YD_T 2584-2015互联网数据中心（IDC）安全防护要求.pdf

ICS 35.110M 11YD中华人民共和国通信行业标准YD/T2584-2015代替YD/T2584-2013互联网数据中心（IDC）安全防护要求Security protection requirementsforthe Internet datacenter2015-04-30发布2015-04-30实施中华人民共和国工业和信息化部发布 YD/T次前言：1范围·2规范性引用文件3术语、定义和缩略语·3.术语和定义3.2缩略语.互联网数据中心（IDC）安全防护概述4.1互联网数据中心（IDC）安全防护范图4.2互联网数据中心（IDC）安全风险分析..4.3互联网数据中心（IDC）安全防护内容5互联网数据中心（IDC）安全防护要求5.1第1级要求5.2第2级要求5.3第3级要求105.4第4级要求.·125.5第5级要求12附录A（规范性附录）互联网数据中心（IDC）安全风险分析-13 YD/联网数据中心（IDC）内部业务数据，主要指互联网数据中心（IDC）各个业务区域数据，其安全风险一方面来自于各个业务的不同要求，另外更主要一方面来自于业务数据的存放，具体如下：a）病毒、木马、间谦软件的入侵：b）针对敏感数据的非法基改、获取；e）数据的存储安全风险，包括数据存储磁盘管理不善，数据访间管理不善等带来的风险，账号口令a）口令密码明文保存导致失窃；b）弱口令导致的暴力破解；e）明文传输账号口令导致网络监听，4.3互联网数据中心（IDC）安全防护内容自身安全性、对其所提供各类服务的安全管控能力、支撑系统的安全防护能力是互联网数据中心（IDC)安全防护的重要内容，具体包括：业务安全、网络安全、主机安全、中闻件安全、物理环境安全、管理安全。5互联网数据中心（IDC）安全防护要求5.1第1级要求5.1.1网络安全网络结构IDC在生产运行、操作维护、系统管理等方面，应采用网络设备如交换机、路由器、防火墙等对其内部网络进行安全域划分，划分方式包括但不限于VLAN划分、IP网段划分、可信任域划分等。网络管理a）应对IDC业务及客户源地址进行梳理和备案。b）IDC应启用跨安全域访间控制策略，控制内容包括但不限于访间源的MAC地址、IP地址、端口c) JIDC集中运维安全管控系统应与为IDC提供服务的基础设施相隔离并部署在不同网络区域。d）IDC集中运维安全管控系统的网络边界设备应按不同业务需求配置相应的访问控制策略，只开放管理需要的服务及端口，避免开放较大的IP地址段及服务。e）IDC集中运维安全管控系统应采用安全的管理和控制信息分发、过滤机制，网络管理信息应加密传送；应对目的地址为管理接口的非管理报文和目的地址为数据业务接口的管理报文进行控制。网络入侵防范IDC面向互联网应具备相应防护能力，对进出IDC的所有数据流量进行防护。网络安全监测IDC应能在互联网接口处进行流量监控分析，及时发现导致流量异常的安全事件。网络设备防护IDC网络设备主要包括各类路由器、交换机设备等，相关设备应满足：网络设备的安全应满足相关设备技术规范、设备安全要求以及设备入网管理相关要求的规定（如以太网交换机的安全应满足YD/T1099-2013、YD/T1627-2007的安全要求；具有路由功能的以太网交换6 YD/T的安全应满足YD/T1255-2013、YD/T1629-2007的安全要求；低端路由器或边缘路由器的安全应相应满足YD/T1096-2009、YD/T1358-2005的安全要求：高嘴路由器或核心路由器的安全应相应满足YD/T1097-2009、YD/T1359-2005的安全要求；网络设备的安全基线配置应满足YD/T2698-2014的安全要求。5.1.2主机安全IDC通用主机设备主要包括各类通用服务器、工作站、终端、数据库等，相关设备应满足：通用主机设备的操作系统安全基线配置应满足YD/T2701-2014，数据库的安全基线配置应辆足5.1.3中间件安全IDC自身业务使用中间件的安全基线配置应满足YD/T2702-2014的安全要求，5.1.4物理环境安全应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中的第1级要求。5.1.5管理安全5.2第2级要求5.2.1业务安全应满足第1级的要求以外，还应满足：a）应按照合同保证IDC客户业务的安全。b）应保证IDC网络单元关键网络设备的业务处理能力具备穴余空间，满足业务高峰期需要。c）IDC与互联网接口处的流量带宽应具备允余空间，满足业务高峰期需要。5.2.2网络安全网络结构应满足第1级的要求以外，还应满足：a）应绘制与当前运行情况相符的网络拓扑结构图（反映互联网接口、内部网络划分等内容）。b）IDC的网络结构应根