北京地区IDCISP信息安全管理系统技术要求暂行.docx
《北京地区IDCISP信息安全管理系统技术要求暂行.docx》由会员分享,可在线阅读,更多相关《北京地区IDCISP信息安全管理系统技术要求暂行.docx(13页珍藏版)》请在冰豆网上搜索。
北京地区IDCISP信息安全管理系统技术要求暂行
北京地区
互联网数据中心和互联网接入服务
信息安全管理系统技术要求
(暂行)
北京市通信管理局
2014年8月
前言
本文档基于工业和信息化部《互联网数据中心和互联网接入服务信息安全管理系统技术要求》和《互联网数据中心和互联网接入服务信息安全管理系统接口规范》起草。
依据《北京市通信管理局关于北京市IDC/ISP业务经营单位企业侧管理系统相关功能要求的通知》(京信保障发[2014]117号)的有关要求,北京地区开展IDC/ISP业务经营单位所建设的企业侧信息安全管理系统应符合本文档要求。
北京地区
互联网数据中心和互联网接入服务
信息安全管理系统技术要求
(暂行)
11 范围
本文档规定了互联网数据中心和互联网接入服务类业务相关信息安全管理技术手段的基本要求。
本文档适用于提供包括但不限于业务机房及配套设施租赁、服务器托管和租用、虚拟主机等服务的IDC业务经营者及为互联网信息服务提供者提供互联网接入服务的ISP业务经营者所建设的业务信息安全管理系统。
12 规范性引用文件
下列文件对于本文档的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文档。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文档。
中华人民共和国电信条例附录《电信业务分类目录》
YD/T1728-2008《电信网和互联网安全防护管理指南》
YD/T2405《互联网数据中心和互联网接入服务信息安全管理系统接口规范》
13 术语和定义
《电信业务分类目录》界定的术语和定义及下列术语和定义适用于本文档。
13.1 安全监管系统securitymonitormanagementsystem
电信管理部门依照国家法律法规授权建设的信息安全监管系统。
13.2 信息安全管理系统informationsecuritymanagementsystem
业务经营者建设的符合本文档所规定信息安全管理系统要求的所有软、硬件系统的集合。
13.3 互联网数据中心internet data center
增值电信业务,定义详见《电信业务分类目录》。
13.4 互联网接入服务internet serviceprovider
增值电信业务,定义详见《电信业务分类目录》。
本文档中所有未指明的ISP均特指互联网接入服务。
13.5 互联网信息服务internetcontentprovider
增值电信业务,定义详见《电信业务分类目录》。
13.6 IDC业务机房theroomofIDCservice
IDC业务经营者利用既有的互联网通信线路、带宽资源及辅助设施(如,温湿度控制、除尘、消防、供配电、安防等),建立具有标准化电信级业务的环境和放置业务相关设备的场所。
13.7 ISP业务节点thenodeofISPservice
ISP业务经营者利用接入服务器和相应的软硬件资源建立的、为客户提供接入互联网服务的业务节点。
13.8 业务客户customer
IDC/ISP业务的客户,包括在IDC进行托管主机、租赁主机、租用虚拟空间、专线接入等的客户或从ISP获得互联网接入服务的客户。
13.9 访问用户accessuser
访问通过IDC/ISP接入互联网的业务客户有关应用和服务的外部用户。
13.10 源IP、源端口sourceIP、sourceport
访问用户所使用的IP地址和端口。
13.11 目的IP、目的端口destinationIP、destinationport
IDC/ISP业务客户所使用的IP地址和端口。
14 缩略语
下列缩略语适用于本文档。
FTP
文件传输协议
FileTransferProtocol
HTTP
超文本传输协议
Hypertexttransferprotocol
ICP
互联网信息服务
InternetContentProvider
IDC
互联网数据中心
Internet Data Center
ISP
互联网服务提供商
Internet ServiceProvider
IP
互联网协议
InternetProtocol
ISMI
信息安全管理接口
InformationSecurityManagementInterface
ISMS
信息安全管理系统
InformationSecurityManagementSystem
NAT
网络地址转换
NetworkAddressTranslation
POP3
邮政协议-第3版
PostOfficeProtocol-version3
SMMS
安全监管系统
SecurityMonitorManagementSystem
SMTP
简单邮件传输协议
SimpleMailTransferProtocol
TCP
传输控制协议
TransmissionControlProtocol
UDP
用户数据报协议
UserDatagramProtocol
URL
统一资源定位符
UniformResourceLocator
XLS
可扩展电子表格格式
eXtensibleLanguageStylesheet
XML
可扩展标记语言
eXtensibleMarkupLanguage
15 系统概述
IDC/ISP信息安全管理系统(ISMS)是IDC/ISP业务经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统,以满足IDC/ISP业务经营者和电信管理部门的信息安全管理需求。
