YDB 107-2012
基本信息
标准号: YDB 107-2012
中文名称:增值电信业务系统安全防护定级和评测实施规范 即时通信系统
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3479574
相关标签: 增值 电信业务 系统安全 防护 定级 评测 实施 规范 即时 通信 系统
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 107-2012.Implementation Specification of Classified Security Pr ction and Testing for Value-added Telecommunication Service System Instant Messaging System.
1范围
YDB 107规范规定了即时通信系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
YDB 107规范适用于增值电信企业运营的即时通信业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD 5098-2005通信局(站)防雷与接地工程设计规范
YD 5002邮电建筑防火设计标准
YD/T 5026-2005电信机房铁架安装设计标准
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。
3.1.1
即时通信系统安全等级security cl assification of instant nessagi ng syst en .
即时通信系统安全重要程度的表征。重要程度可从即时通信系统受到破坏后, 对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。
3.1.2
即时通信系统安全等级保护cl assified security protection of instant nessagi ng syst en
对即时通信系统分等级实施安全保护。
3.1.3
即时通信系统安全风险security risk of instant nessagi ng syst en
人为或自然的威胁可能利用即时通信系统中存在的脆弱性导致安全事件的发生及造成的影响。
1范围
YDB 107规范规定了即时通信系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
YDB 107规范适用于增值电信企业运营的即时通信业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD 5098-2005通信局(站)防雷与接地工程设计规范
YD 5002邮电建筑防火设计标准
YD/T 5026-2005电信机房铁架安装设计标准
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。
3.1.1
即时通信系统安全等级security cl assification of instant nessagi ng syst en .
即时通信系统安全重要程度的表征。重要程度可从即时通信系统受到破坏后, 对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。
3.1.2
即时通信系统安全等级保护cl assified security protection of instant nessagi ng syst en
对即时通信系统分等级实施安全保护。
3.1.3
即时通信系统安全风险security risk of instant nessagi ng syst en
人为或自然的威胁可能利用即时通信系统中存在的脆弱性导致安全事件的发生及造成的影响。
标准图片预览
标准内容
中国通信标准化协会标准
YDB107—2012
增值电信业务系统安全防护定级和评测实施规范即时通信系统
Implementation Specification of Classified Security Prction andTesting foiValue-added Telecommunication Service System Instant Messaging System2012-11-13印发
中国通信标准化协会
前言...
范围。
规范性引用文件
3术语、定义和缩略语.
3.1术语和定义
3.2缩略语..bZxz.net
4概述,
4.1安全防护范围
4.2安全风险分析..
4.3安全防护内容.
5定级实施规范.
5.1安全等级划分.
5.2定级要素.
安全等级的计算方法
6安全防护要求.
6.1第1级要求.,
第2级要求...
6.3第3.1级要求.
6.4第3.2级要求..
6.5第4级要求
6.6第5级要求
7安全防护评测实施指南.
第1级要求
第2级要求..
第3.1级要求.
第3.2级要求.
第4级要求
7.6第5级要求..
YDB107—2012
YDB107—2012
本实施规范是”增值电信业务系统安全防护定级和评测实施规范”系列实施规范之一,该系列实施规范包含如下实施规范:
增值电信业务系统安全防护定级和评测实施规范门户综合网站系统;增值电信业务系统安全防护定级和评测实施规范即时通信系统;增值电信业务系统安全防护定级和评测实施规范网络交易系统:增值电信业务系统安全防护定级和评测实施规范信息社区服务系统;-增值电信业务系统安全防护定级和评测实施规范邮件系统;-增值电信业务系统安全防护定级和评测实施规范搜索系统:增值电信业务系统安全防护定级和评测实施规范互联网接入服务系统。本实施规范按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定中国通信标准化协会标准”,推荐有关方面参考采用。有关对本实施规范的建议和意见,向中国通信标准化协会反映。本实施规范由中国通信标准化协会提出并归口。本实施规范起草单位:工业和信息化部电信研究院。本实施规范主要起草人:封莎、魏薇、谢玮、魏亮、鲁冬雪、黄晨、祝卓、杨剑锋、邓东丰、许子先、何有斌。
HiiKANiKAca
YDB107—2012
增值电信业务系统安全防护定级和评测实施规范即时通信系统1范围
本实施规范规定了即时通信系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
本实施规范适用于增值电信企业运营的即时通信业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD5098-2005
