YDB 111-2012
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 111-2012.Implementation Specification of Classified Security Protection and Testing for Value-added Telecommunication Service System Search System.
1范围
YDB 111规范规定了搜索系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
YDB 111规范适用于增值电信企业运营的搜索系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD 5098-2005通信局(站)防雷与接地工程设计规范
YD 5002邮电建筑防火设计标准
YD/T 5026-2005电信机房铁架安装设计标准
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。
3.1.1
搜索系统安全等级security classification of search system
搜索系统重要程度的表征。重要程度从搜索系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益造成的损害来衡量。
3.1.2
搜索系统安全等级保护classified security protection of search system
对搜索系统分等级实施安全保护。
3.1.3
搜索系统安全风险security risk of search system
人为或自然的威胁可能利用搜索系统中存在的脆弱性导致安全事件的发生及造成的影响。
标准内容
中国通信标准化协会标准
YDB111—2012
增值电信业务系统安全防护定级和评测实施规范搜索系统
Implementation Specification of Classified Security Protection and Testing forValue-added TelecommunicationServiceSystemSearchSystem2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语,
4概述,
安全防护范围
安全风险分析
4.3安全防护内容
5定级实施规范
安全等级划分
定级要素
安全等级的计算方法
6安全防护要求.
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
安全防护评测实施指南
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
YDB111—2012
YDB111—2012
本实施规范是“增值电信业务系统安全防护定级和评测实施规范”系列实施规范之一,该系列实施规范包含如下实施规范:
一增值电信业务系统安全防护定级和评测实施规范门户综合网站系统:一一增值电信业务系统安全防护定级和评测实施规范即时通信系统:一增值电信业务系统安全防护定级和评测实施规范网络交易系统:一增值电信业务系统安全防护定级和评测实施规范信息社区服务系统一增值电信业务系统安全防护定级和评测实施规范邮件系统:一一增值电信业务系统安全防护定级和评测实施规范搜索系统:一增值电信业务系统安全防护定级和评测实施规范互联网接入服务系统。本实施规范按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”:推荐有关方面参考采用。有关对本实施规范的建议和意见,向中国通信标准化协会反映,本实施规范由中国通信标准化协会提出并归口。本实施规范起草单位:工业和信息化部电信研究院。本实施规范主要起草人:何友斌、黄晨、鲁冬雪、魏薇、邓东丰、封莎。I
iiiKAoNiKAca
YDB111—2012
增值电信业务系统安全防护定级和评测实施规范搜索系统1范围
本实施规范规定了搜索系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
本实施规范适用于增值电信企业运营的搜索系统2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD5098-2005
YD5002
YD/T5026-2005
3术语、定义和缩略语
3.1术语和定义
通信局(站)防雷与接地工程设计规范邮电建筑防火设计标准
电信机房铁架安装设计标准
下列术语和定义适用于本实施规范。3.1.1
搜索系统安全等级security classification of search system搜索系统重要程度的表征。重要程度从搜索系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益造成的损害来衡量。
搜索系统安全等级保护 classified securityprotectionof search system对搜索系统分等级实施安全保护。3.1.3
搜索系统安全风险securityriskof searchsystem人为或自然的威胁可能利用搜索系统中存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
搜索系统资产assetofsearchsystem搜索系统中具有价值的资源,是安全防护体系保护的对象。搜索系统中的资产可能以多种形式存在,无形的、有形的、硬件,软件,包括物理布局、通信设备,物理线路、数据、软件、文档、规程、业务。人员、管理等各种类型的资源,如数据检索、展现等相关服务器。3.1.5
HiiKAoNiKAca
