YD/T 2248-2015 互联网数据中心和互联网接入服务信息安全管理系统技术要求

ICS33.040

M16

中华人民共和国通信行业标准

YD/T2248�2015

代替YD/T2248�2012

互联网数据中心和互联网接入服务

信息安全管理系统技术要求

Interfacerequirementsofinformationsecuritymanagementsystem

forInternetdatacenter/Internetserviceprovider

2015�04�30发布2015�04�30实施

中华人民共和国工业和信息化部发布

YD/T2248�2015

目����次

前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯Ⅱ

1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1

2规范性引用文件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1

3术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1

4缩略语⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2

5系统概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯3

6系统功能⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯3

6.1基础数据管理⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯3

6.2访问日志管理⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5

6.3信息安全管理⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯6

6.4系统功能管理⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7

7通信接口⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7

8性能要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7

8.1处理能力⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7

8.2扩展能力⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯8

8.3可靠性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯8

9安全性要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯8

9.1系统和数据安全⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯8

9.2时钟同步⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯10

9.3运行环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯10

附录A（资料性附录）ISMS的实现方式示例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11

附录B规范性附录）数据代码表⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12

I

YD/T2248�2015

前����言

本标准按照GB/T1.1-2009给出的规则起草。

本标准是“互联网数据中心和互联网接入服务信息安全管理系统”系列标准之一，本系列标准的结

构和名称如下。

1.《互联网数据中心和互联网接入服务信息安全管理系统技术要求》

2.《互联网数据中心和互联网接入服务信息安全管理系统接口规范》

3.《互联网数据中心和互联网接入服务信息安全管理系统与接口测试方法》

本标准代替YD/T2248�2012《互联网数据中心和互联网接入服务信息安全管理系统技术要求》。与

YD/T2248�2012相比主要技术变化如下。

——第2章中补充规范性引用文件；

——第3章中补充IDC业务机房及ISP业务节点、更新业务客户有关术语和定义；

——第4章中更新标准缩略语；

——第6章6.1节中调整了基础数据的分类，增加了基础数据本地管理和上报环节核验等功能要求，

补充了基础数据监测和处置相关要求，主要涉及6.1.1节、6.1.2节、6.1.3节、6.1.4节；

——第6章6.2节中补充和细化访问日志管理功能，主要涉及6.2.1节、6.2.2节、6.2.3节；

——第6章6.3节中增加了活跃资源监测和功能，调整和补充了违法违规网站管理、违法信息监测规

则相关要求，主要涉及6.3.1节、6.3.2节、6.3.3节；

——第8章中补充并调整8.1节处理能力和8.3节可靠性的指标要求；

——第9章中补充9.1节系统和数据安全相关要求；

——附录B中删减备案类型代码。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由中国通信标准化协会提出并归口。

