【YD通讯标准】 互联网数据中心(IDC)信息安全管理系统技术要求

ICS33.040
中华人民共和国通信技术规定
YDN2248-2011
互联网数据中心(IDC)
信息安全管理系统技术要求
Technical standard of information security management system forInternetdatacenter
2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件
术语和定义
缩略语·
基本功能·
5.1系统结构和要求
管理中心端系统功能·
5.3IDC端系统基本功能
性能要求·
数据编码·
互联网IP地址编码·
ICP备案号编码
日期及时间编码
IDC机房编码·
IDC接入商代码
身份证件号码代码表·
网站登记备案属性代码表·
建站方式
服务类型-
数据交换格式.
8.1IDC用户注册信息输出格式
8.2IDC非注册用户资源信息输出格式目
建筑321--标准查询下载网
YDN2248-2011
YDN2248-2011
本技术规定与YDN126-2010《增值电信业务网络信息安全保障基本要求》保持一致。本技术规定按照GB/T1.1-2009给出的规则起草。本技术规定由中国通信标准化协会提出并归口。本技术规定起草单位：国家计算机网络应急技术处理协调中心、清华大学、任子行网络技术股份有限公司。
本技术规定主要起草人：舒敏、孙东红、李冠华、乔宏波、景晓军、彭光辉、何清林、古元、纪鸿飞、熊伟、张晖、刘阳。
1范围
YDN2248-2011
互联网数据中心（IDC）信息安全管理系统技术要求本技术规定规定了互联网数据中心信息安全管理系统的主要功能和性能要求。本技术规定适用于所有提供服务器托管、租赁以及虚拟空间租用等服务的场所中的互联网数据中心信息安全管理系统。
2规范性引用文件
下列文件中的条款通过本技术规定的引用而成为本技术规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术规定。然而，鼓励根据本技术规定达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本技术规定。
GB/T2260-2007
3术语和定义
行政区划代码
下列术语和定义适用于本技术规定。3.1
安全监管中心SecurityMonitorControlCenter依照国家法律授权进行安全监管指令下发和管理的功能模块。3.2
备案管理系统BackupManagementSystem支撑国家互联网管理部门进行ICP、IP地址和域名信息进行备案管理工作的信息系统。3.4
IDC信息安全管理系统IDCInformationSecurityManagementSystemIDC运营企业对IDC实现信息安全管理所需的所有计算机软硬件系统的集合。3.5
用户User
IDC中托管主机、虚拟空间的用户。3.6
IDC资源IDCResourse
IDC机房的相关信息，至少包括机房所属单位、机房地址、机架、机位、互联网出口、虚拟空间等信息。
用户资源UserResourse
用户使用的IDC的国际互联网IP、内部IP、机位、带宽、交换机端口等资源信息。1
建筑321---标准查询下载网
YDN2248-2011
管理员Administrator
IDC信息安全管理系统的管理员。3.9
IP白名单IPWhiteList
一个IP地址列表，列入其中的IP地址不接受IDC信息安全管理系统的监管和审计。4缩略语
下列缩略语适用于本技术规定。IDC
5基本功能
Internet Data Center
Internet Protocol
Security Monitor Control Center5.1系统结构和要求
5.1.1系统结构
互联网数据中心
Internet协议
安全监管中心
