YDB 116-2012
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 116-2012.Security Protection Requirements for Internet Data Center (IDC).
1范围
YDB 116规定了互联网数据中心(IDC)在安全等级保护、,安全风险评估、灾难备份及恢复等方面的安全防护要求。
YDB 116适用于公众电信网和互联网中的IDC。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1729-2008 L电信网和互联网安全等级保护实施指南
YD/T 1754-2008 电信网和互联网物理环境安全等级保护要求
YD/T 1756-2008 电信网和互联网管理安全等级保护要求
3.1术语和定义
下列术语和定义适用于本标准。
互联网数据中心( IDC) Internet Data Center
互联网数据中心是基于电信网和互联网,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC可向客户提供的服务类型包括:物理空间和资源出租类IDC业务(如,
机房/机柜出租、主机/服务器出租) ;设备托管和代维类IDC业务(如,主机托管、设备代维) ;虚拟空间和资源出租类IDC业务(如,虚拟主机服务) ;应用服务提供类IDC业务(如,应用业务出租、内容制作和包装服务) ;附加增值服务类IDC业务(如,业务质量和流量监测、附加安全增值服务)等。
3.1.2
互联网数据中心(IDC)安全等级Secur ity Class ification of IDC
互联网数据中心(IDC)安全重要程度的表征。重要程度可从互联网数据中心(IDC)受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3. 1.3
互联网数据中心(IDC)安全等级保护Classified Security Protection of IDC
对互联网数据中心(IDC) 分等级实施安全保护。
1范围
YDB 116规定了互联网数据中心(IDC)在安全等级保护、,安全风险评估、灾难备份及恢复等方面的安全防护要求。
YDB 116适用于公众电信网和互联网中的IDC。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1729-2008 L电信网和互联网安全等级保护实施指南
YD/T 1754-2008 电信网和互联网物理环境安全等级保护要求
YD/T 1756-2008 电信网和互联网管理安全等级保护要求
3.1术语和定义
下列术语和定义适用于本标准。
互联网数据中心( IDC) Internet Data Center
互联网数据中心是基于电信网和互联网,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC可向客户提供的服务类型包括:物理空间和资源出租类IDC业务(如,
机房/机柜出租、主机/服务器出租) ;设备托管和代维类IDC业务(如,主机托管、设备代维) ;虚拟空间和资源出租类IDC业务(如,虚拟主机服务) ;应用服务提供类IDC业务(如,应用业务出租、内容制作和包装服务) ;附加增值服务类IDC业务(如,业务质量和流量监测、附加安全增值服务)等。
3.1.2
互联网数据中心(IDC)安全等级Secur ity Class ification of IDC
互联网数据中心(IDC)安全重要程度的表征。重要程度可从互联网数据中心(IDC)受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3. 1.3
互联网数据中心(IDC)安全等级保护Classified Security Protection of IDC
对互联网数据中心(IDC) 分等级实施安全保护。
标准图片预览
标准内容
中国通信标准化协会标准
YDB116—2012
互联网数据中心(IDC)安全防护要求Security Protection Rcquircments for Internet Data Center (IDC)首发规范图集共享Q群:141160466本群在手资料无忧,最新资源定期更新2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3. 1术语和定义
3.2缩咯话.
4互联网数据中心(IDC)安全防护概述目
互联网数据中心(IDC)安全防护范围4.1
4.2互联网数据中心(TDC)安全风险分析4.2.1资产分析
4.2.2资产脆弱性分析
1.2.3安全威胁分析
4.2.4安全风险分析
4.3互联网数中心(IDC)安全防护内容5可联网数据中心(IDC)定级对象的安全等级确定5.1社会影响小
5.2规模私服务范到R
5.3所提供服务的量要性V,
6互联网数掂中心(IDC)安全防泸保护要求6.1第1级要求
业务安全
应门系统安全
网络安全
设备及软件系统安全
物理环境安全
管堤安企
第2级要求,
业务安企
应用系统安
网络安金
设备及软件系统安全
物理环境安全
管理安金
6.3第3.1级要求
业务安全
应系统安全
网络安全
YDB 116.-2012
YDB1162012
设备及软件系统安全
6.3.5物理不境安全
管安会
