YDB 112-2012
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 112-2012.Implementation Specification of Classified Security Protection and Testing for Value-added Telecommunication Service System Internet Service Provider System.
1范围
YDB 112规范规定了互联网接入服务系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
YDB 112规范适用于第三方对外提供互联网接入服务的系统,包括认证计费系统、接入服务系统、计费账务系统、监控系统等。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD 5098-2005通信,局(站)防雷与接地工程设计规范
YD 5002邮电建筑防火设计标准
YD/T 5026-2005电信机房铁架安装设计标准
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。
3.1.1
互联网接入服务系统安全等级secur ity classification of Internet Service Prov ider System
互联网接入服务系统重要程度的表征。重要程度从互联网接入服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。
3.1.2
互联网接入服务系统安全等级保护classified secur ity protection of Internet Service Provider System
标准内容
中国通信标准化协会标准
YDB112—2012
增值电信业务系统安全防护定级和评测实施规范互联网接入服务系统
ImplementationSpecificationofClassifiedSecurityProtection and Testing for Value-added Telecommunication Service SystemInternet Service Provider System2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语,
4概述,
安全防护范围
安全风险分析:
4.3安全防护内容
5定级实施规范:
安全等级划分
定级方法
安全等级的计算方法
6安全防护要求.
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
安全防护评测实施指南
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
YDB112—2012
YDB112—2012
本实施规范是“增值电信业务系统安全防护定级和评测实施规范”系列实施规范之一,该系列实施规范包含如下实施规范:
一增值电信业务系统安全防护定级和评测实施规范门户综合网站系统:一一增值电信业务系统安全防护定级和评测实施规范即时通信系统:一增值电信业务系统安全防护定级和评测实施规范网络交易系统:一增值电信业务系统安全防护定级和评测实施规范信息社区服务系统:一增值电信业务系统安全防护定级和评测实施规范邮件系统:一一增值电信业务系统安全防护定级和评测实施规范搜索系统:一增值电信业务系统安全防护定级和评测实施规范互联网接入服务系统。本实施规范按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”:推荐有关方面参考采用。有关对本实施规范的建议和意见,向中国通信标准化协会反映,本实施规范由中国通信标准化协会提出并归口。本实施规范起草单位:工业和信息化部电信研究院。本实施规范主要起草人:魏亮、谢玮、邓东丰、封莎、鲁冬雪、祝卓、杨剑锋、魏薇、卜哲、许子先、何友斌、张彦超,
HiiKAoNiKAca
1范围
YDB112—2012
增值电信业务系统安全防护定级和评测实施规范互联网接入服务系统
本实施规范规定了互联网接入服务系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
本实施规范适用于第三方对外提供互联网接入服务的系统,包括认证计费系统、接入服务系统、计费账务系统、监控系统等。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD5098-2005
YD5002
YD/T5026-2005
通信局(站)防雷与接地工程设计规范邮电建筑防火设计标准
电信机房铁架安装设计标准
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。3.1.1
