IPv4-IPv6網(wǎng)絡(luò)安全防護(hù)要求 第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心

ICS33.040.40

CCSM32

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX.3—XXXX

IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范

第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心

IPv4/IPv6securityprotectionrequirements-Part3:Internetdatacenter

（征求意見稿）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/Txxx-xxxx

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》與GB/TXXXXX《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求》、

GB/TXXXXX《IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求》共同構(gòu)成支撐IPv6安全的國家標(biāo)準(zhǔn)體系。

本文件是GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》的第3部分，GB/TXXXX已經(jīng)發(fā)布了

以下部分：

——第1部分：IP承載網(wǎng)

——第2部分：移動通信網(wǎng)

——第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心

——第4部分：內(nèi)容分發(fā)網(wǎng)絡(luò)

注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國通信標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC485)歸口。

本文件起草單位：

本文件主要起草人：

I

GB/Txxx-xxxx

引言

根據(jù)《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，為更好面對網(wǎng)

絡(luò)復(fù)雜化和用戶規(guī)模擴(kuò)大化帶來的安全挑戰(zhàn)，推動IPv6網(wǎng)絡(luò)安全工作的標(biāo)準(zhǔn)化，我國制定了一系列

IPv6安全標(biāo)準(zhǔn)。其中，GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》是為規(guī)范電信網(wǎng)和互聯(lián)網(wǎng)

行業(yè)中重要網(wǎng)絡(luò)單元在IPv6網(wǎng)絡(luò)中所開展的安全防護(hù)工作，擬分為以下部分：

——第1部分：IP承載網(wǎng)。目的在于IPv6部署后，推動IP承載網(wǎng)的安全防護(hù)工作。

——第2部分：移動通信網(wǎng)。目的在于IPv6部署后，推動移動通信網(wǎng)的安全防護(hù)工作。

——第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心。目的在于IPv6部署后，推動互聯(lián)網(wǎng)數(shù)據(jù)中心的安全防護(hù)工作。

——第4部分：內(nèi)容分發(fā)網(wǎng)絡(luò)。目的在于IPv6部署后，推動內(nèi)容分發(fā)網(wǎng)絡(luò)的安全防護(hù)工作。

I

GB/Txxx-xxxx

IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心

1范圍

本文件規(guī)定了支持IPv4/IPv6協(xié)議的互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)要求和檢測要求，包括

業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、物理環(huán)境安全和管理安全。

本文件適用于支持IPv4/IPv6協(xié)議的IDC安全防護(hù)工作開展和推進(jìn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引

用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修

改單）適用于本文件。

GB/T41267-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求交換機(jī)設(shè)備

GB/T41269-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求路由器設(shè)備

GB/T18018-2019信息安全技術(shù)路由器安全技術(shù)要求

GB/T21050-2019信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求

GB/T29240-2012信息安全技術(shù)終端計(jì)算機(jī)通用安全技術(shù)要求與測試評價(jià)方法

GB/T39680-2020信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評準(zhǔn)則

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

YD/T1478-2006電信管理網(wǎng)安全技術(shù)要求

YD/T2698-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測要求網(wǎng)絡(luò)設(shè)備

YD/T2701-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測要求操作系統(tǒng)

YD/T2700-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測要求數(shù)據(jù)庫

YD/T2703-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測要求Web應(yīng)用系統(tǒng)

YD/T2702-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測要求中間件

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）服務(wù)internetdatacenterservices

2

GB/Txxx-xxxx

利用相應(yīng)的機(jī)房設(shè)施，以外包出租的方式為用戶的服務(wù)器等互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)相關(guān)設(shè)備提供

