YD/T 3214-2017
基本信息
标准号: YD/T 3214-2017
中文名称:互联网资源协作服务信息安全管理系统接口规范
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3791778
相关标签: 互联网 资源 协作 服务 信息安全 管理系统 接口 规范
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3214-2017.Interfacespecification for information security management of Internet resource collaboration service.
1范围
YD/T 3214规定了互联网资源协作服务类业务相关信息安全管理系统与电信管理部门]依照国家法律法规授权建设的信息安全管理系统间接口的功能要求、数据通信要求及数据交换格式等。
YD/T 3214适用于提供包括但不限于弹性计算、数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务的互联网资源协作服务业务经营单位建设的信息安全管理系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
GB/T 2260-2007中华人民共和国行政区划代码
YD/T 3164互联网资源协作服务信息安全管理系统技术要求
3术语和定义
YD/T 3164界定的术语和定义适用于本文件。
4缩略语
下列缩略语适用于本文件:
FTP 文件传输协议 File Transfer Protocol
IDC 互联网数据中心 Internet Data Center
ICP 互联网内容提供商 Internet Content Provider
IRCS 互联网资源协作服务 Internet Resource Collaboration Service
1范围
YD/T 3214规定了互联网资源协作服务类业务相关信息安全管理系统与电信管理部门]依照国家法律法规授权建设的信息安全管理系统间接口的功能要求、数据通信要求及数据交换格式等。
YD/T 3214适用于提供包括但不限于弹性计算、数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务的互联网资源协作服务业务经营单位建设的信息安全管理系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
GB/T 2260-2007中华人民共和国行政区划代码
YD/T 3164互联网资源协作服务信息安全管理系统技术要求
3术语和定义
YD/T 3164界定的术语和定义适用于本文件。
4缩略语
下列缩略语适用于本文件:
FTP 文件传输协议 File Transfer Protocol
IDC 互联网数据中心 Internet Data Center
ICP 互联网内容提供商 Internet Content Provider
IRCS 互联网资源协作服务 Internet Resource Collaboration Service
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T3214—2017
互联网资源协作服务信息安全
管理系统接口规范
Interfacespecification for information security managementof Internet resource collaboration service2017-01-09发布
中华人民共和国工业和信息化部2017-01-09实施
2规范性引用文件
术语和定义
缩略语
接口功能要求
6.1基础数据管理.
6.2动态资源管理
6.3业务状态管理..
信息安全管理...
访问日志管理..
6.6代码表发布功能
ISMS状态报告功能
7接口流程
7.1通信方式.
7.2管理指令处理流程
7.3查询指令处理流程.
7.4数据上报流程
8接口方法定义.
8.1ircs_commandO方法
8.2ircs_commandackO方法
8.3file_load方法
9编码说明
互联网IP地址编码.
ICP备案号
10数据代码表,
接入方式代码表.
单位属性代码表.
证件类型代码表
机房性质代码表
代理类型代码表
服务内容代码
YD/T3214—2017
YD/T3214—2017
10.7监测规则及过滤规则代码表10.8
违法违规情况表
登记备案属性代码表
10.10指令优先级代码表
10.11虚拟资源类型代码表
11数据交换内容描述.
数据格式及匹配要求..
基础数据查询指令内容.
基础数据上报内容
基础数据核验处理指令内容.
动态资源查询指令内容
11.6动态资源查询结果上报内容...11.7
活跃资源监测数据上报内容.
活跃资源访问量查询指令内容...基础数据监测数据上报内容
违法网站列表指令内容...
免过滤网站列表指令内容.
违法违规网站监测数据上报内容.11.12
违法信息安全管理指令内容.
过滤指令申诉结果指令内容
违法信息监测记录上报内容.
11.16违法信息过滤记录上报内容.11.17
访问日志查询指令内容
访问日志查询结果上报内容..
