YD/T 1759-2008
基本信息
标准号: YD/T 1759-2008
中文名称:非核心生产单元安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1058850
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1759-2008.Security Protection Testing Requirements for the Support Unit of Core Production Network.
YD/T 1759规定了公众电信网和互联网相关非核心生产单元在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1759适用于公众电信网和互联网相关非核心生产单元。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求
3定义和缩略语
3.1 定义
下列定义适用于本标准。
3.1.1
非核心生产单元安全等级Security Classification of the Support Unit of Core Production Network
非核心生产单元安全重要程度的表征。重要程度可从非核心生产单元受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
非核心生产单元安全等级保护Classified Security Protection of the Support Unit of Core Production Network
对非核心生产单元分等级实施安全保护。
3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。
YD/T 1759规定了公众电信网和互联网相关非核心生产单元在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1759适用于公众电信网和互联网相关非核心生产单元。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求
3定义和缩略语
3.1 定义
下列定义适用于本标准。
3.1.1
非核心生产单元安全等级Security Classification of the Support Unit of Core Production Network
非核心生产单元安全重要程度的表征。重要程度可从非核心生产单元受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
非核心生产单元安全等级保护Classified Security Protection of the Support Unit of Core Production Network
对非核心生产单元分等级实施安全保护。
3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1759-2008
非核心生产单元安全防护检测要求Security Protection Testing Reguirementsfor the Support Unit of Core Production Network2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前言
1范围·
2规范性引用文件,
3定义和缩略语
4非核心生产单元全防护检测概述-4.1安全防护检测范围
4.2安全防护检测对象--
4.3安全防护检测内容
4.4安全防护检测结判定
5非核心生产单元安全等级保护检测要求.5.1 第 1 级要求+
5.2第2级要求
5.3第3.1级要求*
5.4第3.2级要求
5.5第4级要求·
5.6第5级要求·
非核心生产单元安全风险评估检测要求.·6
6.1安全风险评估范围.
安全风险评估内穿·
6.3安全风险评估要素·
安全风险评估赋值原则
6.5安全风险评估计算方法…
安全风险评估文件类型……
安全风险评估文件记录·…
7非核心生产单元灾难备份及恢复检测要求7.1 第 1 级要求--
7.2第2级要求
7.3第3.1级要求
7.4第3.2级要求·
7.5第4级要求**
7.6第 5级要求
奏考文献
-TTKAONTKAc=
YD/T 1759-2008
··20
YD/T 1760-2008
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称如下:1. YD/T 1728-2008
2. YD/T 1729-2008
3.YD/T 1730-2008
4. YD/T 1731-2008
5.YD/T1732-2008
6.YD/T 1733-2008
电信网和百联网安全防护管理指南:电信网和互联网安全等级保护实施指南:电信网和互联网安全风险评估实施指南:电信网和互联网灰难备份及恢复实施指南;固定通信网安全防护要求;
固定通信网安全防护检测要求;7.YD/T1734-2008移动通信网安全防护要求移动通信网安全防护检测要求:8.YD/T 1735-2008
9.YD/T1736-2008
互联网安全防护要求;
10,YD/T1737-2008互联网安全防护检测要求;11. YD/T 1738-2008
增值业务网——消息网安全防护要求:12.YD/T 1739-2008
8增值业务网—消息网安全防护检测要求;8增值业务网——智能网安仓防护要求;13. YD/T 1740-2008
B增值业务网—智能网安全防护检测要求:14. YD/T 1741-2008
15. YD/T 1742-2008
接入网安个防扩要求
16.YD/T1743-2008接入网安全防护检测要求:17.YD/T 1744-2008传送网安全防护要求18.YTD/T1745-2008传送安全防护检测要求:19.YD/T1746-2008IP承裁网安全防护要求:20.YDT1747-2008TP承载网安全防护检测要求:21.YD/T1748-2008信令网安全防护要求:22YD/T1749-2008信令网安全防护检测要求:23.YD/T1750-2008
24. YD/T 1751-2008
25. YD/T 1752-2008
同步网安企防护要求:
同步网安全防护检测要求:
支撑网安全防护要求:
26. YD/T 1753-2008
支撑网安全防护检测要求:
电信网和互联网物理环境安全等级保护要求:27. YTD/T 1754-2008
28.YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求;电信网和互联网管理安全等级保护要求:29.: Y1/T 1756-2008
电信网和互联网臂理安全等级保护检测要求:30.YD/T1757-2008
31.YD/T1758-2008非核心生产单元安全防护要求:32- YD/T 1759-2008
非核心生产单元安全防护检测要求。本标准与YD/T1758-2008《非核心生产单元安全防护要求》配套使用。I
