YD/T 2244-2011
基本信息
标准号: YD/T 2244-2011
中文名称:电信网和互联网信息服务业务系统安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:13462675
相关标签: 电信网 互联网 信息 服务 业务 系统安全 防护 检测
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2244-2011.Security protection test requirements for information service system of telecom network and intemet.
1范围
YD/T 2244规定了电信网和互联网信息服务业务系统在安全等级保护、安全风险评估、灾难备份及恢复
等方面的安全防护检测要求。
YD/T 2244适用于电信网和互联网信息服务业务系统。
YD/T 2244中信息服务业务系统均特指电信网和互联网信息服务业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 2001 信息技术词汇第8部分:安全
YD/T 2243-2011 电信网和互联网信息服务业务系统安全防护要求
YD/T 1755-2008 电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008 电信网和互联网管理安全等级保护检测要求
YD/T 2240-2011 增值业务网即时消息业务系统安全防护检测要求
YDN 126-2009 增值电信业务网络信息安全保障基本要求
3术语、定义和缩略语
3.1术语和定义
GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。
3.1.1
信息服务业务系统安全等级security classfication of Information Service System
信息服务业务系统重要程度的表征。重要程度从信息服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营商造成的损害来衡量。
1范围
YD/T 2244规定了电信网和互联网信息服务业务系统在安全等级保护、安全风险评估、灾难备份及恢复
等方面的安全防护检测要求。
YD/T 2244适用于电信网和互联网信息服务业务系统。
YD/T 2244中信息服务业务系统均特指电信网和互联网信息服务业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 2001 信息技术词汇第8部分:安全
YD/T 2243-2011 电信网和互联网信息服务业务系统安全防护要求
YD/T 1755-2008 电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008 电信网和互联网管理安全等级保护检测要求
YD/T 2240-2011 增值业务网即时消息业务系统安全防护检测要求
YDN 126-2009 增值电信业务网络信息安全保障基本要求
3术语、定义和缩略语
3.1术语和定义
GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。
3.1.1
信息服务业务系统安全等级security classfication of Information Service System
信息服务业务系统重要程度的表征。重要程度从信息服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营商造成的损害来衡量。
标准图片预览
标准内容
ICS33.040.01
中华人民共和国通信行业标准
YD/T2244-2011
电信网和互联网信息服务业务系统安全防护检测要求
Security protection test requirements for information service system oftelecomnetworkand intermet
2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言
范围·
规范性引用文件.
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语.
4信息服务业务系统安全防护检测概述·目.次
4.1信息服务业务系统安全防护检测范围.4.2信息服务业务系统安全防护检测对象…4.3信息服务业务系统安全防护检测内容4.4信息服务业务系统安全防护检测结果判定...信息服务业务系统安全等级保护检测要求5.1
概述·
第1级要求
第2级要求
第3.1级要求
5.5第3.2级要求·
5.6第4级要求
5.7第5级要求.
信息服务业务系统安全风险评估检测要求·6.1
安全风险评估范围·
安全风险评估内容
安全风险评估要素
6.4安全风险评估赋值原则-
安全风险评估赋值计算方法·
安全风险评估文件类型·
6.7安全风险评估文件记录
信息服务业务系统灾难备份及恢复检测要求7.1
第1级要求
第2级要求
第3.1级要求·
7.4第3.2级要求.
