1、les35.110M11YO中华人民共和国通信行业标准YDrr1737-2009代替VDIT1737吃008互联网安全防护检测要求Securityprotectiontestrequirementsforinternet2009-12-11发布2010-01-01实施中华人民共和国工业和信息化部发布电话:82054513 h t t p :/w w w .p t s n .n e t .c nyorr1737-2009目次前言.咀1范围.2规范性引用文件.3术语和定义.4缩略语.35互联网安全防护检测概述.45.1互联网安全防护检测范围.45.2互联网安全防护检测对象.45.3互联网安全防护检
2、测内容.45.4互联网安全防护检测结果判定.46互联网安全等级保护检测要求.56.1概述56.2第1级要求.56.3第2级要求.56.4第3.1级要求.146.5第3.2级要求.196.6第4级要求.196.7第5级要求.197互联网安全风险评估检测要求.197.1安全风险评估范围.四7.2安全风险评估内容.207.3安全风险评估要素.207.4安全风险评估赋值原则.217.5安全风险评估赋值计算方法n7.6安全风险评估文件类型.227.7安全风险评估文件记录238互联网灾难备份及恢复检测要求.238.1第1级要求.238.2第2级要求.238.3第3.1级要求.258.4第3.2级要求.27
3、8.5第4级要求.I电话:82054513 h t t p :/w w w .p t s n .n e t .c nYD厅1737-2009目IJ言本标准是电信网和互联网安全防护体系系列标准之一。该系列标准预计结构及名称如下:1.电信网和互联网安全防护管理指南2.电信网和互联网安全等级保护实施指南3.电信网和互联网安全风险评估实施指南4.电信网和互联网灾难备份及恢复实施指南5.互联网安全防护要求6.移动通信网安全防护要求7.互联网安全防护要求8.增值业务网一消息网安全防护要求9.(增值业务网一智能网安全防护要求10.(接入网安全防护要求11.(传送网安全防护要求12.(IP承载网安全防护要求1
4、3.信令网安全防护要求14.(同步网安全防护要求15.支撑网安全防护要求16.非核心生产单元安全防护要求17.电信网和互联网物理环境安全等级保护要求18.电信网和互联网管理安全等级保护要求19.固定网安全防护检测要求20.移动通信网安全防护检测要求21.互联网安全防护检测要求(本标准)22.增值业务网一消息网安全防护检测要求23.增值业务网一智能网安全防护检测要求24.接入网安全防护检测要求25.传送网安全防护检测要求26.IP承载网安全防护检测要求27.信令网安全防护检测要求28.同步网安全防护检测要求29.支撑网安全防护检测要求30.非核心生产单元安全防护检测要求31.电信网和互联网物理环
5、境安全防护检测要求32.电信网和互联网管理安全检测要求E电话:82054513 h t t p :/w w w .p t s n .n e t .c nyorr1737-200933.域名系统安全防护要求34.域名系统安全防护检测要求35.网上营业厅安全防护要求36.网上营业厅安全防护检测要求本标准与YDfT1736-2009互联网安全防护要求(修订YDfT1736-2008互联网安全防护要求)配套使用。本标准是YD.厅1737-2008互联网安全防护检测要求的修订版本。本标准与YD厅1737-2008的主要差异在于:1.本标准的第2章规范性引用文件中补充和更新了标准正文中引用的规范文件。2.
