YD_T 3796-2020 基于云计算的业务安全风险解决方案技术要求.docx

ICS 35.240.01 M67 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3796—2020 基于云计算的业务安全风险解决方案 技术要求 Technical requirements of the business security risk solutions for cloud computing 2020-12-09发布 2021-01-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3796—2020 目 次 前言 Ⅱ 1 范围 1 2 术语和定义 1 3 业务安全解决方案适用场景 1 4 业务安全解决方案等级划分 2 5 业务安全解决方案技术要求 2 5.1 服务模式要求 2 5.2 技术能力要求 2 5.3 安全管理要求 3 附录A(规范性附录)内容安全解决方案技术能力要求 4 附录B(规范性附录)交易欺诈安全解决方案技术能力要求 10 附录C(规范性附录)信贷欺诈安全解决方案技术能力要求 14 附录D(规范性附录)营销欺诈安全解决方案技术能力要求 17 附录E(规范性附录)钓鱼欺诈安全解决方案技术能力要求 20 Ⅱ YD/T 3796—2020 前 言 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、深圳市腾讯计算机系统有限公司、郑州金惠计算机系统工 程有限公司、北京致心科技有限公司、京东云计算(北京)有限公司。 本标准主要起草人：栗蔚、何友斌、王永霞、张雷、王凤帆、李玮、梁亮、王鹤林、宋文娣。 YD/T 3796—2020 基于云计算的业务安全风险解决方案技术要求 1 范围 本标准规定了业务安全解决方案的功能要求、性能要求、自身安全功能要求，并提供了相应的测试 评估方法。 本标准适用于云服务商和云服务商的业务安全解决方案，其在功能设计、产品研制、能力评估等方 面均可参照此标准。 2 术语和定义 下列术语和定义适用于本标准 2.1 云计算 cloud computing 网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 2.2 业务安全风险 business security risk 业务正常逻辑面临的被滥用或篡改的威胁，导致的业务目的与业务结果产生的不确定性，包含但不 限于金融欺诈、账户盗刷、内容违规等。 2.3 云计算厂商 cloud serviceprovider 供应方。 注：云计算厂商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。 2.4 业务安全解决方案 business security risk solutions 协助业务防范业务安全风险和减少损失的产品。 3 业务安全解决方案适用场景 本标准对内容安全、交易欺诈、信贷欺诈、营销欺诈和钓鱼五类业务安全场景的风险控制要求进行 2 YD/T 3796—2020 了规定。基于云计算的业务安全风险解决方案，应最少能够提供一个业务场景的安全风险防范。 4 业务安全解决方案等级划分 根据业务安全解决方案的功能、性能、自身安全功能和安全保障要求的不同，将业务安全解决方案 分为两个等级：基础级和增强级。 基础级的业务安全解决方案，应能够具备常见业务安全风险的防范。 增强级的业务安全解决方案，除具备基础级的全部功能以外，还应风险识别范围更加全面，风控效 果更加有效等。 5 业务安全解决方案技术要求 5.1 服务模式要求 基础要求包括： a) 应支持SaaS 服务； b) 应支持本地化部署。 增强要求包括： 应支持本地集群化部署。 5.2 技术能力要求 5.2.1 内容安全解决方案技术能力要求 详见附录 A。 5.2.2 交易欺诈安全解决方案技术能力要求 详见附录 B。 5.2.3 信贷欺诈安全解决方案技术能力要求 详见附录C。 5.2.4 营销欺诈安全解决方案技术能力要求 详见附录 D。 5.2.5 钓鱼欺诈安全解决方案技术能力要求 详见附录E。 3 YD/T 3796—2020 5.3 安全管理要求 5.3.1 日志管理 基础要求 a) 应对相关安全事件生成安全日志，包括但不限于： 1) 登录成功和退出、登录失败； 2) 重启； 3) 鉴别连续尝试不成功的次数超出了设定的限值； 4) 增加、删除管理员角色和对管理员角色的属性进行修改的操作； 5) 对上述审计事件的备份和删除； 6) 升级； 7) 检测操作。 b) 每一