第4级要求·
第5级要求·
参考文献·
建筑321——标准查询下载网
YD/T2244-2011
YD/T2244-2011
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《互联网安全防护要求》
6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.固定网安全防护检测要求》
20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全防护检测要求》32.《电信网和互联网管理安全检测要求》H
YD/T2244-2011
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40。《电信网和互联网信息服务业务系统安全防护检测要求》(本标准)41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》本标准与YD/T2243-2011《电信网和互联网信息服务业务系统安全防护要求》配套使用。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:田慧蓉、魏亮。建筑321--标准查询下载网
1范围
YD/T2244-2011
电信网和互联网信息服务业务系统安全防护检测要求本标准规定了电信网和互联网信息服务业务系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
本标准适用于电信网和互联网信息服务业务系统。本标准中信息服务业务系统均特指电信网和互联网信息服务业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8-2001
YD/T2243-2011
YD/T1755-2008
YD/T1757-2008
YD/T2240-2011
YDN126-2009
3术语、定义和缩略语
3.1术语和定义
信息技术词汇第8部分:安全
电信网和互联网信息服务业务系统安全防护要求电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求增值业务网即时消息业务系统安全防护检测要求增值电信业务网络信息安全保障基本要求GB/T5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1.1
信息服务业务系统安全等级securityclassificationofInformationServiceSystem信息服务业务系统重要程度的表征。重要程度从信息服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营商造成的损害来衡量。3.1.2
信息服务业务系统安全等级保护classified securityprotectionof InformationServiceSystem对信息服务业务系统分等级实施安全保护。3.1.3
信息服务业务系统安全检测securitytestingof InformationServiceSystem对信息服务业务系统的安全保护能力是否达到相应保护要求进行衡量。3.1.4
组织organization
由信息服务业务系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。1
YD/T2244-2011
信息服务业务系统安全风险securityriskofInformationServiceSystem人为或自然的威胁可能利用信息服务业务系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
信息服务业务系统安全风险评估securityriskassessmentofInformationServiceSystem运用科学的方法和手段,系统地分析信息服务业务系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解信息服务业务系统安全风险,将风险控制在可接受的水平,为最大限度地保障信息服务业务系统的安全提供科学依据。
信息服务业务系统资产assetofInformationServiceSystem信息服务业务系统中具有价值的资源,是安全防护体系保护的对象。信息服务业务系统中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如局域网中的路由器。3.1.8
信息服务业务系统资产价值assetvalueofInformationServiceSystem信息服务业务系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
信息服务业务系统威胁threatofInformationServiceSystem可能导致对信息服务业务系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.10
信息服务业务系统脆弱性vulnerabilityofInformationServiceSystem信息服务业务系统资产中存在的弱点、缺陷与不足,不直接对信息服务业务系统资产造成危害,但可能被信息服务业务系统威胁所利用从而危及信息服务业务系统资产的安全。3.1.11
信息服务业务系统灾难disasterofinformationServiceSystem由于各种原因,造成信息服务业务系统故障或瘫痪,使信息服务业务系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.12
信息服务业务系统灾难备份backupfordisasterrecoveryofInformationServiceSystem为了信息服务业务系统灾难恢复而对相关网络要素进行备份的过程。3.1.13
信息服务业务系统灾难恢复disasterrecoveryofInformationServiceSystem2
建筑321-标准查询下载网
