對于《互聯(lián)網數(shù)據中心和互聯(lián)網接入服務信息安全管理系統(tǒng)技術要求》(YD/T 2248-2012)、《互聯(lián)網數(shù)據中心和互聯(lián)網接入服務信息安全管理系統(tǒng)接口規(guī)范》(YD/T 2405-2012)有關條款要求的解釋說明如下�����。
一���、解釋說明
(一)YD/T 2248-2012
1. 6.1.1節(jié):ISMS應實現(xiàn)基礎數(shù)據信息的本地存儲���,應具備基礎數(shù)據信息更新后自動上報的功能。
2. 6.1.1節(jié)c)款:“單位名稱(或姓名)”���、“單位地址及郵編”���、“單位屬性”中“單位”為IDC/ISP用戶。
3. 6.1.1節(jié)c)款:應用服務信息記錄中“服務內容”為預登記的IDC/ISP用戶所提供應用服務的類型�,可多選。
4. 6.1.2節(jié):對于支持域名指向的應用服務(如:HTTP���、FTP����、SMTP、POP3等)�,ISMS應對登記接入的域名及IP地址進行監(jiān)測,記錄存在異常的域名或存在異常的IP地址所指向域名�。
5. 6.1.2節(jié):ISMS應實現(xiàn)基礎數(shù)據監(jiān)測信息的本地存儲功能,保存時間不少于12個月���。
6. 6.2節(jié):ISMS應對IDC/ISP的上行流量(即由互聯(lián)網訪問IDC/ISP用戶相關資源的流量)數(shù)據進行全量監(jiān)測���。
7. 6.2節(jié):對于可通過傳輸層協(xié)議或應用層協(xié)議頭信息區(qū)分會話特征的數(shù)據流量,ISMS應以會話為單位記錄訪問日志�����,記錄信息至少應包括源IP�����、目的IP���、源端口、目的端口����、訪問時間(起始時間)���,屬于HTTP協(xié)議的需要留存URL;對于無法通過傳輸層協(xié)議或應用層協(xié)議報文頭內容區(qū)分會話特征的數(shù)據流量�����,ISMS應以數(shù)據流為單位記錄訪問日志(源IP��、目的IP���、源端口����、目的端口均相同����,但包間隔大于10s數(shù)據流量應逐包記錄),記錄信息至少應包括源IP����、目的IP、源端口���、目的端口��、訪問時間(起始時間)����。
8. 6.2節(jié):對于采用加密方式的會話,記錄的訪問日志應至少包括源/目的IP���,源/目的端口�����、訪問時間��。
9. 6.2節(jié):ISMS應支持SMMS對訪問日志記錄內容的精確查詢�����、檢索與統(tǒng)計����,應支持對IP地址����、URL等字段的模糊查詢與統(tǒng)計(如��,以部分字符和使用通配符為條件的查詢、檢索)����。
10. 6.2節(jié):ISMS可對訪問日志記錄查詢檢索條件進行必要限制,建議采用“起止時間+精確源/目的IP地址”組合方式開展查詢����,對于起止時間建議單次查詢時間跨度不大于2小時。
11. 6.3節(jié):ISMS應對IDC/ISP網絡中傳輸?shù)墓残畔?shù)據進行全量監(jiān)測�。
12. 6.3節(jié):ISMS應確保在信息安全管理功能的實現(xiàn)過程中,過濾指令的優(yōu)先級高于監(jiān)測指令��、SMMS下發(fā)指令的優(yōu)先級高于ISMS本地指令�,對于同類指令可按指令下發(fā)時間順序執(zhí)行。
13. 6.3節(jié):ISMS應至少能通過與IDC/ISP業(yè)務經營企業(yè)本地的違法網站列表�、網站備案記錄等數(shù)據進行比對的方式,自主實現(xiàn)違法違規(guī)網站發(fā)現(xiàn)�����、處置等管理功能��。
14. 6.3節(jié):違法違規(guī)網站處置記錄相關“處置人賬號”為下達處置指令的ISMS用戶所用用戶名�����,如系統(tǒng)自動處置則應記錄為“ISMS”。
15. 6.3節(jié):違法違規(guī)網站處置記錄相關“處置時間”精確到日(即由ISMS上報特定違法違規(guī)網站已處置記錄中“最近一次發(fā)現(xiàn)時間”提取的日期)��。
16. 6.3節(jié):ISMS應支持SMMS通過違法信息監(jiān)測/過濾指令的方式�����,至少實現(xiàn)基于IP地址(使用特定源/目的IP的數(shù)據包或會話)��、源/目的端口(使用特定源/目的端口的數(shù)據包或會話)�����、域名(使用特定域名的應用)���、URL(使用包含特定字符串的URL所指向的資源)�����、關鍵詞(頁面標題和正文中含有特定明文關鍵詞的WEB頁面)規(guī)則的違法信息監(jiān)測/過濾��。
17. 6.3節(jié):如單個違法信息監(jiān)測/過濾指令攜帶多條規(guī)則(上限100條)�����,則各規(guī)則之間為邏輯“與”關系�����。
18. 6.3節(jié):ISMS應能基于特定指令�,實現(xiàn)對TCP�、UDP等類流量數(shù)據的監(jiān)測,對發(fā)現(xiàn)的違法信息記錄監(jiān)測日志����;至少實現(xiàn)對TCP類流量數(shù)據的過濾處置。