6、本标准的第4章缩略语中补充和更新了标准正文中适用的缩略语。3.本标准的第5章互联网安全防护检测概述中增加了互联网安全防护检测内容相关业务及应用系统安全检测要求的内容和相应检测结果计算比重的说明。4.本标准的第6章互联网安全等级保护检测要求中修改和补充了安全等级保护相关检测要求和内容,主要涉及6.3节、6.4节。其中,业务及应用安全检测要求部分增加了互联网虚拟专用网服务相关内容,主要涉及6.3.1.6节、6.4.1.6节:增加了业务及应用系统安全检测要求相关内容,主要涉及6.3.2节、6.4.2节:修改了设备安全要求相关内容,主要涉及6.3.3.2节、6.4.3.2节:增力日了物理环境安全检测要
7、求的相关内容,主要涉及6.3.4节、6.4.4节;删除了移动互联网信息服务安全要求相关内容,主要涉及原6.3.1.7节、原6.4.1.7节。5.本标准的第7章互联网安全风险评估中增加了安全风险评估要素相关环境和设施类资产的检测要求,主要涉及7.3节。随着电信网和直联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。本标准主要起草人:杨剑锋、杨洋、田慧蓉、冀晖、刘楠、白海龙。本标准于28年1月首次发布,本次为第一次修订。皿电话:820
8、54513 h t t p :/w w w .p t s n .n e t .c nVOlT1737-2009互联网安全防护检测要求1范围本标准规定了互联网业务及应用系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用于互联网业务及应用系统。2规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBfT5271.8-2001信息技术词汇第8部
9、分z安全YD厅1736-2009互联网安全防护要求YD厅1743-28接入网安全防护检测要求YDfT1745-29传送网安全防护检测要求YDfT1747-2008IP承载网安全防护检测要求YD.厅1755-28电信网和互联网物理环境安全等级保护检测要求YD厅1757-28电信网和互联网管理安全等级保护检测要求YDfT2053-29域名系统安全防护检测要求3术语和定义GBfT5271.82001确立的术语和定义,以及下列术语和定义适用于本标准。3.1.1互联网相关系统systems of Internet组成互联网的相关系统,包括接入网、传送网和P承载网等。其中,接入网包括各种有线、无线和卫星接
10、入网等,传送网包括光缆、波分、SDH和卫星等。3.1.2互联网安全等级security classification of Internet互联网及相关系统重要程度的表征。重要程度从互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.3互联网安全等级保护classified security protection of Internet对互联网及相关系统分等级实施安全保护。3.1.4互联网安全检测security testing of Internet电话:82054513 h t t p :/w w w .p t s n .n e
11、t .c nYD厅1737-2009对互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.1.5组织organization由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.1.6互联网安全风险security riskofInternet人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.1.7互联网安全风险评估security risk assessment of Internet运用科学的方法和手段,系统地分析互联网及相关
12、系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供科学依据。3.1.8互联网资产asset of Internet互联网及相关系统中具有价值的资源,是安全防护体系保护的对象。互联网及相关系统中的资产可能以多种形式存在,如无形的和有形的或硬件和软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如E承载网中的路由器、传送网的网络布局。3.1.9互联网资产价值asset valueo
13、fInternet互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.1.10互联网威胁threatofInternet可能导致对互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.11互联网脆弱性vulnerability of Internet互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对互联网资产造成危害,但可能被互联网威胁所利用从而危及互联网资产的安全。3.1.12互联网灾难disaster of Internet由于各种原因,造成互联网及相关系统故障或瘫痪,使互
