YD/T 1737-2009
基本信息
标准号: YD/T 1737-2009
中文名称:互联网安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3537954
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1737-2009.Security protection test requirements for internet.
1范围
YD/T 1737规定了互联网业务及应用系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1737适用于互联网业务及应用系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全
YD/T 1736-2009互联网安全防护要求
YD/T 1743-2008接入网安全防护检测要求
YD/T 1745-2009传送网安全防护检测要求
YD/T 1747-2008IP承载网安全防护检测要求
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求
YD/T 2053-2009域名系统安全防护检测要求
3术语和定义
GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。
3.1.1
互联网相关系统systems of Internet
组成互联网的相关系统,包括接入网、传送网和IP承载网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH和卫星等。
3.1.2
互联网安全等级security classification of Internet
互联网及相关系统重要程度的表征。重要程度从互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
1范围
YD/T 1737规定了互联网业务及应用系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1737适用于互联网业务及应用系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全
YD/T 1736-2009互联网安全防护要求
YD/T 1743-2008接入网安全防护检测要求
YD/T 1745-2009传送网安全防护检测要求
YD/T 1747-2008IP承载网安全防护检测要求
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求
YD/T 2053-2009域名系统安全防护检测要求
3术语和定义
GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。
3.1.1
互联网相关系统systems of Internet
组成互联网的相关系统,包括接入网、传送网和IP承载网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH和卫星等。
3.1.2
互联网安全等级security classification of Internet
互联网及相关系统重要程度的表征。重要程度从互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
标准图片预览
标准内容
[CS35.110
中华人民共和国通信行业标准
YD/T 1737-2009
代替YD/T1737-2008
互联网安全防护检测要求
Security protection test requirements for internet2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3术语和定义
4缩略:
5互联网安全防护检测概述
5.1互联网安全防护检测范围-
5.2互瓦联网安全防护检测对象·…5.3互联网安全防护检测内容-
5.4互联网安全防护检测结果判定6互联网安全等级保护检测要求
6.1概述
6.2第1级要求·
6.3第2级要求·
6.4第3.1级要求
6.5第3.2级要求
6.6第4级要求.
6.7第5级要求..
7互联网安全风险评估检测要求
7.1安全风险评估范围
7.2安全风险评估内容.
7.3安全风险评估要素
7.4安全风险评估赋值原则…
7.5安全风险评估赋值计算方法
7.6安全风险评估文件类型·
7.7安全风险评估文件记录
8互联网灾难备份及恢复检测要求-8.1第1级要求
8.2第 2级要求
第3.1级要求
8.4第3.2级要求
8.5第4级要求
8.6第5级要求
参考文献
KANKAca
YD/T 1737-2009
YD/T1737-2009
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.《电信网和互联网安全防扩管理指南》2.
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《互联网安全防护要求》
《移动通信网安全防护要求》
《互联网安余防护要求》
《增值业务网一消息网安全防护要求》9.
《增值业务网一智能网安全防护要求》10.
《接入网安全防护要求》
《传送网安全防护要求》
《IP承载网安企防扩要求》
《信令网安全防护要求》
《同步网安企防护要求》
《支撑网安全防护要求》
《非核心生产单无安全防护要求》《中信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《固定网安全防护验测要求》
《移动信网安全防护检测要求》《互联网安全防护检测要求》(本标准)《增值业务网一消息网安全防护检测耍求》《增值业务网一智能网安全防护检测要求》《接入网安企防护检测要求》
《传送网安全防护检测要求》
《IP承载网安全防护检测要求》《信令网安全防护检测要求》
《同步网安全防护检测要求》
《支撑网安全防扩检测要求》
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全防护检测要求》《电信网和可联网管理安全检测要求》TI
YD/T1737-2009
33.《域名系统安全防护要求》34《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求本标准与YD/T1736-2009《互联网安全防护要求》(修订YD/T1736-2008《互联网安全防护要求》)配套使用。
本标准是YD/T1737-2008《互联网安全防护检测要求》的修订版本。本标准与YD/T1737-2008的主要差异在于:
1.本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。2、本标准的第4节“缩略语”中补充和更新了标准正文中适用的缩略语。3.本标准的第5章“互联网安全防护检测概述”中增加了“互联网安全防护检测内容”相关“业务及应用系统安全检测”要求的内容和相应捡测结果计算比重的说明。4、本标准的第6章“互联网安全等级保护检测要求”中修改和补充了安全等级保扩相关检测要求和内容,要涉及6.3节、6.4节。其中,“业务及应用安全检测婴求”部分增加了“互联网虚拟专用网服务”相关内容,主要涉及6.3.1.6节、6.4.1.6节:增加了“业务及应用系统安全检测要求”相关内容,上要涉及6.3.2节、6.4.2节;修改了“设备安全要求”相关内容,主要涉及6.3.3.2节、6.4.3.2节;增加了“物理环境安全检测要求”的相关内容,上要涉及6.3.4节、6.4.4节;删除了“移动互联网信息服务安企要求”相关内容,主要涉及原6.3.1.7节、原6.4.1.7节。5.本标准的第7章“百联网安全风险评估”中增加了“安金风险评估要素”相关“环境和设施”类资产的检测要求,主要涉及7.3节,随着电信网和互联网的发展,将不断补充和完善电信网和五联网安企防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。
本标准王要起草人:杨剑锋、杨洋、田慧蓉、冀晖、刘楠、白海龙。本标准于2008年1月首次发布,本次为第一~次修订。ikAoNiKAca
1范围
互联网安全防护检测要求
YD/T 1737-2009
本标准规定了互联网业务及应用系统在安全等级保护、安企风险评估、灾难备份及恢复等方面的安全防护检测要求。
本标准适用于互联网业务及应用系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注国期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准,GB/T 5271.8-2001
YD/T 1736~2009
YD/T1743-2008
YD/T 1745-2009
YD/T 1747-2008
YD/T 1755-2008
YD/T 1757-2008
YD/T 2053-2009
3术语和定义
信息技术词汇第8部分:安全
互联网安金防护要求
接入网安全防扩检测要求
传送网安全防护检测要求
P承载网安全防护检测要求
电信网和可联网物理环境安全等级保护检測要求电信网和互联网管理安全等级保护检测要求域名系统安企防护检测要求
GB/T5271.8-2001确立的术语和定义,以及下列术语利定义适用于本标准。3.1.1
互联网相关系统systems of Internet组成互联网的相关系统,包括接入网、传送网和承载网等。其,接入网包括各种有线、无线和星接入网等,传送网包括光缆、波分、SDH和卫尾等,3.1.2
互联网安全等级security classification of Internet互联网及相关系统重要程度的表征。重要程度从百联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.3
互联网安全等级保护classitied securityprotectionof Internet对互联网及相关系统分等级实施安全保护。3.1.4
互联网安全检测securitytestingofInternet1
YD/T1737-2009
对互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.1.5
组织 organization
由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;-个单位是一个组织,某个业务部门也可以是一个组织。3.1.6
互联网安全风险security risk of Internet人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
互联网安全风险评估securityriskassessmentofInternet运用科学的方法和手段,系统地分析互联网及相关系统所面临的威胁及其存在的脆弱竭性,评估安金事件一且发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供科学依据。
互联网资产asset ot Intemet
互联网及相关系统中具有价值的资源,是安全防护体系保护的对象。互联网及相关系统中的资产可能以多种形式存在,如无形的和有形的或硬件和软件,包括物理布、通信设备,物理线路、数据,软件、文档、规程、业务、人员和管理等各种类型的资源,如卫承载网中的路由器、传送网的网络布局。3.1.9
互联网资产价值assetvalueofinterne互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
互联网威胁threat af intermet可能导致对互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.11
互联网脆弱性vulnerabiityofIntemet互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对互联网资产造成危害,但可能被互联网威胁所利用从而危及互联网资产的安全。3.1.12
互联网灾难disaster of Internet由于各种原因,造成互联网及相关系统故障或瘫痪,使互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。2
ikANiKAca
互联网灾难备份backupfordisasterrecoveryofInternet为了互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.1.14
互联网灾难恢复disasterrecoveryof InternetYD/T 1737-2009
为了将互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.15
访谈interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及关工作开展情况的一种方法。3.1.16
检查examination
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.17
测试testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查着、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
4缩略语
下列缩略语适用于本标准。
Application Service ProviderDistributed Denial of ServiceDenial of Service
Domain Nane System
File Transfcr Protocol
Hyper Text Transfer ProtocolInternet Content Provider
Internet Data Center
Internet Protccol
Post Office Protocol v3
Session Initiation Protocol
SimpleMail TransferProtocol
Virtual Private Network
Wireless Application Protocol应用服务提供商
分布式拒绝服务
拒绝服务
域名系统
文件传输协议
超文本传输协议
互联网内容提供商
互联网数据中心
网际协议
邮政代理协议第3版
会话初始化协议
