YD_T 2585-2016互联网数据中心安全防护检测要求.pdf

ICS 35.110M 11YD中华人民共和国通信行业标准YD/T2585-2016代替YD/T2585-2013互联网数据中心安全防护检测要求Security protection testing requirements for the internet data center- 2016-07-11发布2016~10-01实施中华人民共和国工业和信息化部发布 YD/测对象包括：IDC基础设备（如路由器、交换机、主机、服务器等）和IDC辅助性系统（如运维、管理、安全防护、监测系统等)。测试工具包括：流量分析仪（应支持对IP协议簇等多种协议流量的拥获和解析）、流量发生器（应支持IP协议族各层协议报文的构建和指定流量的发生）和漏润扫描器（应支持主机扫措、端口扫描、漏检测等功能）。5互联网数据中心（IDC）安全防护检测要求5.1第1级要求5.1.1网络安全网络结构测试编号：互联网数据中心（IDC）-第1级-网络安全-网络结构安全-01测试项目：YD/T2584一20a)，IDC应对其内部网络进行安全域划分测试步骤：1)访谈网络运维和安全管理人员，查看网络设计/验收文档、网络拓扑文档、网络安全策略、运维管理制度、设各配置文档等：2）进入现场检查网络及设备实际组网情况，实地查看IDC的拓扑、设备部署、链路设置等情况；3）分别检查不同的安全域的网络管理情况，检查其是否满足分域定制的管理要求预期结果：1）IDC实际拓扑结构、设备部署等均完成了安全域划分；2）IDC不同安全域的网络管理符合行业标准的要求判定原则：达到以上预期结果，则通过，否则不通过网络管理测试编号：互联网数据中心（IDC）-第1级-网络安全-网络管理安全-01测试项目：YD/T2584--20a)，IDC应对业务及客户源地址进行梳理和备案测试步骤：1）访该IDC运维人员，查看客户源地址规划和备案记录：2)检查并核对网络设备实际配置地址情况预期结果：1）IDC客户源地址分配和使用有统一规划和备案：2）IDC客户源地址备案信息与实际部署一致判定原则：达到以上预期结果，则通过，否则不通过 YD/T 2.5852016测试编号：互联网数据中心（IDC）-第1级-网络安全-网络管理安全-02测试项目：YD/T2584-20b），IDC应启用跨安全域访间控制策略1）访谈网络运维和安全管理人员，查看网络设计文档、网络安全策略、运维管理制度、设备配置文档等，查看IDC跨域访间控制策路；2）使用流量发生器构造具有不同源MAC、源IP、端口号特征的报文流访间不同安全域3）在安全域边界设各处查看访间日志，在安全域内被访间设备处使用流量分析仪进行抓包分析预期结果：1）IDC启用了跨安全域访间控制策略；2）IDC内不同安全域能够对非法访间请求进行拦裁阻断和记录判定原则：达到以上预期结果，则通过，否则不通过测试编号：互联网数据中心（IDC）-第1级-网络安全-网络管理安全-03测试项目：YD/T2584-20c)，IDC集中运维安全管控系统应与提供服务的基础设施相隔离测试步骤：1）访谈网络运维和安全管理人员，奔看网络设计文档、网络安全策略、运维管理制度、设备配置文档等，查看IDC业务网络与运维安全管控系统闻的连接情况：2）从IDC业务网络侧访问运维安全管控系统中的设备，验证网络与运维安全管控系统间是否实现逻辑隔离，评估安全域访间控制策略的应用效果：3）使用网络维护终端访间运维安全管控系统中的设备，验证是否有安全的访间认证措施对其进行限制预期结果：1）IDC运维安全管控系统与提供服务基础设施间采用了逻辑隔高的隔高措施：2）网络维护终端访间被管理网络设备时采取了安全措施判定原则：达到以上预期结果，则通过，否则不通过 YD/T试编号：互联网数据中心（IDC）-第1级-网络安全-网络管理安全-04测试项目：YD/T2584—20d)，IDC集中运维安全管控系统的网络边界设备应配置访间控制策路测试步骤：1）访该网络运维和安全管理人员，查看网络安全策略、设备配置文档等，查看IDC运维安全管控系统的网络边界设备访间控制策略：2）对IDC运维安全管控系统进行IP地址和端口扫播，查看扫描结果预期结果：1）IDC集中运维安全管控系统的网络边界设备配置了访间控制策略：2）IDC集中运维安全管控系统只开放了有限俱必须的IP地址和端口服务判定原则：达到以上预期结果，则通过，否则不通过测试编号：互联网数据中心（IDC）-第1级-网络安全-网络管理安全-05测试项目：YD/T2584一20e)，IDC集中运维安全管控系统网络管理会话信息应通过加密方式传送，网络设备应设置专用管理接口，对于发往管理和业务接口的报文进行严格过滤和限制测试步骤：1）访谈网络运维人员，查看运维安全管控系统