【YD通讯标准】 互联网接入服务系统安全防护要求

ICS33.040
中华人民共和国通信行业标准
YD/T3159-2016
互联网接入服务系统安全防护要求Security protection requirements for the internet service provider system2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部　发布前
1范围
2规范性引用文件·
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4互联网接入服务系统安全防护概述4.1互联网接入服务系统安全防护范围4.2互联网接入服务系统安全风险分析*4.3互联网接入服务系统安全防护内容5互联网接入服务系统安全防护要求5.1
第1级要求*
第2级要求
5.3第3级要求…
5.4第4级要求-
5.5第5级要求*
附录A（规范性附录）互联网接入服务系统风险分析次
YD/T3159-2016
YD/T3159-2016
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称预计如下：《电信网和互联网安全防护管理指南》1
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》3.
《电信网和互联网灾难备份及恢复实施指南）《固定通信网安全防护要求》
《固定通信网安全防护检测要求》6.
《移动通信网安全防护要求》
《移动通信网安全防护检测要求》《互联网安全防护要求》
10.《互联网安全防护检测要求》11.《增值业务网一消息网安全防护要求》12.《增值业务网一消息网安全防护检测要求》13.《增值业务网一智能网安全防护要求》14.《增值业务网一智能网安全防护检测要求》15.《接入网安全防护要求》
16.《接入网安全防护检测要求》17.《传送网安全防护要求》
18.《传送网安全防护检测要求》19.《IP承载网安全防护要求》
20.《IP承载网安全防护检测要求》21.《信令网安全防护要求》
22.《信令网安全防护检测要求》23.《同步网安全防护要求》
24.《同步网安全防护检测要求》25.《支撑网安全防护要求》
26.《支撑网安全防护检测要求》27.《非核心生产单元安全防护要求》28.《非核心生产单元安全防护检测要求》29.《电信网和互联网物理环境安全等级保护要求》30．《电信网和互联网物理环境安全等级保护检测要求》31.《电信网和互联网管理安全等级保护要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
iiiKAoNiKAca
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41．《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求，53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56．《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》63，《互联网接入服务安全防护要求》（本标准）64.《互联网接入服务安全防护检测要求》65.《网络交易安全防护要求》
66.《网络交易安全防护检测要求》67.《邮件系统安全防护要求》
68.《邮件系统安全防护检测要求》69.《公有云服务安全防护要求》70.《公有云服务安全防护检测要求》YD/T3159-2016
TiiKAoNiKAca
YD/T3159-2016
本标准按照GB/T1.1-2009给出的规则起草。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、国家计算机网络应急技术处理协调中心、方正宽带网络服务股份有限公司。
本标准主要起草人：崔涛、魏薇、王昕、李燕伟、张兵
iiKAoi KAca
1范围
互联网接入服务系统安全防护要求YD/T3159-2016
本标准规定了互联网接入服务系统分安全保护等级的安全防护要求，涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。本标准适用于第三方对外提供互联网接入服务的系统，包括认证计费系统、接入服务系统、账务系统、监控系统等。
2规范性引用文件此内容来自标准下载网
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1731-2008
《电信网和互联网灾难备份及恢复实施指南》YD/T1754-2008
YD/T1756-2008
YD/T2698-2014
YD/T2700-2014
YD/T2701-2014
YD/T2703-2014
《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求web应用系统》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
互联网接入服务系统安全等级SecurityClassificationof InternetServiceProviderSystem互联网接入服务系统重要程度的表征。重要程度从互联网接入服务系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