IDC信息安全管理系统分为管理中心端和IDC端两个部分，其中管理中心端用于对IDC信息安全业务进行集中管理，实现信息及策略的收集和转发，并提供接收SMCC管理策略的接口；IDC端按照管理中心端的策略实现信息安全管理功能，并提供与备案管理系统的接口，对已备案网站实时校验其备案信息。一个管理中心端可以管理多个IDC端，各IDC端彼此独立。管理中心端与安全监管中心（SMCC）的接口及IDC端与备案管理系统的接口在其他标准中定义。IDC信息安全管理系统的结构如图1所示。管理中心端
IDC端
IDC信息安全管理系统wwW.bzxz.Net
外部接口
备案管理系统
图1IDC信总安全管理系统的结构示意5.1.2系统要求
a）管理中心端与IDC端应采用安全保密的数据通道进行通信，保证数据传输的安全。b）系统敬据存储介质应能满足记录留存60天以上的空间及可靠性要求，具备相应几余备份机制：系统应将备份数据存储于掉电非遗失性存储介质中，建立备份日志，备份时间段可控，并提供从备份介质进行数据恢复的功能。
c）IDC端应与管理中心端保持时间同步，保证服务器时间、数据记录时间的准确性。5.1.3数据安全
a）系统应确保数据传输的安全性：一系统应保证远程可信组件间传送的所有数据的完整性。与远程可信组件的传送过程中，系统应保证所有的信息数据的机密性。2
b）系统应确保数据存储的安全性一日志记录应加密存储。
除授权删除外，系统应禁止对日志记录进行任何修改。5.1.4系统安全
YDN2248-2011
a）管理中心端、IDC端应采取必要的技术手段防止计算机病毒、黑客等非安全因素对系统的入侵及恶意攻击。
b）在信息的存储、传输、访问、处理及系统功能的实现过程中，应采取访问控制、数据加密、身份认证等技术保护系统重要信息数据的安全。访问控制、数据加密、身份认证等技术应符合国家相关管理机构的有关规定。
c）系统应安装于专门的场地或非授权人员不可触及的机架空间。d）系统应对主要设备状态进行监测，并将异常状态信息及时通知管理员。5.2管理中心端系统功能
5.2.1管理员权限管理
a）系统应提供身份鉴别的功能，对授权管理员进行身份鉴别。b）系统应支持对不同角色管理员分类授权的功能。C）系统应对所有管理员的登录行为和主要操作进行日志记录。5.2.2资源信息管理
5.2.2.1IDC资源管理
，系统应对IDC资源信息进行统一管理，包括添加、删除和修改功能。5.2.2.2用户信息及用户资源管理a）系统应对IDC中的用户信息及注册状态进行统一管理。用户信息至少应包括用户名称、用户法人、用户联系地址、用户资源申请使用时间，开展网站信息服务的用户还应有网站经营许可信息，备案状态、网站负责人和联系方法、网站域名或URL和服务项目等信息。b）系统应对用户资源信息进行统一管理，记录注册用户的用户资源分配情况、使用情况。如果是使用内部网络地址与互联网网络地址转换的方式向用户提供服务的，应记录互联网网络地址和内部网络地址的对应关系
c）系统应保存用户信息和用户资源信息，至少保留至用户注销后180天。d）系统应保存用户的备案信息。5.2.3信息安全管理
5.2.3.1资源监管功能
a）系统应具有IDC资源查询功能，至少提供基于用户信息、用户资源信息，互联网IP、域名、URL日期时间段等方式的组合查询。b）系统应能自动发现IDC内未登记的IP地址。c）系统应具有未备案用户资源使用控制模式功能，支持阻断、限制带宽、网站通知等控制模式，至少具备网络连接阻断功能。
5.2.3.2不良数据监管功能
建筑321---标准查询下载网jz321.neYDN2248-2011
a）系统应具有不良信息关键字库维护功能，可以添加、修改和删除关键字。系统应支持通过格式文本导入方式批量更新不良信息关键字库。关键字的设置应支持分级、分类。b）系统应具有不良数据传输告警阅值设置及告警功能。c）系统应具有不良数据传输控制模式功能，支持阻断、网站通知、网页关键词替换等控制模式，至少具备网络连接阻断功能。
d）系统应具有查询不良数据传输记录功能，可以提供基于用户信息、互联网IP、域名、URL、日期时间段、单关键字或多关键字等方式的组合查询功能。5.2.3.3网站备案管理