互联网接入服务系统安全等级securityclassificationofInternetServiceProviderSystem互联网接入服务系统重要程度的表征。重要程度从互联网接入服务系统受到破坏后,对国家安全社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
互联网接入服务系统安全等级保护classifiedsecurityprotectionofInternetServiceProvider System
对互联网接入服务系统分等级实施安全保护。3.1.3
互联网接入服务系统安全风险securityriskofInternetServiceProviderSystem人为或自然的威胁可能利用互联网接入服务系统中存在的脆弱性导致安全事件的发生及造成的影响。
iiiKAoNikAca
YDB1122012
互联网接入服务系统资产assetofInternetServiceProviderSystem互联网接入服务系统中具有价值的资源,是安全防护体系保护的对象。互联网接入服务系统中的资产可能以多种形式存在,无形的、有形的、硬件,软件,包括物理布局、通信设备,物理线路、数据、软件,文档、规程、业务、人员、管理等各种类型的资源,如互联网接入服务系统的相关服务器,3.1.5
互联网接入服务系统威胁threatofInternetServiceProviderSystem可能导致对互联网接入服务系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
互联网接入服务系统脆弱性vulnerabilityofInternetServiceProviderSystem互联网接入服务系统的资产中存在的弱点,缺陷与不足,不直接对互联网接入服务系统资产造成危害,但可能被互联网接入服务系统威胁所利用从而危害互联网接入服务系统资产的安全。3.1.7
互联网接入服务系统灾难disaster ofInternetServiceProviderSystem由于各种原因,造成互联网接入服务系统故障或瘫痪,使互联网接入服务系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
互联网接入服务系统灾难备份backupfordisaster recoveryofInternet ServiceProvideSystem
为了互联网接入服务系统灾难恢复而对相关网络要素进行备份的过程。3.1.9
互联网接入服务系统灾难恢复disaster recovery ofInternetServiceProvider System为了将互联网接入服务系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
互联网接入服务系统安全评测 securitytesting ofInternet Service Provider System对互联网接入服务系统的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.2缩略语
下列缩略语适用于本实施规范。ADSL
AsymmetricDigitalSubscriberLineDistributedDenialofService
Denial of Service
File Transfer Protocol
Hypertext Transport ProtocolInternet Content Provider
Internet Service Provider
非对称数字用户线
分布式拒绝服务
拒绝服务
文件传输协议
超文本传送协议
互联网内容服务
互联网接入服务
iiKANiKAca
4概述
安全防护范围
Internet Protocol
Media Access Control
PostOffice Protocol 3
Session Initial Protocol
SimpleMailTransferProtocol
UninterruptiblePowerSystem
WirelessFidelity
网际协议
媒体控制协议
YDB112—2012
邮局协议的第3个版本
会话初始协议
简单文件传输协议
不间断电源系统
无线保真
互联网接入服务(ISP,InternetServiceProvider)系统是指利用接入服务器和相应的软硬件资源建立业务节点,并利用公用电信基础设施将业务节点与互联网骨干网相连接,为各类用户提供接入互联网的服务系统。
互联网接入服务业务主要有两种应用,一是为互联网内容服务(ICP,InternetContentProvider)业务经营者或集团用户提供的接入互联网的服务,目前的主要业务形式是租用专线接入;二是为普通上网用户提供的接入互联网的服务,主要业务形式是用户通过提供的宽带接入互联网,如ADSL接入等,互联网接入服务系统如图1所示。
ISP系统
认证计费系统
互联网
按入服务系统
计费账务系纷
监控系筑
图1互联网接入服务系统示意图
提供ISP接入服务的增值电信业务经营者适用本规范。4.2安全风险分析
互联网接入服务系统中的重要资产至少应包括:用户