代码表发布指令内容
11.20指令执行情况上报内容
ISMS活动状态上报内容
11.22WebService方法调用返回文件内容I
YD/T3214—2017
本标准是“互联网信息安全管理技术手段”系列标准之一,该系列标准结构和名称预计如下:YD/T2248《互联网数据中心和互联网接入服务信息安全管理系统技术要求》;YD/T2405《互联网数据中心和互联网接入服务信息安全管理系统接口规范》:YDT2406《互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法》YD/T3165《内容分发网络服务信息安全管理系统技术要求》;YDT3212《内容分发网络服务信息安全管理系统接口规范》:YD/T3213《内容分发网络服务信息安全管理系统及接口测试方法》:YD/T3164《互联网资源协作服务信息安全管理系统技术要求》;YD/T3214《互联网资源协作服务信息安全管理系统接口规范》;YDT3215《互联网资源协作服务信息安全管理系统及接口测试方法》。随着互联网各类业务和应用的发展,将不断补充和完善本系列的相关标准。本标准按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、浙江省通信管理局、阿里云计算有限公司。本标准主要起草人:景慧昀、柳青、杨剑锋、干萌、罗亮、王丽耀、魏薇、张慧珍、谷长信、郭岳、张昊星、杜伟、钱康、杨振雄、金宇、张旭洲、吴振刚、周丽丽、李冠华、苗琳。II
1范围
YD/T3214—2017
互联网资源协作服务信息安全管理系统接口规范本标准规定广互联网资源协作服务类业务相关信息安全管理系统与电信管理部门依照国家法律法规授权建设的信息安全管理系统间接口的功能要求,数据通信要求及数据交换格式等。本标准适用于提供包括但不限于弹性计算、数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务的互联网资源协作服务业务经营单位建设的信息安全管理系统规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T2260一2007中华人民共和国行政区划代码YD/T3164互联网资源协作服务信息安全管理系统技术要求3术语和定义
YD/T3164界定的术语和定义适用于本文件。4缩略语
下列缩略语适用于本文件:
5概述
文件传输协议
互联网数据中心
互联网内容提供商
互联网资源协作服务
互联网服务提供商
互联网协议
信息安全管理接口
信息安全管理系统
安全监管系统
统一资源定位符
可扩展标记语言
File Transfer Protocol
Internet Data Center
Internet Content Provider
Internet Resource Collaboration ServiceInternet Service Provider
Internet Protocol
Information Security Management InterfaceInformation Security Management SystemSecurity Monitor Management SystemUniform Resource Locator
ExtensibleMark-up Language
IRCS信息安全管理系统接口(ISMI)是IRCS企业侧信息安全管理系统(ISMS)与电信管理部门侧安全监管系统(SMMS)之间的接口,主要功能包括基础数据管理、动态资源管理、业务状态管理、信息安全管理、访问日志管理、代码表发布等。1
YD/T3214—2017
ISMI包括命令通道和数据通道。SMMS通过命令通道下发指令给ISMS,ISMS通过数据通道上传数据给SMMS。
ISMI与ISMS、SMMS之间的关系如图1所示。IRCS经营者
IRCS信息安全
管理系统
(ISMS)
IRCS经营者
IRCS信息安全
管理系统
(ISMS)
信息安全管理接口
(ISMI)
电信管理部门
安全监管系统
(SMMS)
图1信息安全管理接口示意
每个IRCS经营者应建设一个统一的ISMS,并通过一个ISMI与SMMS对接,以实现对其所管辖范围内所有资源协作业务的管理。本标准仅规定了ISMI的功能要求、接口流程、接口方法及数据交换格式定义,ISMS系统技术要求见YD/T2248。本标准中未明确的技术细节由ISMS根据SMMS的要求实现。SMMS的技术要求不在本标准中规定。6接口功能要求
基础数据管理
基础数据管理包括基础数据上报与查询,如图2所示。ISMS主动上报基础资源数据