6. 4第 3.2 级要求
业务安金
应用恶统安全
网络安全
设备及软件蒸统安全
物迎环境安全
管列安全
第4级要求
第5级要求,
附录(资料性录)
IDC安全区险分析
YDB116..-.2012
本标准是“电信网和互联网安全防护体系”系列标准之“,该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》:2、
《电信网和互联网安全等级保护实施指南》:《电信网和五联网安全风险评估实施指南》:《电信网和再联网灾摊备份及恢复实施指南》:《固定通信网安全防护要求》:《移动通信网安会防护要求》:《互联网安全防扩要求》:
《增值业务网-消息网安全防护要求》:“增值业务网一智能网安全护要求》;《接入网安全防护要求》;
《传送网安个防护要求》:
《I承载网安个防护要求》:
《信令网安全防护要求》:
《问步网安全防护要求》
《支撑网安全防护要求》:
《非核心生产单元安全防护要求》:《电信网租百联网物理环媒安全等级保护要求》:《电信网利互联网管理安全等级保护要求》:《固定通信网安全防扩检测要求》;《移动通信网安全防扩检测婴求》;《互联网安全防护检测要求》:《增查业务网一消息网安全防护检测要求》:《增造业务网一智能网安全防护检测要求》:《接入网安企防护检测要求》:《传送网安伞防护检测要求》:《IP承载网安全护检测要求》;《信令网安全防护检测要求》:《同步网安全随护检测要求》:《支撑网安全防护检测要求》:《非核心生产单元安全防护检测要求》:《电信网和互联网物理环境安全等级保护检测要求》:《电信网和互联网管理安全等级保护检测要求》:域名系统安全防护要求》:
域名系统发全防护检测要求》:网上营业行安全防护要求》:
网上营业厅安全防护检测费求》:II
YDB116—-2012
《\AP网关系统安全防护要求》:《WAP网关系统安金防护检测要家》《电信网和万联网信息服务业务系统安全防户要求》《电信网和丘联网信息服务业务统安全护检测要求》《增值业务网即时消息业务系统安全防护要求》增循业务网即时息业务系统安全防扩检测露求》城名注期系统安全防护拟求》:《域名注期系统安全蔽款检测要求》:应用商城安防护要求》:
《应用难城安全防护检测要求》互联网为客分发网警安全防萨要求》:《互联网内容分发网络安全防护检测要求?:《可联网数诺中心安余防护安求》:或互联网数据中心安金防护检测要求多本标准与YIB117-2012《互联网数中心(IIC)安全防铲检测要求》配套变用。随着电信网和业联网的发展,将不断补充和完普电信网和联网安全防护体系的柜关标准。为适应信息通信业发展对通信标推文件的需要,出户国道信标胜化协会红织制是“中国道信标准化协会标”,推荐有关面参考采用。有关对人标准的建议平:意孔,宜中问通信标准化协会反:本标中中围通信标准化卧会提出并方门本标准起草单位:工业和信息化部电信研究院、中国移动通信集闭公司:本标滩上要起草人:魏亮、同智、下哲、曹一生、杨剑降、鲁冬雪。EV
1范園
互联网数据中心(IDC)安全防护要求YDB 116---2012
本标准规定了互联网数揽中心在安全等级保、获全风险评估,灾难备份及恢复等方由的安全防铲要求。
本标准适用于公众中网生联物电的。2规范性引用文件
下列文件对于本文偿的应们是必不司皮的我嘉洲自的文件,仅注日期的版本适用十本文件。凡是不注日期的引用文催,其最游版求《包护所有的修改单适用不件。YD/T1729-2008电信网和互联树安全等级保护实范指南YE/T1754-2008
电信网和互联网物理环镜安会等级保护要求电信网和互联网管理安金领级保护来求YD/T 1756-2008
:首发规范图集共享Q群:1411604663.1术语和定义
本群在手赞料无忧最新资源定期更新H
互联网数据中心(IDC
internet Data Ceriter
互联网数培中心是事电网和车联网,为集式收集存储处理和发送数据的设备提供运行维护的设施以及相关的服务体系:IDC间向客户提供的服务类型包括:物理空润和资源出租类IDC业务(如,机房/机柜山租主机/服器出租):设备托管和代维类IIC业务(如,主机托管、设备代维):虚拟空间和资源出租类IIC业务(如,虚拟上机服务);应用服务提供类IDC业务(如,应用业务出租、内容制作和包装服务):附抑增值服务类工DC业务(妇,业务质量和流量监测、附加安全增值服务)等。3.1.2
互联网数据中心(IDo)安全等级seouttyGassifcationoflDc互联网数培中心(IDC接全恶翼棉度的装征,变度从联网据中心(IDC)受到破坏后,双国家安全,社会秩序,经济运行公共利益网络和业务送营商造成的损害来衡景。3.1.3
互联网数据中心(iDc)安全等级保护ClassifiedSecurityProtectianofIDc对五联网数据中心(IDC)分等级实施安全保护。3.1.4
YDB 116--2012
组织 Organization
出不同作用的个体为实流共同的业务日标而理立的结构,纠织的等性在丁为完成日标雨分工、合作;个单位是一个组织,某个业务部门地可以是一个组织。3. 1.5
互联网数据中心(lD)安全风险SocurityRiskofiD人为或自然的成可能利活立联网数提中心(IDC)中宁在的晚弱性导致安全事作的发生及其对组织造成的影响,