YD/T 1759-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国网络通信集团公司、中国电信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国铁通集团有限公司本标准尘要起草人:杨剑锋、刘险峰、赵阳、陈欣、顾霞、王君珂、刘立松-rrTkAoNir KAca=
1范围
非核心生产单元安全防护检测要求YD/T 1759-2008
本标准规定了公众电信网和互联网相关非核心生产单元在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用丁公众电信网和互联网相关非核心生产单元2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推。然而,鼓励根据本标准达成协议的务方研究是否可使用这些文件的最新版本。凡是不注口期的引用文件,其最新版本适用于本标,YD/T 1755-2008
YD/T 1757-2008
3定义和缩略语
3.1定义
电信网和百联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求下列定义适用于本标雅。
非核心生产单元安全等级SecurityClassificatlonoftheSupportUnitofCoreProductionNetwork非核心生产单元安全重要程度的表征。重要程度可从非核心生产单元受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
非核心生产单元安全等级保护ClassifiedSecurityProtectionaftheSupportUnitofCoreProductionNetwark
对非核心生产单元分等级实施安全保护。3.1.3
组织 Qrganizatlon
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.1.4
非核心生产单元安全风险SecurityRiskoftheSupportUnitofCoreProductionNetwork人为或自然的威胁可能利用非核心生产单无中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
非核心生产单元安全风险评估 SecurityRiskAssessment of tha SupportUnit of Core ProductionNetwork
YD/T1759-2008
指运用科学的方法和于段,系统地分析非核心生产单元所面临的威胁及其存在的脆弱性,评估安全事件丑发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解非核心生产单元安全风险,或者将风险控制在可接受的水平,为最大限度地为保障非核心生产单儿的安全提供科学依据。
非核心生产单元资产 Asset at the Support Unit of Core Production Network非核心生产单元中具有价值的资源,是安全防护保护的对象。非核心生产单元中的资产可能是以实种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线略、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如非核心生产单元的设备、线路、数据信息等。3.1.7
非核心生产单元资产价值AssetValtueoftheSupportUnitofCoreProductianNetwork非核心生产单元中资产的重要程度或墩感程度。非核心生产单元资产价值是非核心生产单元资产的属性,也是进行非核心生产单元资产识别的土要内容。3.1.8
非核心生产单元威胁ThreatoftheSupportUnitofCoreProductionNetwork可能导致对非核心生产单元产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是尤意失误,也可能是恶意攻击。常见的非核心生产单元威胁有攻击、故障、灾害等等。3.1.9
非核心生产单元脆弱性VulnerabilityoftheSuppartUnitofCoreProductianNetwork跪弱性是非核心生产单元中存在的弱点、缺陷与不足,不直接对非核心生产单元资产造成危害,但可能被非核心生产单元威胁所利用从而危及非核心生产单元资产的安全。3.1.10
非核心生产单元灾滩 Disaster of theSupport Unit of CoreProduction Netwark由于各种原因,造成非核心生产单元故障或摊,使非核心生产单元提供的服务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
非核心生产单元灾难备份BackupforDisasterRecoveryoftheSupportUnitofCoreProductionNetwork
为了非核心生产单元灾难恢复而对相关的要素进行备份的过程。3.1.12
非核心生产单元灾难恢复Disaster Recoveryof tha SupportUnit of CoreProductionNetwork为了将非核心生产单元从火难造成的故障或瘫痰状态恢复到正常运行状态或部分正常运行状态,并将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。3.1.13
访谈Interview
rKANYKAca=
YD/T 1759-2008
检测人员通过与非核心生产单元有关人员(个人/群体)进行交流、讨论等活动,检查非核心生产单元安全等级保护、非核心生产单元风险评估和非核心生产单元灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.14
检查 Examinatior
检测人员通过对检测对象进行观察、查验和分析等活动,检查非核心生产单元安全等级保护、非核心生产单元风险评估和非核心生产单元灾难备份及恢复相关措施的落实情说以及相关工作的开展情况的一种方法。
测试 Testing
检测人员通过对检测对按照预定的方法工具使其产生特定行为的活动,查看、分析辅出结果,检查非核心生产单无安全等级保护、非核心生产单元风险评估和非核心生产单元灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.2缩略语
下列缩略语适用于本标准,
Distributed Denial of ServiceDenial of Service
File Transfer Protocol
HyperTextTransferProtocol
Internet Protocol
Past Office Protacol v3
Simple Mail Transfer Protocol4非核心生产单元安全防护检测概述4.1安全防护检测范围