a）系统能自动发现IDC内未备案的网站。b）系统应具有未备案网站的资源使用告警策略设置及告警功能，并提供使用记录查询功能。c）系统应具有未备案网站通知功能。系统应提供网站通知目标对象、通知次数、展现方式、通知期限等策略配置功能。
d）系统应具备实时启、停网站通知策略的能力。e）系统应支持对备案信息进行全文检索，可以按照多个关键字的与、或、非关系进行检索；检索出来的记录应至少包含访问域名、访问时间、访问源和目的IP以及PostURL。5.2.4不良数据全文检索
系统应支持对发现和审核确定的不良数据进行全文检索，可以按照多个关键字的与、或、非关系进行检索：检索出来的记录应至少包含访问域名、访问时间、访问源、目的IP和URL。5.2.5运行告警管理
a）系统应具有声音、图像、邮件等告警方式，宜提供短信、电话等多种告警方式。b）系统应具有未备案网站使用告警和有害数据传输告警及告警阀值设置功能，并提供告警处置情况记录及记录查询功能。
5.2.6系统配置参数管理
系统应具备内容记录开关、审计开关、数据存储时间、告警方式等配置参数管理。5.2.7统计分析
a）系统应能根据IDC信息记录中所有数据项进行统计，至少包括IDC中托管主机数、IDC虚拟空间数以及IDC注册资源被访问流量和频率的统计记录。b）系统应对日志信息、不良信息访问记录、未备案网站及访问情况等信息进行统计分析。c）系统应提供自定义关联模板，对记录事件进行自定义关联分析。5.2.8数据输出
a）系统应具有记录查询、检索结果通过屏幕显示、打印和格式文件导出功能。b）系统应具有用户信息输出功能。c）系统应具有未备案网站信息输出功能。5.3IDC端系统基本功能
5.3.1用户资源使用监管功能
a）系统应保存用户资源的使用记录，应至少包括访问时间、访问源和目的IP以及URL。系统记录的网络协议行为应包括网页、Ftp、Telnet、Smtp、Pop3、MIMS、RSTP等常用网络协议。b）系统应支持管理中心远程查阅、检索、传输IDC存储的用户资源使用记录。YDN2248-2011
c）系统应提供自动发现用户非法使用资源的能力，并记录其非法使用记录。使用记录应包括用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志等信息。系统具备阻断、限制非法使用资源的控制能力，并支持管理中心针对非法使用资源的控制策略。d）系统应实时向管理中心传送非法使用资源。e）系统应具备设置IP白名单功能。f）系统应提供已备案网站的实时校验功能，以检验其备案信息是否准确、是否有变动。应支持将校验结果通知备案管理系统的功能。本系统与备案管理系统接口在其他标准中定义。5.3.2不良数据监管功能
a）系统应具有基于关键词或语义分类的不良数据审计功能，能够在IDC中发现不良数据的传输，并记录传输时间、源IP或域名，目的P或域名、URL、不良数据主要内容片断等信息。b）系统应具备立即停止不良数据传输功能，并支持管理中心分类、分级控制策略的实施。c）系统应内置不良信息关键字库，支持管理中心远程控制关键字库更新维护。d）系统应实时向管理中心传送不良数据告警及控制策略实施情况。e）不良数据监管应支持Http-Get、Http-Post、Ftp、Telnet、Smtp、Pop3等常用网络协议数据。5.3.3网站通知
a）系统宜在以下情形时支持运营商向上网用户发送通知信息：上网用户所访问的网站属未备案网站：一上网用户所访问的网站或网址存在不良信息。b）系统应具有接收管理中心端网站通知指令及执行能力，具备时间段控制功能及多种通知展现形式。c）系统应实时向管理中心传送网站通知实施情况。5.3.4主机服务发现
系统应对所监测线路主机的各项服务进行发现并及时上报，发现的服务类型应至少包括即时通信、主流的网络游戏和Web应用。
5.3.5代理发现
系统应能发现IDC机房内代理服务器，并能区分对IDC网络的访问和IDC网络访问外部的网络活动。6性能要求
管理中心端应支持至少30个IDC端的接入。IDC端应能支持千兆、万兆出口带宽的流量。系统对网络数据包的捕获率，即捕获数据包数量/实际数据包数量之比应达到95%以上。系统应支持1000GB以上大小的文本数据检索，检索延迟不应超过1min。7数据编码