互联网数据中心(IDc)安全风险评估SecurityRiskAssessmontofIDc指达用科学的方法利于段、系统地分析立联网数据中心(IDC)所而忙的威胁及其栏在的脆弱性,评估安全步件日发生可能造成的危害程度,提止有针对性的抵御成胁的防护对筑安全措题,防范利化解互联网数据中心(TC)会风险,或者将风验控剖在可接受的水,为最大限度恶为保障立联网数据中心()的安全提供科学依据,3. 1.7
互联网数据中心(IDC)资产Asset oFIPC五联网数据中心(IDC)中具有价查的资源:是安全防扩保护的对象。互联网数据中心(IDC)中约资产可能足以多种形式存在,无形的、有形的,视件、软件,包帖物理布后、通完设备、物理线路、数据、软件、文档、规程、业务、人贞,管理等各种类鼎的资源,如可联网激据中心(IIC)Weh服务幕等。3.1.8
互联网数据中心(IDC)资产价值AssetValueofIDC互联网数据中心(TC)中资产的重要程皮或敏惑程度,资产价值是资产的属性,也是述行资产识别的末要内容。
互联网数据中心(IDC)威邸 ThreatofIDC可能导致对互朕网数沿中心(IDC)产生害的不希望事故滑在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的立联网数据中心(「DC)或助有黑客入侵,碳件故障、人为操作失误、火灾、水灾等等,3.1.10
互联网数据中心互联网数据中心(IDG)灾难Disastar of IDC底于各种原因,造成互联网数帮守心(IDC)故障或摊焕,停互联网数据中心(TDC)的功能停顺或务水平不可接受的突发性亨件。2
联数据中心tll)灾难蜜份Backup for üisaster Racovery o于Dc为了五联网数据中心(IDC)灾难谈复面对相关网络要素进行备份的过栏。3.1.13
互联网数据中心(IDc)灾难恢、DisasterRecoveryotiDoYDB116—2012
为了将互联网数据中心()狐家难造成的故障或键赖态恢复创正常运行状态或部分正常运行状态、并将其动能从灾难造成的不正常状态恢复到萌接受忧态和设计的新动和流程,3.1.14
间件 MiddleWard
种独立的系统软伴战努程序,斗非客岸机服游器的操作系统之,管理计算机资源利网络道讯,是连接两个独势擦序战独系统的软能不圜们操作系统和破件平台,中间件可以有符合接口和协议规范的动实现实现连联网教瑞理助能的应用程序运行在中间件之上,此时中问件包托eb服务嘉和商库服务帮功能模3. 1.15
跨站脚本攻击Cross-Site Scrinti入侵者在远程Web页面的HT代码的入真有恶意国的的数据,用声认为该页而是可简赖的,但是当浏览器下载该页面,嵌茶斯中的脚本将被释行孕欢衔威游用树览过程的安全。3.1.16
SQL注入攻击 SQ!、frnjection~Attack攻出者构造恶意的拿符,欺骗应儿系统士构造凝据廊誉谢蹈向并执行,从而达到盗取或修改数据库中存储的数据的目
路径遍历政击PathTra
rersaAttack
攻言者操纵输入参邀使应阅离统执行或透露任意文件内容,鼓难服务器任意文件目录进行读、写,珊除噪作。
命令注入政击CanrranainjectiuntAttack命令注入攻言是指攻击考操纵输入参数便用系究批行额外的指令,例如操作系统命令等3.2缩略语
.......
下列缩咯语造用于本综滩学
Aceess. Controtist
InternatData Center
Simple Vetwork Management ProtocolSirictured Query Langtage
Enicast Roveran Path Forwarding访问控制列表
互联网数据中心
简单网络管理协议
结构化查询语言
单播逆向路径转发
YDB 1162012
Lser sscd Suearily Molel
View-basod Aecoss Control Motn!4互网数据中心(IDC)安全防护概述4.1互联网数据中心(1DC)安全防护范围基于用户的安全模型
基丁视图的访问控制模型
IDC安全防护范围:为IIC用户提供各类业务服务的二C业务系统和实现配置、监控、安全,资源管理、计费、灾备等场能的二C支撑系绕,上述芮个亲统均由树络设备、备类主机、实间作、应用系统及其它相关配套的设备构成,详见下图。联网
C业务系院
变馨系统
图1IDC系统架构示意图
4.2互联网数据中心(IDC)安全风险分析4.2.1资产分析
C的资产可分为设备硬外、款件、数据、网络、服务、义档利!人员等,详见附性1对资心的分类及举例:其中重点资产如下
a)IIC中的各种软碳件设备,如主机设各,网络设备、撰作系统,数据库、中问件,应用程序、支撑系统等:
LDC中的低要数据,保存在 TDC 的各种与要信息数据,用户信息(币户登录 TD、压户在 TDC5
上的操作证录等),设备配胃数赔,管理员虞作继护沉录等:TDC中约重要服务,这些服务至少包措主机托等(机位、机架、VIP机房出租),资源出祖(如虚e
拟主机业务、数谐行储服务)、系统维护(系统配置、数据备份、故障排除服务)、管服务(如带充管理,流量分新、负载均衡、入侵检测、系统洞诊断),4.2.2资产脆弱性分析
1OC的脆弱性可分为技术跪弱性和管理瞻弱性两方面:详死附件1牛的IDC的瞻驹性列表。4.2.3安全威励分析
IDC的威助可分为业务威胁、设备威胁,环境贱融和人为威脉,其中以境威胁包括白然界不可抗的贼协和其它物理成胁;根据贼的动机,人为喊胁又可分为恶意知非恶意两种,详见险件中的闪威胁列裘。
4.2.4安全风险分析
临主要风险列举如:
a)米自互联网的网络攻击,如各类DDOS攻击,利判系统漏洞逆行的各类效出等:YDB 116—2012
b)由于IDC没备自身存在的安全瞻弱点(硬件故障、软件漏洞,安全配置缺陷等)被非法利用,导致从互联网或是从内部局域网非法控制IDC:c)IDC支撑系统相关数据被窃取做、破坏,戴越妆访御)IDC中业务数据存俏突全风险,如效揭存说微雄管型不,数据访问管理。这些风险直接影响ID业务的连续性再靠惧和宠整社以务产的数据安全、业务安全,基至IDC自身以及客心的网缩设器机成为像房网马府锻控瓷测,导政TDC的资源被用作攻击其它网络的工吴,成为木马大潜周传要途径4.3互联网数据中心GDo爱全防护内餐-
IDC安全防内容具体包店业务安奢应期亲统安企、钢络婴全,设备及软件系统安全、物评环境安全、管理安全。
业务安全指为实现功务所使用的城用系缝的装全般携聚用应用层技术构建的业务系统,网管支撑系统涉及相关安全,如web安全、ftp、SNMP应用协议安全等等:网络安全包括:
a)结构安个是指网络在组网结格定余链略等方面的安个b)安全城隔离是招网络内外安金域划分,迈嘉腩离策略等方面的安全:)入侵所范是为保障自身以及距雾安全网络作为体应具备的入侵防范能力,设备及软件系统安全包播影
a)网络设备安全指交换机、路巾器,安金设备的委金6)主机安全是指搭载各类操作系统的点机吸基上数据库崭催的安全:c)中间件安全是搭推源以装商业的weh中同润安金物理环境安全指C机磨环境辅助设通等方面的袋全婴求管理安全指IDC相关管理制度机科人员等疗作安全水不同奖型IDC业务特性不自其满足的安空防护尊家德所不同DC业务经营者应根据不声的IDC业务炎型采取雄应的安叁防护措施。建议各炎型IDC业务的安全防护要求如下:a)提供物调窄间和资源所租类IDC业务(如,机房/机柜出租、主机/服务器出租)的IDC应满足本章中对管理效,物环境安全,网络安个的防护要求;提供设备托管和代维奖I业务(如:主机托管、设备代维)的IDC应满足本章甲对管理安全、b)
物理环竞安全、网络安全的防护要求,者该类业务中IDC经营者提供系统级代维外还提供其他应用级代维服务,还感满退本对设备及软件安全的要求:提供虚拟空间和资源出租类业券联士概度经的ID应满足本章中对管理安全、e
物理环实安全、网络安全设信及软件整台装全的防理要求,提供应用服务提供类玩务应用业务批内寄制作和包装服务)的IDC应满足本章d
中对管理安全、物现环璐牵,胸露安全,网络设备及软件平台安全、应用层安全的防护要求:附加增造服务装加业务:如,业务质量和流量监测、附加安金增值服务)的I门C应满足木章e此内容来自标准下载网
中对管理安全,物理环境安全、网络安全、设备及款件平台安全,应川层安全,业务安全的防婴求。
5互联网数据中心(IDC)定级对象的安全等级确定5
YDB 116—2012
TDC业务经营者应据YD/T=729-2008《良倍网栏业联网发今等级深实施拍南》户定安今等级的方法划IDC逃行定级,根拒社会影响力、所提供服务的董要性、规模和服务范三的人小对激据中心分别定级,建议定级方法的权熹4、3、Y分别为:0.4、0.1、0.2。5.【社会影响力1
根据YD/T1729-2008,社会影的力表示定级对象受到破环片对困家安全、社会误序、经济运行公共利益的损等程意。TC股务对象叫能是闲家关部、企事单立相更他齐类携网内容股务商等遵议服务于中与国家机关,中央网络媒体机构,立卫联网域名注册服务商、国有大型企事业单位总或集公司、全国性大型立联网内容服务商(包括位不跟丁:综合!户、新阅瓷讯、娱乐、心商务、慢索、交发等ICP业务站点)相关网络及业务系统的I社会影响方贴值为4。服务于省级地方政府机关、地方网媒体机构、医有人型企事业单位分支机构、地区性大中型联刚内容服务商相关网络及业务系统的TC社会影响力赋俏为3。服务于地市及款下各级政府礼关,地区性小型立联网内容服务,其包公实服务机购拍关网络及业务系统的IDC社会影响方赋俏为2.服务于其估各类企中业单位所属网络及业务系统的IIC社会影响力赋消为-。5.2规模和服务范围R
根据YD/T【729-2008,规模表示楚级对象服务的年户数多少,服务范用表示定级对象服务的地x范同大小。建议从二DC出口带宽衡量IDC规模利服务围。a)总出口带宽在40G及以上的TIC的社会影响方账值为4:b)总出口带宽在20IG至40G(不含40)的IDC的让会影哟力赋使为3:c)总出口带宽在10G至20G(不含20G)的IDC的社会影购力贼宜为:)总带宽在1%G以下(不含10G)的“C的社会影响小赋俏为1:5.3所提供服务的垂要性V
根据YD/T1729-2008,所提供服务的查要性表示定级对象提供的股务被破坏所对网络利业务运营商的合法板益的影呵程度。综合考虑TDC业务本身对柜应网络和业务运营降的事变程度,建议统…取复为3。
6互联网数据中心(IDC)安全防护保护要求6.1第1级要求
6.1.1业务安全
不作要求。
6.1.2应用系统安全
不作要求。
6.1.3网络安全
6. 1. 3. 1结构安全
不作要求。,
6.1.3.2安全域隔离
安全域隔离要求如下:
YDB116—2012
e)应根据DC的牛产运行、操作维护、系统管理等沙能,采用交换机、路巾器、防火墙等设备,利用VLAV划分、IP网段划分、可信仟按等划分等方式对IDC内部网络划分安全域:5)
应对跨安会域的访尚实施针对访间源MA心地划:、源址址、端口导等信息的安全控制策略:应限制或避免在1DC内的置遇
发访问IP城域网络问源
入侵防范
6. 1. 3. 3