简单邮件传输协议
虚拟专用网
无线应用协议
YD/T1737-2009
5互联网安全防护检测概述
5.1互联网安全防护检测范围
互联网安全防护检测范围是我国具有管辖权的互联网业务及应用系统、以及互联网相关系统。根据YD/T1736-2008,本标准主要对互联网业务及应用系统的安全等级保护、安全风险评估、灾难备份及恢复等工作的实施进行检测。接入网安全防护检测的具体要求见YD/T1743-2008,传送网安全防护检测的具体要求见YD/T1745-2009,P承载网安全防护检测的具体要求见YD/T1747-2008。互联网安全等级保护的检测范围确定以后,安全风险评估的检测范围、灾难备份及恢复的检测范围应与安全等级保护的检测范围相-一致。5.2互联网安全防护检测对象
互联网业务及应用系统的安全防护检测对象是各个互联网业务及应用系统。应按照检测对象拥有者的不同,分别对其所据有的相应检测对象进行安全防护检测。5.3互联网安全防护检测内容
与互联网安全防护要求相对应,互联网安全防护检测内容主要包括以下3个部分:一互联网安全等级保护检测
主要包括业务及应用安全检测、业务及应用系统安全检测、设备安全检测、物理环境安全检测、管理安全检测等:
—互联网安全风险评估检测
主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值检测、安全风险评估计算检测、安全风险评估文件类型检测、安全风险评估文件记录检测等一互联网灾难备份及恢复检测
主要包括余系统、允余设备及穴余链路检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测、灾难恢复预案检测等。5.4互联网安全防护检测结果判定互联网安全防护检测包括对互联网的安全等级保护、安全风险评估和灾难备份及嵌复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。
对每一部分中的每一个检测项,应根据具体实施悄况进行等级化评价(分很好、较好、一般、较差、很差5级)。参照表1将各检测项的评价等级换算成评分,各检测项的分数经过~定的算法(例如加权平均)分别得到安全等级保护、安全风险评估和灾难备份及恢复3个部分的总分数,根据总分数可分别对互联网的安全等级保护、安全风险评估和灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系见表2。在计算总分数的过程中,应充分考虑到各检测项在安全防扩检测要求中所占的比重,例如表3给出了互联网业务及应用系统安全等级保护各检测子类所占的比重。五联网安全防护检测的结果还应充分考虑到各相关系统的检测结果。表1测试项评分方法
实施很好
实施较好
TTiKAoNKAca
实施一般
实施铰差
实施很差
3.5 ≤x<4.5
裹1(续)
表2总分数和评定等级的关系
8888888
2.5≤x3.5
1.5 x<2.5
1≤×<1.5
表3互联网业务及应用系统安全等级保护检测子类所占比重比重(%)
互联网安全等级保护检测要求
6.1概述
业务及应用安全
业务及应用系统安全
设备安全
物理环境安全
笋理安全
YD/T 1737-2009
本标准上要对互联网业务及应用系统提出安企防护检测要求。目前我国(国内)五联网业务主要包括互联网域名服务、互联网数据中心、互联网接入服务、百联网信息服务(如互联网信息浏览和发布服务、互联网电子邮件服务、互联网用户间通信服务)、互联网虚拟专用网服务、在线数据处理与交易处理等。随着互联网业务及应用的发展,本标准将不断补充完善,对互联网业务及应用安全进行检测时,可根据检测对象提供的业务及应用进行相应检测,未提供的应用不做检测要求。
6.2第1级要求
不作要求。
6.3第 2 级要求
6.3.1业务及应用安全检测要求
6.3.1.1通用安全检测要求
6.3.1.1.1 检测方式
访谈,检查,测试。
6.3.1.1.2检测对象
互联网业务及应用平台以及系统相关设备,业务设计/验收文档,相关业务及应用管理流程文档,系统管理文档,设备管理配置记录,故障告警记录,网络和业务运营商捉供的共他文档,6.3.1.1.3检测实施下载标准就来标准下载网
YD/T1737-2009
a)应访谈相关技术租管理人员,询问在保护用户隐私、不泄露用户相关信息方面是否存在相应机制,检查验证业务提供、控制与管理过程是否能保护用户隐私,不泄漏用户相关敏感信息;b)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务控制与管理相关身份鉴别、标识唯一-性检查、鉴别信息复杂度检查、登录失败处理等功能技术手段及有关措施启用、实施情况,检查或测试验证是否能保证系统不存在重复用户身份标识,身份整别信息是否不易被冒用,对登录控制和管理功能进行测试,验证是否根据安全策略对登录失败采取了结束会话、限非法登录次数和自动退出等措施:c)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证业务控制与普理是否严格限制默认账号的权限,各账号是否依据最小授权原则授予为完成各白承担任务所需的权限,按安全策略要求控制对文件、数据库表等内容的访问:d)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务相关管理和配置记录、告警记录、网络和业务运营商提供的其他文档,检查验证系统访问控制策略是否由授权主体配置,e)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务控制与管理是否提供覆盖到每个账号的安全审计功能,对审计功能和审计记录进行测试,验证是否保证无法删除、修改或覆盖审计记录:f)应访谈相关技术人员,查看业务设计/验收文档、业务安企策略、业务管理和配置文档、相关审计记录,访谈审计相关工作流程、审计文件及结果记录要求,检查验证业务相关审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述利结果等:g)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,捡查验证对业务管理和控制是否符合国家、企业的其他相关规定及要求。6.3.1.2互联网域名服务安全检测要求应按照YD/T2053-2009《域名系统安金防扩检测要求》第2级的要求进行检测。6.3.1.3互联网数据中心安全检测要求6.3.1.3.1检测方式
访谈,检查,试。
6.3.1.3.2检测对象
互联网数据中心设计/验收文挡,相关服务利应用管理流程文档,业务管理文档,系统、设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。6.3.1.3.3检测实施
应按照6.3.1.1节和本节的要求进行检测:a)应访谈相关技术和管理人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,询问是否有硬件、软件、数据以及应用的授权访问控制机制,检查验证用户信息、数据是否提供严格的本地访问控制机制,验证是否能保证业务信总、数据授权访问:b)对ASP类IDC业务(如应用业务出租、内容制作和包装服务),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否具备为用户提供信息和数据安全保护(如发布信息检查、内容过滤和屏蔽)的技术支撑能力,测试验证相关信息和数据安全保护手段的效果:
iKAbNKAca
YD/T 1737-2009
c)对于附加增值服务类IDC业务(如业务质量和流量监测、附加安全增值服务),应访谈相关技术人员,查看数据中心业务设计/验收文档,业务安全策略、业务管理和配置文档,检查验证是否提供专门的用户信息保护措施(如加密机制)保护用户相关信息和数据的安全性:司)应访谈相关技术人员,查看数据中心业务设计验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否记录并留存业务控制和管理相关的日志信息(如登录和登出时间、用户名称、登录账号、使用的地址和端口等),检查验证相关日志记录信息保留一定期限(至少60天):e)对于提供的ASP类DC业务(如邮件业务乎台出租、Web业务平台出租),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,按本标准租关业务的检测要求进行检查和测试,验证相关业务是否符合YD/T1736-2009《互联网安全防扩要求》有关的业务及应用安全的要求:
f)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安企要求。6.3.1.4互联网接入服务安全检测要求6.3.1.4.1检测方式
访谈,检查,测试。
6.3.1.4.2检测对象
互联网接入服务平台设计/验收文档,相关服务和应用管理流程文档,运维管理文档,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及口志记录等。6.3.1.4.3检测实施
应按照6.3.1.1节和本节的要求进行检测:a)应访谈相关技术人员,查看接入服务设计验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能提供有效可靠的用户接入,认真、授权和计费机制;b)应访谈相关技术和管理人员,查看接入服务设计验收文档、业务安全策略、业务管理和配置文档、系统H志,检查验证在网络利业务运营商管辖网络内,是否具备提供业务管理,控制相关信息的溯源能力(如记录用户设备地址:利账号相关分配信息、记录用户登录/登出时问、记录用户地址转换相关信息),测试验证相关信息溯源安全手段的效果:c)应访谈相关技术人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证在网络和业务运营商管辖网络内,是否采取有效技术手段保证用户数据包的真实性;d)应访谈相关技术和管理人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否记录用户业务相关日志(如用户接入时利时长、用户账号、使用的地址和端口、主叫号码等),检查验证相关日志记录信息保留一定期限(至少60天);e)应访谈相关技术利管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安全要求。6.3.1.5互联网信息服务安全检测要求6.3.1.5.1检测方式
访谈,检查,測试。
6.3.1.5,2检测对象
YD/T1737-200S
互联网信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统和设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及口志记录等,6.3.1.5.3检测实施
应按照6.3.1.1节和本节的要求进行检测a应访谈相关技术人员,查看信息服务业务设计验收文档、业务安全策略、业务管理租配置文档相关设备及日志记录,检查核对系统相关日志记录是否出现过相关数据和负面被篡改和破坏的情况,检查或测试验证保护业务相关信息的安全手段是否能有效保护和避免相关数据和页面被套改和破坏:b)应访谈相关技术人员,查着信息服务业务设计验收文档、业务安全策略、业务管理和配置文档检查验证业务相关页面是否禁止了不必要的内嵌网络服务,测试验证是否禁止在用户端自动安装恶意软件:
c)对于提供信息服务的平台,应访谈相关技术人员,查着信息服务业务设计/验收文档、业务安企策略、业务管理和配置文档,检查验证是否公众发布过程中有害信息(如各类文本、图像、音频、视频等)进行有效监控、屏蔽和过滤的相关手段,检查或测试验证有关技术手段阻让有害信息通过业务网络向公众传播的效果:
)对于提供电子邮件服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收义档、业务安全策略、业务管理和配置文档,检查验证业务平台是否按照相关规定要求,提供相应的安全措施(如垃圾邮件防范和过滤等)保证用户邮件业务的正常,检查或测试验证有关垃圾邮件防范和过滤的技术手段的效果:
e)对于提供网络存储和转发的平台,应访谈相关技术人员,查着信息服务业务设计/验收文档,业务安全策略、业务管理和配置文档,检查业务平台是否启用相关安企手段和措施,检查或测试验证是否对用户上传、下载等操作行为进行监控,防止用户的非授权的读写操作,检查或测试验证是否能拒绝来自末被允许的地址、用户名、子网域的操作请求,捡查或测试验证是否能够对单个地址:(地址段)、用户名、子网域的连接数量和连接频率进行限制,检查或测试验证安全技术保护措施是否能抵御各类常见的恶意攻击:
f)对于提供互联网短消息服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查并通过技术手段测测试验证是否能够防范,清除以群发方式发送伪造、隐虚信息发送者真实标记的短信息;)对于提供用户问通信服务的平台:应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检香验证是否提供必要的保护措施(如加密机制)保护用户间通信数据的机密性和完整性:
h)对于提供内容推送服务的平台:应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否能对各类无效连接/请求进行有效管理,检查或测试验证对核心服务器的相关资源是否能有效保护或隔离;)对于提供内容推送服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否能对各边缘/缀存服务器进行实时监测和管理,检查验证对平台内、外部相关的端到端性能是否进行实时监测;8
iKAbNKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1737-2009
代替YD/T1737-2008
互联网安全防护检测要求
Security protection test requirements for internet2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3术语和定义
4缩略:
5互联网安全防护检测概述
5.1互联网安全防护检测范围-
5.2互瓦联网安全防护检测对象·…5.3互联网安全防护检测内容-
5.4互联网安全防护检测结果判定6互联网安全等级保护检测要求
6.1概述
6.2第1级要求·
6.3第2级要求·
6.4第3.1级要求
6.5第3.2级要求
6.6第4级要求.
