedDenialof Service
Denial of Service
Domain NameSystem
FileTransferProtocol
HyperTextTransferProtocol
InternetContentProvider
Internet Data Center
InternetProtocol
PostOfficeProtocolv3
Session Initiation Protocol
SimpleMailTransferProtocol
Virtual Private Network
WirelessApplicationProtocol
应用服务提供商
分布式拒绝服务
拒绝服务
域名系统
文件传输协议
超文本传输协议
互联网内容提供商
互联网数据中心
网际协议
邮政代理协议第3版
会话初始化协议
简单邮件传输协议
虚拟专用网
无线应用协议
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。