入侵防范要求如下:
应具有对 IDC 出济量进行监
TDC支撑系统成C网络
定位,各类柏亲
应面向点联网部
应在 TDC实施摩慢出
不网客产设备/系统阅的数据包,转税:
蒙馨告誉、故障行及时有效的
DC出口设备上光启URPF(单播
逆向路径转发功能,对手不真备元后条件的设客,启用功能过滤虚假源地址。设备及软件系统安全
6. 1.4. 1E
网络设畜安全
不作要求。
主机婴全
不作要残。
6.1.4.3中间件安全
不作要求。
物理环境安全
不作要张。
管理安全
除满定YD/T1756-2008装联网
IDC服务提供商应在与用广签的服务英实
求的篇1级的要求之外,还应该满搭尚单能息承扭的网络安全保障货任:客源的
应完成对IDC业务
应对IDC用广提的莉喆装榕经粹联盛、单位、住址等)进行查验;提供C业务前助提模业务沙及的网络安全相关信息,主要包含但不限于以下信息:等缀、系统对基础设施的依烦关系、系统要求配置的防火墙与路由器策略系统数据分类
6.2第2级要求
业务安全
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB116—2012
互联网数据中心(IDC)安全防护要求Security Protection Rcquircments for Internet Data Center (IDC)首发规范图集共享Q群:141160466本群在手资料无忧,最新资源定期更新2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3. 1术语和定义
3.2缩咯话.
4互联网数据中心(IDC)安全防护概述目
互联网数据中心(IDC)安全防护范围4.1
4.2互联网数据中心(TDC)安全风险分析4.2.1资产分析
4.2.2资产脆弱性分析
1.2.3安全威胁分析
4.2.4安全风险分析
4.3互联网数中心(IDC)安全防护内容5可联网数据中心(IDC)定级对象的安全等级确定5.1社会影响小
5.2规模私服务范到R
5.3所提供服务的量要性V,
6互联网数掂中心(IDC)安全防泸保护要求6.1第1级要求
业务安全
应门系统安全
网络安全
设备及软件系统安全
物理环境安全
管堤安企
第2级要求,
业务安企
应用系统安
网络安金
设备及软件系统安全
物理环境安全
管理安金
6.3第3.1级要求
业务安全
应系统安全
网络安全
YDB 116.-2012
YDB1162012
设备及软件系统安全
6.3.5物理不境安全
管安会
6. 4第 3.2 级要求
业务安金
应用恶统安全
网络安全
设备及软件蒸统安全
物迎环境安全
管列安全
第4级要求
第5级要求,
附录(资料性录)
IDC安全区险分析
YDB116..-.2012
本标准是“电信网和互联网安全防护体系”系列标准之“,该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》:2、
《电信网和互联网安全等级保护实施指南》:《电信网和五联网安全风险评估实施指南》:《电信网和再联网灾摊备份及恢复实施指南》:《固定通信网安全防护要求》:《移动通信网安会防护要求》:《互联网安全防扩要求》:
《增值业务网-消息网安全防护要求》:“增值业务网一智能网安全护要求》;《接入网安全防护要求》;
《传送网安个防护要求》:
《I承载网安个防护要求》:
《信令网安全防护要求》:
《问步网安全防护要求》
《支撑网安全防护要求》:
《非核心生产单元安全防护要求》:《电信网租百联网物理环媒安全等级保护要求》:《电信网利互联网管理安全等级保护要求》:《固定通信网安全防扩检测要求》;《移动通信网安全防扩检测婴求》;《互联网安全防护检测要求》:《增查业务网一消息网安全防护检测要求》:《增造业务网一智能网安全防护检测要求》:《接入网安企防护检测要求》:《传送网安伞防护检测要求》:《IP承载网安全护检测要求》;《信令网安全防护检测要求》:《同步网安全随护检测要求》:《支撑网安全防护检测要求》:《非核心生产单元安全防护检测要求》:《电信网和互联网物理环境安全等级保护检测要求》:《电信网和互联网管理安全等级保护检测要求》:域名系统安全防护要求》:
域名系统发全防护检测要求》:网上营业行安全防护要求》:
网上营业厅安全防护检测费求》:II
YDB116—-2012
《\AP网关系统安全防护要求》:《WAP网关系统安金防护检测要家》《电信网和万联网信息服务业务系统安全防户要求》《电信网和丘联网信息服务业务统安全护检测要求》《增值业务网即时消息业务系统安全防护要求》增循业务网即时息业务系统安全防扩检测露求》城名注期系统安全防护拟求》:《域名注期系统安全蔽款检测要求》:应用商城安防护要求》:
《应用难城安全防护检测要求》互联网为客分发网警安全防萨要求》:《互联网内容分发网络安全防护检测要求?:《可联网数诺中心安余防护安求》:或互联网数据中心安金防护检测要求多本标准与YIB117-2012《互联网数中心(IIC)安全防铲检测要求》配套变用。随着电信网和业联网的发展,将不断补充和完普电信网和联网安全防护体系的柜关标准。为适应信息通信业发展对通信标推文件的需要,出户国道信标胜化协会红织制是“中国道信标准化协会标”,推荐有关面参考采用。有关对人标准的建议平:意孔,宜中问通信标准化协会反:本标中中围通信标准化卧会提出并方门本标准起草单位:工业和信息化部电信研究院、中国移动通信集闭公司:本标滩上要起草人:魏亮、同智、下哲、曹一生、杨剑降、鲁冬雪。EV