14、联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。2电话:82054513 h t t p :/w w w .p t s n .n e t .c nVOlT1737-20093.1.13互联网灾难备份backupfordisasterrecovery of Internet为了互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.1.14互联网灾难恢复disasterrecove叩。fInternet为了将互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和
15、流程。3.1.15访谈interview检测人员通过与有关人员(个人/群体进行交流、讨论等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16检查examination检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.17测试testing检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开
16、展情况的一种方法。4缩略语下列缩略语适用于本标准。ASPApplication ServiceProvider应用服务提供商DDoSDis国butedDenialofService分布式拒绝服务DoSDenialofService拒绝服务DNSDomain Name System域名系统FfPFile TransferProt01文件传输协议HTTPHyper Text TransferProtocol超文本传输协议rcpInternet ContentProvider互联网内容提供商IDCInternet Data Center互联网数据中心EInternetProtocol网际协议POP3
17、Post OfficeProtocolv3邮政代理协议第3版SIPSessionInitiationProtocol会话初始化协议SMTPSimpleMail TransferProtocol简单邮件传输协议VPNV让阳alPrivate Network虚拟专用网WAPWireless ApplicationProt01无线应用协议3电话:82054513 h t t p :/w w w .p t s n .n e t .c nYO,厅1737-20095互联网安全防护检测概述5.1互联网安全防护检测范围互联网安全防护检测范围是我国具有管辖权的互联网业务及应用系统、以及亘联网相关系统.根据四厅
18、1736-28.本标准主要对互联网业务及应用系统的安全等级保护、安全风险评估、灾难备份及恢复等工作的实施进行检测.接入网安全防护检测的具体要求见YD厅1743-28.传送网安全防护检测的具体要求见YD厅1745-2则.IP承载网安全防护检测的具体要求见四厅1747吃棚。互联网安全等级保护的检测范围确定以后,安全风险评估的检测范围、灾难备份及恢复的检测范围应与安全等级保护的检测范围相一致。5.2互联网安全防护检测对氯互联网业务及应用系统的安全防护检测对象是各个互联网业务及应用系统。应按照检测对象拥有者的不同,分别对其所拥有的相应检测对象进行安全防护检测。5.3互联网安全防护检测内容与互联网安全防
19、护要求相对应,亘联网安全防护检测内容主要包括以下3个部分z一一互联网安全等级保护检测主要包括业务及应用安全检测、业务及应用系统安全检测、设备安全检测、物理环境安全检测、管理安全检测等:一一互联网安全风险评估检测主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值检测、安全风险评估计算检测、安全风险评估文件类型检测、安全风险评估文件记录检测等:一一互联网灾难备份及恢复检测主要包括冗余系统、冗余设备及冗余链路检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测、灾难恢复预案检测等。5.4互联网安全防护检测结果判定互联网安全防护检测包括对互联网的安全
20、等级保护、安全风险评估和灾难备份及恢复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足.对每一部分中的每一个检测项,应根据具体实施情况进行等级化评价分很好、较好、一般、较差、很差5级).参照表1将各检测项的评价等级换算成评分,各检测项的分数经过一定的算法(例如加权平均分别得到安全等级保护、安全风险评估和灾难备份及恢复3个部分的总分数,根据总分数可分别对互联网的安全等级保护、安全风险评估和灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系见表2.在计算总分数的过程中,应充分考虑到各检测项在安全防护
21、检测要求中所占的比重,例如表3给出了互联网业务及应用系统安全等级保护各检测子类所占的比重.互联网安全防护检测的结果还应充分考虑到各相关系统的检测结果.褒1测试项评分方法评价结果.1茅分咱飞旭、Z实施很好5实施较好44电话:82054513 h t t p :/w w w .p t s n .n e t .c nyorr1737-2009囊1(续11.评价结果评分实施-.ft3实施较差2实施很差表2总分戴和评定等级的关系总分数x1评定等级4.5运x5很好3.5运x4.5较好2.5运x3.5一般1.5:;x2.5较差1:三x1.5很差表3互联网业务及应用系统安全等级保护检测子类所占比重比重(%)子
