YD/T 3314-2018
基本信息
标准号: YD/T 3314-2018
中文名称:网络交易系统安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:5227831
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准号:YD/T 3314-2018
标准名称:网络交易系统安全防护检测要求
英文名称:Security protection testing requirements for the network transaction
标准格式:PDF
发布时间:2018-02-09
实施时间:2018-04-01
标准大小:5.07M
标准介绍:本标准规定了网络交易系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。
本标准适用于公众电信网和互联网中的网络交易系统。
标准名称:网络交易系统安全防护检测要求
英文名称:Security protection testing requirements for the network transaction
标准格式:PDF
发布时间:2018-02-09
实施时间:2018-04-01
标准大小:5.07M
标准介绍:本标准规定了网络交易系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。
本标准适用于公众电信网和互联网中的网络交易系统。
标准图片预览
标准内容
ICS33.040下载标准就来标准下载网
iiiKAa~cJouaKAa
中华人民共和国通信行业标准
YD/T3314—2018
网络交易系统安全防护检测要求Security protection testing requirements for the network transactionsystem
2018-02-09发布
中华人民共和国工业和信息化部2018-04-01实施
2、规范性引用文件
3术语、定义和缩略语.
3.1术语和定义
3.2缩略语..
4网络交易系统安全防护检测概述.4.1网络交易系统安全防护检测范围..4.2网络交易系统安全防护检测对象,4.3网络交易系统安全防护检测内容5网络交易系统安全防护检测要求5.1第1级要求
5.2第2级要求,
5.3第3级要求.
5.4第4级要求
5.5第5级要求
iiKAa~cJouaKAa
YD/T3314—2018
YD/T33142018
iiiKAa~cJouaKAa
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称预计如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3《电信网和互联网安全风险评估实施指南》4。《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《固定通信网安全防护检测要求》7.《移动通信网安全防护要求》8.《移动通信网安全防护检测要求》9.《互联网安全防护要求》
10.《互联网安全防护检测要求》11.《增值业务网一消息网安全防护要求》12.《增值业务网一消息网安全防护检测要求》13.《增值业务网一智能网安全防护要求》14.《增值业务网一智能网安全防护检测要求》15.《接入网安全防护要求》
16.《接入网安全防护检测要求》17.《传送网安全防护要求》
18.《传送网安全防护检测要求》19.《IP承载网安全防护要求》
20.《IP承载网安全防护检测要求》21.《信令网安全防护要求》
22.《信令网安全防护检测要求》23.《同步网安全防护要求》
24.《同步网安全防护检测要求》25.《支撑网安全防护要求》
26.《支撑网安全防护检测要求》27.《非核心生产单元安全防护要求》28.《非核心生产单元安全防护检测要求》29.《电信网和互联网物理环境安全等级保护要求》30.《电信网和互联网物理环境安全等级保护检测要求》31、《电信网和互联网管理安全等级保护要求》II
32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42。《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62,《电信和互联网用户个人电子信息保护检测要求)63.《互联网接入服务安全防护要求》64。《互联网接入服务安全防护检测要求》65.《网络交易安全防护要求》
66.《网络交易安全防护检测要求》(本标准)67.《邮件系统安全防护要求》
68.《邮件系统安全防护检测要求》iiiKAa~cJouaKAa
YD/T3314—2018
YD/T33142018
69.《公有云服务安全防护要求》70.《公有云服务安全防护检测要求》本标准按照GB/T1.1一2009给出的规则起草。iiKAa~cJouaKAa
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、国家计算机网络应急技术处理协调中心、北京新浪互联信息服务有限公司、北京奇虎科技有限公司、中国移动通信集团公司、中国联合网络通信集团有限公司。本标准主要起草人:许子先、陈亮、陈禹、章毅、刘小雄、廖奇、金波。TV
1范围
网络交易系统安全防护检测要求iiKAa~cJouaKAa
YD/T3314—2018
本标准规定了网络交易系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。本标准适用于公众电信网和互联网中的网络交易系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1755——2008
YD/T1757—2008
YD/T2698—2014
YD/T2699—2014
YD/T2700—2014
YD/T2701—2014
YD/T2702—2014
YD/T2703—2014
3术语、定义和缩略语
3.1术语和定义