YD5002
YD/T 5026-2005
3术语、定义和缩略语
3.1术语和定义
通信局(站)防雷与接地工程设计规范邮电建筑防火设计标准
电信机房铁架安装设计标准
下列术语和定义适用于本实施规范。3.1.1
即时通信系统安全等级security classificationof instant messagingsysten即时通信系统安全重要程度的表征。重要程度可从即时通信系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
即时通信系统安全等级保护classifiedsecurityprotectionofinstantmessagingsysten对即时通信系统分等级实施安全保护。3.1.3
即时通信系统安全风险 securityrisk of instant nessaging systen人为或自然的威胁可能利用即时通信系统中存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
即时通信系统资产assetofinstantnessagingsysten即时通信系统中具有价值的资源,是安全防护保护的对象。即时通信系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如即时消息业务系统的主机、网络布局等。1
iiKAoi KAca
YDB 107—2012
即时通信系统威胁 threat of instant messaging systen可能导致对即时通信系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的可能是无意失误,也可能是恶意攻击。常见的即时通信系统威胁有光缆中断、设备节点失效、火灾、水灾等等。
即时通信系统脆弱性vulnerability of instant messaging syster脆弱性是即时通信系统中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。
即时通信系统灾难disasterof instant nessaging systen由于各种原因,造成即时通信系统故障或瘫痪,使即时通信系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
即时通信系统灾难备份backupfor disaster recoveryof instant nessagingsysten为了即时通信系统灾难恢复而对相关网络要素进行备份的过程。3.1.9
即时通信系统灾难恢复disaster recoveryof instant messagingsysten为了将即时通信系统从灾难造成的故障或瘫滩痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
即时通信系统安全评测 securitytestingof instantmessaging systen对即时通信系统的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.2缩略语
下列缩略语适用于本实施规范。CVE
Common Vul nerabilities & ExposuresChi na National Vul nerabi TityDatabaseDistributed Denial of Servi ceDeni al of Servi ce
File Transfer Prot ocol
Fypertext Transport Protocol通用漏洞披露
国家信息安全漏洞共享平台
分布式拒绝服务
拒绝服务
文件传输协议
超文本传送协议
HypertextTransferProtocol overSecureSocket安全超文本传输协议
Internet Protocol
Mean Ti ne BetweenFailure
NeanTimetoRestoration
网际协议
平均无故障时间
平均恢复前时间
HiiKAoNiKAca
4概述
Secure Sockets Layer
Transport Layer Security
Uhi nt errupti bl e Power Systen4.1安全防护范围
安全套阶层协议
安全传输层协议
不间断电源
YDB107—2012
即时通信(InstantMessaging,简称IN)是指使用在线识别用户和实时交换信息技术,依靠互联网平台和移动通信平台,以多种信息格式(文字、图片、声音、视频、文件等)沟通为目的,通过多平台、多终端的通信技术来实现的同平台、跨平台的低成本高效率的综合性通信方式。即时通信业务由即时通信业务系统平台提供其他业务能力主要通过接口调用其他业务平台业务能力实现,功能架构图如图1所示。即时通信业务系统
业务处理模块
用户管理模块
固定互联网用户
业务安全管理模块
系统安全管理模块
通信网络
移动互联网用户
图1即时通信业务系统功能架构图即时通信业务系统各模块功能如下:a)
用户管理模块主要包括用户注册、认证、权限等子模块,主要是实现用户的注册、登录认证以及用户权限鉴别及管理。
业务处理模块主要包括消息接收、发送、存储转发等子模块,主要实现用户之间发送和接收消息,以及消息的存储和转发功能。业务安全管理模块主要包括恶意代码监控和过滤模块,主要实现对用户间交互数据、上传数据、系统发布数据中的恶意代码进行扫描,及时有效的发现恶意代码并能对其进行过滤,确保数据安全。
系统安全管理模块主要包括设备配置管理和设备运行状态监控,主要实现对网络、安全、主机d
设备的安全配置管理及日常运行状态监控,及时有效的发现系统运行异常,确保系统运行稳定。本实施规范要求针对即时通信业务系统平台及其接口提出安全防护要求和检测实施指南,与即时通信系统相关的其他业务平台安全防护要求和检测实施指南不属于本实施规范规定范畴,可参见其他相关增值电信业务实施规范。
4.2安全风险分析
即时通信系统中的重要资产主要包括设备硬件,设备软件,重要数据,提供的服务,文档,人员等类别,即时通信系统相关代表性资产的类别划分如表1所示。3
HiiKAoNiKAca
YDB107—2012
设备及链路
数据和信息
业务及应用
文档和资料
环境和设施
表1资产类别
主要资产
各类业务及应用涉及的操作维护终端、服务器和数据库,各类业务及应用相关辅助设备(如安全过滤、入侵检测和防护设备),系统内部网络设备(如,系统内部组网路由器、交换机等设备)系统内部链连路。
相关业务或应用软件、数据库软件、业务控制和运维管理软件等。保证信息服务业务正常提供的数据和信息(如,业务数据、系统配置数据、管理员操作维护记录、用户信息等)