6.7第5级要求..
7互联网安全风险评估检测要求
7.1安全风险评估范围
7.2安全风险评估内容.
7.3安全风险评估要素
7.4安全风险评估赋值原则…
7.5安全风险评估赋值计算方法
7.6安全风险评估文件类型·
7.7安全风险评估文件记录
8互联网灾难备份及恢复检测要求-8.1第1级要求
8.2第 2级要求
第3.1级要求
8.4第3.2级要求
8.5第4级要求
8.6第5级要求
参考文献
KANKAca
YD/T 1737-2009
YD/T1737-2009
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.《电信网和互联网安全防扩管理指南》2.
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《互联网安全防护要求》
《移动通信网安全防护要求》
《互联网安余防护要求》
《增值业务网一消息网安全防护要求》9.
《增值业务网一智能网安全防护要求》10.
《接入网安全防护要求》
《传送网安全防护要求》
《IP承载网安企防扩要求》
《信令网安全防护要求》
《同步网安企防护要求》
《支撑网安全防护要求》
《非核心生产单无安全防护要求》《中信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《固定网安全防护验测要求》
《移动信网安全防护检测要求》《互联网安全防护检测要求》(本标准)《增值业务网一消息网安全防护检测耍求》《增值业务网一智能网安全防护检测要求》《接入网安企防护检测要求》
《传送网安全防护检测要求》
《IP承载网安全防护检测要求》《信令网安全防护检测要求》
《同步网安全防护检测要求》
《支撑网安全防扩检测要求》
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全防护检测要求》《电信网和可联网管理安全检测要求》TI
YD/T1737-2009
33.《域名系统安全防护要求》34《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求本标准与YD/T1736-2009《互联网安全防护要求》(修订YD/T1736-2008《互联网安全防护要求》)配套使用。
本标准是YD/T1737-2008《互联网安全防护检测要求》的修订版本。本标准与YD/T1737-2008的主要差异在于:
1.本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。2、本标准的第4节“缩略语”中补充和更新了标准正文中适用的缩略语。3.本标准的第5章“互联网安全防护检测概述”中增加了“互联网安全防护检测内容”相关“业务及应用系统安全检测”要求的内容和相应捡测结果计算比重的说明。4、本标准的第6章“互联网安全等级保护检测要求”中修改和补充了安全等级保扩相关检测要求和内容,要涉及6.3节、6.4节。其中,“业务及应用安全检测婴求”部分增加了“互联网虚拟专用网服务”相关内容,主要涉及6.3.1.6节、6.4.1.6节:增加了“业务及应用系统安全检测要求”相关内容,上要涉及6.3.2节、6.4.2节;修改了“设备安全要求”相关内容,主要涉及6.3.3.2节、6.4.3.2节;增加了“物理环境安全检测要求”的相关内容,上要涉及6.3.4节、6.4.4节;删除了“移动互联网信息服务安企要求”相关内容,主要涉及原6.3.1.7节、原6.4.1.7节。5.本标准的第7章“百联网安全风险评估”中增加了“安金风险评估要素”相关“环境和设施”类资产的检测要求,主要涉及7.3节,随着电信网和互联网的发展,将不断补充和完善电信网和五联网安企防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。
本标准王要起草人:杨剑锋、杨洋、田慧蓉、冀晖、刘楠、白海龙。本标准于2008年1月首次发布,本次为第一~次修订。ikAoNiKAca
1范围
互联网安全防护检测要求
YD/T 1737-2009
本标准规定了互联网业务及应用系统在安全等级保护、安企风险评估、灾难备份及恢复等方面的安全防护检测要求。
本标准适用于互联网业务及应用系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注国期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准,GB/T 5271.8-2001
YD/T 1736~2009
YD/T1743-2008
YD/T 1745-2009
YD/T 1747-2008
YD/T 1755-2008
YD/T 1757-2008
YD/T 2053-2009
3术语和定义
信息技术词汇第8部分:安全
互联网安金防护要求
接入网安全防扩检测要求
传送网安全防护检测要求
P承载网安全防护检测要求
电信网和可联网物理环境安全等级保护检測要求电信网和互联网管理安全等级保护检测要求域名系统安企防护检测要求
GB/T5271.8-2001确立的术语和定义,以及下列术语利定义适用于本标准。3.1.1
互联网相关系统systems of Internet组成互联网的相关系统,包括接入网、传送网和承载网等。其,接入网包括各种有线、无线和星接入网等,传送网包括光缆、波分、SDH和卫尾等,3.1.2
互联网安全等级security classification of Internet互联网及相关系统重要程度的表征。重要程度从百联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.3
互联网安全等级保护classitied securityprotectionof Internet对互联网及相关系统分等级实施安全保护。3.1.4
互联网安全检测securitytestingofInternet1
YD/T1737-2009
对互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.1.5