分布式拒绝服务
拒绝服务
文件传输协议
超文本传输协议
网际协议
邮政代理协议第3版
简单邮件传送协议
本标推的检测范围包括公众电信网和互联网相关企业的企业办公系统、客呼叫系统、企业门户网站等非核心生产单元。
4.2安全防护检测对象下载标准就来标准下载网
非核心生产单元安全防护检测对象为企业办公系统、客服呼叫中心,企业门户网站等系统。非核心生产单元安全等级保护的捡测对象确定以后,风险评估的检测对象、灾难备份及恢复的检测对象应与安金等级保护的检测对象相一致。4.3安全防护检测内容
根据非核心生产单元安全防护检测的需要,将非核心生产单元安全防护检测分为非核心生产单元安全等级保护检测、非核心生产单元安全风险评估检测和非核心生产单元灾难备份及恢复检测三个部分。非核心生产单元安全防护检避要求包括以下内容:一非核心生产单光安金等级保护检测要包括应用安全检测、网络安全检测、设备安全检测、物理环境安金检测,管理安全检测等,非核心生产单元安全风险评估检测3
YD/T1759-2008
主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值原测检测、安全风险评估计算方法检测、安全风险评估文件类型检測和安全风险评估文件记录检测等:
非核心生产单元灾难备份及恢复检测正要包括穴余系统、元余设备及几余链路检测、允余路中检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力捡测和火难恢复预案捡测等。4.4安全防护检测结果判定
非核心生产单元安全防护检测包括对非核心生产单元的安全等级保护、安金风险评估、灾难备份及恢复三个部分的检测,应对3个部分的检测结果分别进行判定:J1根据检测结果分别出具捡测报告:检测报告中应具体说明安全防护下作的优势和不足。对每一个部分中的每一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和1评定等级的关系见表2。在计算总分数过程中,应充分考患到各测试项在安全防护检测要求巾所占的比重。例如,表3给出了安全等级保护子类所占的比重。表1测试项评分方法
评价结果
实施很好
实施较好
实施一般
实施较差
实随很差
总评分x
2.5然x3.5
1.5xx42.5
比重(%)
表2 总评分和评定等级的关系
表3安全等级保护子类所占的比重-TTKAONiIKAca=
评定等级
安全等级保护子类
应用安全
网络安全
设备安全
物理环境安全
管理安全
5非核心生产单元安全等级保护检测要求5.1第1级要求
本标准对安全等级为第1级的非核心生产单元暂不作要求。5.2第2级要求
5.2.1 应用安全
5.2.1.1.身份鉴别
5.2.1.1.1检测方式
访谈、检查。
5.2.1.1.2检测对象
YD/T 1759-2008
系统设计验收文档,相关服务和应用管理流程文档,系统管理文档,设备管理配暨记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.1.1.3检测实施
a)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,捡查和验证是否提供专用的登录控制模块对登录用户进行身份标识和鉴别:b)应访谈系统管理员,并查看系统设计验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,检查和验证是否提供用户身份标识惟一和鉴别信息复杂度检查功能,验证是否能保证应用系统中不存在重复用户身份标识,身份鉴别信息是否不易被骨用;c)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,检查和验证是否提供登录失败处理功能,是否采取结束会话、限制非法登录次数和自动退出等措瓶:
d)应访谈系统管理员,并查看系统设计验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,检查和验证是否启用身份鉴别、用户身份标识惟一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关奏数。5.2.1.2访问控制
5.2.1.2.1检测方式
访谈,检查。
5.2.1.2.2检测对象
系统设计/验收文档,相关服务管理流程文档,系统管理文档:系统安全策略,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统茂相关设备等。5.2.1.2.3检测实施
a)应访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问:
b)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商提供的其他文档,检否和验证访问控制的覆盖范围是否包括考资源访问相关的主体,客体及它们之间的操作:
YD/T 1759-2008
c)应访谈系统管理贯,并查看系统设计/验收文档、相关服务和应用管理流程、察统安全策略、网络和业务运营商提供的其他文档,检查和验证出授权主体配置访问控制策略,验证是否严格限制默认账户的访问限:
d)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否授予不同账户为完成各自承担任务所需的最小权限验证不同账户问是否存在相互制约的关系。5.2.1.3安全审讨
5.2.1.3.1检测方式
访谈、检查。
5.2.1.3.2检测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,故障告警记录,审计记录及报告,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.1.3.3检测实施
a)应访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商提供的其他文档,检查和验证是否提供覆盖到每个用户的安全审计功能,是否对应用系统重要安全事件进行审计:b)应访谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商提供的其他文档,检查和验证是否能保证光法删除、修改或覆盖市计记录:c)应访谈系统暂理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商提供的其他文档,检查和验证审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述和结果等。5.2.1.4通信数据安全
5.2.1.4.1检测方式
访谈、检查。
5,2.1.4.2检测对象
系统设计/验收文档,相关服务管理流程文档,系统暂理文档,系统安全策路,设备管理配置记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.1.4.3检测实施