新增或变更的数据
SMMS核验有异常的基础资源数据ISMS
ISMS对SMMS核验存在有异议的
基础资源数据重新上报
SMMS实时查询基础数据资源
ISMS根据SMMS查询需求上报
基础数据资源
基础数据管理
YD/T3214—2017
基础数据记录包括IRCS经营单位、IRCS业务客户有关主体信息记录以及IRCS业务经营单位所辖有关的资源信息记录。ISMS应在本地新增基础数据或更新基础数据后同步将新增数据记录或含修改内容的数据记录上报给SMMS,上报消息格式见11.3。同时,ISMS能根据SMMS的上报基础数据信息核验反馈指令,对存在异常的记录及时进行补正并重新上报,核验结果反馈消息格式见11.4,上报消息格式见11.3。
ISMS应支持SMMS针对特定记录的实时查询,实时查询结果应在20分钟内返回SMMS。SMMS通过ISMI接口向ISMS下发基础数据查询指令的方式实现基础数据查询。基础数据查询消息格式见11.2、上报消息格式见11.3。
6.2动态资源管理
ISMS应基于用户对IRCS业务数据中心虚拟资源、网络资源(IP地址和域名)的成功操作行为,形成用户动态资源使用日志,并供SMMS查询,如图3所示。动态资源管理
SMMS下发动态资源查询指令
ISMS根据SMMS查询
需求上报动态资源信息
图3动态资源管理
SMMS通过ISMI接口向ISMS下发动态资源查询指令的方式实现动态资源的查询功能,有关的动态资源查询消息格式见11.5,上报消息格式见11.66.3业务状态管理
ISMS应对业务经营单位拥有的所有互联网出入口链路上传送的公共信息数据进行全量监测,形成活跃资源监测记录和异常监测记录,如图4所示。活跃资源
异常监测记录
图4活跃资源管理
活跃资源监测管理功能:ISMS应自动实现对所辖内全部活跃域名、活跃IP地址访问量的监测和统计,并将记录信息主动定时上报给SMMS。同时,ISMS应支持SMMS针对特定域名和IP地址访问量的实时查询。有关上报消息格式见11.7、查询消息格式见11.8。3
YD/T3214—2017
异常状态监测功能:ISMS应对异常状态情况进行监测并形成异常状态监测记录。异常状态监测记录应定时通过ISMI自动上报,上报消息格式见11.9。6.4信息安全管理
SMMS通过ISMI接口向ISMS下发信息安全管理指令,实现违法违规网站管理、违法信息监测和处置等功能,如图5所示。
违法违规网站管理
-ISMS定时主动上报违法违规网站记录卡违法信息监测
SMMS下发监测指令
ISMS根据SMMS指令要求将
监测记录定时自动报给SMMS
违法迁滤处置
SMMS下发过滤指
ISMS根据SMMS指令要求将违法信息进行过滤并将记录自动实时报给SMMS图5信息安全管理
违法违规网站管理功能:ISMS应能根据SMMS下发的违法网站列表实现违法违规网站发现和处置功能,对违法违规网站监测和处置情况进行记录。监测记录应定时通过ISMI自动上报。有关违法网站列表消息格式见11.10,免过滤网站列表消息格式见11.11,监测/处置记录上报消息格式见11.12、管理指令执行情况上报消息格式见11.203002。违法信息监测功能:ISMS应对IRCS的双向流量数据进行监测,根据具体的违法信息监测指令对发现的违法信息进行记录。监测记录应定时通过ISMI自动上报。有关监测指令消息格式见11.13,监测记录上报格式见11.15,管理指令执行情况上报消息格式见11.20。违法信息过滤处置功能:ISMS应对IRCS的双向流量数据进行监测,根据具体的违法信息过滤指令对发现的违法信息进行过滤处置,并进行记录。处置记录应定时通过ISMI自动上报。过滤处置指令分为管理指令与控制指令两种形式。管理指令SMMS可以定义生效时间(默认两个小时后生效),ISMS接收到管理指令后IRCS业务经营者根据实际业务情况可以在生效期限内向管理部门提出申诉,逾期则指4
YD/T3214—2017
令自动生效。控制指令,即时生效。有关过滤处置指令消息格式见11.13,过滤记录上报格式见11.16,管理指令执行情况上报消息格式见11.206.5访问日志管理
ISMS应基于外部访问用户对IRCS接入互联网业务客户有关应用和服务的访问行为,完整记录和统计访问信息,形成访问日志,并供SMMS查询,如图6所示。访问日志管理
SMMS下发访问日志指令
SMS根据SMMS查谊
需求上报访问日志
图6访问日志管理
SMMS通过ISMI接口向ISMS下发访问日志查询指令的方式实现访问日志的查询功能,有关的访问日志查询消息格式见11.17,上报消息格式见11.186.6代码表发布功能