即时通信业务系统提供的即时通信业务。纸质以及保存在存储介质中的各种文件资料(如,设计文档、技术要求。管理规定、工作计划、技术报告、用户手册等)。
相关管理、维护、开发、数据备份人员等。业务系统和设备所处的物理环境,机房、电力、防火、防水、防静电、温湿度控制等相关设施。即时通信系统的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心。即时通信系统的脆弱性分析应包括但不限于表2所列范围。表2脆弱性类别
技术脆弱性
业务及应用
物理环境
管理脆弱性
主要脆弱性
相关服务器未进行合理备份,重要数据未及时进行备份;相关业务/应用协议存在漏洞,相关服务器的应用代码存在漏洞、后门:相关服务器存在过多不必要的开放端口;相关服务器配置不合理,访问控制策略设置不合理:相关服务器的日志功能没有启用或不够详细:系统规划、设备部署、链路部署、资源配置、业务保护和恢复能力、安全技术措施和策略等方面的缺陷:
相关设备存在硬件隐患或质量问题;相关设备的操作系统存在安全隐患;相关口令设置不合理、复杂度不够、或没有经常更新;设备重要部件未进行合理备份;相关设备超过使用年限或核心部件老化;相关设备发生故障后未及时告警:机房场地选择不合理:
防火、供配电、防静电、接地与防雷、电磁防护、温湿度控制不符合规范;通信线路、相关服务器、主机等设备的保护不符合规范:安全管理机构方面:岗位设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等;安全管理制度方面:管理制度不完善、制度评审和修订不及时等;人员安全管理方面:人员录用不符合程序、人员离岗未办理安全手续、人员未进行安全培训、对于第三方人员未进行限制访问等:建设管理方面:安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等;
运维管理方面:物理环境管理措施简单、存储介质使用不受限、设备没有定期维护、厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防范措施无数据备份和恢复策略、访问控制不严格、操作管理不规范等,应急保障措施不到位,灾难恢复预案不完善。iiKAoiKAca
YDB107—2012
即时通信系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。即时通信系统的威胁分析应包括但不限于表3所列范围。表3威胁类别
技术威胁
物理环境
环境威胁
自然灾害
恶意人员
人为威胁
非恶意人员
主要威肋
相关主机和服务器、及系统网络设备使用时间过长或质量问题等导致硬件故障;
系统链路发生故障;
相关设备的操作系统软件、应用软件运行故障;相关设备数据丢失或系统运行中断;存储介质老化或质量问题等导致不可用;断电、静电、灰尘、潮湿、温湿度异常、电磁干扰等;意外事故或通讯线路方面的故障;鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷击;不满的或有预谋的内部人员滥用权限进行恶意破坏;攻击者利用非法手段进入机房内部盗窃、破坏等,攻击者非法物理访问相关设备、存储介质等;
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问相关设备的文件、数据或其他资源;
攻击者利用各种工具获取相关设备身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未授权访问应用系统,或非法使用相关文件和数据;攻击者利用应用系统扩散病毒、蠕虫、木马、垃圾电子邮件,利用相关攻击工具恶意消耗应用系统资源,导致系统能力下降或瘫痪、无法正常提供应用服务:
攻击者截获数据,进行改、插入,并重发,造成数据的完整性、真实性丧失;
内部人员由于缺乏责任心或者无作为而应该执行而没有执行相应的操作、或无意地执行了错误或危险的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件。
即时通信业务系统可能存在的安全脆弱性被利用后会产生很大的安全风险,主要包括以下几个方面:
即时通信软件由于自身的特点成为病毒传播的平台。即时通信普及迅速、应用广泛,为病毒传播提供了环境。另外,即时信息系统还充许用户用非加密形式传输、交换文件,这样会导致糯虫、特洛伊木马以及混合病毒的大量传播。即时通信消息易被窃取。大多数即时通信软件采用了C/S结构,并且在大多数情况下,即时通信软件的传播借助于服务器,用户之间发送的信息未经加密,信息对于攻击者清楚可见,很容易导致信息被窃取。即时通信用户数量巨大,大量用户的大量个人信息存储在网络或终端侧存在严重的被攻击者或内部人员窃取或泄漏的安全隐患。这些安全隐患会对即时通信业务系统的业务正常提供构成安全威胁甚至进一步威胁互联网用户终端的安全。
HiiKAoiKAca
YDB107—2012
4.3安全防护内容
即时通信业务系统的主要功能是为用户提供消息的即时交互且存储和传播大量用户信息因此保障业务的安全稳定运行和用户信息的安全可靠至关重要。保障即时通信业务系统的基础设施安全、管理安全等也是安全防护的主要内容。4.3.1业务及应用安全
业务及应用安全包括向用户提供的相关业务及应用在实现技术、逻辑、管理和控制等方面的安全要求,主要包括业务逻辑安全、web安全、客户端安全等。4.3.2网络安全
网络安全包括网络结构安全、入侵防范、安全审计等方面的安全要求。4.3.3设备及软件系统安全
设备及软件系统安全包括网络及安全设备、操作系统、数据库、中间件在身份鉴别、访问控制、安全审计、入侵防范、资源控制等方面的安全要求。4.3.4物理安全
物理安全包括系统所处的物理环境在机房位置、电力供应、防火一、防水、防静电、温湿度控制等方面的安全要求。
4.3.5管理安全
管理安全包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5定级实施规范
5.1安全等级划分
即时通信业务系统进行安全等级划分的总体原则是:依据定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及业务运营企业的合法权益的损害程度,对增值电信业务系统进行安全等级划分,共分为5个等级。
5.1.1第1级
定级对象受到破坏后,会对其业务运营企业的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由业务运营企业依据国家和通信行业有关标准进行保护。5.1.2第2级
定级对象受到破坏后,会对业务运营企业的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