《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安全等级保护检测要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求中间件》《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》下列术语和定义适用于本文件。3.1.1
网络交易系统安全等级securityclassificationofnetworktransactionsystem网络交易系统安全重要程度的表征。重要程度可从网络交易系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
网络交易系统安全风险securityriskofnetworktransactionsystem人为或自然的威胁可能利用网络交易系统中存在的脆弱性导致安全事件的发生及造成的影响。YD/T33142018
网络交易系统资产assetofnetworktransactionsystemiiiKAa~cJou aKAa
网络交易系统中具有价值的资源,是安全防护保护的对象。网络交易系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括网络布局、服务器、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如网络交易系统的主机、数据库等。3.1.4
网络交易系统威胁threatofnetworktransactionsystem可能导致对网络交易系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的网络交易系统威肋有信息窃取、交易算改等等。3.1.5
网络交易系统灾难恢复disasterrecoveryofnetworktransactionsystem为了将网络交易系统从灾难造成的故障或摊痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.2缩略语
下列缩略语适用于本文件。
Business to Business
Business to Consumer
Consumer to Consumer
DistributedDenial of ServiceDomain Name System
Denial of Service
4网络交易系统安全防护检测概述4.1
网络交易系统安全防护检测范围企业之间
企业和消费者之间
个人与个人之间
分布式拒绝服务
域名系统
拒绝服务
网络交易系统是指利用通信网络(含互联网),面向社会公众提供电子商务有关商品与服务的交易处理平台。检测范围包括网络交易系统的用户账户管理模块、业务处理模块、业务安全管理模块、系统安全管理模块、支付接口模块等。4.2网络交易系统安全防护检测对象本标准文件中网络交易系统的安全防护检测对象为自有网络交易系统,不包括第三方托管网络交易系统。
4.3网络交易系统安全防护检测内容网络交易系统安全防护检测内容具体包括:1)业务及应用安全
iiiKAa~cJouaKAa
YD/T3314—2018
业务及应用安全包括向用户提供的相关业务及应用在实现技术,逻辑,管理和控制等方面的安全要求,主要包括业务逻辑安全、Web安全、对外能力开放接口安全、客户端安全、用户信息安全防护等。2)网络安全
网络安全包括网络交易系统在网络结构安全、入侵防范、安全审计等方面的安全要求。3)设备及软件系统安全
设备及软件系统安全包括网络交易系统的网络及安全设备、操作系统、数据库、中间件在身份鉴别访问控制、安全审计、入侵防范、资源控制等方面的安全要求。4)物理环境安全
物理安全包括网络交易系统所处的物理环境在机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全要求。
5)管理安全
管理安全包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5网络交易系统安全防护检测要求5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-01测试项目:《网络交易系统安全防护要求》5.1.1.1-a,应具备身份鉴别模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有身份鉴别模块预期结果:
3)相关文档中有身份鉴别模块描述:4)具有身份鉴别模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-02测试项目:
《网络交易系统安全防护要求》5.1.1.1-b,应具备访问控制模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
YD/T33142018
2)查看网络交易系统的功能模块,是否具有访问控制模块预期结果:
1)相关文档中有访问控制模块描述:2)具有访问控制模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统第1级业务及应用安全一业务逻辑安全-03《网络交易系统安全防护要求》5.1.1.1-c,应具备信息保护模块测试项目:
测试步骤:
iiiKAa~cJouaKAa
1)访谈网络运维和安全管理人员,查看网络设计验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有信息保护模块预期结果:
1)相关文档中有信息保护模块描述:2)其有信息保护模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-04测试项目:《网络交易系统安全防护要求》5.1.1.1-d,应具备交易安全模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有交易安全模块预期结果:
1)相关文档中有交易安全模块描述:2)具有交易安全模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-05测试项目:《网络交易系统安全防护要求》5.1.1.1-e,应具备恶意代码防范模块测试步骤:
1)访谈网络运维和安全管理人员:查看网络设计验收文档,网络拓扑文档、网络安全策略、运维管理制度,设备配置文档等:
2)查看网络交易系统的功能模块,是否具有恶意代码防范模块预期结果:
1)相关文档中有恶意代码防范模块描述:2)具有恶意代码防范模块
判定原则:
达到以上预期结果,则通过,否则不通过5.1.1.2Web安全
测试编号:网络交易系统一第1级一业务及应用安全Web安全-01测试项目:《网络交易系统安全防护要求》5.1.1.2-a,应具备输入验证模块测试步骤:
iiiKAa~cJouaKAa
YD/T3314—2018
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有输入验证模块预期结果:
1)相关文档中有输入验证模块描述:2)具有输入验证模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一Web安全-02测试项目:《网络交易系统安全防护要求》5.1.1.2-b,应具备身份认证模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有身份认证模块预期结果:
1)相关文档中有身份认证模块描述:2)具有身份认证模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一Web安全-03测试项目:《网络交易系统安全防护要求》5.1.1.2-c,应具备访间控制模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有访问控制模块预期结果:
1)相关文档中有访间控制模块描述:2)具有访问控制模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一Web安全-04测试项目:《网络交易系统安全防护要求》5.1.1.2-d,应具备会话管理模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有会话管理模块YD/T33142018
预期结果:
1)相关文档中有会话管理模块描述:2)具有会话管理模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全—Web安全-05测试项目:《网络交易系统安全防护要求》5.1.1.2-e,应满足YD/T2703-2014要求测试步骤:
1)访谈设备运维和安全管理人员,查看Web应用系统安全检测报告等:2)检查网络交易系统现网使用的Web应用系统的技术规范和安全配置预期结果:
1)网络交易系统现网使用的Web应用系统满足YD/T2703-2014要求判定原则:
达到以上预期结果,则通过,否则不通过5.1.2网络安全
测试编号:网络交易系统一第1级一网络安全-01测试项目:《网络交易系统安全防护要求》5.1.2-a,应具备网络监测模块测试步骤:
iiiKAa~cJouaKAa
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有网络监测模块预期结果:
1)相关文档中有网络监测模块描述:2)具有网络监测模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一网络安全-02测试项目:《网络交易系统安全防护要求》5.1.2-b,应具备入侵防范模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有入侵防范模块预期结果:
1)相关文档中有入侵防范模块描述:2)具有入侵防范模块
判定原则:
达到以上预期结果,则通过,否则不通过5.1.3设备及软件系统安全
5.1.3.1网络及安全设备
测试编号:网络交易系统一第1级一设备及软件系统安全一网络及安全设备-01测试项目:《网络交易系统安全防护要求》5.1.3.1-a,应具备网络安全设备测试步骤:
iiiKAa~cJouaKAa
YD/T3314—2018
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的架构,是否具有网络安全设备预期结果:
1)相关文档中有网络安全设备描述:2)其有网络安全设备
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一设备及软件系统安全一网络及安全设备-02测试项目:《网络交易系统安全防护要求》5.1.3.1-b,应满足YD/T2698-2014要求测试步骤:
1)访谈设备运维和安全管理人员,查看网络设备安全检测报告等;2)检查网络交易系统现网使用的网络设备的技术规范和安全配置预期结果:
1)网络交易系统现网使用的网络设备满足YD/T2698—2014要求判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一设备及软件系统安全一网络及安全设备-03测试项目:《网络交易系统安全防护要求》5.1.3.1-c,应满足YD/T2699-2014要求测试步骤:
1)访谈设备运维和安全管理人员,查看安全设备安全检测报告等:2)检查网络交易系统现网使用的安全设备的技术规范和安全配置预期结果:
网络交易系统现网使用的安全设备满足YD/T2699—2014要求判定原则:
达到以上预期结果,则通过,否则不通过5.1.3.2操作系统
测试编号:网络交易系统一第1级一设备及软件系统安全一操作系统-01测试项目:《网络交易系统安全防护要求》5.1.3.2-a,应具备身份鉴别模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看服务器的操作系统,是否具有身份鉴别模块预期结果:
1)相关文档中有身份鉴别模块描述:2)具有身份鉴别模块
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
iiiKAa~cJouaKAa
中华人民共和国通信行业标准
YD/T3314—2018
网络交易系统安全防护检测要求Security protection testing requirements for the network transactionsystem
2018-02-09发布
中华人民共和国工业和信息化部2018-04-01实施
2、规范性引用文件
3术语、定义和缩略语.