YD/T2244-2011
为了将信息服务业务系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.14
访谈interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.15
检查examinationwww.bzxz.net
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16
测试testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,检查、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
3.2缩略语
下列缩略语适用于本标准。
DistributedDenial of ServiceDenial of Service
File Transfer Protocol
HyperTextTransferProtocol
Internet Protocol
Post Office Protocol v3
Session Initiation Protocol
SimpleMailTransferProtocol
4信息服务业务系统安全防护检测概述4.1信息服务业务系统安全防护检测范围分布式拒绝服务
拒绝服务
文件传输协议
超文本传输协议
网际协议
邮政代理协议第3版
会话初始化协议
简单邮件传输协议
信息服务业务系统安全防护检测范围是我国具有管辖权的提供信息服务业务的平台或系统。YD/T2244-2011《电信网和互联网信息服务业务系统安全防护检测要求》。主要对信息服务业务系统的安全等级保护、安全风险评估、灾难备份及恢复等工作的实施进行检测。信息服务业务系统安全等级保护的检测范围确定以后,安全风险评估的检测范围、灾难备份及恢复的检测范围应与安全等级保护的检测范围相一致。基础电信运营企业提供的即时消息业务的安全防护检测依据YD/T2240-2011《增值业务网即时消息业务系统安全防护检测要求》进行。4.2信息服务业务系统安全防护检测对象信息服务业务系统的安全防护检测对象是面向公众用户提供信息服务的各业务系统。应按照检测对象拥有者的不同,分别对其所拥有的相应检测对象进行安全防护检测。3
YD/T2244-2011
4.3信息服务业务系统安全防护检测内容与信息服务业务系统安全防护要求相对应,信息服务业务系统安全防护检测内容主要包括以下3个部分:
信息服务业务系统安全等级保护检测主要包括业务及应用安全检测、系统安全检测、主机安全检测、物理环境安全检测、管理安全检测等:
信息服务业务系统安全风险评估检测主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值检测、安全风险评估计算检测、安全风险评估文件类型检测、安全风险评估文件记录检测等;信息服务业务系统灾难备份及恢复检测主要包括亢余系统、穴余设备及穴余链路检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测、灾难恢复预案检测等。4.4信息服务业务系统安全防护检测结果判定信息服务业务系统安全防护检测包括对信息服务系统的安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。对每一部分中的每一个检测项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各检测项的评价等级换算成评分,各检测项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数可分别对信息服务业务系统的安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定:总分数和评定等级的关系如表2所示。在计算总分数的过程中,应充分考虑到各检测项在安全防护检测要求中所占的比重,例如表3给出了信息服务业务系统安全等级保护各检测子类所占的比重。信息服务业务系统安全防护检测的结果还应充分考虑到各相关系统的检测结果。表1测试项评分方法
价结果
实施很好
实施较好
实施一般
实施较差
实施很差
表2总分数和评定等级的关系
4.5≤x≤5
3.5≤x<4.5
1.5≤x<2.5
1≤x<1.5
建筑321--标准查询下载网
比重(%)
表3信息服务业务系统安全等级保护检测子类所占比重子类
业务及应用安全
系统安全
主机安全
物理环境安全
管理安全
5信息服务业务系统安全等级保护检测要求5.1概述
本标准主要对信息服务业务系统提出安全防护检测要求。YD/T2244-2011
对信息服务业务系统进行检测时,可根据检测对象提供的业务及应用进行相应检测,未提供的应用不做检测要求。
5.2第1级要求
5.2.1业务及应用安全
5.2.1.1通用要求
5.2.1.1.1身份鉴别
5.2.1.1.1.1检测方式
访谈,检查,测试。
5.2.1.1.1.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档。5.2.1.1.1.3检测实施
a)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略,识别哪些业务保留了用户个人信息或用户服务信息,并针对这些业务检查是否对用户进行身份标识和鉴别的设计,测试验证是否有用户身份标识和鉴别的实现;
b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,判断针对提供登录功能的业务系统,是否有用户登录失败处理等功能,检查有关技术手段和措施的启用、实施情况,测试验证是否根据安全策略对登录失败采取了结束会话、限制非法登录次数和自动退出等措施;c)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,针对提供登录功能的业务系统,检查是否有用户身份标识唯一性检查手段及有关措施启用、实施情况,检查或测试验证是否能保证系统中不存在重复用户身份标识。5.2.1.1.2访问控制