互联网接入服务系统安全等级保护ClassifiedSecurityProtectionof InternetServiceProviderSystem
对互联网接入服务系统分等级实施安全保护。3.1.3
互联网接入服务系统安全风险SecurityRiskofInternetServiceProviderSystem人为或自然的威胁可能利用互联网接入服务系统中存在的脆弱性导致安全事件的发生及造成的影响。
互联网接入服务系统资产AssetofInternetServiceProviderSystem1
HiiKAoNiKAca
YD/T3159-2016
互联网接入服务系统中具有价值的资源，是安全防护体系保护的对象。互联网接入服务系统中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如互联网接入服务系统的相关服务器。3.1.5
互联网接入服务系统威胁ThreatofInternetServiceProviderSystem可能导致对互联网接入服务系统产生危害的不希望事故潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。3.1.6
互联网接入服务系统脆弱性VulnerabilityofInternetServiceProviderSystem互联网接入服务系统的资产中存在的弱点，缺陷与不足，不直接对互联网接入服务系统资产造成危害，但可能被互联网接入服务系统威胁所利用从而危害互联网接入服务系统资产的安全。3.1.7
互联网接入服务系统灾难DisasterofInternetServiceProviderSystem由于各种原因，造成互联网接入服务系统故障或瘫痪，使互联网接入服务系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
互联网接入服务系统灾难备份BackupforDisasterRecoveryofInternetServiceProviderSystem为了互联网接入服务系统灾难恢复而对相关网络要素进行备份的过程。3.1.9
互联网接入服务系统灾难恢复DisasterRecoveryof InternetserviceProviderSystem为了将互联网接入服务系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.2缩略语
下列缩略语适用于本文件。
AsymmetricDigital SubscriberLineDistributed Denial of ServiceDenial of Service
File Transfer Protocol
Hypertext Transport ProtocolInternet Content Provider
Internet ServiceProvider
Internet Protocol
Media Access Control
Post Office Protocol 3
Session Initial Protocol
Simple Mail Transfer ProtocolWireless Fidelity
非对称数字用户线
分布式拒绝服务
拒绝服务
文件传输协议
超文本传送协议
互联网内容服务
互联网接入服务
网际协议
媒体控制协议
邮局协议的第3个版本
会话初始协议
简单文件传输协议
无线保真
HiiKAoNiKAca
4互联网接入服务系统安全防护概述4.1互联网接入服务系统安全防护范围YD/T3159-2016
互联网接入服务（ISP，InternetServiceProvider）系统是指利用接入服务器和相应的软硬件资源建立业务节点，并利用公用电信基础设施将业务节点与互联网骨干网相连接，为各类用户提供接入互联网的服务系统。
互联网接入服务业务主要有两种应用，一是为互联网内容服务（ICP，InternetContentProvider）业务经营者或集团用户提供的接入互联网的服务，目前的主要业务形式是租用专线接入；二是为普通上网用户提供的接入互联网的服务，主要业务形式是用户通过提供的宽带接入互联网，如ADSL接入、光纤接入、无线接入等，互联网接入服务系统如图1所示。ISP系统
认证计费系统
互联网
接入服务系统
账务系统
监控系统
图1互联网接入服务系统示意
提供ISP接入服务的电信业务经营者适用本标准。4.2互联网接入服务系统安全风险分析互联网接入服务系统中的重要资产至少应包括：1）互联网接入服务关键业务系统及操作维护终端：如互联网接入服务中的认证计费系统，接入服务系统、账务系统、监控系统等模块相关服务器、防火墙、数据库和操作维护终端；2）互联网接入服务关键数据：如用户认证信息（登录帐号、密码等）、接入服务信息（地址池信息、IP分配策略等）、用户计费账务信息（用户名称、用户账号、用户地址、入网时间、开启的服务等）等。互联网接入服务系统其他资产可见附录A表A.1对资产的分类及举例。互联网接入服务系统主要为用户接入互联网服务，因此在互联网接入服务系统的认证计费系统、接入服务系统、账务系统、监控系统的功能实现、部署、配置、管理等环节上均可能引入安全脆弱点。