a)互联网接入服务关键业务系统及操作维护终端:如互联网接入服务中的认证计费系统、接入服务系统、计费账务系统、监控系统等模块相关服务器、防火墙、数据库和操作维护终端:互联网接入服务关键数据:如用户认证信息(登录帐号、密码等)、接入服务信息(地址池信b)
息、IP分配策略等)、用户计费账务信息(用户名称、用户账号、用户地址、入网时间、开启的服务等)等。
互联网接入服务系统相关代表性资产的类别划分,见表1。表1资产类别
设备硬件
主要资产
包括各类服务器、终端、辅助设备等,系统网络相关各类路由、交换设备,安全过滤、入侵检测和防护设备等,系统相关内部线缆,相关业务或应用软件、数据库软件、业务控制和运维管理软件等。3
iiKAoNhikAca
YDB112—2012
数据信息
系统拓扑
环境/设施
表1(续)
主要资产
支撑互联网接入服务的数据和信息,包括登录帐号、密码、用户名称、用户账户、用户地址、入网时间、开启的服务等相关信息、服务器和设备配置数据、管理操作维护记录、存放和使用的各类文档、资料等。
认证计费服务、接入服务、计费账务服务的服务性能、服务质量、稳定性等。各类操作、维护、管理人员,以及相关人员的经验、能力等。各个(逻辑上独立的)认证计费系统、接入服务系统、计费账务系统之间的连接和协同工作关系。
互联网接入服务系统相关各类网络设备、服务器、安全设备等之间的连接关系。包括系统相关物理环境,以及配套的电力供应、防火、防水、防静电、温湿度等设备/设施等。互联网接入服务系统主要为用户接入互联网服务,因此在互联网接入服务系统的认证计费系统、接入服务系统、计费账务系统、监控系统的功能实现、部署、配置、管理等环节上均可能引入安全脆弱点。互联网接入服务系统面临来自公众互联网和内部网络的各种安全威胁,包括黑客发起DDoS攻击服务器或者篡改,不法分子窃取信息(如系统配置信息,接入用户的登录帐号/密码,接入策略等),内部人员操作失误等。
互联网接入服务系统可能存在的安全脆弱性被利用后会产生很大的安全风险,例如:系统部署防入侵防攻击措施不到位,攻击者可能从外网渗透进内网系统:系统的数据配置操作失误,配置审计、保护措施不到位,信息可能被窃取或者被篡改;认证计费安全机制存在脆弱性,可能出现未认证的用户接入、接入用户计费或账务信息错误等安全事件:防火墙安全措施不到位,可能被DoS或DDoS攻击攻瘫;监控系统覆盖范围不够,无法及时发现和处理安全事件,或者内部人员利用提权篡改监控数据等。这些安全隐患会对互联网接入服务系统的业务正常提供构成安全威胁,甚至进一步威胁基础网络或互联网用户终端的安全。
互联网接入服务系统的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象应以资产为核心。互联网接入服务系统的脆弱性分析应包括但不限于表2所列范围。表2脆弱性类别
脆弱性
物理环境
管理脆弱性
主要脆弱性
网络和设备的处理能力不够导致在访问量突增时业务提供不连续、业务数据的保密性不够、重要数据未及时进行本地和异地备份等。包括系统功能规划、部署、资源配置的缺陷等:系统网络保护和恢复能力的缺陷、安全技术措施和策略等方面的漏洞等:相关数据信息在存放、使用、传送、备份、保存、恢复等环节的安全保护技术缺陷和安全策略的漏洞等。包括各设备、服务器、终端硬件安全性和软件安全性的漏洞等;可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等:后台维护和访问相关授权、管理等方面的安全漏洞,以及授权接入的口令、方式、安全连接、用户鉴别、代理等访问控制方面存在的漏洞隐患等。
包括物理环境安全防护能力的缺陷:可分为场地选择,防火、供配电、防静电、接地与防雷、电磁防护、温湿度控制、线路、其他设施及设备的保护等。包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等环节的漏洞和缺陷,可分为安全管理机构方面(如岗位设置、授权和审批程序、沟通和合作等),安全管理制度方面(如管理制度及相应的评审和修订等),人员安全管理方面(如人员录用、上岗、安全培训、组织、访问控制等),建设管理方面(如安全方案不完善、软件开发不符合程序。
工程实施未进行安全验收或验收不严格等):运维管理方面(如物理环境管理、设备维护、技术支持、关键性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)HiiKAoNiKAca
YDB112—2012
互联网接入服务系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁文可分为恶意和非恶意两种。互联网接入服务的威胁分析应包括但不限于表3所列范围。表3威胁类别
技术威胁
物理环境
环境威胁免费标准bzxz.net
恶意人员
人为威胁
非恶意
4.3安全防护内容
主要威胁
包括设备/主机相关故障,未充分考虑余、可靠性及安全、服务需求等原因,妨碍相关功能完全实现的缺陷或隐惠而造成的安全事件等:错误响应和恢复等:相关数据、信息在备份、保存,处理过程中发生的差错、损坏,丢失等;其他突发。异常事件的冲击和数据拥塞等。