HiiKAoiKAca
5.1.3第3级
5.1.3.1第3.1级
YDB107—2012
定级对象受到破坏后,会对业务运营企业的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级由业务运营企业依据国家和通信行业有关标准进行保护主管部门对其安全等级保护工作进行监督、检查。
5.1.3.2第3.2级
定级对象受到破坏后,会对业务运营企业的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。本级由业务运营企业依据国家和通信行业有关标准进行保护主管部门对其安全等级保护工作进行重点监督、检查。
5.1.4第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全要求进行保护主管部门对其安全等级保护工作进行强制监督、检查。5.1.5第5级
定级对象受到破坏后,会对国家安全造成特别严重损害。本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全需求进行保护主管部门对其安全等级保护工作进行专门监督、检查。5.2定级要素
确定定级对象的安全等级应根据如下三个相互独立的定级要素:社会影响力、规模和服务范围和所提供服务的重要性。
5.2.1社会影响力-1
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。
即时通信业务系统的服务对象范围广泛,数量众多,且其上承载了多种业务功能,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为3。5.2.2规模和服务范围-R
即时通信业务的定级对象的规模和服务范围R可根据如下指标确定:规模由注册账户数(指即时通讯软件累计注册的账户总数,用R1来表示)和活跃账户数(指一个时段内,通常是一个月,至少使用次即时通讯服务的账户总数,用R2来表示)来表示。R取R1和R2中的较大值。定级对象的规模R1赋值如表4所示,R2赋值如表5所示。
YDB107—2012
注册账户数在500万及以下
表4规模R1赋值表
规模指标
注册账户数在500万以上,1亿及以下注册账户数在1亿以上,3亿及及以下注册账户数在3亿以上,6亿及以下注册账户数在6亿以上
表5规模R2赋值表
规模指标
活跃账户数在200万及以下
活跃账户数在200万以上,400万及以下活跃账户数在400万以上,2亿及以下活跃账户数在2亿以上,4亿及以下活跃账户数在4亿以上
5.2.3所提供服务的重要性-V
定级对象所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值业务重要性,对企业自身形象的影响等方面。
即时通信业务系统所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害,建议提供服务的重要性赋值为2。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。5.3安全等级的计算方法
在完成定级对象的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素的赋值后,需采用以下公式来计算定级对象的安全等级值:k=Round1(Loga([ax2'+Bx2'+?x2)1))...(1)
其中,k代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round1表示四舍五入处理,保留1位小数,Log[1表示取以2为底的对数,a、B、分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,a=0,B=0,-0且a+B+?=1。应根据实际情况确定权重值a、B、?,建议分别取:1/3、1/3、1/3。计算所得定级对象的安全等级值与安全等级的映射关系如表6所示。表6安全等级值与安全等级的映射关系安全等级值k
1.5=k<2.5
2.5=k<3.3
6安全防护要求
安全等级
第1级
第2级
第3.1级
第3.2级
第4级
第5级
6.1第1级要求
6.1.1业务及应用安全
不作要求。
6.1.2网络安全
不作要求。
6.1.3设备及软件系统安全
不作要求。
6.1.4物理安全
不作要求。
6.1.5管理安全
不作要求。
6.2第2级要求
6.2.1业务及应用安全
6.2.1.1业务逻辑安全
6.2.1.1.1身份鉴别
提供专门的登录控制模块对登录用户进行身份标识和鉴别。应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被冒用。应采用加密方式存储业务用户的帐号和口令信息。6.2.1.1.2访问控制
YDB107—2012
严格限制各用户的访问权限,按安全策略要求控制用户对业务、数据、网络资源等的访问严格设置登录策略,按安全策略要求具备防范账户暴力破解攻击措施的能力。如限定用户连续错误输入密码次数,超过设定阈值,对用户进行锁定,并设定锁定时间,在锁定时间内被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定。6.2.1.1.3安全审计
审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件。如普通用户异常登录、发布恶意代码、异常修改帐号信息等行为,以及管理员在业务功能及帐号控制方面的关键操作。应保护审计记录,保证无法删除、修改或覆盖等业务相关审计记录应包括事件日期、时间、发起者信息、类型、描述和结果等。应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。6.2.1.1.4资源控制
当用户和业务系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。应能够限制邀请好友的频次,且可由企业进行配置9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB107—2012
增值电信业务系统安全防护定级和评测实施规范即时通信系统
Implementation Specification of Classified Security Prction andTesting foiValue-added Telecommunication Service System Instant Messaging System2012-11-13印发
中国通信标准化协会
前言...