SMMS通过代码表发布指令,将系统所用代码数据全量下发给ISMS,ISMS依据SMMS下发的代码,更新本地代码,如图7所示。有关的代码表发布消息格式见11.19,指令执行情况上报消息格式见11.20代码表发布
SMMS下达码表指令
代码表发布功能
YD/T3214—2017
6.7ISMS状态报告功能
ISMS应每10min通过FTP方式向SMMS报告其状态信息,如图8所示。ISMS状态信息上报数据格式见11.21。
ISMS状态报告
7接口流程
7.1通信方式
ISMI包括命令通道和数据通道:SMS每10分钟自动上报状态信息
图8ISMS状态报告功能
命令通道采用WebService方式,SMMS通过调用ISMI接口方法将管理指令等下发给ISMS,管理指令处理流程见7.2,查询指令流程见7.3,接口方法见8.1、8.2;数据通道采用FTP方式,ISMS使用FTP协议或SFTP协议将数据文件上报给SMMS,数据上报流程见7.4,接口方法见8.3。7.2管理指令处理流程
SMMS通过管理指令完成对ISMS基础数据核验处理、违法网站和免过滤网站列表管理、违法信息监测和处置指令管理以及代码更新管理等功能。SMMS将管理指令发送到ISMS后,等待接收ISMS反馈的指令生效反馈信息。
管理指令处理流程如图9所示,具体过程如下:a)SMMS系统调用ircs_commandO方法,将指令下发至ISMS。指令以XML文件的格式封装;b)ISMS接收SMMS下发指令,进行认证和信息校验,完成信息校验后保存指令,并在同一连接内及时反馈指令接收是否成功的信息(见11.22);如果ISMS没有成功收到下发命令,SMMS则需要重新下发指令:
c)ISMS在约定时间内执行指令,将指令生效的结果信息通过调用ircs_commandacko方法返回给SMMS,返回的内容是以XML文件的格式封装的结果(见11.20);d)SMMS接收ISMS的指令生效结果信息,完成信息校验后进行保存,并在同一连接内及时反馈接收情况(见11.22);如SMMS没有成功收到指令生效信息,ISMS需要重新上报指令生效结果信息;如SMMS接收到的是管理指令申诉信息,需要触发申诉处理流程,并把申诉结果调用ircs_command()方法反馈给ISMS;
e)如果下发的指令需要上报数据,则ISMS调用数据上报流程上报数据。P
d返回
7.3查询指令处理流程
B.ircs.commanda
Jack返回
-5.file_load
图9管理指令处理流程示意
YD/T3214—2017
1、2、3、4
使用指令通道,用
WebService实现:
5使用数据
通道,用FTP方式实现
SMMS通过查询指令查询ISMS的基础数据记录及其监测异常记录、动态资源记录、访问日志记录、活跃资源监测记录、违法违规网站监测记录等。符合查询条件的数据记录通过数据上报流程异步上报到SMMS。SMMS按查询指令流程实现ISMS上报基础数据记录核验结果的反馈查询指令处理流程如图10所示,具体过程如下:a)SMMS系统调用ircscommandO方法,将查询指令下发至ISMS。指令以XML文件的格式封装:b)ISMS接收SMMS下发的查询指令,对指令进行信息校验。完成校验后保存否询指令,并在同连接内及时反馈指令接收情况(见11.22):如ISMS没有成功接收到下发命令,SMMS则需要重新下发:C)查询的结果信息通过调用数据上报流程返回查询结果。1.ircs_commanc
7.4数据上报流程
2.ircs_command返回
3.file_oad
图10查询流程示意
-1、2使用指
令通道,用WebService
实现:
3使用数据
通道,用FTP方式实现
数据上报流程中上报的数据包括基础数据记录、基础数据监测异常记录、访问日志记录、活跃资源监测记录、违法违规网站监测记录、违法信息监测和处置记录以及ISMS活动状态等。SMMS为每个ISMS创建一个根目录,为便于描述,下文用ircshome表示该目录,ISMS负责维护自已的根目录。YD/T32142017
上报数据文件的存放路径规则为:/ircshome/上报数据类型代码/上报日期/。其中,上报数据类型共计9种,对应的代码表见表1,日期采用yyyy-MM-dd的格式编写。文件以生成时间命名且应带有.xml后缀名,生成时间用1970年1月1日到文件生成时的秒数表示(如,“生成时间xml”形式)。ISMS通过数据通道,将上报的数据放到SMMS的相应目录下。数据上报文件大小的要求为单个上报数据文件必须小于12M字节,如上报数据量较大,可分拆为多个文件。每个根自录下除广表1中所列的数据上报自录以外,还应有一个名为999的自录,用来存放SMMS生成的上报文件处理结果。特定上报文件的处理结果文件存放路径为:/ircshome/999/数据类型代码-对应的文件原名-处理结果代码。SMMS生成数据上报处理结果为UTF-8编码的纯文本文件,文件内容为处理结果的必要描述,文件原名不含后缀(如,上报数据类型代码-上报数据文件名-处理结果代码”形式)。其中,数据类型代码见表1,处理结果代码见表2。数据上报类型代码表