22、类25业务及应用安全15业务及应用系统安全5设备安全15物理环境安全40管理安全6互联网安全等级保妒检测要求6.1概述本标准主要对互联网业务及应用系统提出安全防护检测要求。目前我国(国内)互联网业务主要包括互联网域名服务、互联网数据中心、直联网接入服务、互联网信息服务(如互联网信息浏览和发布服务、互联网电子邮件服务、互联网用户间通信服务)、互联网虚拟专用网服务、在线数据处理与交易处理等。随着互联网业务及应用的发展,本标准将不断补充完善。对互联网业务及应用安全进行检测时,可根据检测对象提供的业务及应用进行相应检测,未提供的应用不做检测要求。6.2第1级要求不作要求。6.3第2级要求6.3.1业务
23、及应用安全检测要求6.3.1.1通用安全检测要求6.3.1.1.1检测方式访谈,检查,测试。6.3.1.1.2检测对象互联网业务及应用平台以及系统相关设备,业务设计/验收文档,相关业务及应用管理流程文档,系统管理文档,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档。6.3.1.1.3检测实施5电话:82054513 h t t p :/w w w .p t s n .n e t .c nYO厅1737-2009a)应访谈相关技术和管理人员,询问在保护用户隐私、不泄露用户相关信息方面是否存在相应机制,检查验证业务提供、控制与管理过程是否能保护用户隐私,不泄漏用户相关敏感信息:b)
24、应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务控制与管理相关身份鉴别、标识唯一性检查、鉴别信息复杂度检查、登录失败处理等功能技术手段及有关措施启用、实施情况,检查或测试验证是否能保证系统中不存在重复用户身份标识,身份鉴别信息是否不易被冒用,对登录控制和管理功能进行测试,验证是否根据安全策略对登录失败采取了结束会话、限制非法登录次数和自动退出等措施:c)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证业务控制与管理是否严格限制默认账号的权限,各账号是否依据最小授权原则授予为完成各自承担任务所需的权限,按安全策略要
25、求控制对文件、数据库表等内容的访问:d)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务相关管理和配置记录、告警记录、网络和业务运营商提供的其他文档,检查验证系统访问控制策略是否由授权主体配置:e)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务控制与管理是否提供覆盖到每个账号的安全审计功能,对审计功能和审计记录进行测试,验证是否保证无法删除、修改或覆盖审计记录:f)应访谈相关技术人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、相关审计记录,访谈审计相关工作流程、审计文件及结果记录要求,检查验证业务相关审计记录的内容是否
26、至少包括事件日期、时间、发起者信息、类型、描述和结果等:g)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证对业务管理和控制是否符合国家、企业的其他相关规定及要求。6.3.1.2互联网域名服务安全检测要求应按照yo.厅2053-2009域名系统安全防护检测要求第2级的要求进行检测。6.3.1.3互联网数据中心安全检测要求6.3.1.3.1检测方式访谈,检查,测试。6.3.1.3.2检测对象互联网数据中心设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统、设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。
27、6.3.1.3.3检测实施应按照6.3.1.1节和本节的要求进行检测:a)应访谈相关技术和管理人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,询问是否有硬件、软件、数据以及应用的授权访问控制机制,检查验证用户信息、数据是否提供严格的本地访问控制机制,验证是否能保证业务信息、数据授权访问:b)对于ASP类!DC业务(如应用业务出租、内容制作和包装服务),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否具备为用户提供信息和数据安全保护(如发布信息检查、内容过滤和屏蔽)的技术支撑能力,测试验证相关信息和数据安全保护手段的效果:
28、6电话:82054513 h t t p :/w w w .p t s n .n e t .c nYOIT1737-2009c)对于附加增值服务类IDC业务(如业务质量和流量监测、附加安全增值服务),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否提供专门的用户信息保护措施(如加密机制)保护用户相关信息和数据的安全性:d)应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否记录并留存业务控制和管理相关的日志信息(如登录和登出时间、用户名称、登录账号、使用的地址和端口等),检查验证相关
29、日志记录信息保留一定期限(至少60天);e)对于提供的ASP类IDC业务(如邮件业务平台出租、Web务平台出租),应访谈相关技术人员,查看数据中心业务设计/验收文档、业务安全策略、业务管理和配置文档,按本标准相关业务的检测要求进行检查和测试,验证相关业务是否符合YD厅1736-29互联网安全防护要求有关的业务及应用安全的要求:f)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安全要求。6.3.1.4互联网接入服务安全检测要求6.3.1.4.1检测方式访谈,检查,测试。6.3.