5.2.1.1.2.1检测方式
访谈,检查,测试。
5.2.1.1.2.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档。5.2.1.1.2.3检测实施
YD/T2244-2011
应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或验证是否只有授权用户可配置访问控制策略,检查或测试验证业务控制与管理是否严格限制默认帐号的权限。5.2.1.2特定业务相关安全
不作要求。
5.2.2系统安全
不作要求。
5.2.3主机安全
不作要求。
5.2.4物理环境安全
应按照YD/T1755-2008中的4.1节要求(第1级要求)进行检测。5.2.5管理安全
应按照YD/T1757-2008中的4.1节要求(第1级要求)进行检测。5.3第2级要求
5.3.1业务及应用安全检测要求
5.3.1.1通用要求
5.3.1.1.1身份鉴别
5.3.1.1.1.1检测方式
访谈,检查,测试。
5.3.1.1.1.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档。5.3.1.1.1.3检测实施
a)应按照5.2.1.1.1节的要求进行检测:b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查用户身份鉴别信息复杂度检查功能、技术手段及有关措施启用、实施情况,检查或测试验证是否能保证系统中身份鉴别信息不易被冒用;c)应访谈相关技术和管理人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查是否采用加密方式存储系统业务用户的账号和口令。5.3.1.1.2访问控制
5.3.1.1.2.1检测方式
访谈,检查,测试。
5.3.1.1.2.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档,业务运营商提供的其他文档,相关日志记录等。5.3.1.1.2.3检测实施
a)应按照5.2.1.1.2节的要求进行检测b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否严格限制各用户的访问权限,按安全策略要求控制用户对业务,数据、网络资源等的访问,6
建筑321--标准查询下载网
5.3.1.1.3安全审计
5.3.1.1.3.1检测方式
访谈,检查,测试。
5.3.1.1.3.2检测对象
YD/T2244-2011
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档,业务运营商提供的其他文档,相关日志及审计记录等。5.3.1.1.3.3检测实施
a)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档、审计记录,检查是否提供覆盖到每个用户关键操作的安全审计功能;b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档、审计记录,访谈审计相关工作流程、工作要求,检查是否对业务用户的重要行为、业务资源使用情况等进行审计分析:
c)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,对审计功能和审计记录进行测试,验证是否保证无法删除、修改或覆盖审计记录;d)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档、相关审计记录,访谈审计相关工作流程、审计文件及结果记录要求,检查验证业务相关审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述和结果等。5.3.1.1.4资源控制
5.3.1.1.4.1检测方式
访谈,检查,测试。
5.3.1.1.4.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统和设备管理配置记录,故障告警记录,业务运营商提供的其他文档,相关设备及日志记录等。5.3.1.1.4.3检测实施
应访谈相关技术人员,检查系统设计/验收文档、系统安全策略、系统及设备管理和配置文档,检查或测试验证系统能否在用户和业务系统通信双方中的一方在一段时间内未作任何响应时,自动结束会话。5.3.1.1.5信息保护
5.3.1.1.5.1检测方式
访谈,检查,测试。
5.3.1.1.5.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务安全策略、业务管理和配置文档,系统和设备管理配置记录,业务运营商提供的其他文档,相关设备及日志记录等。5.3.1.1.5.3检测实施
a)应访谈相关技术和管理人员,询问在保护用户隐私、不泄露用户相关信息方面是否存在相应机制,检查验证业务提供、控制与管理过程是否能保护用户隐私,不泄漏用户相关敏感信息,例如对用户隐私相关的手机号码、通信地址等是否有保护和控制措施:YD/T2244-2011
b)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策路、业务管理和配置文档、相关设备及日志记录,检查核对系统相关日志记录是否出现过相关数据和页面被幕改和破坏的情况,检查或测试验证保护业务相关信息的安全手段是否能有效保护和避免相关数据和页面被算改和破坏;c)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档检查验证业务是否禁止了不必要的内嵌网络服务,测试验证是否禁止在用户端自动安装恶意软件;d)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档检查验证是否对通信过程中的敏感信息字段进行加密;e)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证在发现诈骗、虚假广告等信息后,能否进行处理以防止信息的扩散。5.3.1.2特定业务安全相关要求