上报数据类型
基础数据记录
基础数据监测异常记录bzxZ.net
访问日志查询记录
违法信息监测记录
违法信息过滤记录
(保留)
ISMS活动状态
活跃资源监测记录
违法违规网站监测记录
动态资源查询记录
上报文件处理结果代码
上报数据类型
处理完成
文件解密失败
文件校验失败
文件解压缩失败
文件格式异常
文件内容异常(版本错误)
文件内容异常
文件内容异常
文件内容异常
文件内容异常
文件内容异常
上报类型错误
节点/子节点长度错误
节点/子节点类型错误
节点/子节点内容错误
一节点/子节点缺漏
其他异常(存在其他错误,需重新上报)其他异常(处理中)
每个ISMS在数据上报目录下有新建和写入权限,无删除权限;而在上报文件处理结果目录下有删除8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T3214—2017
互联网资源协作服务信息安全
管理系统接口规范
Interfacespecification for information security managementof Internet resource collaboration service2017-01-09发布
中华人民共和国工业和信息化部2017-01-09实施
2规范性引用文件
术语和定义
缩略语
接口功能要求
6.1基础数据管理.
6.2动态资源管理
6.3业务状态管理..
信息安全管理...
访问日志管理..
6.6代码表发布功能
ISMS状态报告功能
7接口流程
7.1通信方式.
7.2管理指令处理流程
7.3查询指令处理流程.
7.4数据上报流程
8接口方法定义.
8.1ircs_commandO方法
8.2ircs_commandackO方法
8.3file_load方法
9编码说明
互联网IP地址编码.
ICP备案号
10数据代码表,
接入方式代码表.
单位属性代码表.
证件类型代码表
机房性质代码表
代理类型代码表
服务内容代码
YD/T3214—2017
YD/T3214—2017
10.7监测规则及过滤规则代码表10.8
违法违规情况表
登记备案属性代码表
10.10指令优先级代码表
10.11虚拟资源类型代码表
11数据交换内容描述.
数据格式及匹配要求..
基础数据查询指令内容.
基础数据上报内容
基础数据核验处理指令内容.
动态资源查询指令内容
11.6动态资源查询结果上报内容...11.7
活跃资源监测数据上报内容.
活跃资源访问量查询指令内容...基础数据监测数据上报内容
违法网站列表指令内容...
免过滤网站列表指令内容.
违法违规网站监测数据上报内容.11.12
违法信息安全管理指令内容.
过滤指令申诉结果指令内容
违法信息监测记录上报内容.
11.16违法信息过滤记录上报内容.11.17
访问日志查询指令内容
访问日志查询结果上报内容..
代码表发布指令内容
11.20指令执行情况上报内容
ISMS活动状态上报内容
11.22WebService方法调用返回文件内容I
YD/T3214—2017
本标准是“互联网信息安全管理技术手段”系列标准之一,该系列标准结构和名称预计如下:YD/T2248《互联网数据中心和互联网接入服务信息安全管理系统技术要求》;YD/T2405《互联网数据中心和互联网接入服务信息安全管理系统接口规范》:YDT2406《互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法》YD/T3165《内容分发网络服务信息安全管理系统技术要求》;YDT3212《内容分发网络服务信息安全管理系统接口规范》:YD/T3213《内容分发网络服务信息安全管理系统及接口测试方法》:YD/T3164《互联网资源协作服务信息安全管理系统技术要求》;YD/T3214《互联网资源协作服务信息安全管理系统接口规范》;YDT3215《互联网资源协作服务信息安全管理系统及接口测试方法》。随着互联网各类业务和应用的发展,将不断补充和完善本系列的相关标准。本标准按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、浙江省通信管理局、阿里云计算有限公司。本标准主要起草人:景慧昀、柳青、杨剑锋、干萌、罗亮、王丽耀、魏薇、张慧珍、谷长信、郭岳、张昊星、杜伟、钱康、杨振雄、金宇、张旭洲、吴振刚、周丽丽、李冠华、苗琳。II