30、1.4.2检测对象互联网接入服务平台设计/验收文档,相关服务和应用管理流程文档,运维管理文档,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。6.3.1.4.3检测实施应按照6.3.1.1节和本节的要求进行检测za)应访谈相关技术人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证是否能提供有效可靠的用户接入、认真、授权和计费机制:b)应访谈相关技术和管理人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查验证在网络和业务运营商管辖网络内,是否具各提供业务管理、控制相关信息的溯源能力(如记录用户设
31、备地址和账号相关分配信息、记录用户登录/登出时间、记录用户地址转换相关信息),测试验证相关信息溯源安全手段的效果:c)应访谈相关技术人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档,检查或测试验证在网络和业务运营商管辖网络内,是否采取有效技术手段保证用户数据包的真实性:d)应访谈相关技术和管理人员,查看接入服务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否记录用户业务相关日志(如用户接入时间和时长、用户账号、使用的地址和端口、主叫号码等),检查验证相关日志记录信息保留一定期限(至少60天);e)应访谈相关技术和管理人员,查看业务设计/验收文档、
32、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安全要求。6.3.1.5互联网信息服务安全检测要求6.3.1.5.1检测方式访谈,检查,测试。6.3.1.5.2检测对象7电话:82054513 h t t p :/w w w .p t s n .n e t .c nYD厅1737-2009互联网信息服务业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统和设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。6.3.1.5.3检测实施应按照6.3.1.1节和本节的要求进行检测:a)
33、应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档、相关设备及日志记录,检查核对系统相关日志记录是否出现过相关数据和页面被篡改和破坏的情况,检查或测试验证保护业务相关信息的安全手段是否能有效保护和避免相关数据和页面被篡改和破坏:b)应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证业务相关页面是否禁止了不必要的内嵌网络服务,测试验证是否禁止在用户端自动安装恶意软f牛:c)对于提供信息服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否公众发布过程中有害信息(如
34、各类文本、图像、音频、视频等)进行有效监控、屏蔽和过滤的相关手段,检查或测试验证有关技术手段阻止有害信息通过业务网络向公众传播的效果:d)对于提供电子邮件服务的平台,j应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证业务平台是否按照相关规定要求,提供相应的安全措施(如垃圾邮件防范和过滤等)保证用户邮件业务的正常,检查或测试验证有关垃圾邮件防范和过滤的技术手段的效果:e)对于提供网络存储和转发的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查业务平台是否启用相关安全手段和措施,检查或测试验证是否对用户上
35、传、下载等操作行为进行监控,防止用户的非授权的读写操作,检查或测试验证是否能拒绝来自未被允许的地址、用户名、子网域的操作请求,检查或测试验证是否能够对单个地址(地址段)、用户名、子网域的连接数量和连接频率进行限制,检查或测试验证安全技术保护措施是否能抵御各类常见的恶意攻击:f)对于提供互联网短消息服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查并通过技术手段测测试验证是否能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的短信息:g)对于提供用户间通信服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管
36、理和配置文档,检查验证是否提供必要的保护措施(如加密机制)保护用户间通信数据的机密性和完整性:h)对于提供内容推送服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否能对各类无效连接/请求进行有效管理,检查或测试验证对核心服务器的相关资源是否能有效保护或隔离:D对于提供内容推送服务的平台,应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否能对各边缘/缓存服务器进行实时监测和管理,检查验证对平台内、外部相关的端到端性能是否进行实时监测:8电话:82054513 h t t p :/w w w