范围。
规范性引用文件
3术语、定义和缩略语.
3.1术语和定义
3.2缩略语..bZxz.net
4概述,
4.1安全防护范围
4.2安全风险分析..
4.3安全防护内容.
5定级实施规范.
5.1安全等级划分.
5.2定级要素.
安全等级的计算方法
6安全防护要求.
6.1第1级要求.,
第2级要求...
6.3第3.1级要求.
6.4第3.2级要求..
6.5第4级要求
6.6第5级要求
7安全防护评测实施指南.
第1级要求
第2级要求..
第3.1级要求.
第3.2级要求.
第4级要求
7.6第5级要求..
YDB107—2012
YDB107—2012
本实施规范是”增值电信业务系统安全防护定级和评测实施规范”系列实施规范之一,该系列实施规范包含如下实施规范:
增值电信业务系统安全防护定级和评测实施规范门户综合网站系统;增值电信业务系统安全防护定级和评测实施规范即时通信系统;增值电信业务系统安全防护定级和评测实施规范网络交易系统:增值电信业务系统安全防护定级和评测实施规范信息社区服务系统;-增值电信业务系统安全防护定级和评测实施规范邮件系统;-增值电信业务系统安全防护定级和评测实施规范搜索系统:增值电信业务系统安全防护定级和评测实施规范互联网接入服务系统。本实施规范按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定中国通信标准化协会标准”,推荐有关方面参考采用。有关对本实施规范的建议和意见,向中国通信标准化协会反映。本实施规范由中国通信标准化协会提出并归口。本实施规范起草单位:工业和信息化部电信研究院。本实施规范主要起草人:封莎、魏薇、谢玮、魏亮、鲁冬雪、黄晨、祝卓、杨剑锋、邓东丰、许子先、何有斌。
HiiKANiKAca
YDB107—2012
增值电信业务系统安全防护定级和评测实施规范即时通信系统1范围
本实施规范规定了即时通信系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
本实施规范适用于增值电信企业运营的即时通信业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD5098-2005
YD5002
YD/T 5026-2005
3术语、定义和缩略语
3.1术语和定义
通信局(站)防雷与接地工程设计规范邮电建筑防火设计标准
电信机房铁架安装设计标准
下列术语和定义适用于本实施规范。3.1.1
即时通信系统安全等级security classificationof instant messagingsysten即时通信系统安全重要程度的表征。重要程度可从即时通信系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
即时通信系统安全等级保护classifiedsecurityprotectionofinstantmessagingsysten对即时通信系统分等级实施安全保护。3.1.3
即时通信系统安全风险 securityrisk of instant nessaging systen人为或自然的威胁可能利用即时通信系统中存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
即时通信系统资产assetofinstantnessagingsysten即时通信系统中具有价值的资源,是安全防护保护的对象。即时通信系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如即时消息业务系统的主机、网络布局等。1
iiKAoi KAca
YDB 107—2012
即时通信系统威胁 threat of instant messaging systen可能导致对即时通信系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的可能是无意失误,也可能是恶意攻击。常见的即时通信系统威胁有光缆中断、设备节点失效、火灾、水灾等等。
即时通信系统脆弱性vulnerability of instant messaging syster脆弱性是即时通信系统中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。
即时通信系统灾难disasterof instant nessaging systen由于各种原因,造成即时通信系统故障或瘫痪,使即时通信系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
即时通信系统灾难备份backupfor disaster recoveryof instant nessagingsysten为了即时通信系统灾难恢复而对相关网络要素进行备份的过程。3.1.9
即时通信系统灾难恢复disaster recoveryof instant messagingsysten为了将即时通信系统从灾难造成的故障或瘫滩痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
即时通信系统安全评测 securitytestingof instantmessaging systen对即时通信系统的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.2缩略语
下列缩略语适用于本实施规范。CVE