1范围
YD/T3214—2017
互联网资源协作服务信息安全管理系统接口规范本标准规定广互联网资源协作服务类业务相关信息安全管理系统与电信管理部门依照国家法律法规授权建设的信息安全管理系统间接口的功能要求,数据通信要求及数据交换格式等。本标准适用于提供包括但不限于弹性计算、数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务的互联网资源协作服务业务经营单位建设的信息安全管理系统规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T2260一2007中华人民共和国行政区划代码YD/T3164互联网资源协作服务信息安全管理系统技术要求3术语和定义
YD/T3164界定的术语和定义适用于本文件。4缩略语
下列缩略语适用于本文件:
5概述
文件传输协议
互联网数据中心
互联网内容提供商
互联网资源协作服务
互联网服务提供商
互联网协议
信息安全管理接口
信息安全管理系统
安全监管系统
统一资源定位符
可扩展标记语言
File Transfer Protocol
Internet Data Center
Internet Content Provider
Internet Resource Collaboration ServiceInternet Service Provider
Internet Protocol
Information Security Management InterfaceInformation Security Management SystemSecurity Monitor Management SystemUniform Resource Locator
ExtensibleMark-up Language
IRCS信息安全管理系统接口(ISMI)是IRCS企业侧信息安全管理系统(ISMS)与电信管理部门侧安全监管系统(SMMS)之间的接口,主要功能包括基础数据管理、动态资源管理、业务状态管理、信息安全管理、访问日志管理、代码表发布等。1
YD/T3214—2017
ISMI包括命令通道和数据通道。SMMS通过命令通道下发指令给ISMS,ISMS通过数据通道上传数据给SMMS。
ISMI与ISMS、SMMS之间的关系如图1所示。IRCS经营者
IRCS信息安全
管理系统
(ISMS)
IRCS经营者
IRCS信息安全
管理系统
(ISMS)
信息安全管理接口
(ISMI)
电信管理部门
安全监管系统
(SMMS)
图1信息安全管理接口示意
每个IRCS经营者应建设一个统一的ISMS,并通过一个ISMI与SMMS对接,以实现对其所管辖范围内所有资源协作业务的管理。本标准仅规定了ISMI的功能要求、接口流程、接口方法及数据交换格式定义,ISMS系统技术要求见YD/T2248。本标准中未明确的技术细节由ISMS根据SMMS的要求实现。SMMS的技术要求不在本标准中规定。6接口功能要求
基础数据管理
基础数据管理包括基础数据上报与查询,如图2所示。ISMS主动上报基础资源数据
新增或变更的数据
SMMS核验有异常的基础资源数据ISMS
ISMS对SMMS核验存在有异议的
基础资源数据重新上报
SMMS实时查询基础数据资源
ISMS根据SMMS查询需求上报
基础数据资源
基础数据管理
YD/T3214—2017
基础数据记录包括IRCS经营单位、IRCS业务客户有关主体信息记录以及IRCS业务经营单位所辖有关的资源信息记录。ISMS应在本地新增基础数据或更新基础数据后同步将新增数据记录或含修改内容的数据记录上报给SMMS,上报消息格式见11.3。同时,ISMS能根据SMMS的上报基础数据信息核验反馈指令,对存在异常的记录及时进行补正并重新上报,核验结果反馈消息格式见11.4,上报消息格式见11.3。
ISMS应支持SMMS针对特定记录的实时查询,实时查询结果应在20分钟内返回SMMS。SMMS通过ISMI接口向ISMS下发基础数据查询指令的方式实现基础数据查询。基础数据查询消息格式见11.2、上报消息格式见11.3。
6.2动态资源管理
ISMS应基于用户对IRCS业务数据中心虚拟资源、网络资源(IP地址和域名)的成功操作行为,形成用户动态资源使用日志,并供SMMS查询,如图3所示。动态资源管理
SMMS下发动态资源查询指令
ISMS根据SMMS查询
需求上报动态资源信息