组织 organization
由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;-个单位是一个组织,某个业务部门也可以是一个组织。3.1.6
互联网安全风险security risk of Internet人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
互联网安全风险评估securityriskassessmentofInternet运用科学的方法和手段,系统地分析互联网及相关系统所面临的威胁及其存在的脆弱竭性,评估安金事件一且发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供科学依据。
互联网资产asset ot Intemet
互联网及相关系统中具有价值的资源,是安全防护体系保护的对象。互联网及相关系统中的资产可能以多种形式存在,如无形的和有形的或硬件和软件,包括物理布、通信设备,物理线路、数据,软件、文档、规程、业务、人员和管理等各种类型的资源,如卫承载网中的路由器、传送网的网络布局。3.1.9
互联网资产价值assetvalueofinterne互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
互联网威胁threat af intermet可能导致对互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.11
互联网脆弱性vulnerabiityofIntemet互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对互联网资产造成危害,但可能被互联网威胁所利用从而危及互联网资产的安全。3.1.12
互联网灾难disaster of Internet由于各种原因,造成互联网及相关系统故障或瘫痪,使互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。2
ikANiKAca
互联网灾难备份backupfordisasterrecoveryofInternet为了互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.1.14
互联网灾难恢复disasterrecoveryof InternetYD/T 1737-2009
为了将互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.15
访谈interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及关工作开展情况的一种方法。3.1.16
检查examination
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.17
测试testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查着、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
4缩略语
下列缩略语适用于本标准。
Application Service ProviderDistributed Denial of ServiceDenial of Service
Domain Nane System
File Transfcr Protocol
Hyper Text Transfer ProtocolInternet Content Provider
Internet Data Center
Internet Protccol
Post Office Protocol v3
Session Initiation Protocol
SimpleMail TransferProtocol
Virtual Private Network
Wireless Application Protocol应用服务提供商
分布式拒绝服务
拒绝服务
域名系统
文件传输协议
超文本传输协议
互联网内容提供商
互联网数据中心
网际协议
邮政代理协议第3版
会话初始化协议
简单邮件传输协议
虚拟专用网
无线应用协议
YD/T1737-2009
5互联网安全防护检测概述
5.1互联网安全防护检测范围
互联网安全防护检测范围是我国具有管辖权的互联网业务及应用系统、以及互联网相关系统。根据YD/T1736-2008,本标准主要对互联网业务及应用系统的安全等级保护、安全风险评估、灾难备份及恢复等工作的实施进行检测。接入网安全防护检测的具体要求见YD/T1743-2008,传送网安全防护检测的具体要求见YD/T1745-2009,P承载网安全防护检测的具体要求见YD/T1747-2008。互联网安全等级保护的检测范围确定以后,安全风险评估的检测范围、灾难备份及恢复的检测范围应与安全等级保护的检测范围相-一致。5.2互联网安全防护检测对象
互联网业务及应用系统的安全防护检测对象是各个互联网业务及应用系统。应按照检测对象拥有者的不同,分别对其所据有的相应检测对象进行安全防护检测。5.3互联网安全防护检测内容
与互联网安全防护要求相对应,互联网安全防护检测内容主要包括以下3个部分:一互联网安全等级保护检测
主要包括业务及应用安全检测、业务及应用系统安全检测、设备安全检测、物理环境安全检测、管理安全检测等:
—互联网安全风险评估检测
主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值检测、安全风险评估计算检测、安全风险评估文件类型检测、安全风险评估文件记录检测等一互联网灾难备份及恢复检测
主要包括余系统、允余设备及穴余链路检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测、灾难恢复预案检测等。5.4互联网安全防护检测结果判定互联网安全防护检测包括对互联网的安全等级保护、安全风险评估和灾难备份及嵌复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。
