YD_T 2243-2011电信网和互联网信息服务业务系统安全防护要求.pdf

1CS 33.040.01M10YD中华人民共和国通信行业标准YD/T 2243-2011电信网和互联网信息服务业务系统安全防护要求Security protection requirements for information service systemof telecom network and internet2011-06-01 发布2011-06-01实施中华人民共和国工业和信息化部发布 YD/T 2243-2011目次1　范围·2 规范性引用文件3术语、定义和缩略语·3.1术语和定义3.2缩略语·4信息服务业务系统安全防护概述·4.1信息服务业务系统安全防护范围4.2信息服务业务系统安全防护内容·5信息服务业务系统定级对象和安全等级确定6信息服务业务系统资产、脆弱性、威胁分析·6.1资产分析6.2脆弱性分析6.3威胁分析··7信息服务业务系统安全等级保护要求·7.1第1 级要求*·7.2第2级要求·7.3第3.1级要求7.4第3.2级要求.137.5第4级要求7.6　第 5 级要求·8信息服务业务系统灾难备份及恢复要求8.1信息服务业务系统灾难备份及恢复等级要求138.2 第 1 级要求·:138.3第 2级要求.*138.4第 3.1 级要求8.5第3.2级要求148.6　第 4 级要求··.148.7第 5 级要求··参考文献 YD/T 2243-20117.1.5管理安全应满足YD/T1756-2008中第4.1节要求（第1级要求）。7.2第 2级要求7.2.1业务及应用安全通用要求.1身份鉴别a）应满足.1的要求；b）应提供并启用用户鉴别信息复杂度检查功能，保证身份鉴别信息不易被冒用；c）应采用加密方式存储业务用户的账号和口令信息。.2访问控制a）满足.2的要求；b）应严格限制各用户的访问权限，按安全策略要求控制用户对业务、数据、网络资源等的访问。.3安全审计a）审计范围应覆盖到每个用户的关键操作；b）审计内容应包括对业务用户的重要行为、业务资源使用情况等重要事件；c）应保护审计记录，保证无法删除、修改或覆盖等；d）业务相关审计记录应包括事件日期、时间、发起者信息、类型、描述和结果等。.4资源控制当用户和业务系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。.5信息保护a）业务提供、控制与管理过程应保护用户隐私，不泄漏用户相关敏感信息；b）应保护业务相关信息的安全，避免相关数据和页面被篡改和破坏；应禁止不必要的内嵌网络服务，应禁止在用户端自动安装恶意软件和插件；C）d）应对通信过程中的敏感信息字段进行加密；e）应能对诈骗、虚假广告等信息建立处理机制，防止类似信息的扩散。特定业务相关要求a）提供信息服务的平台不应向公众发布有害信息，应对通过该平台对外发布的公共信息使用自动程序过滤和人工检查结合的方式进行有害信息检查、屏蔽和删除，防止有害信息通过业务网络向公众传播;b）提供电子邮件服务的平台应按照相关规定要求，提供相应的安全措施（如垃圾邮件防范和过滤等）保证用户邮件业务的正常；c）对支持用户上传、下载信息的业务平台，应对用户上传、下载等操作行为进行监控，防止用户的非授权读写操作；d）提供下载服务的平台，应能拒绝来自未被允许的地址、用户名、子网域的操作请求，有效保护或隔离核心服务器相关资源；e）提供下载服务的平台，应能限制单个地址（地址段）、用户名、子网域的连接数量和连接频率，防止资源被过度使用；7 YD/T 2243-2011f）提供信息递送服务的平台，应根据用户需求递送相关信息内容，支持用户对信息的退订；g）提供信息即时交互服务的平台（如即时消息服务、基于互联网的音视频通话服务等），应提供必要的保护措施（如加密机制）保护用户间通信数据的机密性和完整性；h）对以群发方式发送的伪造、隐暨信息发送者真实标记的即时消息，应能够防范、清除；i）信息服务业务平台应记录用户发布信息、评论、邮件收发、文件上传和下载等相关日志信息（如操作内容、操作时间、使用的网络地址或者域名等），并且保留一定期限（至少60天）；j）对业务管理和控制应符合国家、企业的相关规定及要求；k）业务相关其他安全要求见YDN126-2009附录B。7.2.2系统安全结构安全a）应绘制与当前运行情况相符的系统拓扑结构图；b）应根据应用和服务的特点，在满足高峰期流量需求的基础上，合理设计带宽；c）应根据系统内部网络结构特点，按照统一的管理和控制原则划分不同的子网或网段，设备依照功能划分及其重要性等因素分区部署；d）不考虑主动宕机维护的情况，系统年岩机时间不超过8.76h，可靠性应达到99.9%以上。身份鉴别a）应对系统管理用户进行有效的身份标识和鉴别；b）系统管理用户口令长度应不小于8byte，口令应有复杂度要求（使用大写字母