互联网接入服务系统的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象应以资产为核心。互联网接入服务系统的脆弱性分析应包括但不限于附录A表A.2所列范围互联网接入服务系统的威根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。互联网接入服务的威胁分析应包括但不限于附录A表A.3所列范围。互联网接入服务系统可能存在的安全脆弱性被利用后会产生很大的安全风险，例如：系统部署防入侵防攻击措施不到位，攻击者可能从外网渗透进内网系统：系统的数据配置操作失误，配置审计，保护措施不到位，信息可能被窃取或者被篡改：认证计费安全机制存在脆弱性，可能出现未认证的用户接入、接入用户计费或账务信息错误等安全事件：防火墙安全措施不到位，可能被DoS或DDoS攻击攻瘫：监控系统覆盖范围不够，无法及时发现和处理安全事件，或者内部人员利用提权篡改监控数据等。这些安全隐患会对互联网接入服务系统的业务正常提供构成安全威胁，甚至进一步威胁基础网络或互联网用户终端的安全。
HiiKAoNi KAca
YD/T3159-2016
4.3互联网接入服务系统安全防护内容互联网接入服务系统的主要功能是为用户提供互联网接入服务，因此保障其互联网接入服务业务系统安全，防止信息被窃取、防止系统被攻击停止服务至关重要。互联网接入服务系统安全防护主要内容包括业务安全、网络安全、设备及软件系统安全、物理环境安全、管理安全等也是安全防护的主要内容。互联网接入服务系统的安全防护内容具体包括：1）业务及应用安全：业务安全包括业务安全保障能力、数据保护及备份等方面的安全要求。2）网络安全：网络安全包括互联网接入服务系统的结构安全、入侵防范、安全监测、容灾备份等方面的安全要求。
3）设备及软件系统安全：设备及软件系统安全包括网络及安全设备防护、身份鉴别、访问控制、安全审计、入侵检测、恶意代码防范、资源控制等方面的安全要求。4）物理环境安全：物理环境安全包括机房物理环境安全与无机房物理环境安全，机房物理环境安全包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、防尘、电力供应、电磁防护等方面的安全要求。5）管理安全：管理安全包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5互联网接入服务系统安全防护要求5.1第1级要求
5.1.1设备及软件系统安全
5.1.1.1网络及安全设备防护
网络及安全设备防护安全应符合以下要求：网络设备的安全基线配置应满足YD/T2698-2014相关要求。5.1.1.2通用主机安全
通用主机设备的安全基线配置应满足相关基线要求。包括：a）操作系统的安全基线配置应满足YD/T2701-2014b）数据库的安全基线配置应满足YD/T2700-2014；c）Web应用系统的安全基线配置应满足YD/T2703-2014等。5.2第2级要求
5.2.1业务安全
5.2.1.1业务安全保障能力
业务安全保障能力应符合以下要求：a）互联网接入服务应保证为用户提供的接入带宽等资源不被超出限额使用b）应保证主要网络设备的业务处理能力具备余空间，满足业务高峰期需要。c）排除外力因素（非本企业可控制的因素），其业务可用性应达到≥99.99%。业务可用性是指用户能够使用本业务的时间占业务全部工作时间的百分数。95%以上的授权用户能够成功使用业务提供商所提供的互联网接入业务，则该业务可用。4
HiiKAoNi KAca
YD/T3159-2016
d）应做到在业务中断后，排除外力因素（非本企业可控制的因素）在可接受的时间范围（业务恢复时间间隔平均≤8h，最长为12h）内恢复业务，且在最大程度上保护业务数据的完整性。应能够向用户提供故障通告以及故障恢复通告。e）不考虑主动宕机维护的情况，可靠性应达到99.9%以上，系统年岩机时间不超过8.76小时。5.2.1.2数据保护及备份
数据保护及备份应符合以下要求：a）业务提供、控制与管理过程应保护用户隐私，不泄漏用户相关敏感信息。b）应保证计费账务数据中关键的信息不被篡改，包括个人账务信息、费率信息、开启套餐服务信息等。
c）关键数据（如认证业务数据、计费账务数据、应用配置数据、管理员操作维护记录、用户信息等）应有必要的容灾备份。
d）数据备份范围和时间间隔、数据恢复能力应满足行业管理、业务运营企业应急预案相关要求5.2.2网络安全
5.2.2.1结构安全
结构安全应符合以下要求：
a）应绘制与当前运行情况相符的系统拓扑结构图。b）应根据应用和服务的特点，设计带宽满足高峰期流量需求。c）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。
d）应根据系统内部网络结构特点，按照统一的管理和控制原则划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。e）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。
f）应记录并保存用户设备的IP地址配置信息（包括静态分配的IP地址和用户名：动态分配的IP地址、使用的用户、分配时间等）。5.2.2.2入侵防范
入侵防范应符合以下要求：