Common Vul nerabilities & ExposuresChi na National Vul nerabi TityDatabaseDistributed Denial of Servi ceDeni al of Servi ce
File Transfer Prot ocol
Fypertext Transport Protocol通用漏洞披露
国家信息安全漏洞共享平台
分布式拒绝服务
拒绝服务
文件传输协议
超文本传送协议
HypertextTransferProtocol overSecureSocket安全超文本传输协议
Internet Protocol
Mean Ti ne BetweenFailure
NeanTimetoRestoration
网际协议
平均无故障时间
平均恢复前时间
HiiKAoNiKAca
4概述
Secure Sockets Layer
Transport Layer Security
Uhi nt errupti bl e Power Systen4.1安全防护范围
安全套阶层协议
安全传输层协议
不间断电源
YDB107—2012
即时通信(InstantMessaging,简称IN)是指使用在线识别用户和实时交换信息技术,依靠互联网平台和移动通信平台,以多种信息格式(文字、图片、声音、视频、文件等)沟通为目的,通过多平台、多终端的通信技术来实现的同平台、跨平台的低成本高效率的综合性通信方式。即时通信业务由即时通信业务系统平台提供其他业务能力主要通过接口调用其他业务平台业务能力实现,功能架构图如图1所示。即时通信业务系统
业务处理模块
用户管理模块
固定互联网用户
业务安全管理模块
系统安全管理模块
通信网络
移动互联网用户
图1即时通信业务系统功能架构图即时通信业务系统各模块功能如下:a)
用户管理模块主要包括用户注册、认证、权限等子模块,主要是实现用户的注册、登录认证以及用户权限鉴别及管理。
业务处理模块主要包括消息接收、发送、存储转发等子模块,主要实现用户之间发送和接收消息,以及消息的存储和转发功能。业务安全管理模块主要包括恶意代码监控和过滤模块,主要实现对用户间交互数据、上传数据、系统发布数据中的恶意代码进行扫描,及时有效的发现恶意代码并能对其进行过滤,确保数据安全。
系统安全管理模块主要包括设备配置管理和设备运行状态监控,主要实现对网络、安全、主机d
设备的安全配置管理及日常运行状态监控,及时有效的发现系统运行异常,确保系统运行稳定。本实施规范要求针对即时通信业务系统平台及其接口提出安全防护要求和检测实施指南,与即时通信系统相关的其他业务平台安全防护要求和检测实施指南不属于本实施规范规定范畴,可参见其他相关增值电信业务实施规范。
4.2安全风险分析
即时通信系统中的重要资产主要包括设备硬件,设备软件,重要数据,提供的服务,文档,人员等类别,即时通信系统相关代表性资产的类别划分如表1所示。3
HiiKAoNiKAca
YDB107—2012
设备及链路
数据和信息
业务及应用
文档和资料
环境和设施
表1资产类别
主要资产
各类业务及应用涉及的操作维护终端、服务器和数据库,各类业务及应用相关辅助设备(如安全过滤、入侵检测和防护设备),系统内部网络设备(如,系统内部组网路由器、交换机等设备)系统内部链连路。
相关业务或应用软件、数据库软件、业务控制和运维管理软件等。保证信息服务业务正常提供的数据和信息(如,业务数据、系统配置数据、管理员操作维护记录、用户信息等)
即时通信业务系统提供的即时通信业务。纸质以及保存在存储介质中的各种文件资料(如,设计文档、技术要求。管理规定、工作计划、技术报告、用户手册等)。
相关管理、维护、开发、数据备份人员等。业务系统和设备所处的物理环境,机房、电力、防火、防水、防静电、温湿度控制等相关设施。即时通信系统的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心。即时通信系统的脆弱性分析应包括但不限于表2所列范围。表2脆弱性类别
技术脆弱性
业务及应用
物理环境
管理脆弱性
主要脆弱性
相关服务器未进行合理备份,重要数据未及时进行备份;相关业务/应用协议存在漏洞,相关服务器的应用代码存在漏洞、后门:相关服务器存在过多不必要的开放端口;相关服务器配置不合理,访问控制策略设置不合理:相关服务器的日志功能没有启用或不够详细:系统规划、设备部署、链路部署、资源配置、业务保护和恢复能力、安全技术措施和策略等方面的缺陷:
相关设备存在硬件隐患或质量问题;相关设备的操作系统存在安全隐患;相关口令设置不合理、复杂度不够、或没有经常更新;设备重要部件未进行合理备份;相关设备超过使用年限或核心部件老化;相关设备发生故障后未及时告警:机房场地选择不合理:
防火、供配电、防静电、接地与防雷、电磁防护、温湿度控制不符合规范;通信线路、相关服务器、主机等设备的保护不符合规范:安全管理机构方面:岗位设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等;安全管理制度方面:管理制度不完善、制度评审和修订不及时等;人员安全管理方面:人员录用不符合程序、人员离岗未办理安全手续、人员未进行安全培训、对于第三方人员未进行限制访问等:建设管理方面:安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等;