3.1术语和定义
3.2缩略语..
4网络交易系统安全防护检测概述.4.1网络交易系统安全防护检测范围..4.2网络交易系统安全防护检测对象,4.3网络交易系统安全防护检测内容5网络交易系统安全防护检测要求5.1第1级要求
5.2第2级要求,
5.3第3级要求.
5.4第4级要求
5.5第5级要求
iiKAa~cJouaKAa
YD/T3314—2018
YD/T33142018
iiiKAa~cJouaKAa
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称预计如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3《电信网和互联网安全风险评估实施指南》4。《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《固定通信网安全防护检测要求》7.《移动通信网安全防护要求》8.《移动通信网安全防护检测要求》9.《互联网安全防护要求》
10.《互联网安全防护检测要求》11.《增值业务网一消息网安全防护要求》12.《增值业务网一消息网安全防护检测要求》13.《增值业务网一智能网安全防护要求》14.《增值业务网一智能网安全防护检测要求》15.《接入网安全防护要求》
16.《接入网安全防护检测要求》17.《传送网安全防护要求》
18.《传送网安全防护检测要求》19.《IP承载网安全防护要求》
20.《IP承载网安全防护检测要求》21.《信令网安全防护要求》
22.《信令网安全防护检测要求》23.《同步网安全防护要求》
24.《同步网安全防护检测要求》25.《支撑网安全防护要求》
26.《支撑网安全防护检测要求》27.《非核心生产单元安全防护要求》28.《非核心生产单元安全防护检测要求》29.《电信网和互联网物理环境安全等级保护要求》30.《电信网和互联网物理环境安全等级保护检测要求》31、《电信网和互联网管理安全等级保护要求》II
32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42。《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62,《电信和互联网用户个人电子信息保护检测要求)63.《互联网接入服务安全防护要求》64。《互联网接入服务安全防护检测要求》65.《网络交易安全防护要求》
66.《网络交易安全防护检测要求》(本标准)67.《邮件系统安全防护要求》
68.《邮件系统安全防护检测要求》iiiKAa~cJouaKAa
YD/T3314—2018
YD/T33142018
69.《公有云服务安全防护要求》70.《公有云服务安全防护检测要求》本标准按照GB/T1.1一2009给出的规则起草。iiKAa~cJouaKAa
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、国家计算机网络应急技术处理协调中心、北京新浪互联信息服务有限公司、北京奇虎科技有限公司、中国移动通信集团公司、中国联合网络通信集团有限公司。本标准主要起草人:许子先、陈亮、陈禹、章毅、刘小雄、廖奇、金波。TV
1范围
网络交易系统安全防护检测要求iiKAa~cJouaKAa
YD/T3314—2018
本标准规定了网络交易系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。本标准适用于公众电信网和互联网中的网络交易系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1755——2008
YD/T1757—2008
YD/T2698—2014
YD/T2699—2014
YD/T2700—2014
YD/T2701—2014
YD/T2702—2014
YD/T2703—2014
3术语、定义和缩略语
3.1术语和定义
《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安全等级保护检测要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求中间件》《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》下列术语和定义适用于本文件。3.1.1
网络交易系统安全等级securityclassificationofnetworktransactionsystem网络交易系统安全重要程度的表征。重要程度可从网络交易系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
网络交易系统安全风险securityriskofnetworktransactionsystem人为或自然的威胁可能利用网络交易系统中存在的脆弱性导致安全事件的发生及造成的影响。YD/T33142018
网络交易系统资产assetofnetworktransactionsystemiiiKAa~cJou aKAa
网络交易系统中具有价值的资源,是安全防护保护的对象。网络交易系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括网络布局、服务器、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如网络交易系统的主机、数据库等。3.1.4