YDB 111—2012
搜索系统威胁threatof searchsystem可能导致对搜索系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
搜索系统脆弱性vulnerabilityofsearchsystem搜索系统的资产中存在的弱点、缺陷与不足,不直接对搜索系统资产造成危害,但可能被搜索系统威胁所利用从而危害搜索系统资产的安全。3.1.7
搜索系统灾难disasterofsearchsystem由于各种原因,造成搜索系统故障或瘫痪,使搜索系统数据检索、展现等业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
搜索系统灾难备份backupfordisasterrecoveryofsearchsystem为了搜索系统灾难恢复而对相关要素进行备份的过程。3.1.9
搜索系统灾难恢复disasterrecoveryofsearchsystem为了将搜索系统从灾难造成的故障或滩痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
搜索系统安全评测 securitytesting of searchsystem对搜索系统的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.2缩略语
下列缩略语适用于本实施规范。CVE
4概述
Common Vulnerabilities & ExposuresChina National Vulnerability DatabaseDistributed Denial of ServiceDenial of Service
Internet Protocol
Identity
Transmission Control ProtocolUniversal Resource Locator
User DatagramProtocol
4.1安全防护范围
通用漏洞披露
国家信息安全漏洞库
分布式拒绝服务
拒绝服务
互联网协议
身份标识
传输控制协议
网页地址
用户数据报协议
搜索系统是指根据一定的策略,运用特定的计算机程序从互联网上搜集信息,在对信息进行组织和处理后,为用户提供信息检索服务,并将用户检索的相关信息(网页、音视频、新闻等)展示给用户的系统。
iiiKAoNiKAca
搜索系统的核心功能模块通常包括:前端模块:为互联网用户提供前端接入和结果浏览的功能:a
数据索引模块:为互联网用户提供数据索引、搜索的功能;内容抓取模块:用于检索和抓取互联网数据;YDB111—2012
数据存储模块:用于存储搜索系统从互联网搜索的关键词、URL等结果索引数据;对外能力接口模块:用于实现与第三方合作系统的认证授权及数据索引与检索功能。搜索系统功能架构如图1所示。
互联网博量歌据
前端植换
内容鼠取履地
数据靠引模块wwW.bzxz.Net
收据存储模块
创外能力口
4.2安全风险分析
搜索系统的重要资产至少应包括:搜索系统功能架构图
网落用户
搜索系统及操作维护终端:如前端模块、数据索引模块、数据存储模块、内容抓取模块和对外a)
能力接口模块涉及的服务器、数据库和操作维护终端;系统内部网络设备(如系统内部组网路由器、交换机等设备)、系统内部链路等;搜索业务关键数据:如搜索结果页(网页标题、网页链接、文字摘要、网页缓存链接等)、搜b)
索业务系统服务器的后台管理账户、口令等。搜索系统相关代表性资产的类别划分如表1所示。表1资产类别
设备及链路
数据和信息
文档和资料
环境和设施
主要资产
前端模块、数据索引模块、数据存储模块和内容抓取模块等涉及的操作维护终端、服务器和数据库,系统内部网络设备(如系统内部组网路由器、交换机等设备)、系统内部链路。数据库软件、中间件、业务控制和运维管理软件等。搜索结果页数据(网页标题、网页链接、文字摘要、网页缓存链接等)、搜索系统服务器管理账户、口令等。
纸质以及保存在存储介质中的各种文件资料(如设计文档、技术要求、管理规定、工作计划、技术报告、用户手册等)。
相关管理、维护、开发、数据备份人员等。业务系统和设备所处的物理环境,机房、电力、防火、防水、防静电、温湿度控制等相关设施。3
iiiKAoNhikAca
YDB111—2012
对于搜索系统而言,正确向用户展现搜索结果页(网页标题、网页链接、文字摘要、网页缓存链接等)尤为重要。因此,搜索系统前端模块、数据索引模块、数据存储模块、内容抓取模块和对外能力接口模块的功能实现、部署、配置、管理等环节对实现搜索功能起了直接决定性的作用。搜索系统面临来自公众互联网和改、重定向搜索结果页,内部人员操产生很大的安全风险,例如:
常服务:系统部署防入侵队
索结果页:系统数据配
覆盖范围不够,无法及时发现
护措施不到位,可从外网窃取内网用户威肠
包括黑客发起DDoS攻击服务器或者臭可能存在的安全脆弱性被利用后会S攻击,进而影响对用户提供正
内网系统,篡改向用户展示的搜女搜索结果页被算改:监控系统利用提权漏洞算改监控数据:用户信息保恶意代码的检索结果进行监测和过滤的机制不完善,可导致恶意代码大量传播。搜索系统存在的安全脆弱性可能对搜索结果页展示、正常业务功能提供构成安全威胁,甚至进一步威胁基础网络和互联网用户终端的安全搜索系统的脆弱性包括技术脆弱性和管理脆弱性两个方面,脆弱性识别对象应以资产为核心。搜索系统的脆弱性分析应包括但不限于表2所列范围。表2脆弱性类别
技术脆弱性
业务及应用
物理环境
管理脆弱性
主要脆弱性
相关服务器未进行合理备份,重要数据未及时进行备份;相关业务存在漏洞,相关服务器的应用代码存在漏洞、后门:相关服务器存在过多不必要的开放端口:相关服务器配置不合理,访问控制策略设置不合理:相关服务器的日志功能没有启用或日志记录不完整:系统规划、设备部署、链路部署、资源配置、业务保护和恢复能力、安全技术措施和策略等方面的缺陷