运维管理方面:物理环境管理措施简单、存储介质使用不受限、设备没有定期维护、厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防范措施无数据备份和恢复策略、访问控制不严格、操作管理不规范等,应急保障措施不到位,灾难恢复预案不完善。iiKAoiKAca
YDB107—2012
即时通信系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。即时通信系统的威胁分析应包括但不限于表3所列范围。表3威胁类别
技术威胁
物理环境
环境威胁
自然灾害
恶意人员
人为威胁
非恶意人员
主要威肋
相关主机和服务器、及系统网络设备使用时间过长或质量问题等导致硬件故障;
系统链路发生故障;
相关设备的操作系统软件、应用软件运行故障;相关设备数据丢失或系统运行中断;存储介质老化或质量问题等导致不可用;断电、静电、灰尘、潮湿、温湿度异常、电磁干扰等;意外事故或通讯线路方面的故障;鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷击;不满的或有预谋的内部人员滥用权限进行恶意破坏;攻击者利用非法手段进入机房内部盗窃、破坏等,攻击者非法物理访问相关设备、存储介质等;
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问相关设备的文件、数据或其他资源;
攻击者利用各种工具获取相关设备身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未授权访问应用系统,或非法使用相关文件和数据;攻击者利用应用系统扩散病毒、蠕虫、木马、垃圾电子邮件,利用相关攻击工具恶意消耗应用系统资源,导致系统能力下降或瘫痪、无法正常提供应用服务:
攻击者截获数据,进行改、插入,并重发,造成数据的完整性、真实性丧失;
内部人员由于缺乏责任心或者无作为而应该执行而没有执行相应的操作、或无意地执行了错误或危险的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件。
即时通信业务系统可能存在的安全脆弱性被利用后会产生很大的安全风险,主要包括以下几个方面:
即时通信软件由于自身的特点成为病毒传播的平台。即时通信普及迅速、应用广泛,为病毒传播提供了环境。另外,即时信息系统还充许用户用非加密形式传输、交换文件,这样会导致糯虫、特洛伊木马以及混合病毒的大量传播。即时通信消息易被窃取。大多数即时通信软件采用了C/S结构,并且在大多数情况下,即时通信软件的传播借助于服务器,用户之间发送的信息未经加密,信息对于攻击者清楚可见,很容易导致信息被窃取。即时通信用户数量巨大,大量用户的大量个人信息存储在网络或终端侧存在严重的被攻击者或内部人员窃取或泄漏的安全隐患。这些安全隐患会对即时通信业务系统的业务正常提供构成安全威胁甚至进一步威胁互联网用户终端的安全。
HiiKAoiKAca
YDB107—2012
4.3安全防护内容
即时通信业务系统的主要功能是为用户提供消息的即时交互且存储和传播大量用户信息因此保障业务的安全稳定运行和用户信息的安全可靠至关重要。保障即时通信业务系统的基础设施安全、管理安全等也是安全防护的主要内容。4.3.1业务及应用安全
业务及应用安全包括向用户提供的相关业务及应用在实现技术、逻辑、管理和控制等方面的安全要求,主要包括业务逻辑安全、web安全、客户端安全等。4.3.2网络安全
网络安全包括网络结构安全、入侵防范、安全审计等方面的安全要求。4.3.3设备及软件系统安全
设备及软件系统安全包括网络及安全设备、操作系统、数据库、中间件在身份鉴别、访问控制、安全审计、入侵防范、资源控制等方面的安全要求。4.3.4物理安全
物理安全包括系统所处的物理环境在机房位置、电力供应、防火一、防水、防静电、温湿度控制等方面的安全要求。
4.3.5管理安全
管理安全包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5定级实施规范
5.1安全等级划分
即时通信业务系统进行安全等级划分的总体原则是:依据定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及业务运营企业的合法权益的损害程度,对增值电信业务系统进行安全等级划分,共分为5个等级。
5.1.1第1级
定级对象受到破坏后,会对其业务运营企业的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由业务运营企业依据国家和通信行业有关标准进行保护。5.1.2第2级
定级对象受到破坏后,会对业务运营企业的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
HiiKAoiKAca
5.1.3第3级
5.1.3.1第3.1级
YDB107—2012
定级对象受到破坏后,会对业务运营企业的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级由业务运营企业依据国家和通信行业有关标准进行保护主管部门对其安全等级保护工作进行监督、检查。
5.1.3.2第3.2级
定级对象受到破坏后,会对业务运营企业的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。本级由业务运营企业依据国家和通信行业有关标准进行保护主管部门对其安全等级保护工作进行重点监督、检查。