7.1互联网IP地址编码
IP>4表示方式：×××.×××.×××.×××对于IPv4的地址，使用点分十进制表示法，只用前15位，例如地址10.2.0.100，表示为010.002.000.100;
建筑321--标准查询下载网
YDN2248-2011
IPV6表示方式：××××:××××:××××:××××:××××:××××:××××:××××对于IPv5的地址，采用冒号分十六进制表示法，例如2CDA:0012:3FC0:567A:8ADE:0130:0010:94BF7.2ICP备案号编码
ICP备案号采用long型编码。
7.3日期及时间编码
时间格式采用“YYYYMMDDhhmmss”编码格式，长度为14位。7.4IDC机房编码
IDC机房编码是对全国各地的IDC机房进行的统一编码，是由16位数字组成的唯一编码。编码从左到右的含义为：
第1至第6位表示IDC机房建设时所在省（自治区、直辖市）、市（地区、盟）、区（县、旗），按GB/T2260-2007规定的行政区划代码。第7至第12位表示IDC机房当前所在的省、市、区代码，按GB/T2260-2007规定的行政区划码。第13一16位，用4位数字表示，编码由各地业务部门进行统一管理和分配使用，为顺序号。XXXXXX
7.5IDC接入商代码
IDC接入商代码名称见表1。
7.6身份证件号码代码表
采用18位身份证编码格式。
网站登记备案属性代码表
XXXXXX
序列号
IDC机房当前所在的省、市、区代码IDC机房建设时所在的省、市、区代码表1IDC接入商代码名称
IDC接入商名称
中国电信
中国移动
中国联通
教育部门
中科院
网站登记备案属性代码见表2。在实际登记备案时应支持多选。表2网站登记备案属性代码
登记属性值
经营性网站（ICP经营许可证号）非经营性网站（备案登记号）
SP（备案登记号）
BBS（BBS备案号）
7.8建站方式
建站方式代码见表3。
7.9服务类型
表3建站方式代码
建站方式
虚拟主机
主机托管
整机租用
YDN2248-2011
服务类型代码采用5位阿拉伯数字编码。第1位表示通用服务类型，后4位表示具体应用服务类型，在应用中应支持多选。
应用服务类型
通用服务类型
通用服务类型代码见表4。
表4通用服务类型代码
应用服务类型代码见表5。
表5应用服务类型代码
服务类型
通用应用服务
即时通讯服务
网络游戏
WEBMAIL
WEBBBS
WEBCHAT
远程维护服务
信息安全
短信网关服务
服务类型
所有类型服务
POP/POP3
WebMail
TELNET
建筑321---标准查询下载网
YDN2248-2011
8数据交换格式
IDC用户注册信息输出格式
IDC用户注册信息输出格式见表6。表5（续）
服务类型
电子邮件（含IMAP、WebMail）
WebBBS
WebCHAT
即时通讯
远程维护服务
网络攻击
短信网关服务
表6IDC用户注册信息输出格式
注册信息类型
单位名称
单位性质
单位有效证件类型
单位有效证件代码
投资者或上级主管单位名称
单位通信地址
单位通信地址邮编
网站名称
网站负责人姓名
网站负责人有效证件类型
网站负责人有效证件号码
网站负责人办公电话
网站负责人手机号码
网站负责人电子邮箱
网站接入方式
DCIDC代码
网站首页网址
网站域名列表
P地址列表
网站接入服务提供单编码
信息安全员
安全员联系电话
安全员Email地址
管理中心代码
用户注册状态
建站方式
网站类别
服务类型
8.2IDC非注册用户资源信息输出格式表6（续）
IDC非注册用户资源信息输出格式见表7。表7IDC非注册用户资源信息输出格式序号
网站接入方式
IDC机房代码
网站首页网址
网站域名
IP地址
网站接入服务提供单位代码
管理中心代码
建筑321--标准查询下载网
YDN2248-2011
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。