对每一部分中的每一个检测项,应根据具体实施悄况进行等级化评价(分很好、较好、一般、较差、很差5级)。参照表1将各检测项的评价等级换算成评分,各检测项的分数经过~定的算法(例如加权平均)分别得到安全等级保护、安全风险评估和灾难备份及恢复3个部分的总分数,根据总分数可分别对互联网的安全等级保护、安全风险评估和灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系见表2。在计算总分数的过程中,应充分考虑到各检测项在安全防扩检测要求中所占的比重,例如表3给出了互联网业务及应用系统安全等级保护各检测子类所占的比重。五联网安全防护检测的结果还应充分考虑到各相关系统的检测结果。表1测试项评分方法
实施很好
实施较好
TTiKAoNKAca
实施一般
实施铰差
实施很差
3.5 ≤x<4.5
裹1(续)
表2总分数和评定等级的关系
8888888
2.5≤x3.5
1.5 x<2.5
1≤×<1.5
表3互联网业务及应用系统安全等级保护检测子类所占比重比重(%)
互联网安全等级保护检测要求
6.1概述
业务及应用安全
业务及应用系统安全
设备安全
物理环境安全
笋理安全
YD/T 1737-2009
本标准上要对互联网业务及应用系统提出安企防护检测要求。目前我国(国内)五联网业务主要包括互联网域名服务、互联网数据中心、互联网接入服务、百联网信息服务(如互联网信息浏览和发布服务、互联网电子邮件服务、互联网用户间通信服务)、互联网虚拟专用网服务、在线数据处理与交易处理等。随着互联网业务及应用的发展,本标准将不断补充完善,对互联网业务及应用安全进行检测时,可根据检测对象提供的业务及应用进行相应检测,未提供的应用不做检测要求。
6.2第1级要求
不作要求。
6.3第 2 级要求
6.3.1业务及应用安全检测要求
6.3.1.1通用安全检测要求
6.3.1.1.1 检测方式
访谈,检查,测试。
6.3.1.1.2检测对象
互联网业务及应用平台以及系统相关设备,业务设计/验收文档,相关业务及应用管理流程文档,系统管理文档,设备管理配置记录,故障告警记录,网络和业务运营商捉供的共他文档,6.3.1.1.3检测实施下载标准就来标准下载网
YD/T1737-2009
a)应访谈相关技术租管理人员,询问在保护用户隐私、不泄露用户相关信息方面是否存在相应机制,检查验证业务提供、控制与管理过程是否能保护用户隐私,不泄漏用户相关敏感信息;b)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务控制与管理相关身份鉴别、标识唯一-性检查、鉴别信息复杂度检查、登录失败处理等功能技术手段及有关措施启用、实施情况,检查或测试验证是否能保证系统不存在重复用户身份标识,身份整别信息是否不易被冒用,对登录控制和管理功能进行测试,验证是否根据安全策略对登录失败采取了结束会话、限非法登录次数和自动退出等措施:c)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证业务控制与普理是否严格限制默认账号的权限,各账号是否依据最小授权原则授予为完成各白承担任务所需的权限,按安全策略要求控制对文件、数据库表等内容的访问:d)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务相关管理和配置记录、告警记录、网络和业务运营商提供的其他文档,检查验证系统访问控制策略是否由授权主体配置,e)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务控制与管理是否提供覆盖到每个账号的安全审计功能,对审计功能和审计记录进行测试,验证是否保证无法删除、修改或覆盖审计记录:f)应访谈相关技术人员,查看业务设计/验收文档、业务安企策略、业务管理和配置文档、相关审计记录,访谈审计相关工作流程、审计文件及结果记录要求,检查验证业务相关审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述利结果等:g)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,捡查验证对业务管理和控制是否符合国家、企业的其他相关规定及要求。6.3.1.2互联网域名服务安全检测要求应按照YD/T2053-2009《域名系统安金防扩检测要求》第2级的要求进行检测。6.3.1.3互联网数据中心安全检测要求6.3.1.3.1检测方式
访谈,检查,试。
6.3.1.3.2检测对象
互联网数据中心设计/验收文挡,相关服务利应用管理流程文档,业务管理文档,系统、设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。6.3.1.3.3检测实施
应按照6.3.1.1节和本节的要求进行检测:a)应访谈相关技术和管理人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,询问是否有硬件、软件、数据以及应用的授权访问控制机制,检查验证用户信息、数据是否提供严格的本地访问控制机制,验证是否能保证业务信总、数据授权访问:b)对ASP类IDC业务(如应用业务出租、内容制作和包装服务),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否具备为用户提供信息和数据安全保护(如发布信息检查、内容过滤和屏蔽)的技术支撑能力,测试验证相关信息和数据安全保护手段的效果:
iKAbNKAca
YD/T 1737-2009