相关设备存在硬件隐患或质量问题:相关设备的操作系统存在安全隐患:相关口令设置不合理、复杂度不够或没有定期更新:设备重要部件未进行合理几余;相关设备超过使用年限或核心部件老化:相关设备发生故障后未及时告警。机房场地选择不合理:
防火、供配电、防静电、接地与防雷、电磁防护、温湿度控制不符合规范:通信线路、相关服务器、主机等设备的保护不符合规范。安全管理机构方面:岗位设置不合理(如人员配置过少、职责不清)、授权和审批程序简化,沟通和合作未执行,审核和检查未执行等:安全管理制度方面:管理制度不完善、制度评审和修订不及时等:人员安全管理方面:人员录用不符合程序、人员离岗未办理安全手续、人员未进行安全培训、对于第三方人员未进行限制访问等:建设管理方面:安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等:
运维管理方面:物理环境管理措施简单、存储介质使用不受限、设备没有定期维护,厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防范措施、无数据备份和恢复策略、访问控制不严格、操作管理不规范等,应急保障措施不到位,灾难恢复预案不完善
HiiKAoNiKAca
YDB111—2012
搜索系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁文可分为恶意和非恶意两种。搜索系统的威胁分析应包括但不限于表3所列范围
表3威胁类别
环境威胁
人为威胁
物理环境
自然灾害
恶意人员
非恶意人员
4.3安全防护内容
主要威胁
断电、静电、灰尘、潮湿、温湿度异常、电磁干扰等:意外事故或通讯线路方面的故障。鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷击、不满的或有预谋的内部人员滥用权限进行恶意破坏攻击者利用非法手段进入机房内部盗窃、破坏、篡改源站内容,攻击者非法物理访问相关设备、存储介质等;
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问相关设备的文件、数据或其他资源:
攻击者利用各种工具获取相关设备身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未授权访问应用系统,或非法使用相关文件和数据:攻击者利用应用系统扩散病毒、蠕虫,利用相关攻击工具恶意消耗应用系统资源(如发动DDoS攻击),导致系统能力下降或瘫痪、无法正常提供应用服务:攻击者截获数据,进行篡改、插入,并重发,造成数据的完整性、真实性丧失。内部人员由于缺乏责任心或者无作为,应该执行而没有执行相应的操作、或无意地执行了错误或危险的操作导致安全事件:内部人员没有遵循规章制度和操作流程而导致故障或信息损坏:内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击:安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件;
内部人员由于安全检查不及时不到位导致系统主机(如服务器、系统网络设备)使用时间过长或质量问题等导致硬件故障,系统链路发生故障,相关设备的操作系统软件、应用软件运行故障,相关设备数据丢失或系统运行中断,存储介质老化或质量问题等导致不可用,系统不能正常运行。搜索系统的主要功能是为公众互联网提供信息内容搜索的信息系统,因此保障其搜索数据安全,防止搜索结果页被恶意算改至关重要。保障搜索系统基础设施安全、管理安全等也是安全防护的重要内容。4.3.1业务及应用安全
业务及应用安全包括身份鉴别、访问控制、安全审计、数据安全、资源控制、信息保护、Web安全防护、对外能力接口、恶意代码防范等方面安全要求。4.3.2网络安全
网络安全包括网络结构安全、入侵防范、安全审计等方面安全要求4.3.3设备及软件系统安全
HiiKAoNiKAca
YDB111—2012
设备及软件系统安全包括网络及安全设备、通用主机操作系统、数据库、中间件等方面安全要求,4.3.4物理环境安全
物理环境安全包括物理机房位置、物理机房访问控制、物理机房安全防护措施等方面的安全要求4.3.5管理安全
管理安全包括管理制度、机构、人员等方面的安全要求。5定级实施规范
5.1安全等级划分
搜索系统进行安全等级划分的总体原则是:依据定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及业务运营企业的合法权益的损害程度,对搜索系统进行安全等级划分,共分为5个等级。
5.1.1第1级
定级对象受到破坏后,会对其业务运营企业的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由业务运营企业依据国家和通信行业有关标准进行保护。5.1.2第2级
定级对象受到破坏后,会对业务运营企业的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
5.1.3第3级
5.1.3.1第3.1级
定级对象受到破坏后,会对业务运营企业的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。
5.1.3.2第3.2级
定级对象受到破坏后,会对业务运营企业的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
5.1.4第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
HiiKAoNiKAca
YDB111—2012