1范園
互联网数据中心(IDC)安全防护要求YDB 116---2012
本标准规定了互联网数揽中心在安全等级保、获全风险评估,灾难备份及恢复等方由的安全防铲要求。
本标准适用于公众中网生联物电的。2规范性引用文件
下列文件对于本文偿的应们是必不司皮的我嘉洲自的文件,仅注日期的版本适用十本文件。凡是不注日期的引用文催,其最游版求《包护所有的修改单适用不件。YD/T1729-2008电信网和互联树安全等级保护实范指南YE/T1754-2008
电信网和互联网物理环镜安会等级保护要求电信网和互联网管理安金领级保护来求YD/T 1756-2008
:首发规范图集共享Q群:1411604663.1术语和定义
本群在手赞料无忧最新资源定期更新H
互联网数据中心(IDC
internet Data Ceriter
互联网数培中心是事电网和车联网,为集式收集存储处理和发送数据的设备提供运行维护的设施以及相关的服务体系:IDC间向客户提供的服务类型包括:物理空润和资源出租类IDC业务(如,机房/机柜山租主机/服器出租):设备托管和代维类IIC业务(如,主机托管、设备代维):虚拟空间和资源出租类IIC业务(如,虚拟上机服务);应用服务提供类IDC业务(如,应用业务出租、内容制作和包装服务):附抑增值服务类工DC业务(妇,业务质量和流量监测、附加安全增值服务)等。3.1.2
互联网数据中心(IDo)安全等级seouttyGassifcationoflDc互联网数培中心(IDC接全恶翼棉度的装征,变度从联网据中心(IDC)受到破坏后,双国家安全,社会秩序,经济运行公共利益网络和业务送营商造成的损害来衡景。3.1.3
互联网数据中心(iDc)安全等级保护ClassifiedSecurityProtectianofIDc对五联网数据中心(IDC)分等级实施安全保护。3.1.4
YDB 116--2012
组织 Organization
出不同作用的个体为实流共同的业务日标而理立的结构,纠织的等性在丁为完成日标雨分工、合作;个单位是一个组织,某个业务部门地可以是一个组织。3. 1.5
互联网数据中心(lD)安全风险SocurityRiskofiD人为或自然的成可能利活立联网数提中心(IDC)中宁在的晚弱性导致安全事作的发生及其对组织造成的影响,
互联网数据中心(IDc)安全风险评估SecurityRiskAssessmontofIDc指达用科学的方法利于段、系统地分析立联网数据中心(IDC)所而忙的威胁及其栏在的脆弱性,评估安全步件日发生可能造成的危害程度,提止有针对性的抵御成胁的防护对筑安全措题,防范利化解互联网数据中心(TC)会风险,或者将风验控剖在可接受的水,为最大限度恶为保障立联网数据中心()的安全提供科学依据,3. 1.7
互联网数据中心(IDC)资产Asset oFIPC五联网数据中心(IDC)中具有价查的资源:是安全防扩保护的对象。互联网数据中心(IDC)中约资产可能足以多种形式存在,无形的、有形的,视件、软件,包帖物理布后、通完设备、物理线路、数据、软件、文档、规程、业务、人贞,管理等各种类鼎的资源,如可联网激据中心(IIC)Weh服务幕等。3.1.8
互联网数据中心(IDC)资产价值AssetValueofIDC互联网数据中心(TC)中资产的重要程皮或敏惑程度,资产价值是资产的属性,也是述行资产识别的末要内容。
互联网数据中心(IDC)威邸 ThreatofIDC可能导致对互朕网数沿中心(IDC)产生害的不希望事故滑在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的立联网数据中心(「DC)或助有黑客入侵,碳件故障、人为操作失误、火灾、水灾等等,3.1.10
互联网数据中心
联数据中心tll)灾难蜜份Backup for üisaster Racovery o于Dc为了五联网数据中心(IDC)灾难谈复面对相关网络要素进行备份的过栏。3.1.13
互联网数据中心(IDc)灾难恢、DisasterRecoveryotiDoYDB116—2012
为了将互联网数据中心()狐家难造成的故障或键赖态恢复创正常运行状态或部分正常运行状态、并将其动能从灾难造成的不正常状态恢复到萌接受忧态和设计的新动和流程,3.1.14
间件 MiddleWard
种独立的系统软伴战努程序,斗非客岸机服游器的操作系统之,管理计算机资源利网络道讯,是连接两个独势擦序战独系统的软能不圜们操作系统和破件平台,中间件可以有符合接口和协议规范的动实现实现连联网教瑞理助能的应用程序运行在中间件之上,此时中问件包托eb服务嘉和商库服务帮功能模3. 1.15
跨站脚本攻击Cross-Site Scrinti入侵者在远程Web页面的HT代码的入真有恶意国的的数据,用声认为该页而是可简赖的,但是当浏览器下载该页面,嵌茶斯中的脚本将被释行孕欢衔威游用树览过程的安全。3.1.16
SQL注入攻击 SQ!、frnjection~Attack攻出者构造恶意的拿符,欺骗应儿系统士构造凝据廊誉谢蹈向并执行,从而达到盗取或修改数据库中存储的数据的目
路径遍历政击PathTra
rersaAttack
攻言者操纵输入参邀使应阅离统执行或透露任意文件内容,鼓难服务器任意文件目录进行读、写,珊除噪作。
命令注入政击CanrranainjectiuntAttack命令注入攻言是指攻击考操纵输入参数便用系究批行额外的指令,例如操作系统命令等3.2缩略语
.......