网络交易系统威胁threatofnetworktransactionsystem可能导致对网络交易系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的网络交易系统威肋有信息窃取、交易算改等等。3.1.5
网络交易系统灾难恢复disasterrecoveryofnetworktransactionsystem为了将网络交易系统从灾难造成的故障或摊痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.2缩略语
下列缩略语适用于本文件。
Business to Business
Business to Consumer
Consumer to Consumer
DistributedDenial of ServiceDomain Name System
Denial of Service
4网络交易系统安全防护检测概述4.1
网络交易系统安全防护检测范围企业之间
企业和消费者之间
个人与个人之间
分布式拒绝服务
域名系统
拒绝服务
网络交易系统是指利用通信网络(含互联网),面向社会公众提供电子商务有关商品与服务的交易处理平台。检测范围包括网络交易系统的用户账户管理模块、业务处理模块、业务安全管理模块、系统安全管理模块、支付接口模块等。4.2网络交易系统安全防护检测对象本标准文件中网络交易系统的安全防护检测对象为自有网络交易系统,不包括第三方托管网络交易系统。
4.3网络交易系统安全防护检测内容网络交易系统安全防护检测内容具体包括:1)业务及应用安全
iiiKAa~cJouaKAa
YD/T3314—2018
业务及应用安全包括向用户提供的相关业务及应用在实现技术,逻辑,管理和控制等方面的安全要求,主要包括业务逻辑安全、Web安全、对外能力开放接口安全、客户端安全、用户信息安全防护等。2)网络安全
网络安全包括网络交易系统在网络结构安全、入侵防范、安全审计等方面的安全要求。3)设备及软件系统安全
设备及软件系统安全包括网络交易系统的网络及安全设备、操作系统、数据库、中间件在身份鉴别访问控制、安全审计、入侵防范、资源控制等方面的安全要求。4)物理环境安全
物理安全包括网络交易系统所处的物理环境在机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全要求。
5)管理安全
管理安全包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5网络交易系统安全防护检测要求5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-01测试项目:《网络交易系统安全防护要求》5.1.1.1-a,应具备身份鉴别模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有身份鉴别模块预期结果:
3)相关文档中有身份鉴别模块描述:4)具有身份鉴别模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-02测试项目:
《网络交易系统安全防护要求》5.1.1.1-b,应具备访问控制模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
YD/T33142018
2)查看网络交易系统的功能模块,是否具有访问控制模块预期结果:
1)相关文档中有访问控制模块描述:2)具有访问控制模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统第1级业务及应用安全一业务逻辑安全-03《网络交易系统安全防护要求》5.1.1.1-c,应具备信息保护模块测试项目:
测试步骤:
iiiKAa~cJouaKAa
1)访谈网络运维和安全管理人员,查看网络设计验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有信息保护模块预期结果:
1)相关文档中有信息保护模块描述:2)其有信息保护模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-04测试项目:《网络交易系统安全防护要求》5.1.1.1-d,应具备交易安全模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有交易安全模块预期结果:
1)相关文档中有交易安全模块描述:2)具有交易安全模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一业务逻辑安全-05测试项目:《网络交易系统安全防护要求》5.1.1.1-e,应具备恶意代码防范模块测试步骤:
1)访谈网络运维和安全管理人员:查看网络设计验收文档,网络拓扑文档、网络安全策略、运维管理制度,设备配置文档等:
2)查看网络交易系统的功能模块,是否具有恶意代码防范模块预期结果:
1)相关文档中有恶意代码防范模块描述:2)具有恶意代码防范模块
判定原则:
达到以上预期结果,则通过,否则不通过5.1.1.2Web安全
测试编号:网络交易系统一第1级一业务及应用安全Web安全-01测试项目:《网络交易系统安全防护要求》5.1.1.2-a,应具备输入验证模块测试步骤:
iiiKAa~cJouaKAa
YD/T3314—2018
