YD_T 2093-2010网上营业厅安全防护检测要求.pdf

1CS 33.060M30中华人民共和国通信行业标准YD/T 2093-2010网上营业厅安全防护检测要求Security protection testing requirements for online business hall2010-12-29 发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2093-2010目次前言.111范围·2规范性引用文件3术语、定义和缩略语·3.1术语和定义··3.2缩略语·4　网上营业厅安全防护检测概述·4.1网上营业厅安全防护检测范围。4.2网上营业厅安全防护检测对象·4.3网上营业厅安全防护检测内容4.4网上营业厅安全防护检测结果判定5网上营业厅安全等级保护检测要求5.1第1级要求·5.2第 2级要求5.3第3.1级要求:165.4第3.2级要求225.5第4级要求··235.6第 5 级要求·236　网上营业厅安全风险评估·236.1网上营业厅安全风险评估范围·.·236.2网上营业厅安全风险评估内容236.3网上营业厅安全风险评估要素·236.4网上营业厅安全风险评估赋值原则·246.5网上营业厅安全风险评估计算方法6.6网上营业厅安全风险评估文件类型·256.7网上营业厅安全风险评估文件记录-267网上营业厅灾难备份及恢复检测要求·7.1　第 1级要求·277.2第 2 级要求:277.3第 3.1 级要求7.4　第3.2级要求287.5第 4 级要求7.6　第 5 级要求-1 YD/T 2093-20身份鉴别.1检测方式访谈、检查、测试。.2检测对象网上营业厅。.3检测实施a）访谈网上营业厅管理人员，询问网上营业厅是否提供专用的登录控制模块对登录网上营业厅的用户进行身份标识和鉴别，检查网上营业厅相关文档是否有对登录控制模块进行记录描述；b）检查网上营业厅数据库中用户身份标识是否重复，身份鉴别信息是否不易被冒用，测试网上营业厅是否对用户身份标识的唯一和鉴别信息复杂度检查功能。访问控制.1检测方式访谈、测试。.2检测对象网上营业厅。.3检测实施访谈网上营业厅管理人员，询问网上营业厅是否具备登录失败处理功能，测试网上营业厅是否具备限制非法登录次数等失败处理功能。安全审计不做要求。通信完整性不做要求。通信必威体育官网网址性不做要求。软件质量不做要求。资源控制不做要求。5.1.6数据安全及备份检测方式访谈、检查。检测对象网上营业厅。检测实施a）访谈网上营业厅设计、技术人员，询问BOSS敏感信息如详单、用户信息等是否没有存储在网上营业厅中，检查网上营业厅中Web服务器设备、文件系统数据、网上营业厅数据库中是否没有BOSS敏感信息；7 YD/T 2093-2010b）访谈网上营业厅设计、技术人员，若网上营业厅中存储有以下但不限于以下重要信息：用户登录口令、交易记录、充值卡密，是否对这些重要信息数据进行备份；c）访谈网上营业厅设计、技术人员，询问网上营业厅是否对网上营业厅存储的数据划分安全等级，若网上营业厅中存储有以下但不限于以下重要信息：用户登录口令、交易记录、充值卡密，是否对这些重要信息数据进行加密存储。5.1.7物理环境安全应满足YD/T1755-2008《电信网和互联网物理环境安全等级保护检测要求》中第1级检测要求。5.1.8管理安全应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第1级检测要求。5.2第2级要求5.2.1业务安全除按5.1.1内容进行检测外，还应按照本届内容进行检测。检测方式检查。检测对象网上营业厅。检测实施查看网厅运行故障记录，检查网上营业厅向用户提供相关服务的可用性是否不低于99.99%。5.2.2网络安全结构安全.1检测方式访谈、检查。.2检测对象网络设备、网络拓扑图、网络配置数据。.3检测实施a）访谈网上营业厅管理员，检查网上营业厅网络设备，查看关键网络设备是否具备穴余空间保障的业务处理能力，满足业务高峰期需要；b）检查网络拓扑结构图，是否与当前运行情况相符。访问控制除按内容进行检测外，还应按照本节内容进行检测。.1检测方式访谈、检查、测试。.2检测对象网络设备、访问控制设备。.3检测实施8 YD/T 2093-2010a）访谈网上营业厅管理员，询问是否对从互联网进入网上营业厅的流量进行过滤，测试网上营业厅是否实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制；b）访谈网上营业厅管理员，询问用户通过互联网与网上营业厅Web服务器建立的会话处于非活跃一定时间后，网上营业厅Web服务器设备是否自动终止会话，通过测试验证该功能：c）访谈网上营业厅管理员，询问是否限制网上营业厅与互联网接口处的网络流量不超出接口带宽的60%，是否限制自互联网发起的会话并发连接数不超出网上营业厅设计容量的