)应访谈系统管理员,并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否采用校验码技术保证通信过程中数据的完整性;b)应访谈系统管理员,并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能够检测到鉴别信息和重要业务数据在传输过程中完性受到破坏的情况。
c)应访谈系统管理员,并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否采用加或其他保护措施实现鉴别信息的存储保密性;6
-TT KAONi KAca=
YD/T 1759-2008
d)应访谈系统管理员:并查看系统设计/验收文档、相关系统管理流程,系统安全策略,网络和业务运营商提供的其他文档,检查和验证在通信双方建立连接之前:应用系统是否利用密码技术进行会话初始化验证:
e)应访谈系统管理员,并查看系统设计/验收文档,相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证对通信过程中的敏感信息是否进行加密,验证加密的强度。5.2.1.5资源控制
5.2.1.5.1检测方式
访谈、检查。
5.2.1.5.2检测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,网络和业务运营商提供的其他文挡、亲统及相关设备等。5.2.1.5.3检测实施
a)应访谈系统管理员,升查寿系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证当应用系统的通信双方中的一方在一段时间内未作任何响应时另一方是否能够直动结束会。
b)应谢谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能够对应用系统的最大并发会话连接数进行限制。c)应访谈系统管理员,并查着系统设计验收文档,相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能够对单个账户的多重并发会话进行限制。5.2.2网络安全
5.2.2.1结构安全
5.2.2.1.1检测方式
访谈,检查。
5.2.2.1.2检测对象
系统设计验收文档、相关服务管理流程文档,系统管理文档,系统安全策路,系统拓扑图,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.2.1.3检测实施
)应访谈系统管理员,并查看系统设计/验收文档、系统拓扑图、网络和业务运营商提供的其他文档:检查和验证是否绘制与当前运行情况相符的系统拓扑结构图:b)应访谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否根据服务的特点,系统的带宽和处埋能力是否满足高峰期流量需求,检查系统设计是否合理:c)应访谈系统管理员,片查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否根据各部门的工作职能,重要性和所涉及信息的重要程度等因素划分子网和网段,网段规划是否按照统的管理和控制原则进行。5.2.2.2访问控制
5.2.2.2.1检测方式
YD/T1759-2008
访谈、检查。
5.2.2.2.2检测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,设备理配置记录,故障告警记录,网络和业务运营商据供的其他文档、系统及相关设备等。5.2.2.2.3检测实施
a)应访谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,捡查和验证在网络边界是否部署访问控制设备,启用访问控制功能。b)成访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能根错会话状态信息为数据流提供明确的允许拒绝访的能力,验证控制粒度是否达到网段级别。c)应访谈系统管理员,并查看系统设计验收文档,相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文挡,检查和验证按照用户和系统之问的允许访问规则,是否能进行允许或拒绝用户对受控系统进行资源访问,控制粒度是否达到单个用户。d)应访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安金策略、网络和业务运营商提供的其他文档,检查租验证是否限制具有搬号访问权限的用户数量。5.2.2.3安全审计
5.2.2.3.1检测方式
访谈、检香。
5.2.2.3.2拉测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,安全审计记录,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.2.3.3检测实施
a)应访谈系统管理员,开查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证对网络系统中的网络设备运行状况、网络流量、用户行为等是否进行日志记录:
b)应访谈系统管理员,并查看系统设计/验收文挡、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查审计记录是否包括事件的日期和时间、用广、毕件类型。事件是否成功及其他与审计相关的信息。
5.2.2.4入侵防范
5.2.2.4.1检测方式
访谈、检查。
5.2.2.4.2检测对象
系统设计/验收文档,相关服务管理流程文档,系统管理文档,系统安全策略、设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.2.4.3检测实施
a)应访谈系统管理员,并查着系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否在网络边界处对发的端口扫描、强力攻击、木马后门攻击、8
-TT KAON KAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1759-2008
非核心生产单元安全防护检测要求Security Protection Testing Reguirementsfor the Support Unit of Core Production Network2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前言
1范围·
2规范性引用文件,
3定义和缩略语
4非核心生产单元全防护检测概述-4.1安全防护检测范围
4.2安全防护检测对象--
4.3安全防护检测内容
4.4安全防护检测结判定
5非核心生产单元安全等级保护检测要求.5.1 第 1 级要求+
5.2第2级要求
5.3第3.1级要求*
5.4第3.2级要求
5.5第4级要求·
5.6第5级要求·
非核心生产单元安全风险评估检测要求.·6
6.1安全风险评估范围.