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有输入验证模块预期结果:
1)相关文档中有输入验证模块描述:2)具有输入验证模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一Web安全-02测试项目:《网络交易系统安全防护要求》5.1.1.2-b,应具备身份认证模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有身份认证模块预期结果:
1)相关文档中有身份认证模块描述:2)具有身份认证模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一Web安全-03测试项目:《网络交易系统安全防护要求》5.1.1.2-c,应具备访间控制模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有访问控制模块预期结果:
1)相关文档中有访间控制模块描述:2)具有访问控制模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全一Web安全-04测试项目:《网络交易系统安全防护要求》5.1.1.2-d,应具备会话管理模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有会话管理模块YD/T33142018
预期结果:
1)相关文档中有会话管理模块描述:2)具有会话管理模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一业务及应用安全—Web安全-05测试项目:《网络交易系统安全防护要求》5.1.1.2-e,应满足YD/T2703-2014要求测试步骤:
1)访谈设备运维和安全管理人员,查看Web应用系统安全检测报告等:2)检查网络交易系统现网使用的Web应用系统的技术规范和安全配置预期结果:
1)网络交易系统现网使用的Web应用系统满足YD/T2703-2014要求判定原则:
达到以上预期结果,则通过,否则不通过5.1.2网络安全
测试编号:网络交易系统一第1级一网络安全-01测试项目:《网络交易系统安全防护要求》5.1.2-a,应具备网络监测模块测试步骤:
iiiKAa~cJouaKAa
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的功能模块,是否具有网络监测模块预期结果:
1)相关文档中有网络监测模块描述:2)具有网络监测模块
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一网络安全-02测试项目:《网络交易系统安全防护要求》5.1.2-b,应具备入侵防范模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等;
2)查看网络交易系统的功能模块,是否具有入侵防范模块预期结果:
1)相关文档中有入侵防范模块描述:2)具有入侵防范模块
判定原则:
达到以上预期结果,则通过,否则不通过5.1.3设备及软件系统安全
5.1.3.1网络及安全设备
测试编号:网络交易系统一第1级一设备及软件系统安全一网络及安全设备-01测试项目:《网络交易系统安全防护要求》5.1.3.1-a,应具备网络安全设备测试步骤:
iiiKAa~cJouaKAa
YD/T3314—2018
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看网络交易系统的架构,是否具有网络安全设备预期结果:
1)相关文档中有网络安全设备描述:2)其有网络安全设备
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一设备及软件系统安全一网络及安全设备-02测试项目:《网络交易系统安全防护要求》5.1.3.1-b,应满足YD/T2698-2014要求测试步骤:
1)访谈设备运维和安全管理人员,查看网络设备安全检测报告等;2)检查网络交易系统现网使用的网络设备的技术规范和安全配置预期结果:
1)网络交易系统现网使用的网络设备满足YD/T2698—2014要求判定原则:
达到以上预期结果,则通过,否则不通过测试编号:网络交易系统一第1级一设备及软件系统安全一网络及安全设备-03测试项目:《网络交易系统安全防护要求》5.1.3.1-c,应满足YD/T2699-2014要求测试步骤:
1)访谈设备运维和安全管理人员,查看安全设备安全检测报告等:2)检查网络交易系统现网使用的安全设备的技术规范和安全配置预期结果:
网络交易系统现网使用的安全设备满足YD/T2699—2014要求判定原则:
达到以上预期结果,则通过,否则不通过5.1.3.2操作系统
测试编号:网络交易系统一第1级一设备及软件系统安全一操作系统-01测试项目:《网络交易系统安全防护要求》5.1.3.2-a,应具备身份鉴别模块测试步骤:
1)访谈网络运维和安全管理人员,查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设备配置文档等:
2)查看服务器的操作系统,是否具有身份鉴别模块预期结果:
1)相关文档中有身份鉴别模块描述:2)具有身份鉴别模块
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。