37、 .p t s n .n e t .c nVDIT1737-2009j)应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否建立有害信息检查机制和投诉处理机制:k)应访谈相关技术人员,查看信息服务业务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查验证是否记录并留存业务控制和管理相关的日志信息,检查或测试验证是否记录用户发布信息、浏览信息、评论、邮件收发、文件上传和下载等相关日志信息(如操作内容、操作时间、使用的网络地址或者域名、操作等),检查验证相关日志记录信息保留一定期限(至少60天);1)应访谈相关技术和管理人员,查看业务设计
38、/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安全要求。6.3.1.6互联网虚拟专用网服务安全检测要求6.3.1.6.1检测方式访谈,检查,测试。6.3.1.6.2检测对象互联网虚拟专用网业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,系统、设备管理配置记录,业务告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。6.3.1.6.3检测实施应按照6.3.1. 1节和本节的要求进行检测:a)应访谈相关技术人员,查看虚拟专用网业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否
39、提供严格的用户信息、数据访问控制机制,保证用户数据的受控访问:b)应访谈相关技术人员,查看虚拟专用网业务设计/验收文档、业务安全策略、业务管理和配置文档、系统和设备管理配置记录,检查是否能提供有效可靠的用户数据信息安全保护措施和机制(如逻辑隔离、数据加密),检查或测试验证相关安全保护措施和机制是否能保证用户数据机密性和完整性:c)应访谈相关技术和管理人员,查看虚拟专用网业务设计/验收文档、业务安全策略、业务管理和配置文档、业务告警记录,检查验证是否具备有效的业务管理和控制手段及措施(如用户数据流向识别、用户业务行为分析等技术手段),检查或测试验证在必要的情况下对VPN内用户相关业务进行管理和控
40、制相关手段的效果:d)应访谈相关技术和管理人员,查看虚拟专用网业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家、行业和企业相关标准的业务安全要求。6.3.1.7在线数据处理与交易处理安全检测要求6.3.1.7.1检测方式访谈,检查,测试。6.3.1.7.2检测对象互联网在线数据处理于交易处理业务设计/验收文档,相关服务和应用管理流程文档,业务管理文档,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档,相关设备及日志记录等。6.3.1.7.3检测实施应按照6.3.1.1节和本节的要求进行检测:9电话:82054513 h
41、 t t p :/w w w .p t s n .n e t .c nYD厅1737-2009a)应访谈相关技术人员,查看在线数据处理于交易处理业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否提供可靠的用户接入认证与授权机制,检查或测试验证相关认证于授权手段是否能有效保证业务相关用户的合法性以及业务本身的安全性;b)应访谈相关技术人员,查看在线数据处理于交易处理业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证是否利用密码技术进行业务会话初始化验证,是否采用校验码技术保证通信过程中数据的完整性,是否对通信过程中的敏感信息进行加密:c)应访谈相关技术人员,查看在线数
42、据处理于交易处理业务设计/验收文档、业务安全策略、业务管理和配置文档、系统日志,检查或测试验证是否能够记录用户业务日志(如详细的交易事件信息、操作步骤、时间等),检查验证相关日志记录信息保留一定期限(至少60天);d)应访谈相关技术人员,查看在线数据处理于交易处理业务设计/验收文档、业务安全策略、业务管理和配置文档,检查验证业务相关数据是否定期进行备份,并按照有关要求对备份数据进行有效性验证,检查或测试验证重要业务数据是否加密存储,保证业务数据的安全:e)应访谈相关技术和管理人员,查看业务设计/验收文档、业务安全策略、业务管理和配置文档、网络和业务运营商提供的其他文档,检查验证业务实现是否国家
43、、行业和企业相关标准的业务安全要求。6.3.2业务及应用系统安全检测要求6.3.2.1检测方式访谈,检查,测试。6.3.2.2检测对象互联网业务及应用系统及相关设备,系统设计/验收文档,系统相关管理文档,设备管理配置记录,故障告警记录,网络和业务运营商提供的其他文档。6.3.2.3检测实施a)应访谈相关技术人员,查看系统设计/验收文档、网络和业务运营商提供的其他文档,检查验证是否绘制与当前运行情况相符的系统拓扑结构图:b)应访谈相关技术人员,查看系统设计/验收文档、系统管理和配置文档,检查是否根据应用和服务的特点,在满足高峰期流量需求的基础上,合理设计系统带宽,检查或测试验证系统是否能满足高峰