5.3.1.2.1检测方式
访谈,检查,测试。
5.3.1.2.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档,系统和设备管理配置记录,故障告警记录,业务运营商提供的其他文档,相关设备及日志记录等。5.3.1.2.3检测实施
a)对于提供信息服务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否有相应的自动程序过滤和人工检查相结合的手段,对相关信息在向公众发布前进行有害信息检查、屏蔽和删除,检查或测试验证有关技术手段阻止有害信息通过业务网络向公众传播的效果:
b)对于提供电子邮件服务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证业务平台是否按照相关规定要求,提供相应的安全措施(如,垃圾邮件防范和过滤等)保证用户邮件业务的正常,检查或测试验证有关垃圾邮件防范和过滤的技术手段的效果;
c)对支持用户上传、下载信息的业务平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务平台是否启用相关安全手段和措施,检查或测试验证是否对用户上传、下载等操作行为进行监控,防止用户的非授权的读写操作d)对提供信息下载服务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能拒绝来自未被允许的地址、用户名、子网域的操作请求,检查或测试验证对核心服务器的相关资源是否能有效保护或隔离;e)对提供信息下载务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能对单个地址(地址段),用户名、子网域的连接数量和连接频率进行限制,防止资源被过度使用:f)对提供信息递送服务的平台,应访谈相关技术人员,检查信息服务业务设计验收文档、业务安全策略、业务管理和配置文档,检查或验证是否只根据用户需求递送相关信息内容,是否支持用户对信息的退订;
建筑321--标准查询下载网
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2244-2011
电信网和互联网信息服务业务系统安全防护检测要求
Security protection test requirements for information service system oftelecomnetworkand intermet
2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言
范围·
规范性引用文件.
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语.
4信息服务业务系统安全防护检测概述·目.次
4.1信息服务业务系统安全防护检测范围.4.2信息服务业务系统安全防护检测对象…4.3信息服务业务系统安全防护检测内容4.4信息服务业务系统安全防护检测结果判定...信息服务业务系统安全等级保护检测要求5.1
概述·
第1级要求
第2级要求
第3.1级要求
5.5第3.2级要求·
5.6第4级要求
5.7第5级要求.
信息服务业务系统安全风险评估检测要求·6.1
安全风险评估范围·
安全风险评估内容
安全风险评估要素
6.4安全风险评估赋值原则-
安全风险评估赋值计算方法·
安全风险评估文件类型·
6.7安全风险评估文件记录
信息服务业务系统灾难备份及恢复检测要求7.1
第1级要求
第2级要求
第3.1级要求·
7.4第3.2级要求.
第4级要求·
第5级要求·
参考文献·
建筑321——标准查询下载网
YD/T2244-2011
YD/T2244-2011
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《互联网安全防护要求》
6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.固定网安全防护检测要求》
20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全防护检测要求》32.《电信网和互联网管理安全检测要求》H
YD/T2244-2011
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40。《电信网和互联网信息服务业务系统安全防护检测要求》(本标准)41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》本标准与YD/T2243-2011《电信网和互联网信息服务业务系统安全防护要求》配套使用。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:田慧蓉、魏亮。建筑321--标准查询下载网
1范围
YD/T2244-2011
电信网和互联网信息服务业务系统安全防护检测要求本标准规定了电信网和互联网信息服务业务系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
本标准适用于电信网和互联网信息服务业务系统。本标准中信息服务业务系统均特指电信网和互联网信息服务业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8-2001
YD/T2243-2011
YD/T1755-2008
YD/T1757-2008
YD/T2240-2011
YDN126-2009
3术语、定义和缩略语
3.1术语和定义
信息技术词汇第8部分:安全
电信网和互联网信息服务业务系统安全防护要求电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求增值业务网即时消息业务系统安全防护检测要求增值电信业务网络信息安全保障基本要求GB/T5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1.1