图3动态资源管理
SMMS通过ISMI接口向ISMS下发动态资源查询指令的方式实现动态资源的查询功能,有关的动态资源查询消息格式见11.5,上报消息格式见11.66.3业务状态管理
ISMS应对业务经营单位拥有的所有互联网出入口链路上传送的公共信息数据进行全量监测,形成活跃资源监测记录和异常监测记录,如图4所示。活跃资源
异常监测记录
图4活跃资源管理
活跃资源监测管理功能:ISMS应自动实现对所辖内全部活跃域名、活跃IP地址访问量的监测和统计,并将记录信息主动定时上报给SMMS。同时,ISMS应支持SMMS针对特定域名和IP地址访问量的实时查询。有关上报消息格式见11.7、查询消息格式见11.8。3
YD/T3214—2017
异常状态监测功能:ISMS应对异常状态情况进行监测并形成异常状态监测记录。异常状态监测记录应定时通过ISMI自动上报,上报消息格式见11.9。6.4信息安全管理
SMMS通过ISMI接口向ISMS下发信息安全管理指令,实现违法违规网站管理、违法信息监测和处置等功能,如图5所示。
违法违规网站管理
-ISMS定时主动上报违法违规网站记录卡违法信息监测
SMMS下发监测指令
ISMS根据SMMS指令要求将
监测记录定时自动报给SMMS
违法迁滤处置
SMMS下发过滤指
ISMS根据SMMS指令要求将违法信息进行过滤并将记录自动实时报给SMMS图5信息安全管理
违法违规网站管理功能:ISMS应能根据SMMS下发的违法网站列表实现违法违规网站发现和处置功能,对违法违规网站监测和处置情况进行记录。监测记录应定时通过ISMI自动上报。有关违法网站列表消息格式见11.10,免过滤网站列表消息格式见11.11,监测/处置记录上报消息格式见11.12、管理指令执行情况上报消息格式见11.203002。违法信息监测功能:ISMS应对IRCS的双向流量数据进行监测,根据具体的违法信息监测指令对发现的违法信息进行记录。监测记录应定时通过ISMI自动上报。有关监测指令消息格式见11.13,监测记录上报格式见11.15,管理指令执行情况上报消息格式见11.20。违法信息过滤处置功能:ISMS应对IRCS的双向流量数据进行监测,根据具体的违法信息过滤指令对发现的违法信息进行过滤处置,并进行记录。处置记录应定时通过ISMI自动上报。过滤处置指令分为管理指令与控制指令两种形式。管理指令SMMS可以定义生效时间(默认两个小时后生效),ISMS接收到管理指令后IRCS业务经营者根据实际业务情况可以在生效期限内向管理部门提出申诉,逾期则指4
YD/T3214—2017
令自动生效。控制指令,即时生效。有关过滤处置指令消息格式见11.13,过滤记录上报格式见11.16,管理指令执行情况上报消息格式见11.206.5访问日志管理
ISMS应基于外部访问用户对IRCS接入互联网业务客户有关应用和服务的访问行为,完整记录和统计访问信息,形成访问日志,并供SMMS查询,如图6所示。访问日志管理
SMMS下发访问日志指令
SMS根据SMMS查谊
需求上报访问日志
图6访问日志管理
SMMS通过ISMI接口向ISMS下发访问日志查询指令的方式实现访问日志的查询功能,有关的访问日志查询消息格式见11.17,上报消息格式见11.186.6代码表发布功能
SMMS通过代码表发布指令,将系统所用代码数据全量下发给ISMS,ISMS依据SMMS下发的代码,更新本地代码,如图7所示。有关的代码表发布消息格式见11.19,指令执行情况上报消息格式见11.20代码表发布
SMMS下达码表指令
代码表发布功能
YD/T3214—2017
6.7ISMS状态报告功能
ISMS应每10min通过FTP方式向SMMS报告其状态信息,如图8所示。ISMS状态信息上报数据格式见11.21。
ISMS状态报告
7接口流程
7.1通信方式
ISMI包括命令通道和数据通道:SMS每10分钟自动上报状态信息
图8ISMS状态报告功能
命令通道采用WebService方式,SMMS通过调用ISMI接口方法将管理指令等下发给ISMS,管理指令处理流程见7.2,查询指令流程见7.3,接口方法见8.1、8.2;数据通道采用FTP方式,ISMS使用FTP协议或SFTP协议将数据文件上报给SMMS,数据上报流程见7.4,接口方法见8.3。7.2管理指令处理流程
SMMS通过管理指令完成对ISMS基础数据核验处理、违法网站和免过滤网站列表管理、违法信息监测和处置指令管理以及代码更新管理等功能。SMMS将管理指令发送到ISMS后,等待接收ISMS反馈的指令生效反馈信息。
