YD_T 2704-2014电信信息服务的安全准则.pdf

ICS 33.040M 16YD中华人民共和国通信行业标准YD/T2704-2014电信信息服务的安全准则Guidelines on security ofthe information service fortelecommunication2014-10-14发布201410-14实施中华人民共和国工业和信息化部发布 YD/T2704-2014集团中个体出现安全漏洞或者被攻政击时，应告知集团安全管理员，为此所新增的防范措施需要统一部署到集团整体环境中，当个体用户出现安全异常时，需要首先从集团网络环境中隔离，在完成安全评估和处理后方可重新连入集团网络环境。安全策略尽可能的放置在集团的服务器或者阿关上，尽量减轻个人用户终端的负载。7安全机制针对不同类型的信息服务，需要有不同的安全机制。安全机制根据对应的安全防范需求和解决的间题分为规章制度、数据备份、身份管理、访间控制、数据安全性管理以及防范恶意攻击等6大类，表1给出针对三种不同信息服务类型所需的安全机制。表1安全机制列表安全机制类型安全机制条目传统通信服务内容服务信息化服务规章制度制定行业法规规范商业行为，打击不正当v经营和竞争根帮等级保护制度进行安全定级和安全评测数据务份备份历史数据，用于安全事件调查和协助用户上网行为记行业数据电子取证录灾备系统（包括网络、数据和服务器客灾》，对于实时服务需要实时灾各身份管理对用户进行身份认证，包括口令、数字证口令口令口令书、短信验证码、数字移动证书、生物特生物特征识别（主数字证书生物特征识别征识别（语音识别、面部/虹膜/指纹识别）要是语育识别）短信验证码（主要是面部/数字移动证书虹膜/指收识别）访间控制强制访问控制。根据等级保护制度定义访√根√报√根间规则自主访间控制，由服务或者信息的奖供者√由√由/由规定访间规则基于角色的访同控制，设定角色、用户和于权限信任管理，在跨域的环境里实现行为投权教别安全性管理用户数帮加密，数据库加密，尽量避免信对用户身份信息对用户身份信息震点对商业机息的明文存储和传输加密加密，对用户在密、科技机密和服务中的个人数政府信息进行拼加密分级加密对网络流量进行监控和审计，过滤非法信/网√息，内容审查数据完整性校验防范恶意攻击企业版本的杀毒工具，防垃最邮件对集团内部用户上网行为进行控制，避免哆荣病毒客户端防病毒软件服务器端的入侵检测系统对系统进行风险评估，通过系统加固和补丁升级方式减少系统漏润送营商网关上的防火增和防病毒款件 YD/T 2704~2014附录A（资料性附录）电信信息服务与增值电信业务的区别YDN126-2009定义了增值电信业务，从定义中可以看出，增值电信业务是一种附加通信业务，它使电信网络的经济效益或功能价值增高。而电信信息服务是指通过信息采集、开发、处理和信息平台的建设，通过固定网、移动网或互联网等公众通信网络直接向终端用户提供语音信息服务或在线信息和数据检索等信息服务的业务，以及与信息化建议相关的信息服务。从这个定义可以看出，电信信息服务包括了原来的通信服务、内容服务和信息化建设服务， YD/录B（资料性用录）部分运营商的电信业务种类B.1中国电信的电信业务电话业务：166语音信箱业务、800被叫集中付费业务、固网短信业务、来电显示业务、电话信息服务业务、17909省内主叫直投IP电话业务。一数据通信业务：传真业务、数据通信业务。黄页信息业务：黄页信总咨询业务、网络类黄页业务、纸质类黄页电话号等、黄页信息业务。一融合业务：总机服务、综合办公、移动全球眼、手机对讲。—互联网业务：电子彩票业务（17987）、电子信箱业务（E-MAIL）、电子商务证书业务（CTCA）、互联网数据中心（IDC）业务、WLAN业务、LAN业务。一网元出租业务：设备出租业务、同步网编口出租业务、波长出租业务、通信光纤出租业务、管道出租业务、网元出租业务。国际及港澳台通信业务：国际及港澳台长途互联业务、国际及港澳台通信业务。一应急通信业务：应急通信业务。B.2中国移动的电信业务基本业务：国际没游、国际长途、国内长途、国内浸游、本地通话。个人业务：沟通：飞信、139邮箱、号簿管家、短信回执、短信、彩信、语音信箱、来电提醒、主叫显示、呼叫转移、呼叫限制、主叫隐藏、可视电话、手机桌面助理。●商务：手机支付、手机钱包。。生活：12580、M-ZONE淘乐汇、手机医疗、MO手机上网、随E行、WLAN、随e行G3上网笔记本、无线上网、手机导航、移动搜案、手机视频、视频留言。●行业：手机证券、手机离界。·学习：手机报、手机阀读、快讯。。娱乐：彩铃、无线音乐俱乐部、无线音乐排行榜、无线音乐有哪些信誉好的足球投注网站、音乐随身听、多媒体彩铃、全曲下载、手机游戏、手机动漫、百宝箱。一集团业务：。基础通信：基础话音、无线商话、手机对讲(Po