YD_T 2585-2013互联网数据中心安全防护检测要求.pdf

ICS 35.110M 11YD中华人民共和国通信行业标准YD/T2585-2013互联网数据中心安全防护检测要求Security protection testing requirements for internetdata center2013-07-22发布2013-10-01实施中华人民共和国工业和信息化部发布 YD/T作要求。5.1.4中间件安全不作要求。5.1.5安全域边界安全a）查看IDC的交换机、路由器、防火墙等设备，检查相关安全策路及配置：b）技术测试验证利用VLAN划分、IP网段划分、可信任域等划分等方式对IDC内部网络划分安全或的有效性：c）技术测试验证对跨域的访间实施针对访间源MAC地址、源IP地址、端口号等信息的控制策略。5.1.6集中运维安全管控系统安全a）通过技术测试检验IDC集中运维安全管控系统与IDC基础设施的网络隔高是否符合安全策路；b）检查访间控制策略，逐一核对开放管理所必须的服务及端口，避免开放较大的IP地址段及服务；d）检查验证网络管理信息传送的加密；e）检查专用管理接口，检测验证是否对目的地址为设备本身的非管理报文和到数据业务接口报文的控制。5.1.7灾难备份以及恢复不作要求。5.1.8物理环境安全应满足YD/T1755-2008《电信网和互联网物理环境安全等级保护检测要求》中第1级检测要求。5.1.9管理安全应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第1级检测要求。5.2第2级要求5.2.1业务安全除满足5.1.1的要求外，还应该满足以下要求：a）通过技术检测与查看相关合同方式，验证保证互联网数据中心用户业务的安全：b）通过技术检测，模拟黑客攻击，验证IDC对望楼喂安全漏洞攻击监控能力，判断是否能够有效及时发现网络攻击。5.2.2网络安全结构安全应检查验证与当前运行情况一致的网络拓扑结构图（网络拓扑图中信息），访问控制a）检查对互联网与网络单元接口的流量进行监控统计情况：b）检查对网络单元与互联网接口处的网络流量的限制情况。安全审计a）检查网络系统中的关键网络设备运行状况、网络流量、用户行为等的日志记永；b）检查审计记录，记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。5 YD/T2585-20入侵防范a）检查在IDC与互联网的网络边界处对以下攻击行为：端口扫播、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蟠虫攻击等的安全防护效果及相关日志：b）检查实现安全划分的网络边界设各、主机的安全日志是否在本地或外部设备上进行记录、输出、存储，并及时、定期审计安全域边界安全防护设备的日志，日志审计范围应该覆益设备自身操作维护记录，以及设备对外部发起行为的记录，应形成、储存相关的审计文档。网络设备防护a）检查配置，验证登录网络设备的用户进行身份鉴别：b）检查配置网络设备的管理员登录地址进行限制：e）检查配置，验证身份鉴则信息应具有不易被冒用的特点，验证口令应有一定复杂度（长度至少8位，是数字、大写字母、小写字母的组合），检查定期（更换周期小于90天）更换的记录文档：d）检测验证登录失败处理功能，判断是否采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施：e）检测验证对网络设备进行运程管理时，是否采取必要措施防止鉴别信息在网络传输过程中被病听。5.2.3主机安全.身份整别a）检查配置，操作系统和数据库系统管理用户身份标识应具有不易被目用的特点，口令应有一定复杂度（长度至少8位，是数字及字母的组合，并对字母大小写敏感），并定期（更换周期小于90天）更换；b）检查配置，检测验证启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出c)检查配置，检测验证当对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听。访问控制a）检查配置，限制默认账户的访间权限，重命名系统默认账户，是否修改这些账户的默认口令b）检查配置，不存在多余的、过期的账户，避免共享账户的存在。安全审计a）检查验证，审计范围应覆益到主机上的每个操作系统用户和数据库用户；b）检查审计内容应包括重要用户行为、系资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件：e）检查审计记录是否包括事件的日期、时间、类型、主体标识、客体标识和结果等；d）检查审计记录的完整性，避免受到未预期的删除、修改或覆益等。入侵防范检查配置，技术检测（端口扫描），验证操作系统是否遵循最小安装的原则，仅安装需要的组件和应用程序，保持系统补丁及时得到更新。恶意代码防范6 YD/T2585-2013检查Windows类操作系绕是否防恶意代码软件，并是否及时更新了防恶意代码软件版本和恶意代码库。资源控