安全风险评估内穿·
6.3安全风险评估要素·
安全风险评估赋值原则
6.5安全风险评估计算方法…
安全风险评估文件类型……
安全风险评估文件记录·…
7非核心生产单元灾难备份及恢复检测要求7.1 第 1 级要求--
7.2第2级要求
7.3第3.1级要求
7.4第3.2级要求·
7.5第4级要求**
7.6第 5级要求
奏考文献
-TTKAONTKAc=
YD/T 1759-2008
··20
YD/T 1760-2008
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称如下:1. YD/T 1728-2008
2. YD/T 1729-2008
3.YD/T 1730-2008
4. YD/T 1731-2008
5.YD/T1732-2008
6.YD/T 1733-2008
电信网和百联网安全防护管理指南:电信网和互联网安全等级保护实施指南:电信网和互联网安全风险评估实施指南:电信网和互联网灰难备份及恢复实施指南;固定通信网安全防护要求;
固定通信网安全防护检测要求;7.YD/T1734-2008移动通信网安全防护要求移动通信网安全防护检测要求:8.YD/T 1735-2008
9.YD/T1736-2008
互联网安全防护要求;
10,YD/T1737-2008互联网安全防护检测要求;11. YD/T 1738-2008
增值业务网——消息网安全防护要求:12.YD/T 1739-2008
8增值业务网—消息网安全防护检测要求;8增值业务网——智能网安仓防护要求;13. YD/T 1740-2008
B增值业务网—智能网安全防护检测要求:14. YD/T 1741-2008
15. YD/T 1742-2008
接入网安个防扩要求
16.YD/T1743-2008接入网安全防护检测要求:17.YD/T 1744-2008传送网安全防护要求18.YTD/T1745-2008传送安全防护检测要求:19.YD/T1746-2008IP承裁网安全防护要求:20.YDT1747-2008TP承载网安全防护检测要求:21.YD/T1748-2008信令网安全防护要求:22YD/T1749-2008信令网安全防护检测要求:23.YD/T1750-2008
24. YD/T 1751-2008
25. YD/T 1752-2008
同步网安企防护要求:
同步网安全防护检测要求:
支撑网安全防护要求:
26. YD/T 1753-2008
支撑网安全防护检测要求:
电信网和互联网物理环境安全等级保护要求:27. YTD/T 1754-2008
28.YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求;电信网和互联网管理安全等级保护要求:29.: Y1/T 1756-2008
电信网和互联网臂理安全等级保护检测要求:30.YD/T1757-2008
31.YD/T1758-2008非核心生产单元安全防护要求:32- YD/T 1759-2008
非核心生产单元安全防护检测要求。本标准与YD/T1758-2008《非核心生产单元安全防护要求》配套使用。I
YD/T 1759-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国网络通信集团公司、中国电信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国铁通集团有限公司本标准尘要起草人:杨剑锋、刘险峰、赵阳、陈欣、顾霞、王君珂、刘立松-rrTkAoNir KAca=
1范围
非核心生产单元安全防护检测要求YD/T 1759-2008
本标准规定了公众电信网和互联网相关非核心生产单元在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用丁公众电信网和互联网相关非核心生产单元2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推。然而,鼓励根据本标准达成协议的务方研究是否可使用这些文件的最新版本。凡是不注口期的引用文件,其最新版本适用于本标,YD/T 1755-2008
YD/T 1757-2008
3定义和缩略语
3.1定义
电信网和百联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求下列定义适用于本标雅。
非核心生产单元安全等级SecurityClassificatlonoftheSupportUnitofCoreProductionNetwork非核心生产单元安全重要程度的表征。重要程度可从非核心生产单元受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
非核心生产单元安全等级保护ClassifiedSecurityProtectionaftheSupportUnitofCoreProductionNetwark
对非核心生产单元分等级实施安全保护。3.1.3
组织 Qrganizatlon
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.1.4
非核心生产单元安全风险SecurityRiskoftheSupportUnitofCoreProductionNetwork人为或自然的威胁可能利用非核心生产单无中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
非核心生产单元安全风险评估 SecurityRiskAssessment of tha SupportUnit of Core ProductionNetwork
YD/T1759-2008