包括供电故障,灰尘、潮湿、温度超标,静电、电磁干扰等;意外事故或线路方面的故障等。
包括鼠蚁虫害:洪灾、火灾、地震、台风、雷电等自然灾害:战争、社会动乱、恐怖活动等。
包括针对系统相关功能的恶意拥塞,针对服务、设备等有关数据和信息的拦截、篡改、删除等攻击行为和恶意扫描、监听、截获等膜探行为;恶意代码、病毒等;非授权访问、越权操作等:伪造和欺骗等:物理攻击,损坏、盗窃等,包括误操作;无作为、技能不足等:相关数据、信息无意泄漏,数据损坏和丢失等:组织、安全管理制度不完善、制度推行不力、缺乏资源等非规范安全管理等。互联网接入服务系统的主要功能是为用户提供互联网接入服务,因此保障其互联网接入服务业务系统安全,防止信息被窃取、防止系统被攻击停止服务至关重要。互联网接入服务系统安全防护主要内容包括业务及应用安全、网络安全、设备及软件系统安全、物理环境安全、管理安全等也是安全防护的主要内容。
4.3.1业务及应用安全
业务及应用安全包括身份鉴定、访问控制、安全审计、资源控制、信息保护、业务安全保障能力等方面的安全要求。
4.3.2网络安全
网络安全包括互联网接入服务系统的结构安全、安全审计、入侵防范、软件容错等方面的安全要求。4.3.3设备及软件系统安全
设备及软件系统安全包括网络及安全设备防护、身份鉴别、访问控制、安全审计、入侵检测、恶意代码防范、资源控制等方面的安全要求。4.3.4物理环境安全
物理环境安全包括机房物理环境安全与无机房物理环境安全,机房物理环境安全包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、防尘、电力供应、电磁防护等方面的安全要求。4.3.5管理安全
HiiKAoNiKAca
YDB1122012
管理安全包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5定级实施规范
5.1安全等级划分
互联网接入服务系统进行安全等级划分的总体原则是:依据定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及业务运营企业的合法权益的损害程度,对互联网接入服务进行安全等级划分,共分为5个等级
5.1.1第1级
定级对象受到破坏后,会对其业务运营企业的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由业务运营企业依据国家和通信行业有关标准进行保护。5.1.2第2级
定级对象受到破坏后,会对业务运营企业的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
5.1.3第3级
5.1.3.1第3.1级
定级对象受到破坏后,会对业务运营企业的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。
5.1.3.2第3.2级
定级对象受到破坏后,会对业务运营企业的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
5.1.4第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。5.1.5第5级
定级对象受到破坏后,会对国家安全造成特别严重损害6
HTiKAoNi KAca
YDB112—2012
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。5.2定级方法
确定定级对象的安全等级应根据如下三个相互独立的定级要素:社会影响力、规模和服务范围和所提供服务的重要性。
5.2.1社会影响力-1
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度,对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全,社会秩序、,经济运行和公共利益的损害程度最严重者。
适用本规范的互联网接入服务系统的服务对象范围广泛,数量众多,受到破坏后会对社会秩序,经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为3。5.2.2规模和服务范围-R
定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小。对于提供普通宽带接入服务的互联网接入服务系统定级对象的R值可根据接入用户数R1确定,R1赋值方法如表1所示。对于提供专线接入服务的互联网接入服务定级对象的R值可根据接入带宽总量R2确定,R2赋值方法如表2所示。对于同时提供两种服务的,R取R1和R2中的较大值。表4规模和服务范围R1接入用户数赋值表规模和服务范围指标
接入用户数在
10000以下
接入用户数在
10001以上,
接入用户数在
200001以上,
接入用户数在500001以上,
接入用户数在1000001以上
200000以下
500000以下
1000000以下
表5规模和服务范围R2接入带宽赋值表规模和服务范围指标
接入带宽总量在1G(含)以下
接入带宽总量在
1G以上,