信息服务业务系统安全等级securityclassificationofInformationServiceSystem信息服务业务系统重要程度的表征。重要程度从信息服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营商造成的损害来衡量。3.1.2
信息服务业务系统安全等级保护classified securityprotectionof InformationServiceSystem对信息服务业务系统分等级实施安全保护。3.1.3
信息服务业务系统安全检测securitytestingof InformationServiceSystem对信息服务业务系统的安全保护能力是否达到相应保护要求进行衡量。3.1.4
组织organization
由信息服务业务系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。1
YD/T2244-2011
信息服务业务系统安全风险securityriskofInformationServiceSystem人为或自然的威胁可能利用信息服务业务系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
信息服务业务系统安全风险评估securityriskassessmentofInformationServiceSystem运用科学的方法和手段,系统地分析信息服务业务系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解信息服务业务系统安全风险,将风险控制在可接受的水平,为最大限度地保障信息服务业务系统的安全提供科学依据。
信息服务业务系统资产assetofInformationServiceSystem信息服务业务系统中具有价值的资源,是安全防护体系保护的对象。信息服务业务系统中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如局域网中的路由器。3.1.8
信息服务业务系统资产价值assetvalueofInformationServiceSystem信息服务业务系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
信息服务业务系统威胁threatofInformationServiceSystem可能导致对信息服务业务系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.10
信息服务业务系统脆弱性vulnerabilityofInformationServiceSystem信息服务业务系统资产中存在的弱点、缺陷与不足,不直接对信息服务业务系统资产造成危害,但可能被信息服务业务系统威胁所利用从而危及信息服务业务系统资产的安全。3.1.11
信息服务业务系统灾难disasterofinformationServiceSystem由于各种原因,造成信息服务业务系统故障或瘫痪,使信息服务业务系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.12
信息服务业务系统灾难备份backupfordisasterrecoveryofInformationServiceSystem为了信息服务业务系统灾难恢复而对相关网络要素进行备份的过程。3.1.13
信息服务业务系统灾难恢复disasterrecoveryofInformationServiceSystem2
建筑321-标准查询下载网
YD/T2244-2011
为了将信息服务业务系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.14
访谈interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.15
检查examinationwww.bzxz.net
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16
测试testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,检查、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
3.2缩略语
下列缩略语适用于本标准。
DistributedDenial of ServiceDenial of Service
File Transfer Protocol
HyperTextTransferProtocol
Internet Protocol
Post Office Protocol v3
Session Initiation Protocol
SimpleMailTransferProtocol
4信息服务业务系统安全防护检测概述4.1信息服务业务系统安全防护检测范围分布式拒绝服务
拒绝服务
文件传输协议
超文本传输协议
网际协议
邮政代理协议第3版
会话初始化协议
简单邮件传输协议
信息服务业务系统安全防护检测范围是我国具有管辖权的提供信息服务业务的平台或系统。YD/T2244-2011《电信网和互联网信息服务业务系统安全防护检测要求》。主要对信息服务业务系统的安全等级保护、安全风险评估、灾难备份及恢复等工作的实施进行检测。信息服务业务系统安全等级保护的检测范围确定以后,安全风险评估的检测范围、灾难备份及恢复的检测范围应与安全等级保护的检测范围相一致。基础电信运营企业提供的即时消息业务的安全防护检测依据YD/T2240-2011《增值业务网即时消息业务系统安全防护检测要求》进行。4.2信息服务业务系统安全防护检测对象信息服务业务系统的安全防护检测对象是面向公众用户提供信息服务的各业务系统。应按照检测对象拥有者的不同,分别对其所拥有的相应检测对象进行安全防护检测。3
YD/T2244-2011