a）应在系统边界处部署防火墙等安全防御设备或技术措施，有效抵御和防范各种攻击。b）应在需要时配合国家主管部门设置流量过滤策略（如过滤DDoS攻击流量等）。5.2.2.3安全监测
安全监测应符合以下要求：
应在系统边界处监测以下攻击行为：端口扫描、暴力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。5.2.2.4容灾备份
容灾备份应符合以下要求：
a）网络设备的重要部件应采用穴余的方式提供保护。b）关键网络设备、重要线路应采用几余的保护方式5
YD/T3159-2016
c）相关网络关键数据（如网络设备配置数据、网络安全设备配置数据、网络管理员操作维护记录等）应有必要的容灾备份。
5.2.3设备及软件系统安全
5.2.3.1网络及安全设备防护
除满足第1级的要求之外，还应满足：a）各类路由器、交换器等网络设备应满足相关行业标准要求，具有进网许可证。b）应定期自检（漏洞扫描、弱口令扫描、基线配置信息等），如对主机的端口、弱口令、安全漏洞进行扫描和发现，对已知业务应用漏洞进行扫描和发现，对已知木马进行扫描和发现，对扫描结果进行分析和提交等，促进业务安全性管理和安全问题的解决。5.2.3.2通用主机安全
除满足第1级的要求之外，还应满足：a）通用主机设备的安全应在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面满足相关设备技术规范、设备安全要求。b）应保护日志记录，避免其受到未预期的删除、修改或覆盖等，保留一定期限（至少180天）。c）应支持防恶意代码的统一管理。d）关键主机设备具备一定的灾难备份和恢复的能力，关键设备、重要部件应采用元余的方式提供保护。
5.2.4物理环境安全
物理环境安全应符合以下要求：应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中的第2级要求，在本标准与企业规范标准、企业具体操作维护规范等文档对相同内容有重复要求时，采取从严原则，应符合最严格的安全要求。
5.2.5管理安全
管理安全应符合以下要求：
a）应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中的第2级要求b）互联网接入服务系统及其所属各类设备、系统应安全防护相关规定定期进行安全风险评估（至少每两年一次），风险评估范围应与互联网接入服务系统安全防护范围一致。C）互联网接入服务系统安全风险评估至少应覆盖网络安全、主机安全，物理环境安全等相关技术风险和人员安全、运维安全等相关管理风险，至少包含互联网接入服务系统相关资产、脆弱性、威胁、安全措施、风险分析等要素和内容，并根据评估结果制定相应的风险处理计划。d）互联网接人服务系统应按照YD/T1731-2008的相关要求制定完整的灾难恢复预案及对应管理制度。
e）互联网接入服务系统应有灾难恢复预案的教育和培训（至少每半年一次），相关人员应了解灾难恢复预案并具有对灾难恢复预案进行实际操作的能力。f）互联网接入服务系统应有灾难恢复预案的演练（至少每年一次），并根据演练结果对灾难恢复预案进行修正。
5.3第3级要求
5.3.1业务安全
5.3.1.1业务安全保障能力
除满足第2级的要求之外，还应满足：YD/T3159-2016
a）应定义业务水平阈值，能够对业务及应用服务水平进行检测，并具备当服务水平降低到预先规定的阈值时进行告警的功能。
b）业务及应用应具备必要的流量负荷分担设计和过负荷保护功能。c）提供重要服务的业务及应用系统应进行系统级备份，以保证其业务连续性。d）应对系统允许的最大并发会话连接数进行限制，应可对特定用户帐号的并发会话数进行限制，应限制系统出口带宽使用率。
e）不考虑主动机维护的情况，可靠性应达到99.95%以上，系统年岩机时间不超过4.38小时。f）应实现对业务相关协议（如HTTP、FTP、Telnet、SMTP、POP3、SIP等）命令级的控制。5.3.1.2数据保护及备份
除满足第2级的要求之外，还应满足：a）应建立对业务及应用全部数据、信息进行备份和恢复的管理和控制机制。b）重要的业务及应用相关数据应进行异址备份。c）应提供数据自动保护功能，当发生故障后应保证系统能够恢复到故障前的业务状态。5.3.2网络安全
5.3.2.1结构安全
与第2级的要求相同。
5.3.2.2入侵防范
除满足第2级的要求之外，还应满足：a）当检测到入侵行为时，应记录攻击源IP、攻击类型、攻击目的地址、攻击时间，在发生严重入侵事件时应提供报警。
b）重要网段应采取技术手段防止地址欺骗（IP地址和MAC地址）。c）在系统边界处应能对恶意代码进行检测和清除，d）网络能有效防止非法接入（如WIFI网络密码可破解导致非法接入）。5.3.2.3安全监测
除满足第2级的要求之外，还应满足：a）应对自身业务重要服务器进行性能监测，包括监测服务器的CPU、硬盘，内存、网络等资源的使用情况。
b）应能够对自身业务服务器、数据库等系统的服务水平设定告警阈值，当监测到服务水平降低到阈值时应能进行告警。
c）应能够对系统中使用的第三方软件、运维软件的已知后门及漏洞进行监测。5.3.2.4容灾备份
除满足第2级的要求之外，还应满足：重要设备、线路应采用热备份的保护方式进行保护。5.3.3设备及软件系统安全
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。