YD_T 3742-2020 互联网新技术新业务安全评估要求 内容分发业务.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3742—2020 互联网新技术新业务安全评估要求 内容分发业务 The requirements of information security evaluation of content distribution service 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3742—2020 目 次 前言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 概述 2 5 内容分发网络服务业务信息安全评估流程 3 5.1 评估准备阶段 3 5.2 组织实施阶段 5 5.3 评估总结阶段 6 6 内容分发网络服务业务信息安全评估方法 7 7 资产评估 8 7.1 指标涵义 8 8 业务信息安全风险研判 9 8.1 业务应用安全 9 8.2 业务平台安全 12 9 业务安全保障能力评估 13 9.1 管理制度 13 9.2 客户管理 14 9.3 业务信息内容管理 16 9.4 业务平台安全管理 17 9.5 信息安全技术手段要求 18 10 安全评估及结果测算 19 10.1 安全分析 19 10.2 资产评估计算 19 10.3 业务信息安全风险研判和企业安全保障能力评估计算 20 10.4 安全值计算 21 Ⅱ YD/T 3742—2020 附录A(资料性附录)计算样例 23 附录B(规范性附录)保密性、完整性、可用性评分说明 33 参考文献 34 Ⅲ YD/T 3742—2020 前 言 本标准是“互联网新技术新业务安全评估”系列标准之一。该标准系列预计结构及名称如下： — 《互联网新技术新业务安全评估指南》; — 《互联网新技术新业务安全评估实施要求》; — 《互联网新技术新业务安全评估要求即时通信业务》; — 《互联网新技术新业务安全评估要求互联网资源协作服务》; — 《互联网新技术新业务安全评估要求大数据技术应用与服务》; — 《互联网新技术新业务安全评估要求内容分发业务》; — 《互联网新技术新业务安全评估要求移动应用商店业务》; — 《互联网新技术新业务安全评估要求信息社区平台业务》; — 《互联网新技术新业务安全评估要求信息搜索查询服务》; — 《互联网新技术新业务安全评估要求信息发布与递送业务》; — 《互联网新技术新业务安全评估第三方服务机构能力认定准则》。 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、网宿科技股份有限公司、华信咨询设计研究院有限公司。 本标准主要起草人：陈慧慧、王建、闫希敏、郭建南、赵光亮、魏薇、张媛媛、邱云翔。 YD/T 3742—2020 互联网新技术新业务安全评估要求内容分发业务 1 范围 本标准规定了对内容分发网络服务业务开展安全风险识别研判、安全保障能力评测判定的相关安全 评估要求。 本标准适用于利用公共互联网(含移动互联网)提供的CDN 内容分发网络服务。本标准所指内容 分发网络业务根据《电信业务分类目录》(2015版), B12 内容分发网络 (CDN) 业务是指利用分布在 不同区域的节点服务器群组成流量分配管理网络平台，为用户提供内容的分散存储和高速缓存，并根据 网络动态流量和负载状况，将内容分发到快速、稳定的缓存服务器上，提高用户内容的访问响应速度和 服务的可用性服务。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 YD/T3169 互联网新技术新业务安全评估指南 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 内容分发网络业务 content delivery networkservice 通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络。 CDN 系 统能实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的 请求重新导向离用户最近的服务节点上，使用户可就近取得所需内容，解决 Internet 网络拥挤的状况， 提高用户访问网