指运用科学的方法和于段,系统地分析非核心生产单元所面临的威胁及其存在的脆弱性,评估安全事件丑发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解非核心生产单元安全风险,或者将风险控制在可接受的水平,为最大限度地为保障非核心生产单儿的安全提供科学依据。
非核心生产单元资产 Asset at the Support Unit of Core Production Network非核心生产单元中具有价值的资源,是安全防护保护的对象。非核心生产单元中的资产可能是以实种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线略、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如非核心生产单元的设备、线路、数据信息等。3.1.7
非核心生产单元资产价值AssetValtueoftheSupportUnitofCoreProductianNetwork非核心生产单元中资产的重要程度或墩感程度。非核心生产单元资产价值是非核心生产单元资产的属性,也是进行非核心生产单元资产识别的土要内容。3.1.8
非核心生产单元威胁ThreatoftheSupportUnitofCoreProductionNetwork可能导致对非核心生产单元产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是尤意失误,也可能是恶意攻击。常见的非核心生产单元威胁有攻击、故障、灾害等等。3.1.9
非核心生产单元脆弱性VulnerabilityoftheSuppartUnitofCoreProductianNetwork跪弱性是非核心生产单元中存在的弱点、缺陷与不足,不直接对非核心生产单元资产造成危害,但可能被非核心生产单元威胁所利用从而危及非核心生产单元资产的安全。3.1.10
非核心生产单元灾滩 Disaster of theSupport Unit of CoreProduction Netwark由于各种原因,造成非核心生产单元故障或摊,使非核心生产单元提供的服务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
非核心生产单元灾难备份BackupforDisasterRecoveryoftheSupportUnitofCoreProductionNetwork
为了非核心生产单元灾难恢复而对相关的要素进行备份的过程。3.1.12
非核心生产单元灾难恢复Disaster Recoveryof tha SupportUnit of CoreProductionNetwork为了将非核心生产单元从火难造成的故障或瘫痰状态恢复到正常运行状态或部分正常运行状态,并将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。3.1.13
访谈Interview
rKANYKAca=
YD/T 1759-2008
检测人员通过与非核心生产单元有关人员(个人/群体)进行交流、讨论等活动,检查非核心生产单元安全等级保护、非核心生产单元风险评估和非核心生产单元灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.14
检查 Examinatior
检测人员通过对检测对象进行观察、查验和分析等活动,检查非核心生产单元安全等级保护、非核心生产单元风险评估和非核心生产单元灾难备份及恢复相关措施的落实情说以及相关工作的开展情况的一种方法。
测试 Testing
检测人员通过对检测对按照预定的方法工具使其产生特定行为的活动,查看、分析辅出结果,检查非核心生产单无安全等级保护、非核心生产单元风险评估和非核心生产单元灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.2缩略语
下列缩略语适用于本标准,
Distributed Denial of ServiceDenial of Service
File Transfer Protocol
HyperTextTransferProtocol
Internet Protocol
Past Office Protacol v3
Simple Mail Transfer Protocol4非核心生产单元安全防护检测概述4.1安全防护检测范围
分布式拒绝服务
拒绝服务
文件传输协议
超文本传输协议
网际协议
邮政代理协议第3版
简单邮件传送协议
本标推的检测范围包括公众电信网和互联网相关企业的企业办公系统、客呼叫系统、企业门户网站等非核心生产单元。
4.2安全防护检测对象下载标准就来标准下载网
非核心生产单元安全防护检测对象为企业办公系统、客服呼叫中心,企业门户网站等系统。非核心生产单元安全等级保护的捡测对象确定以后,风险评估的检测对象、灾难备份及恢复的检测对象应与安金等级保护的检测对象相一致。4.3安全防护检测内容
根据非核心生产单元安全防护检测的需要,将非核心生产单元安全防护检测分为非核心生产单元安全等级保护检测、非核心生产单元安全风险评估检测和非核心生产单元灾难备份及恢复检测三个部分。非核心生产单元安全防护检避要求包括以下内容:一非核心生产单光安金等级保护检测要包括应用安全检测、网络安全检测、设备安全检测、物理环境安金检测,管理安全检测等,非核心生产单元安全风险评估检测3
YD/T1759-2008
主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值原测检测、安全风险评估计算方法检测、安全风险评估文件类型检測和安全风险评估文件记录检测等:
非核心生产单元灾难备份及恢复检测正要包括穴余系统、元余设备及几余链路检测、允余路中检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力捡测和火难恢复预案捡测等。4.4安全防护检测结果判定