c)对于附加增值服务类IDC业务(如业务质量和流量监测、附加安全增值服务),应访谈相关技术人员,查看数据中心业务设计/验收文档,业务安全策略、业务管理和配置文档,检查验证是否提供专门的用户信息保护措施(如加密机制)保护用户相关信息和数据的安全性:司)应访谈相关技术人员,查看数据中心业务设计验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否记录并留存业务控制和管理相关的日志信息(如登录和登出时间、用户名称、登录账号、使用的地址和端口等),检查验证相关日志记录信息保留一定期限(至少60天):e)对于提供的ASP类DC业务(如邮件业务乎台出租、Web业务平台出租),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,按本标准租关业务的检测要求进行检查和测试,验证相关业务是否符合YD/T1736-2009《互联网安全防扩要求》有关的业务及应用安全的要求:
f)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安企要求。6.3.1.4互联网接入服务安全检测要求6.3.1.4.1检测方式
访谈,检查,测试。
6.3.1.4.2检测对象
互联网接入服务平台设计/验收文档,相关服务和应用管理流程文档,运维管理文档,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及口志记录等。6.3.1.4.3检测实施
应按照6.3.1.1节和本节的要求进行检测:a)应访谈相关技术人员,查看接入服务设计验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能提供有效可靠的用户接入,认真、授权和计费机制;b)应访谈相关技术和管理人员,查看接入服务设计验收文档、业务安全策略、业务管理和配置文档、系统H志,检查验证在网络利业务运营商管辖网络内,是否具备提供业务管理,控制相关信息的溯源能力(如记录用户设备地址:利账号相关分配信息、记录用户登录/登出时问、记录用户地址转换相关信息),测试验证相关信息溯源安全手段的效果:c)应访谈相关技术人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证在网络和业务运营商管辖网络内,是否采取有效技术手段保证用户数据包的真实性;d)应访谈相关技术和管理人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否记录用户业务相关日志(如用户接入时利时长、用户账号、使用的地址和端口、主叫号码等),检查验证相关日志记录信息保留一定期限(至少60天);e)应访谈相关技术利管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安全要求。6.3.1.5互联网信息服务安全检测要求6.3.1.5.1检测方式
访谈,检查,測试。
6.3.1.5,2检测对象
YD/T1737-200S
互联网信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统和设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及口志记录等,6.3.1.5.3检测实施
应按照6.3.1.1节和本节的要求进行检测a应访谈相关技术人员,查看信息服务业务设计验收文档、业务安全策略、业务管理租配置文档相关设备及日志记录,检查核对系统相关日志记录是否出现过相关数据和负面被篡改和破坏的情况,检查或测试验证保护业务相关信息的安全手段是否能有效保护和避免相关数据和页面被套改和破坏:b)应访谈相关技术人员,查着信息服务业务设计验收文档、业务安全策略、业务管理和配置文档检查验证业务相关页面是否禁止了不必要的内嵌网络服务,测试验证是否禁止在用户端自动安装恶意软件:
c)对于提供信息服务的平台,应访谈相关技术人员,查着信息服务业务设计/验收文档、业务安企策略、业务管理和配置文档,检查验证是否公众发布过程中有害信息(如各类文本、图像、音频、视频等)进行有效监控、屏蔽和过滤的相关手段,检查或测试验证有关技术手段阻让有害信息通过业务网络向公众传播的效果:
)对于提供电子邮件服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收义档、业务安全策略、业务管理和配置文档,检查验证业务平台是否按照相关规定要求,提供相应的安全措施(如垃圾邮件防范和过滤等)保证用户邮件业务的正常,检查或测试验证有关垃圾邮件防范和过滤的技术手段的效果:
e)对于提供网络存储和转发的平台,应访谈相关技术人员,查着信息服务业务设计/验收文档,业务安全策略、业务管理和配置文档,检查业务平台是否启用相关安企手段和措施,检查或测试验证是否对用户上传、下载等操作行为进行监控,防止用户的非授权的读写操作,检查或测试验证是否能拒绝来自末被允许的地址、用户名、子网域的操作请求,捡查或测试验证是否能够对单个地址:(地址段)、用户名、子网域的连接数量和连接频率进行限制,检查或测试验证安全技术保护措施是否能抵御各类常见的恶意攻击:
f)对于提供互联网短消息服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查并通过技术手段测测试验证是否能够防范,清除以群发方式发送伪造、隐虚信息发送者真实标记的短信息;)对于提供用户问通信服务的平台:应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检香验证是否提供必要的保护措施(如加密机制)保护用户间通信数据的机密性和完整性:
h)对于提供内容推送服务的平台:应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否能对各类无效连接/请求进行有效管理,检查或测试验证对核心服务器的相关资源是否能有效保护或隔离;)对于提供内容推送服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否能对各边缘/缀存服务器进行实时监测和管理,检查验证对平台内、外部相关的端到端性能是否进行实时监测;8
iKAbNKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。