每个IDC/ISP经营者应建设一个统一的ISMS,并与电信管理部门建设的安全监管系统(SMMS)通过信息安全管理接口(ISMI)进行通信,实现本文档规定的有关功能。
ISMS与SMMS之间的关系如图1所示:
图1ISMS与SMMS关系示意图
本文档仅规定了ISMS功能和性能要求。
ISMS与SMMS之间的数据交换格式及通信方法,见《互联网数据中心和互联网接入服务信息安全管理系统接口规范》。
附录A给出了ISMS的一种实现方式,IDC/ISP经营者也可采取其它技术实现方式。
16 系统功能
16.1 基础数据管理
16.1.1 基础数据的分类
ISMS管理的IDC/ISP业务相关基础数据包括主体信息、资源信息两类。
1)对于主体信息,分为IDC/ISP业务经营单位信息、IDC/ISP业务客户信息。
a)经营单位信息,包括:
IDC/ISP许可证号、单位名称(应与许可证上登记信息一致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息、IDC业务机房/ISP业务节点的数量、以及各个IDC业务机房/ISP业务节点相关信息,其中:
——IDC业务机房/ISP业务节点相关信息包括各个IDC业务机房/ISP业务节点的名称、编号、IDC业务机房/ISP业务节点所处机房的性质(见附录B.1)、机房所在地、机房地址及邮编、机房驻地网络信息安全责任人信息。
b)客户信息,包括:
客户编号、客户属性(分为提供应用服务、其他等类)、客户单位名称(或姓名)、客户单位地址及邮编、客户单位属性(见附录B.2)、证件类型(见附录B.3)、证件号码、网络信息安全责任人信息、服务开通时间,对于IDC业务客户需记录所属IDC业务机房信息,对于ISP业务客户需记录所属ISP业务节点信息,对于虚拟主机客户需记录虚拟主机信息,对于提供应用服务的客户还需要记录应用服务信息列表,其中:
——所属IDC业务机房信息包括所属机房编号、业务机架机位编号、客户应用相关IP地址(如果应用服务使用私网地址,则需记录NAT地址映射表)、带宽及分配时间;
——所属ISP业务节点信息包括所属节点编号、客户应用相关IP地址(如果应用服务使用私网地址,则需记录NAT地址映射表)、带宽及分配时间;
——虚拟主机信息包括占用虚拟主机编号、虚拟主机名、虚拟主机网络地址、虚拟主机状态、虚拟主机类型(共享式/专用式/云虚拟)、虚拟主机管理地址等;
——应用服务信息包括应用服务类型(内部应用、电信业务/对外应用服务)、业务许可证号或备案号、接入方式(见附录B.4)、预登记的服务内容(可多选)(见附录B.5)、域名信息列表(对支持域名指向的应用服务,如:
HTTP、FTP、SMTP、POP3等需提供本级域名)。
2)对于资源信息,包括业务经营单位所辖全部IDC业务机房/ISP业务节点IP段、机架和链路信息等。
a)IP段信息,即IDC业务机房/ISP业务节点所有IP地址段信息,包括IP段编号、起始IP地址、终止IP地址、来源、分配单位、分配使用时间、使用单位信息、IP地址使用方式(静态/动态)。
b)机架信息,即在机房区域内摆放的所有机架柜信息,主要包括:
机架/机位编码、所在机房编号、分配状态(未分配/已分配)、占用状态(未占用/己占用)、使用类型(自用/出租)。
c)链路信息,即IDC业务机房/ISP业务节点上联至互联网的业务链路信息,主要包括IDC业务机房/ISP业务节点出入口链路编号、所属IDC业务机房/ISP业务节点编号、网关IP地址、链路带宽、链路类型、链路接入单位信息。
16.1.2 基础数据本地管理
ISMS应实现基础数据的集中管理,包括基础数据本地存储以及有关数据本地进行增加、删除、修改等操作的功能。
ISMS可支持采用XML或XLS等常见数据格式进行基础数据导入和导出。
对于导入的数据,ISMS应进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突。
16.1.3 基础数据上报与核验
ISMS应能以IDC业务机房/ISP业务节点为单位,实现向SMMS上报基础数据的功能。
ISMS应具备基础数据信息更新后自动上报的功能,上报方式应为增量上报(即仅将新增或因修改存在变化的记录内容上报给SMMS)。
ISMS应支持SMMS对上报基础数据信息的校对与核验。
对于经SMMS核验有误或存疑的退回记录,应及时进行补正并重新上报。
ISMS应能基于SMMS的基础数据信息查询指令,对本地记录进行检索并上报有关基础数据记录信息。
16.1.4 基础数据监测和处置
ISMS应能基于通过SMMS核验的基础数据记录,对IDC业务机房/ISP业务节点内的IP地址、域名等使用方式进行全面的监测,自动实时发现未向SMMS上报的IP地址接入、已向SMMS上报但属未启用/未分配状态的IP地址接入、已向SMMS上报但应用域名与绑定IP地址不一致的IP地址接入等异常情况,并形成基础数据监测异常记录。
基础数据监测异常记录应包括:
发现异常的IP地址、登记使用方式和实际使用方式、异常类型(使用方式或登记域名异常)、登记域名和实际域名(仅适用于支持域名指向的应用服务)、发现时间/处置时间、当前状态(已处置或未处置)等监测信息。
基础数据监测异常结果应定时向SMMS上报(上报周期为日)。
对于监测发现的异常情况,如在一个上报周期内即完成处置(ISMS监测恢复正常),ISMS应基于处置状态的不同生成至少两条独立的记录并向SMMS上报。
如一个上报周期内没有监测到新增的基础数据异常情况,ISMS应按“零报告”要求上报监测结果(即上报当前监测时段内基础数据异常记录结果为零的报告)。
ISMS应实现基础数据监测异常记录的本地存储功能,保存时间不少于12个月,并供SMMS查询。
16.2 访问日志管理
16.2.1 访问日志记录功能
ISMS应基于外部访问用户对IDC/ISP接入互联网业务客户有关应用和服务的访问行为,完整记录和统计访问信息,形成访问日志。
——对于可通过传
升级会员 