下列缩咯语造用于本综滩学
Aceess. Controtist
InternatData Center
Simple Vetwork Management ProtocolSirictured Query Langtage
Enicast Roveran Path Forwarding访问控制列表
互联网数据中心
简单网络管理协议
结构化查询语言
单播逆向路径转发
YDB 1162012
Lser sscd Suearily Molel
View-basod Aecoss Control Motn!4互网数据中心(IDC)安全防护概述4.1互联网数据中心(1DC)安全防护范围基于用户的安全模型
基丁视图的访问控制模型
IDC安全防护范围:为IIC用户提供各类业务服务的二C业务系统和实现配置、监控、安全,资源管理、计费、灾备等场能的二C支撑系绕,上述芮个亲统均由树络设备、备类主机、实间作、应用系统及其它相关配套的设备构成,详见下图。联网
C业务系院
变馨系统
图1IDC系统架构示意图
4.2互联网数据中心(IDC)安全风险分析4.2.1资产分析
C的资产可分为设备硬外、款件、数据、网络、服务、义档利!人员等,详见附性1对资心的分类及举例:其中重点资产如下
a)IIC中的各种软碳件设备,如主机设各,网络设备、撰作系统,数据库、中问件,应用程序、支撑系统等:
LDC中的低要数据,保存在 TDC 的各种与要信息数据,用户信息(币户登录 TD、压户在 TDC5
上的操作证录等),设备配胃数赔,管理员虞作继护沉录等:TDC中约重要服务,这些服务至少包措主机托等(机位、机架、VIP机房出租),资源出祖(如虚e
拟主机业务、数谐行储服务)、系统维护(系统配置、数据备份、故障排除服务)、管服务(如带充管理,流量分新、负载均衡、入侵检测、系统洞诊断),4.2.2资产脆弱性分析
1OC的脆弱性可分为技术跪弱性和管理瞻弱性两方面:详死附件1牛的IDC的瞻驹性列表。4.2.3安全威励分析
IDC的威助可分为业务威胁、设备威胁,环境贱融和人为威脉,其中以境威胁包括白然界不可抗的贼协和其它物理成胁;根据贼的动机,人为喊胁又可分为恶意知非恶意两种,详见险件中的闪威胁列裘。
4.2.4安全风险分析
临主要风险列举如:
a)米自互联网的网络攻击,如各类DDOS攻击,利判系统漏洞逆行的各类效出等:YDB 116—2012
b)由于IDC没备自身存在的安全瞻弱点(硬件故障、软件漏洞,安全配置缺陷等)被非法利用,导致从互联网或是从内部局域网非法控制IDC:c)IDC支撑系统相关数据被窃取做、破坏,戴越妆访御)IDC中业务数据存俏突全风险,如效揭存说微雄管型不,数据访问管理。这些风险直接影响ID业务的连续性再靠惧和宠整社以务产的数据安全、业务安全,基至IDC自身以及客心的网缩设器机成为像房网马府锻控瓷测,导政TDC的资源被用作攻击其它网络的工吴,成为木马大潜周传要途径4.3互联网数据中心GDo爱全防护内餐-
IDC安全防内容具体包店业务安奢应期亲统安企、钢络婴全,设备及软件系统安全、物评环境安全、管理安全。
业务安全指为实现功务所使用的城用系缝的装全般携聚用应用层技术构建的业务系统,网管支撑系统涉及相关安全,如web安全、ftp、SNMP应用协议安全等等:网络安全包括:
a)结构安个是指网络在组网结格定余链略等方面的安个b)安全城隔离是招网络内外安金域划分,迈嘉腩离策略等方面的安全:)入侵所范是为保障自身以及距雾安全网络作为体应具备的入侵防范能力,设备及软件系统安全包播影
a)网络设备安全指交换机、路巾器,安金设备的委金6)主机安全是指搭载各类操作系统的点机吸基上数据库崭催的安全:c)中间件安全是搭推源以装商业的weh中同润安金物理环境安全指C机磨环境辅助设通等方面的袋全婴求管理安全指IDC相关管理制度机科人员等疗作安全水不同奖型IDC业务特性不自其满足的安空防护尊家德所不同DC业务经营者应根据不声的IDC业务炎型采取雄应的安叁防护措施。建议各炎型IDC业务的安全防护要求如下:a)提供物调窄间和资源所租类IDC业务(如,机房/机柜出租、主机/服务器出租)的IDC应满足本章中对管理效,物环境安全,网络安个的防护要求;提供设备托管和代维奖I业务(如:主机托管、设备代维)的IDC应满足本章甲对管理安全、b)
物理环竞安全、网络安全的防护要求,者该类业务中IDC经营者提供系统级代维外还提供其他应用级代维服务,还感满退本对设备及软件安全的要求:提供虚拟空间和资源出租类业券联士概度经的ID应满足本章中对管理安全、e