4.3信息服务业务系统安全防护检测内容与信息服务业务系统安全防护要求相对应,信息服务业务系统安全防护检测内容主要包括以下3个部分:
信息服务业务系统安全等级保护检测主要包括业务及应用安全检测、系统安全检测、主机安全检测、物理环境安全检测、管理安全检测等:
信息服务业务系统安全风险评估检测主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值检测、安全风险评估计算检测、安全风险评估文件类型检测、安全风险评估文件记录检测等;信息服务业务系统灾难备份及恢复检测主要包括亢余系统、穴余设备及穴余链路检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测、灾难恢复预案检测等。4.4信息服务业务系统安全防护检测结果判定信息服务业务系统安全防护检测包括对信息服务系统的安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。对每一部分中的每一个检测项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各检测项的评价等级换算成评分,各检测项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数可分别对信息服务业务系统的安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定:总分数和评定等级的关系如表2所示。在计算总分数的过程中,应充分考虑到各检测项在安全防护检测要求中所占的比重,例如表3给出了信息服务业务系统安全等级保护各检测子类所占的比重。信息服务业务系统安全防护检测的结果还应充分考虑到各相关系统的检测结果。表1测试项评分方法
价结果
实施很好
实施较好
实施一般
实施较差
实施很差
表2总分数和评定等级的关系
4.5≤x≤5
3.5≤x<4.5
1.5≤x<2.5
1≤x<1.5
建筑321--标准查询下载网
比重(%)
表3信息服务业务系统安全等级保护检测子类所占比重子类
业务及应用安全
系统安全
主机安全
物理环境安全
管理安全
5信息服务业务系统安全等级保护检测要求5.1概述
本标准主要对信息服务业务系统提出安全防护检测要求。YD/T2244-2011
对信息服务业务系统进行检测时,可根据检测对象提供的业务及应用进行相应检测,未提供的应用不做检测要求。
5.2第1级要求
5.2.1业务及应用安全
5.2.1.1通用要求
5.2.1.1.1身份鉴别
5.2.1.1.1.1检测方式
访谈,检查,测试。
5.2.1.1.1.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档。5.2.1.1.1.3检测实施
a)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略,识别哪些业务保留了用户个人信息或用户服务信息,并针对这些业务检查是否对用户进行身份标识和鉴别的设计,测试验证是否有用户身份标识和鉴别的实现;
b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,判断针对提供登录功能的业务系统,是否有用户登录失败处理等功能,检查有关技术手段和措施的启用、实施情况,测试验证是否根据安全策略对登录失败采取了结束会话、限制非法登录次数和自动退出等措施;c)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,针对提供登录功能的业务系统,检查是否有用户身份标识唯一性检查手段及有关措施启用、实施情况,检查或测试验证是否能保证系统中不存在重复用户身份标识。5.2.1.1.2访问控制
5.2.1.1.2.1检测方式
访谈,检查,测试。
5.2.1.1.2.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档。5.2.1.1.2.3检测实施
YD/T2244-2011
应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或验证是否只有授权用户可配置访问控制策略,检查或测试验证业务控制与管理是否严格限制默认帐号的权限。5.2.1.2特定业务相关安全
不作要求。
5.2.2系统安全
不作要求。
5.2.3主机安全
不作要求。
5.2.4物理环境安全
应按照YD/T1755-2008中的4.1节要求(第1级要求)进行检测。5.2.5管理安全
应按照YD/T1757-2008中的4.1节要求(第1级要求)进行检测。5.3第2级要求
5.3.1业务及应用安全检测要求
5.3.1.1通用要求
5.3.1.1.1身份鉴别
5.3.1.1.1.1检测方式
访谈,检查,测试。
5.3.1.1.1.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档。5.3.1.1.1.3检测实施
a)应按照5.2.1.1.1节的要求进行检测:b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查用户身份鉴别信息复杂度检查功能、技术手段及有关措施启用、实施情况,检查或测试验证是否能保证系统中身份鉴别信息不易被冒用;c)应访谈相关技术和管理人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查是否采用加密方式存储系统业务用户的账号和口令。5.3.1.1.2访问控制
5.3.1.1.2.1检测方式
访谈,检查,测试。
5.3.1.1.2.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档,业务运营商提供的其他文档,相关日志记录等。5.3.1.1.2.3检测实施
a)应按照5.2.1.1.2节的要求进行检测b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否严格限制各用户的访问权限,按安全策略要求控制用户对业务,数据、网络资源等的访问,6