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。5.1.5第5级
定级对象受到破坏后,会对国家安全造成特别严重损害。本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。5.2定级要素
确定定级对象的安全等级应根据如下三个相互独立的定级要素:社会影响力、规模和服务范围和所提供服务的重要性。
5.2.1社会影响力-1
定级对象的社会影响力表示其受到破环后对国家安全、社会秩序,经济运行和公共利益的损害程度对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。
搜索系统的服务对象范围广泛,数量众多,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为3。5.2.2规模和服务范围-R
定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小。各指标数值由业务运营企业提供。
搜索系统定级对象的规模和服务范围R可根据如下指标确定:市场占有率(R1表示),指该搜索引擎产生的页面浏览量占总页面(包含国外搜索引擎)浏览量的比例,即请求量份额,权重为a;用户渗透率(R2表示),指的是被调研网民一段时间内(如半年)使用某个搜索引擎的比例,即渗透率=半年内使用过该搜索引擎的用户/总体搜索引擎用户,权重为b;用户首选率(R3表示),指该搜索引擎用户中首选用户的比例。权重值a、b、c建议分别取:3、1、1。其中,R取值为三类指标加权平均:R=(aXRl + bXR2 + cXR3)/(a+b+c). ..(1)
对于R,可参考知名市场调研公司cnzz和艾瑞的数据统计、以及中国互联网网络信息中心(CNNIC)搜索引擎相关市场年度报告。
表4规模R1赋值表
市场占有率
市场占有率在10%以下
市场占有率在10%以上,20%及以下市场占有率在20%以上,60%及以下市场占有率在60%以上,90%及以下市场占有率在90%及以上
YDB111—2012
用户渗透率在20%以下
表5规模R2赋值表
用户渗透率
用户渗透率在20%以上,40%及以下用户渗透率在40%以上,60%及以下用户渗透率在60%以上,90%及以下用户渗透率在90%及以上
表6规模R3赋值表
用户首选率
用户首选率在20%以下
用户首选率在20%以上,40%及以下用户首选率在40%以上,60%及以下用户首选率在60%以上,90%及以下用户首选率在90%及以上
:所提供服务的重要性-V
定级对象所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度:此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
搜索系统所提供服务的重要性很高,被破坏后对业务运营企业的合法权益造成很大损害,建议提供服务的重要性赋值为3。
在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。5.3安全等级的计算方法
在完成定级对象的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素的赋值后,需采用以下公式来计算定级对象的安全等级值:k=Roundl(Loga([ax2'+Bx2+yx2]1)(2
其中,K代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round10表示四舍五入处理,保留1位小数,Loga表示取以2为底的对数,α、β、分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,α≥0,0,20且α+β+y=1。应根据实际情况确定权重值αB、2,建议分别取:1/3、1/3、1/3,或者0.3、0.4、0.3。计算所得定级对象的安全等级值与安全等级的映射关系如表7所示。表7安全等级值与安全等级的映射关系安全等级值k
1≤k<1.5
1.5≤k<2.5
2.5≤k<3.3
3.3≤k≤4
4.5≤k≤5
安全等级
第1级
第2级
第3.1级
第3.2级
第4级
第5级
6安全防护要求
6.1第1级要求
6.1.1业务及应用安全
不作要求。
6.1.2网络安全
不作要求。
设备及软件系统安全
不作要求。
6.1.4物理环境安全
不作要求。
管理安全
不作要求。
6.2第2级要求
6.2.1业务及应用安全
6.2.1.1身份鉴别
身份鉴别要求如下:
YDB111—2012
a)对提供登录功能的搜索系统,应提供专用的登录控制模块对登录系统的业务用户进行身份标识和鉴别;
对提供登录功能的搜索系统,应提供并启用业务用户身份标识唯一检查功能,保证系统中不存b)
在重复用户身份标识,身份鉴别信息不易被冒用。6.2.1.2访问控制
访问控制要求如下:
对提供登录功能的搜索系统应提供访问控制功能,依据安全策略控制业务用户、管理用户对系a)
统文件、数据库表等客体的访问,控制粒度为单个用户;对提供登录功能的搜索系统,应提供并启用业务用户登录认证策略,如防范暴力破解、限定失b)
败登录次数、锁定时间等。
6.2.1.3安全审计
安全审计要求如下:
对提供登录功能的搜索系统,应提供覆盖到系统每个业务用户帐号的安全审计功能,至少应能a)
对业务用户关键操作、重要行为、业务资源使用情况、系统重要安全事件等进行审计:b)
对提供登录功能的搜索系统,应保证无法删除、修改或覆盖审计记录;对提供登录功能的搜索系统,审计记录的内容至少应包括事件日期、时间、发起者信息、类型、c
描述和结果等。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。