接入带宽总量在10G以上,
接入带宽总量在
50G以上,
接入带宽总量在100G以上
5.2.3所提供服务的重要性-V
10G(含)以下
50G(含)以下
100G(含)以下
定级对象所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度,此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
YDB112—2012
互联网接入服务对象可能是互联网内容服务(ICP)业务经营者和集团用户或普通上网用户等。建议服务于互联网内容服务(ICP)业务经营者和集团用户的所提供服务的重要性赋值为3,服务于普通上网用户的所提供服务的重要性赋值为2。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。5.3安全等级的计算方法
在完成定级对象的社会影响力I,规模和服务范围R、所提供服务重要性V三个定级要素的赋值后,需采用以下公式来计算定级对象的安全等级值:k=Round1[Log2[ax2'+βx2+yx2'1](1)
其中,k代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round10表示四舍五入处理,保留1位小数,Log2门表示取以2为底的对数,α、β、y分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,α≥0,0,≥0且α+β+y=1。应根据实际情况确定权重值α、β、y,建议分别取:0.4、0.4、0.2,或者1/3、1/3、1/3。计算所得定级对象的安全等级值与安全等级的映射关系如表6所示。表6安全等级值与安全等级的映射关系安全等级值K
1.5≤k<2.5
2.5≤k<3.3
3.3≤k≤4
6安全防护要求
6.1第1级要求
6.1.1业务及应用安全
身份鉴定
身份鉴定要求如下:
应对登录用户进行身份标识和鉴别;安全等级
第1级
第2级
第3.1级
第3.2级
第4级
第5级
对要求提供登录功能的认证业务系统,应提供并启用登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施:对要求提供登录功能的认证业务系统,应提供并启用身份标识唯一检查功能,保证系统中不存c
在重复身份标识。
6.1.1.2访问控制
应由经授权的个人或机构配置访问控制策略,并严格限制默认用户的访问权限6.1.2网络安全
不作要求。
6.1.3设备及软件系统安全
不作要求。
6.1.4物理环境安全
不作要求。
6.1.5管理安全
不作要求。
6.2第2级要求
6.2.1业务及应用安全
6.2.1.1身份鉴定
除满足第1级的要求之外,还应满足:a)应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被冒用:b)
应采用加密方式存储业务用户的帐号和口令信息;c
应对用户进行有效的身份标识和鉴别:YDB112—2012
用户口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点d)
及特殊字符五种字符中至少二种的组合,且与用户名或身份标识无相关性)并定期更换(更新周期不大于90天);
e)应启用用户登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施6.2.1.2访问控制
访问控制要求如下:
应严格限制各用户的访问权限,按安全策略要求控制用户对业务、数据、网络资源等的访问;a)
应严格设置登录策略,按安全策略要求具备防范账户暴力破解攻击措施的能力,如限定用户连b)
续错误输入密码次数,超过设定阈值,对用户进行锁定,并设定锁定时间,在锁定时间内被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定:c)
应在系统边界部署访问控制设备,并启用访问控制功能:应具备能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力:应依据最小授权原则为各帐号授权,按安全策略要求控制对文件、数据库表等内容的访问;应按照允许访问规则,决定允许或拒绝用户对系统的资源访问,控制粒度为单个用户;应限制具有拨号访问权限的用户的数量:应限制连续错误输入密码次数,超过设定阈值对用户进行锁定,并设定锁定时间:应设置解锁策略,解锁时被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定:
j)应在需要时配合国家主管部门设置流量过滤策略(如过滤DDoS攻击流量等)。6.2.1.3安全审计
安全审计要求如下:
a)审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件,如普通用户异常登录、异常修改帐号信息等行为,以及管理员在业务功能及帐号控制方面的关键操作:9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。