建筑321--标准查询下载网
5.3.1.1.3安全审计
5.3.1.1.3.1检测方式
访谈,检查,测试。
5.3.1.1.3.2检测对象
YD/T2244-2011
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档,业务运营商提供的其他文档,相关日志及审计记录等。5.3.1.1.3.3检测实施
a)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档、审计记录,检查是否提供覆盖到每个用户关键操作的安全审计功能;b)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档、审计记录,访谈审计相关工作流程、工作要求,检查是否对业务用户的重要行为、业务资源使用情况等进行审计分析:
c)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档,对审计功能和审计记录进行测试,验证是否保证无法删除、修改或覆盖审计记录;d)应访谈相关技术人员,检查业务设计/验收文档、业务安全策略、业务管理和配置文档、相关审计记录,访谈审计相关工作流程、审计文件及结果记录要求,检查验证业务相关审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述和结果等。5.3.1.1.4资源控制
5.3.1.1.4.1检测方式
访谈,检查,测试。
5.3.1.1.4.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统和设备管理配置记录,故障告警记录,业务运营商提供的其他文档,相关设备及日志记录等。5.3.1.1.4.3检测实施
应访谈相关技术人员,检查系统设计/验收文档、系统安全策略、系统及设备管理和配置文档,检查或测试验证系统能否在用户和业务系统通信双方中的一方在一段时间内未作任何响应时,自动结束会话。5.3.1.1.5信息保护
5.3.1.1.5.1检测方式
访谈,检查,测试。
5.3.1.1.5.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务安全策略、业务管理和配置文档,系统和设备管理配置记录,业务运营商提供的其他文档,相关设备及日志记录等。5.3.1.1.5.3检测实施
a)应访谈相关技术和管理人员,询问在保护用户隐私、不泄露用户相关信息方面是否存在相应机制,检查验证业务提供、控制与管理过程是否能保护用户隐私,不泄漏用户相关敏感信息,例如对用户隐私相关的手机号码、通信地址等是否有保护和控制措施:YD/T2244-2011
b)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策路、业务管理和配置文档、相关设备及日志记录,检查核对系统相关日志记录是否出现过相关数据和页面被幕改和破坏的情况,检查或测试验证保护业务相关信息的安全手段是否能有效保护和避免相关数据和页面被算改和破坏;c)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档检查验证业务是否禁止了不必要的内嵌网络服务,测试验证是否禁止在用户端自动安装恶意软件;d)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档检查验证是否对通信过程中的敏感信息字段进行加密;e)应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证在发现诈骗、虚假广告等信息后,能否进行处理以防止信息的扩散。5.3.1.2特定业务安全相关要求
5.3.1.2.1检测方式
访谈,检查,测试。
5.3.1.2.2检测对象
信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理和配置文档,系统和设备管理配置记录,故障告警记录,业务运营商提供的其他文档,相关设备及日志记录等。5.3.1.2.3检测实施
a)对于提供信息服务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否有相应的自动程序过滤和人工检查相结合的手段,对相关信息在向公众发布前进行有害信息检查、屏蔽和删除,检查或测试验证有关技术手段阻止有害信息通过业务网络向公众传播的效果:
b)对于提供电子邮件服务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证业务平台是否按照相关规定要求,提供相应的安全措施(如,垃圾邮件防范和过滤等)保证用户邮件业务的正常,检查或测试验证有关垃圾邮件防范和过滤的技术手段的效果;
c)对支持用户上传、下载信息的业务平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务平台是否启用相关安全手段和措施,检查或测试验证是否对用户上传、下载等操作行为进行监控,防止用户的非授权的读写操作d)对提供信息下载服务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能拒绝来自未被允许的地址、用户名、子网域的操作请求,检查或测试验证对核心服务器的相关资源是否能有效保护或隔离;e)对提供信息下载务的平台,应访谈相关技术人员,检查信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能对单个地址(地址段),用户名、子网域的连接数量和连接频率进行限制,防止资源被过度使用:f)对提供信息递送服务的平台,应访谈相关技术人员,检查信息服务业务设计验收文档、业务安全策略、业务管理和配置文档,检查或验证是否只根据用户需求递送相关信息内容,是否支持用户对信息的退订;
建筑321--标准查询下载网
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。