44、期流量的冲击:c)应访谈相关技术人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档、网络和业务运营商提供的其他文档,检查验证是否根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网段,检查验证相关设备是否依照功能划分及其重要性等因素分区部署:d)应访谈相关技术人员,查看系统设计/验收文档、系统安全策略、系统及设备管理和配置文档,检查验证是否在系统边界部署访问控制设备,并启用访问控制功能,检查或通过技术手段测试验证是否能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力:e)应访谈相关技术和管理人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档、审计记
45、录/报告,访谈对系统管理用户是否有有效的身份标识和鉴别措施,检查验证系统相关用户标识(用户名)是否具有唯一性且不易被冒用,检查验证相关用户口令长度(是否均不小于8字节)、口令复杂度(是否使用大写字母、小写字母、数字、标点及特殊字符4种字符中至少3种的组合且与用户名或B无相关性)、口令更新频率(更新周期是否不大于90天)等相关要求,检查验证是否部署和应用相关技术保10电话:82054513 h t t p :/w w w .p t s n .n e t .c nVDIT1737-2009障手段(如口令统一管理相关技术措施),并测试相关口令策略和安全要求落实和执行情况,测试验证口令安全相关技术保障
46、手段的效果:f)应访谈相关技术人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档、网络和业务运营商提供的其他文档,检查验证是否按系统管理用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,检查或通过技术手段测试验证系统访问控制粒度是否为单个用户:g)应访谈相关技术和管理人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档、系统日志,检查验证是否对系统中的重要设备运行状况、网络流量、系统管理及维护等进行日志记录,检查验证系统相关日志记录是否保留一定期限(至少180天);h)应访谈相关技术和管理人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档
47、、审计记录/报告,检查或测试验证审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息:D应访谈相关技术人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档,检查验证是否部署攻击、入侵防护的相关技术措施和手段,检查或通过技术手段验证相关系统对在边界处发生的各类攻击和入侵是否能有效的抵御和防范,测试验证类型包括但不限于端口扫描、强力攻击、木马后门攻击、DoSIDDoS攻击、缓冲区溢出攻击、E碎片攻击和网络蠕虫攻击等:j)对于互联网数据中心业务相关内部网络,应访谈相关技术人员,查看系统设计/验收文档、系统安全策略、系统管理和配置文档、设备故障及告警记录、网络
48、和业务运营商提供的其他文档,检查是否具备有效的安全防护技术手段(如防火墙、入侵检测、漏洞扫描)保护IDC内部网络安全,检查或测试验证相关技术手段及措施是否能有效抵御和防范各类常见攻击:k)应访谈相关技术和管理人员,查看系统设计/验收文档、系统告警即故障记录、系统相关日志记录,检查核对系统累计岩机时间是否不超过8.76h/y,验证系统可靠性是否达到99.9%以上。6.3.3设备安全检测要求6.3.3.1电信设备安全检测要求6.3.3.1.1检测方式访谈,检查,测试。6.3.3.1.2检测对象互联网业务及应用系统相关设备,设备安全检测报告,网络设备检测报告、入网证,网络和业务运营商提供的其他文档。
49、6.3.3.1.3检测实施a)应访谈相关技术人员和管理人员,查看设备入网检测报告、设备入网证、安全检测报告、网络和业务运营商提供的其他文档,检查构建相关业务及应用系统内部网络结构的数据网络设备是否进行有效的安全检测,检查验证相关安全检测是否符合网络和业务运营商相关设备的要求:b)应访谈相关技术人员和管理人员,查看设备入网检测报告、设备入网证、安全检测报告、网络和业务运营商提供的其他文档,检查业务及应用系统相关设备的安全是否满足相应设备技术规范、设备安全要求等行业标准的有关规定:c)应访谈相关技术和管理人员,查看相关设备安全策略、设备管理和配置文档、设备审计记录/报告,访谈对设备相关用户是否有有
50、效的身份标识和鉴别措施,检查验证用户标识(用户名是否具有唯一性11电话:82054513 h t t p :/w w w .p t s n .n e t .c nYO厅1737-2009且有有效的权限管理措施,检查或测试验证相关用户口令长度(是否均不小于8字节、口令复杂度、口令更新频率等相关要求,检查验证相关口令策略和安全要求是否有效落实和执行:d)应访谈相关技术人员和管理人员,查看网络设备入网检测报告、设备入网证、安全检测报告、网络和业务运营商提供的其他文档,检查系统相关网络设备是否进行有效的入网检测,验证是否符合设备入网管理相关要求的规定。6.3.3.2通用设备安全要求6.3.3.2.1检
