互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)要求

3YD/T2584-xxxx互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)安全防護(hù)要求本文件規(guī)定了IPv4、IPv6、雙棧環(huán)境下互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的安全防護(hù)要求，包括業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、物理環(huán)境安全和管理安全等方面本文件適用于指導(dǎo)支持IDC安全防護(hù)工作開展和推進(jìn)2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。信息安全技術(shù)路由器安全技術(shù)要求信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求信息安全技術(shù)終端計(jì)算機(jī)通用安全技術(shù)要求與測(cè)試評(píng)價(jià)方法信息安全技術(shù)服務(wù)器安全技術(shù)要求和測(cè)評(píng)準(zhǔn)則網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求交換機(jī)設(shè)備網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求路由器設(shè)備電信管理網(wǎng)安全技術(shù)要求電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求網(wǎng)絡(luò)設(shè)備電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求數(shù)據(jù)庫(kù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求操作系統(tǒng)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求WEB應(yīng)用系統(tǒng)電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案實(shí)施指南3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件?；ヂ?lián)網(wǎng)數(shù)據(jù)中心服務(wù)Internetdatacenterservices擁有寬帶出口，并以外包出租的方式為用戶的服務(wù)器、網(wǎng)絡(luò)設(shè)備等互聯(lián)網(wǎng)相關(guān)設(shè)備提供放置、代理維護(hù)、系統(tǒng)配置及管理服務(wù)，或提供計(jì)算、存儲(chǔ)、軟件等資源的出租、通信線路和出口帶寬的代理租用和其他應(yīng)用服務(wù)的電子信息系統(tǒng)機(jī)房服務(wù)?；ヂ?lián)網(wǎng)數(shù)據(jù)中心客戶customerofIDC通過購(gòu)買IDC服務(wù)以滿足其業(yè)務(wù)需求的群體。66.1.4物理環(huán)境安全6.1.5管理安全滿足YD/T1756-2008中的第1級(jí)要求外，還應(yīng)具備涵蓋IPv6安全防護(hù)和管理相關(guān)需求的制度體系、操作規(guī)程等6.2.1業(yè)務(wù)安全除滿足第1級(jí)的要求以外，還應(yīng)滿足以下要求：a)應(yīng)按照合同提供IDC客戶指定的安全防護(hù)資源和備份恢復(fù)技術(shù)能力；b)應(yīng)保證IDC網(wǎng)絡(luò)單元關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要c)IDC與互聯(lián)網(wǎng)接口處的流量帶寬應(yīng)具備冗余空間，滿足業(yè)務(wù)高峰期需要。網(wǎng)絡(luò)結(jié)構(gòu)除滿足第1級(jí)的要求以外，還應(yīng)滿足以下要求：a)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(反映互聯(lián)網(wǎng)接口、內(nèi)部網(wǎng)絡(luò)劃分等內(nèi)容)并整理資產(chǎn)表；b)IDC的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)的運(yùn)營(yíng)、管理或區(qū)域等因素在邏輯上合理的實(shí)現(xiàn)分層和分級(jí)，IDC內(nèi)部網(wǎng)絡(luò)區(qū)域的劃分應(yīng)與網(wǎng)絡(luò)結(jié)構(gòu)和組織形式保持一致。除滿足第1級(jí)的要求以外，還應(yīng)滿足以下要求：a)通過運(yùn)營(yíng)企業(yè)內(nèi)部網(wǎng)絡(luò)(如DCN網(wǎng)絡(luò))遠(yuǎn)程訪問IDC中設(shè)備時(shí)，應(yīng)按業(yè)務(wù)需求在被訪問的IDC網(wǎng)絡(luò)邊界設(shè)備上啟用接入訪問控制策略，應(yīng)對(duì)包括源IPv4/IPv6地址、端口號(hào)等在內(nèi)的控制項(xiàng)進(jìn)行限制，避免開放過長(zhǎng)IP地址段及過多端口；b)通過公共互聯(lián)網(wǎng)遠(yuǎn)程訪問IDC中設(shè)備時(shí)，應(yīng)使用VPN方式訪問，并按業(yè)務(wù)需求在被訪問的IDC網(wǎng)絡(luò)邊界設(shè)備上啟用接入訪問控制策略，應(yīng)對(duì)包括源及目的IPv4/IPv6地址、端口號(hào)等在內(nèi)的控制項(xiàng)進(jìn)行限制，避免開放過長(zhǎng)IPv4/IPv6地址段及過多端口；e)IDC網(wǎng)絡(luò)邊界的隔離設(shè)備和IDC集中運(yùn)維安全管控系統(tǒng)如采用Web方式進(jìn)行配置和管理，應(yīng)采用如下措施：1)使用用戶安全鑒別和認(rèn)證措施，如支持TLS/TLCP協(xié)議等；2)使用代碼審計(jì)等措施檢測(cè)和消除Web安全漏洞，如Web組件漏洞、SQL注入攻擊、跨站腳本攻擊等：3)保證配置安全，采取隱蔽Web后臺(tái)配置頁(yè)面等措施，防止后臺(tái)配置界面泄露、Web路徑泄露等漏洞被非法利用從而導(dǎo)致對(duì)設(shè)備的攻擊入侵；4)限制Web服務(wù)器的訪問和操作權(quán)限(避免Web訪問非授權(quán)的敏感數(shù)據(jù))。d)IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)使用用戶安全鑒別和認(rèn)證措施，應(yīng)符合YD/T1478中相關(guān)安全技術(shù)要求，管理使用的SNMP協(xié)議原則應(yīng)支持SNMPV3并支持VACM和USM等安全機(jī)制，對(duì)于遠(yuǎn)程登錄應(yīng)支持SSH以及相關(guān)加密和認(rèn)證算法，對(duì)于Web管理應(yīng)支持TLS/TLCP等安全協(xié)議：e)IDC集中運(yùn)維安全管控系統(tǒng)支持的SNMP、SSH、FTP、HTTP、Telnet等服務(wù)應(yīng)在非必a)IDC通用主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶口令更新周期不大于90天；b)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息(如，配置信息、審計(jì)記錄等)的操作：c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；e)應(yīng)能夠檢測(cè)到對(duì)IDC內(nèi)主機(jī)進(jìn)行入侵的行為，能夠記錄入侵的源IPV4/Pv6地址、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。6.3.4物理環(huán)境安全應(yīng)滿足YD/T1754-2008中的第3.1級(jí)要求。除滿足第2級(jí)外，還應(yīng)該滿足YD/T1756-2008中的第3.1級(jí)要求和以下要求：a)定期對(duì)IDC及其所屬各類設(shè)備、系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估(至少每年一次):b)定期組織IDC及其所屬各類設(shè)備、系統(tǒng)災(zāi)難恢復(fù)預(yù)案的教育培訓(xùn)(至少每季度一次)和c)IDC業(yè)務(wù)實(shí)施時(shí)，客戶應(yīng)提交業(yè)務(wù)客戶信息采集表，主要包含以下信息：系統(tǒng)數(shù)據(jù)分類與安全等級(jí)、系統(tǒng)對(duì)基礎(chǔ)設(shè)施的依賴關(guān)系、系統(tǒng)要求配置的防火墻與路由器策略等：d)至少每六個(gè)月檢查一次防火墻和路由器的規(guī)則設(shè)置e)至少每三個(gè)月進(jìn)行一次應(yīng)用層弱點(diǎn)