管理指令处理流程如图9所示,具体过程如下:a)SMMS系统调用ircs_commandO方法,将指令下发至ISMS。指令以XML文件的格式封装;b)ISMS接收SMMS下发指令,进行认证和信息校验,完成信息校验后保存指令,并在同一连接内及时反馈指令接收是否成功的信息(见11.22);如果ISMS没有成功收到下发命令,SMMS则需要重新下发指令:
c)ISMS在约定时间内执行指令,将指令生效的结果信息通过调用ircs_commandacko方法返回给SMMS,返回的内容是以XML文件的格式封装的结果(见11.20);d)SMMS接收ISMS的指令生效结果信息,完成信息校验后进行保存,并在同一连接内及时反馈接收情况(见11.22);如SMMS没有成功收到指令生效信息,ISMS需要重新上报指令生效结果信息;如SMMS接收到的是管理指令申诉信息,需要触发申诉处理流程,并把申诉结果调用ircs_command()方法反馈给ISMS;
e)如果下发的指令需要上报数据,则ISMS调用数据上报流程上报数据。P
d返回
7.3查询指令处理流程
B.ircs.commanda
Jack返回
-5.file_load
图9管理指令处理流程示意
YD/T3214—2017
1、2、3、4
使用指令通道,用
WebService实现:
5使用数据
通道,用FTP方式实现
SMMS通过查询指令查询ISMS的基础数据记录及其监测异常记录、动态资源记录、访问日志记录、活跃资源监测记录、违法违规网站监测记录等。符合查询条件的数据记录通过数据上报流程异步上报到SMMS。SMMS按查询指令流程实现ISMS上报基础数据记录核验结果的反馈查询指令处理流程如图10所示,具体过程如下:a)SMMS系统调用ircscommandO方法,将查询指令下发至ISMS。指令以XML文件的格式封装:b)ISMS接收SMMS下发的查询指令,对指令进行信息校验。完成校验后保存否询指令,并在同连接内及时反馈指令接收情况(见11.22):如ISMS没有成功接收到下发命令,SMMS则需要重新下发:C)查询的结果信息通过调用数据上报流程返回查询结果。1.ircs_commanc
7.4数据上报流程
2.ircs_command返回
3.file_oad
图10查询流程示意
-1、2使用指
令通道,用WebService
实现:
3使用数据
通道,用FTP方式实现
数据上报流程中上报的数据包括基础数据记录、基础数据监测异常记录、访问日志记录、活跃资源监测记录、违法违规网站监测记录、违法信息监测和处置记录以及ISMS活动状态等。SMMS为每个ISMS创建一个根目录,为便于描述,下文用ircshome表示该目录,ISMS负责维护自已的根目录。YD/T32142017
上报数据文件的存放路径规则为:/ircshome/上报数据类型代码/上报日期/。其中,上报数据类型共计9种,对应的代码表见表1,日期采用yyyy-MM-dd的格式编写。文件以生成时间命名且应带有.xml后缀名,生成时间用1970年1月1日到文件生成时的秒数表示(如,“生成时间xml”形式)。ISMS通过数据通道,将上报的数据放到SMMS的相应目录下。数据上报文件大小的要求为单个上报数据文件必须小于12M字节,如上报数据量较大,可分拆为多个文件。每个根自录下除广表1中所列的数据上报自录以外,还应有一个名为999的自录,用来存放SMMS生成的上报文件处理结果。特定上报文件的处理结果文件存放路径为:/ircshome/999/数据类型代码-对应的文件原名-处理结果代码。SMMS生成数据上报处理结果为UTF-8编码的纯文本文件,文件内容为处理结果的必要描述,文件原名不含后缀(如,上报数据类型代码-上报数据文件名-处理结果代码”形式)。其中,数据类型代码见表1,处理结果代码见表2。数据上报类型代码表
上报数据类型
基础数据记录
基础数据监测异常记录bzxZ.net
访问日志查询记录
违法信息监测记录
违法信息过滤记录
(保留)
ISMS活动状态
活跃资源监测记录
违法违规网站监测记录
动态资源查询记录
上报文件处理结果代码
上报数据类型
处理完成
文件解密失败
文件校验失败
文件解压缩失败
文件格式异常
文件内容异常(版本错误)
文件内容异常
文件内容异常
文件内容异常
文件内容异常
文件内容异常
上报类型错误
节点/子节点长度错误
节点/子节点类型错误
节点/子节点内容错误
一节点/子节点缺漏
其他异常(存在其他错误,需重新上报)其他异常(处理中)
每个ISMS在数据上报目录下有新建和写入权限,无删除权限;而在上报文件处理结果目录下有删除8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。