5.1.4第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全要求进行保护主管部门对其安全等级保护工作进行强制监督、检查。5.1.5第5级
定级对象受到破坏后,会对国家安全造成特别严重损害。本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全需求进行保护主管部门对其安全等级保护工作进行专门监督、检查。5.2定级要素
确定定级对象的安全等级应根据如下三个相互独立的定级要素:社会影响力、规模和服务范围和所提供服务的重要性。
5.2.1社会影响力-1
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。
即时通信业务系统的服务对象范围广泛,数量众多,且其上承载了多种业务功能,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为3。5.2.2规模和服务范围-R
即时通信业务的定级对象的规模和服务范围R可根据如下指标确定:规模由注册账户数(指即时通讯软件累计注册的账户总数,用R1来表示)和活跃账户数(指一个时段内,通常是一个月,至少使用次即时通讯服务的账户总数,用R2来表示)来表示。R取R1和R2中的较大值。定级对象的规模R1赋值如表4所示,R2赋值如表5所示。
YDB107—2012
注册账户数在500万及以下
表4规模R1赋值表
规模指标
注册账户数在500万以上,1亿及以下注册账户数在1亿以上,3亿及及以下注册账户数在3亿以上,6亿及以下注册账户数在6亿以上
表5规模R2赋值表
规模指标
活跃账户数在200万及以下
活跃账户数在200万以上,400万及以下活跃账户数在400万以上,2亿及以下活跃账户数在2亿以上,4亿及以下活跃账户数在4亿以上
5.2.3所提供服务的重要性-V
定级对象所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值业务重要性,对企业自身形象的影响等方面。
即时通信业务系统所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害,建议提供服务的重要性赋值为2。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。5.3安全等级的计算方法
在完成定级对象的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素的赋值后,需采用以下公式来计算定级对象的安全等级值:k=Round1(Loga([ax2'+Bx2'+?x2)1))...(1)
其中,k代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round1表示四舍五入处理,保留1位小数,Log[1表示取以2为底的对数,a、B、分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,a=0,B=0,-0且a+B+?=1。应根据实际情况确定权重值a、B、?,建议分别取:1/3、1/3、1/3。计算所得定级对象的安全等级值与安全等级的映射关系如表6所示。表6安全等级值与安全等级的映射关系安全等级值k
1.5=k<2.5
2.5=k<3.3
6安全防护要求
安全等级
第1级
第2级
第3.1级
第3.2级
第4级
第5级
6.1第1级要求
6.1.1业务及应用安全
不作要求。
6.1.2网络安全
不作要求。
6.1.3设备及软件系统安全
不作要求。
6.1.4物理安全
不作要求。
6.1.5管理安全
不作要求。
6.2第2级要求
6.2.1业务及应用安全
6.2.1.1业务逻辑安全
6.2.1.1.1身份鉴别
提供专门的登录控制模块对登录用户进行身份标识和鉴别。应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被冒用。应采用加密方式存储业务用户的帐号和口令信息。6.2.1.1.2访问控制
YDB107—2012
严格限制各用户的访问权限,按安全策略要求控制用户对业务、数据、网络资源等的访问严格设置登录策略,按安全策略要求具备防范账户暴力破解攻击措施的能力。如限定用户连续错误输入密码次数,超过设定阈值,对用户进行锁定,并设定锁定时间,在锁定时间内被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定。6.2.1.1.3安全审计
审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件。如普通用户异常登录、发布恶意代码、异常修改帐号信息等行为,以及管理员在业务功能及帐号控制方面的关键操作。应保护审计记录,保证无法删除、修改或覆盖等业务相关审计记录应包括事件日期、时间、发起者信息、类型、描述和结果等。应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。6.2.1.1.4资源控制
当用户和业务系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。应能够限制邀请好友的频次,且可由企业进行配置9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。