本标准起草单位：国家计算机网络应急技术处理协调中心、工业和信息化部电信研究院、天津市通

信管理局、山东省通信管理局、河北省通信管理局、北京市通信管理局、浙江省通信管理局、云南省通

信管理局、江苏省通信管理局、安徽省通信管理局。

本标准主要起草人：张新、李冠华、魏亮、马竹青、戴荣惠、刘善武、彭士涛、张京捷、干萌、

黄克新、许明峰、舒敏、杨剑锋、苗琳、宋海彬、柳青、张昊星、钱康、强倩。

本标准于2011年首次发布，2012年第一次修订，本次为第二次修订。

II

YD/T2248�2015

互联网数据中心和互联网接入服务

信息安全管理系统技术要求

1范围

本标准规定了互联网数据中心和互联网接入服务类业务相关信息安全管理技术手段的基本要求。

本标准适用于提供包括但不限于业务机房及配套设施租赁、服务器托管和租用、虚拟主机等服务的

IDC业务经营者及为互联网信息服务提供者提供互联网接入服务的ISP业务经营者所建设的业务信息安

全管理系统。

2规范性引用文件

下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标

准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。

中华人民共和国电信条例附录《电信业务分类目录》

YD/T1728�2008《电信网和互联网安全防护管理指南》

YD/T2405�2012《互联网数据中心和互联网接入服务信息安全管理系统接口规范》

3术语和定义

《电信业务分类目录》界定的术语和定义及下列术语和定义适用于本文件。

3.1

安全监管系统SecurityMonitorManagementSystem

电信管理部门依照国家法律法规授权建设的信息安全监管系统。

3.2

信息安全管理系统InformationSecurityManagementSystem

业务经营者建设的符合本标准所规定信息安全管理系统要求的所有软、硬件系统的集合。

3.3

互联网数据中心InternetDataCenter

增值电信业务，定义详见《电信业务分类目录》。

3.4

互联网接入服务InternetServiceProvider

增值电信业务，定义详见《电信业务分类目录》。本标准中所有未指明的ISP均特指互联网接入服务。

3.5

互联网信息服务InternetContentProvider

增值电信业务，定义详见《电信业务分类目录》。

3.6

IDC业务机房theRoomofIDCService

IDC业务经营者利用既有的互联网通信线路、带宽资源及辅助设施（如温湿度控制、除尘、消防、

供配电、安防等），建立具有标准化电信级业务的环境和放置业务相关设备的场所。

1

YD/T2248�2015

3.7

ISP业务节点theNodeofISPService

ISP业务经营者利用接入服务器和相应的软硬件资源建立的、为客户提供接入互联网服务的业务节

点。

3.8

业务客户Customer

IDC/ISP业务的客户，包括在IDC进行托管主机、租赁主机、租用虚拟空间、专线接入等的客户或

从ISP获得互联网接入服务的客户。

3.9

访问用户AccessUser

访问通过IDC/ISP接入互联网的业务客户有关应用和服务的外部用户。

3.10

源IP、源端口SourceIP、Sourceport

访问用户所使用的IP地址和端口。

3.11

目的IP、目的端口DestinationIP、DestinationPort

IDC/ISP业务客户所使用的IP地址和端口。

4缩略语

下列缩略语适用于本文件。

FTPFileTransferProtocol文件传输协议

HTTPHypertexttransferprotocol超文本传输协议

ICPInternetContentProvider互联网信息服务

IDCInternetDataCenter互联网数据中心

ISPInternetServiceProvider互联网服务提供商

IPInternetProtocol互联网协议

ISMIInformationSecurityManagementInterface信息安全管理接口

ISMSInformationSecurityManagementSystem信息安全管理系统

NATNetworkAddressTranslation网络地址转换

POP3PostOfficeProtocol-version3邮政协议—第3版

SMMSSecurityMonitorManagementSystem安全监管系统

SMTPSimpleMailTransferProtocol简单邮件传输协议

TCPTransmissionControlProtocol传输控制协议

UDPUserDatagramProtocol用户数据报协议

URLUniformResourceLocator统一资源定位符

XLSeXtensibleLanguageStylesheet可扩展电子表格格式

XMLeXtensibleMarkupLanguage可扩展标记语言

2

YD/T2248�2015

5系统概述

IDC/ISP信息安全管理系统（ISMS）是IDC/ISP业务经营者建设的具有基础数据管理、访问日志管

理、信息安全管理等功能的信息安全管理系统，以满足IDC/ISP业务经营者和电信管理部门的信息安全

管理需求。

每个IDC/ISP经营者应建设一个统一的ISMS，并与电信管理部门建设的安全监管系统（SMMS）通

过信息安全管理接口（ISMI）进行通信，实现本标准规定的有关功能。

ISMS与SMMS之间的关系，如图1所示。

IDC/ISP经营者电信管理部门

信息安全

信息安全管理接口安全监管系统

管理系统

（ISMI）（SMMS）

（ISMS）

图1ISMS与SMMS关系示意图

本标准仅规定了ISMS功能和性能要求。ISMS与SMMS之间的数据交换格式及通信方法，见YD/T

2405�2012《互联网数据中心和互联网接入服务信息安全管理系统接口规范》。

附录A给出了ISMS的一种实现方式，IDC/ISP经营者也可采取其他技术实现方式。

6系统功能

6.1基础数据管理

6.1.1基础数据的分类

ISMS管理的IDC/ISP业务相关基础数据包括主体信息、资源信息两类。

a）对于主体信息，分为IDC/ISP业务经营单位信息、IDC/ISP业务客户信息。

1）经营单位信息，包括：IDC/ISP许可证号、单位名称（应与许可证上