非核心生产单元安全防护检测包括对非核心生产单元的安全等级保护、安金风险评估、灾难备份及恢复三个部分的检测,应对3个部分的检测结果分别进行判定:J1根据检测结果分别出具捡测报告:检测报告中应具体说明安全防护下作的优势和不足。对每一个部分中的每一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和1评定等级的关系见表2。在计算总分数过程中,应充分考患到各测试项在安全防护检测要求巾所占的比重。例如,表3给出了安全等级保护子类所占的比重。表1测试项评分方法
评价结果
实施很好
实施较好
实施一般
实施较差
实随很差
总评分x
2.5然x3.5
1.5xx42.5
比重(%)
表2 总评分和评定等级的关系
表3安全等级保护子类所占的比重-TTKAONiIKAca=
评定等级
安全等级保护子类
应用安全
网络安全
设备安全
物理环境安全
管理安全
5非核心生产单元安全等级保护检测要求5.1第1级要求
本标准对安全等级为第1级的非核心生产单元暂不作要求。5.2第2级要求
5.2.1 应用安全
5.2.1.1.身份鉴别
5.2.1.1.1检测方式
访谈、检查。
5.2.1.1.2检测对象
YD/T 1759-2008
系统设计验收文档,相关服务和应用管理流程文档,系统管理文档,设备管理配暨记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.1.1.3检测实施
a)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,捡查和验证是否提供专用的登录控制模块对登录用户进行身份标识和鉴别:b)应访谈系统管理员,并查看系统设计验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,检查和验证是否提供用户身份标识惟一和鉴别信息复杂度检查功能,验证是否能保证应用系统中不存在重复用户身份标识,身份鉴别信息是否不易被骨用;c)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,检查和验证是否提供登录失败处理功能,是否采取结束会话、限制非法登录次数和自动退出等措瓶:
d)应访谈系统管理员,并查看系统设计验收文档、相关服务和应用管理流程、网络和业务运营商提供的其他文档,检查和验证是否启用身份鉴别、用户身份标识惟一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关奏数。5.2.1.2访问控制
5.2.1.2.1检测方式
访谈,检查。
5.2.1.2.2检测对象
系统设计/验收文档,相关服务管理流程文档,系统管理文档:系统安全策略,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统茂相关设备等。5.2.1.2.3检测实施
a)应访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问:
b)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商提供的其他文档,检否和验证访问控制的覆盖范围是否包括考资源访问相关的主体,客体及它们之间的操作:
YD/T 1759-2008
c)应访谈系统管理贯,并查看系统设计/验收文档、相关服务和应用管理流程、察统安全策略、网络和业务运营商提供的其他文档,检查和验证出授权主体配置访问控制策略,验证是否严格限制默认账户的访问限:
d)应访谈系统管理员,并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否授予不同账户为完成各自承担任务所需的最小权限验证不同账户问是否存在相互制约的关系。5.2.1.3安全审讨
5.2.1.3.1检测方式
访谈、检查。
5.2.1.3.2检测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,故障告警记录,审计记录及报告,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.1.3.3检测实施
a)应访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商提供的其他文档,检查和验证是否提供覆盖到每个用户的安全审计功能,是否对应用系统重要安全事件进行审计:b)应访谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商提供的其他文档,检查和验证是否能保证光法删除、修改或覆盖市计记录:c)应访谈系统暂理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商提供的其他文档,检查和验证审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述和结果等。5.2.1.4通信数据安全
5.2.1.4.1检测方式
访谈、检查。
5,2.1.4.2检测对象
系统设计/验收文档,相关服务管理流程文档,系统暂理文档,系统安全策路,设备管理配置记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.1.4.3检测实施
)应访谈系统管理员,并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否采用校验码技术保证通信过程中数据的完整性;b)应访谈系统管理员,并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能够检测到鉴别信息和重要业务数据在传输过程中完性受到破坏的情况。