物理环实安全、网络安全设信及软件整台装全的防理要求,提供应用服务提供类玩务应用业务批内寄制作和包装服务)的IDC应满足本章d
中对管理安全、物现环璐牵,胸露安全,网络设备及软件平台安全、应用层安全的防护要求:附加增造服务装加业务:如,业务质量和流量监测、附加安金增值服务)的I门C应满足木章e此内容来自标准下载网
中对管理安全,物理环境安全、网络安全、设备及款件平台安全,应川层安全,业务安全的防婴求。
5互联网数据中心(IDC)定级对象的安全等级确定5
YDB 116—2012
TDC业务经营者应据YD/T=729-2008《良倍网栏业联网发今等级深实施拍南》户定安今等级的方法划IDC逃行定级,根拒社会影响力、所提供服务的董要性、规模和服务范三的人小对激据中心分别定级,建议定级方法的权熹4、3、Y分别为:0.4、0.1、0.2。5.【社会影响力1
根据YD/T1729-2008,社会影的力表示定级对象受到破环片对困家安全、社会误序、经济运行公共利益的损等程意。TC股务对象叫能是闲家关部、企事单立相更他齐类携网内容股务商等遵议服务于中与国家机关,中央网络媒体机构,立卫联网域名注册服务商、国有大型企事业单位总或集公司、全国性大型立联网内容服务商(包括位不跟丁:综合!户、新阅瓷讯、娱乐、心商务、慢索、交发等ICP业务站点)相关网络及业务系统的I社会影响方贴值为4。服务于省级地方政府机关、地方网媒体机构、医有人型企事业单位分支机构、地区性大中型联刚内容服务商相关网络及业务系统的TC社会影响力赋俏为3。服务于地市及款下各级政府礼关,地区性小型立联网内容服务,其包公实服务机购拍关网络及业务系统的IDC社会影响方赋俏为2.服务于其估各类企中业单位所属网络及业务系统的IIC社会影响力赋消为-。5.2规模和服务范围R
根据YD/T【729-2008,规模表示楚级对象服务的年户数多少,服务范用表示定级对象服务的地x范同大小。建议从二DC出口带宽衡量IDC规模利服务围。a)总出口带宽在40G及以上的TIC的社会影响方账值为4:b)总出口带宽在20IG至40G(不含40)的IDC的让会影哟力赋使为3:c)总出口带宽在10G至20G(不含20G)的IDC的社会影购力贼宜为:)总带宽在1%G以下(不含10G)的“C的社会影响小赋俏为1:5.3所提供服务的垂要性V
根据YD/T1729-2008,所提供服务的查要性表示定级对象提供的股务被破坏所对网络利业务运营商的合法板益的影呵程度。综合考虑TDC业务本身对柜应网络和业务运营降的事变程度,建议统…取复为3。
6互联网数据中心(IDC)安全防护保护要求6.1第1级要求
6.1.1业务安全
不作要求。
6.1.2应用系统安全
不作要求。
6.1.3网络安全
6. 1. 3. 1结构安全
不作要求。,
6.1.3.2安全域隔离
安全域隔离要求如下:
YDB116—2012
e)应根据DC的牛产运行、操作维护、系统管理等沙能,采用交换机、路巾器、防火墙等设备,利用VLAV划分、IP网段划分、可信仟按等划分等方式对IDC内部网络划分安全域:5)
应对跨安会域的访尚实施针对访间源MA心地划:、源址址、端口导等信息的安全控制策略:应限制或避免在1DC内的置遇
发访问IP城域网络问源
入侵防范
6. 1. 3. 3
入侵防范要求如下:
应具有对 IDC 出济量进行监
TDC支撑系统成C网络
定位,各类柏亲
应面向点联网部
应在 TDC实施摩慢出
不网客产设备/系统阅的数据包,转税:
蒙馨告誉、故障行及时有效的
DC出口设备上光启URPF(单播
逆向路径转发功能,对手不真备元后条件的设客,启用功能过滤虚假源地址。设备及软件系统安全
6. 1.4. 1E
网络设畜安全
不作要求。
主机婴全
不作要残。
6.1.4.3中间件安全
不作要求。
物理环境安全
不作要张。
管理安全
除满定YD/T1756-2008装联网
IDC服务提供商应在与用广签的服务英实
求的篇1级的要求之外,还应该满搭尚单能息承扭的网络安全保障货任:客源的
应完成对IDC业务
应对IDC用广提的莉喆装榕经粹联盛、单位、住址等)进行查验;提供C业务前助提模业务沙及的网络安全相关信息,主要包含但不限于以下信息:等缀、系统对基础设施的依烦关系、系统要求配置的防火墙与路由器策略系统数据分类
6.2第2级要求
业务安全
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。