19. 6.3節(jié):基于違法信息監(jiān)測�����、過濾規(guī)則��,如頁面標題或正文含有違法信息監(jiān)測/過濾的特定關鍵詞���,ISMS應記錄并上報相應頁面的URL����、含有特定關鍵詞的標題或含有特定關鍵詞的正文節(jié)選(或純文本頁面快照)��。
20. 6.3節(jié):ISMS可選支持基于違法信息監(jiān)測、過濾規(guī)則的代理發(fā)現(xiàn)與記錄功能����,如記錄代理類型宜按照附錄B.8的規(guī)定進行分類。
21. 6.3節(jié):對于生效的違法違規(guī)網站管理指令�����,ISMS應實現(xiàn)監(jiān)測��、處置記錄的本地存儲功能�,保存時間不少于12個月;對于生效的違法信息監(jiān)測����、過濾指令,ISMS至少應緩存有關監(jiān)測���、過濾記錄直至完成向SMMS上報�����。
22. 6.4節(jié):ISMS向SMMS傳送有關數(shù)據信息所用代碼見YD/T 2248-2012附錄B���; ISMS應支持SMMS通過代碼表發(fā)布指令的方式來實現(xiàn)在用數(shù)據代碼的更新�����。
23. 6.4.1節(jié):ISMS應對SMMS下發(fā)指令及其執(zhí)行狀態(tài)進行有效保護�,防止受到未授權的干擾與影響�����,且ISMS應能根據信息安全管理指令中的可讀標記來實現(xiàn)ISMS側全體用戶對特定指令及其執(zhí)行結果的讀寫權限控制�。
24. 8.1節(jié):訪問日志記錄錯漏應不高于1%�����,訪問時間記錄誤差不大于10s.
25. 8.1節(jié):訪問日志歷史數(shù)據的查詢檢索速度應不低于10萬條記錄/s����,且ISMS原則上應在接收查詢指令后10min內完成全部匹配記錄的上報,如上報記錄總量大于1萬條則應在接收查詢指令后10min內至少完成前1萬條匹配記錄(按時間由近到遠排序)的上報��。
26. 8.1節(jié):ISMS系統(tǒng)在所覆蓋業(yè)務鏈路的峰值流量壓力下��,按5萬條生效的違法信息監(jiān)測規(guī)則(特定域名���、特定URL��、特定關鍵詞的規(guī)則至少各1萬條)對違法信息實施監(jiān)測的準確率不低于95%�、漏判及誤判總量不高于5%;按5萬條生效的違法信息過濾規(guī)則(條件同前)對違法信息實施過濾的成功比例不低于95%.
(二)YD/T 2405-2012
1. 7.4節(jié):ISMS上報數(shù)據文件應帶有��。xml后綴名(如����,“生成時間。xml”形式)����。
2. 7.4節(jié):數(shù)據上報文件大小的要求為單個上報數(shù)據文件必須小于12M字節(jié),如上報數(shù)據量較大�,可分拆為多個文件。
3. 7.4節(jié):SMMS生成數(shù)據上報處理結果為UTF-8編碼的純文本文件�,不帶后綴名(文件名示例“上報數(shù)據類型代碼-上報數(shù)據文件名-處理結果代碼”)。
4. 7.4節(jié):ISMS應在完成上報數(shù)據文件傳送后及時獲取SMMS對相應上報數(shù)據的處理結果�,SMMS處理時長不超過10分鐘(如遇極端情況,SMMS應在10分鐘內通過代碼“999”的處理結果文件告知ISMS相應上報數(shù)據仍在處理過程中)��。
5. 8章�����、9章��、11章:如無特殊說明各接口方法參數(shù)、各消息節(jié)點的長度單位均為字節(jié)��。
6. 8.1.3節(jié)�、8.2.3節(jié):“idcId”參數(shù)長度最大18為字節(jié)。
7. 8.1.3節(jié)�、8.2.3節(jié)、8.3.1節(jié):ISMS至少應支持采用CBC模式���、PKCS7Padding補碼方式實現(xiàn)AES加密算法��,并可根據SMMS的要求設置AES密鑰長度、加密偏移量等參數(shù)��。
8. 8.1.4節(jié)��、8.2.4節(jié)��、8.3.2節(jié):ISMS指令文件認證和處理過程中哈希計算結果應采用十六進制字符串(英文字母小寫)����。
9. 10.8節(jié):ISMS可選實現(xiàn)基于關鍵詞的附件標題、附件正文違法信息監(jiān)測與過濾功能�。
10. 11.3節(jié):ISMS僅更新經營者基本信息時,表18“updateData”節(jié)點為選填�。
11. 11.7節(jié):SMMS應通過“管理指令文件序號”(表36“commandFileId”節(jié)點)和管理指令ID(表37“commandId”)對特定信息安全管理指令進行修改或撤銷����。
12. 11.7節(jié):如信息安全管理指令包含“生效范圍”(表37 “range”節(jié)點)����,則“IDC/ISP經營者ID”(表37“idcId”子節(jié)點)應與調用idc_command()方法時“idcId”參數(shù)(表3)一致內容(即每次調用idc_command()方法只發(fā)送指令到同一個IDC/ISP經營者)。
二����、勘誤
(一)YD/T 2405-2012
1. 7.4節(jié):有關上報數(shù)據的類型共計七種。
2. 8.2.3節(jié):有關idc_commandack( )方法共使用八個參數(shù)���。
3. 11.12節(jié):有關接入方式代碼信息子節(jié)點(表43)為“jrfsXx”�����。