c)应访谈系统管理员,并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否采用加或其他保护措施实现鉴别信息的存储保密性;6
-TT KAONi KAca=
YD/T 1759-2008
d)应访谈系统管理员:并查看系统设计/验收文档、相关系统管理流程,系统安全策略,网络和业务运营商提供的其他文档,检查和验证在通信双方建立连接之前:应用系统是否利用密码技术进行会话初始化验证:
e)应访谈系统管理员,并查看系统设计/验收文档,相关系统管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证对通信过程中的敏感信息是否进行加密,验证加密的强度。5.2.1.5资源控制
5.2.1.5.1检测方式
访谈、检查。
5.2.1.5.2检测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,网络和业务运营商提供的其他文挡、亲统及相关设备等。5.2.1.5.3检测实施
a)应访谈系统管理员,升查寿系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证当应用系统的通信双方中的一方在一段时间内未作任何响应时另一方是否能够直动结束会。
b)应谢谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能够对应用系统的最大并发会话连接数进行限制。c)应访谈系统管理员,并查着系统设计验收文档,相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能够对单个账户的多重并发会话进行限制。5.2.2网络安全
5.2.2.1结构安全
5.2.2.1.1检测方式
访谈,检查。
5.2.2.1.2检测对象
系统设计验收文档、相关服务管理流程文档,系统管理文档,系统安全策路,系统拓扑图,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.2.1.3检测实施
)应访谈系统管理员,并查看系统设计/验收文档、系统拓扑图、网络和业务运营商提供的其他文档:检查和验证是否绘制与当前运行情况相符的系统拓扑结构图:b)应访谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否根据服务的特点,系统的带宽和处埋能力是否满足高峰期流量需求,检查系统设计是否合理:c)应访谈系统管理员,片查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否根据各部门的工作职能,重要性和所涉及信息的重要程度等因素划分子网和网段,网段规划是否按照统的管理和控制原则进行。5.2.2.2访问控制
5.2.2.2.1检测方式
YD/T1759-2008
访谈、检查。
5.2.2.2.2检测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,设备理配置记录,故障告警记录,网络和业务运营商据供的其他文档、系统及相关设备等。5.2.2.2.3检测实施
a)应访谈系统管理员,并查看系统设计验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,捡查和验证在网络边界是否部署访问控制设备,启用访问控制功能。b)成访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否能根错会话状态信息为数据流提供明确的允许拒绝访的能力,验证控制粒度是否达到网段级别。c)应访谈系统管理员,并查看系统设计验收文档,相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文挡,检查和验证按照用户和系统之问的允许访问规则,是否能进行允许或拒绝用户对受控系统进行资源访问,控制粒度是否达到单个用户。d)应访谈系统管理员,并查看系统设计/验收文档、相关服务管理流程、系统安金策略、网络和业务运营商提供的其他文档,检查租验证是否限制具有搬号访问权限的用户数量。5.2.2.3安全审计
5.2.2.3.1检测方式
访谈、检香。
5.2.2.3.2拉测对象
系统设计验收文档,相关服务管理流程文档,系统管理文档,系统安全策略,安全审计记录,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.2.3.3检测实施
a)应访谈系统管理员,开查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证对网络系统中的网络设备运行状况、网络流量、用户行为等是否进行日志记录:
b)应访谈系统管理员,并查看系统设计/验收文挡、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查审计记录是否包括事件的日期和时间、用广、毕件类型。事件是否成功及其他与审计相关的信息。
5.2.2.4入侵防范
5.2.2.4.1检测方式
访谈、检查。
5.2.2.4.2检测对象
系统设计/验收文档,相关服务管理流程文档,系统管理文档,系统安全策略、设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档、系统及相关设备等。5.2.2.4.3检测实施
a)应访谈系统管理员,并查着系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商提供的其他文档,检查和验证是否在网络边界处对发的端口扫描、强力攻击、木马后门攻击、8
-TT KAON KAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。