放置、代理維護(hù)、系統(tǒng)配置及管理服務(wù)，以及提供數(shù)據(jù)庫系統(tǒng)或服務(wù)器等設(shè)備的出租及其存儲空

間的出租、通信線路和出口帶寬的代理租用和其他應(yīng)用服務(wù)。

3.2

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）客戶customerofIDC

通過購買IDC服務(wù)以滿足其業(yè)務(wù)需求的群體。

4縮略語

下列縮略語適用于本文件。

ACL訪問控制列表AccessControlList

CC挑戰(zhàn)黑洞ChallengeCollapsar

CPU中央處理器CentralProcessingUnit

DNS域名系統(tǒng)DomainNameSystem

DDoS分布式拒絕服務(wù)DistributedDenialofService

FTP文件傳輸協(xié)議FileTransferProtocol

ICMPInternet控制報(bào)文協(xié)議InternetControlMessageProtocol

IDC互聯(lián)網(wǎng)數(shù)據(jù)中心InternetDataCenter

IPv4互聯(lián)網(wǎng)協(xié)議第4版InternetProtocolversion4

IPv6互聯(lián)網(wǎng)協(xié)議第6版InternetProtocolversion6

MAC媒體介入控制層MediumAccessControl

SNMP簡單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagementProtocol

SQL結(jié)構(gòu)化查詢語言StructuredQueryLanguage

SSH安全協(xié)議外殼SecureShell

SSL安全套接層SecureSocketsLayer

SYNFloodSYN洪水攻擊SynchronizeFlood

TLS傳輸層安全協(xié)議TransportLayerSecurity

UDPFloodUDP洪水攻擊UserDatagramProtocolFlood

URL統(tǒng)一資源定位符UniformResourceLocator

URPF單播逆向路徑轉(zhuǎn)發(fā)UnicastReversePathForwarding

USM用戶安全模型UserSecurityModel

VACM基于視圖的訪問控制模型View-basedAccessControlModel

VLAN虛擬局域網(wǎng)VirtualLocalAreaNetwork

VPN虛擬專用網(wǎng)VirtualPrivateNetwork

5互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)概述

5.1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)范圍

3

GB/Txxx-xxxx

IDC的安全防護(hù)范圍包括為用戶提供各種IDC服務(wù)的IDC基礎(chǔ)設(shè)施（包括IP網(wǎng)絡(luò)、主機(jī)、服務(wù)

器、安全設(shè)備等）、為了保證IDC正常運(yùn)行所構(gòu)建的IDC支撐系統(tǒng)（包括集中配置、集中監(jiān)控、災(zāi)

備等）和為了保證IDC網(wǎng)絡(luò)安全所構(gòu)建的IDC網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

5.2互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)內(nèi)容

應(yīng)按照國家、行業(yè)的網(wǎng)絡(luò)安全等級劃分標(biāo)準(zhǔn)確定安全等級，并依據(jù)安全等級開展包括網(wǎng)絡(luò)安

全、主機(jī)安全、中間件安全、物理環(huán)境安全和管理安全等六個(gè)層面的安全防護(hù)工作。其中：

a)業(yè)務(wù)安全：指為實(shí)現(xiàn)IDC業(yè)務(wù)所使用的應(yīng)用系統(tǒng)的安全，一般指采用應(yīng)用層技術(shù)構(gòu)建

的業(yè)務(wù)系統(tǒng)、網(wǎng)管支撐系統(tǒng)涉及相關(guān)安全，如Web安全、FTP、SNMP應(yīng)用協(xié)議安全等

等；

b)網(wǎng)絡(luò)安全：主要包括IDC的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)攻擊防范等方面內(nèi)容和要求；

c)主機(jī)安全：主要包括IDC通用主機(jī)設(shè)備安全等方面內(nèi)容和要求；

d)中間件安全：主要包括IDC的中間件基本安全要求等方面內(nèi)容和要求；

e)物理環(huán)境安全：主要包括GB/T22239-2019中安全物理環(huán)境要求；

f)管理安全：除GB/T22239-2019要求外，還包括風(fēng)險(xiǎn)評估、應(yīng)急預(yù)案等方面內(nèi)容和要求。

6互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)要求

6.1第1級要求

6.1.1業(yè)務(wù)安全

暫不作要求。

6.1.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)結(jié)構(gòu)

IDC在生產(chǎn)運(yùn)行、操作維護(hù)、系統(tǒng)管理等方面，應(yīng)采用網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器、防火墻

等對其內(nèi)部網(wǎng)絡(luò)進(jìn)行安全域劃分，劃分方式包括但不限于VLAN劃分、IP網(wǎng)段劃分、可信任域劃

分等。

網(wǎng)絡(luò)管理

IDC網(wǎng)絡(luò)管理應(yīng)滿足以下要求：

a)應(yīng)對IDC業(yè)務(wù)及客戶源地址進(jìn)行梳理和備案；

b)IDC應(yīng)啟用跨安全域訪問控制策略，控制內(nèi)容包括但不限于訪問源的MAC地址、

IPv4/IPv6地址、端口號等信息；

4

GB/Txxx-xxxx

c)IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)與為IDC提供服務(wù)的基礎(chǔ)設(shè)施相隔離并部署在不同網(wǎng)絡(luò)區(qū)

域；

d)IDC集中運(yùn)維安全管控系統(tǒng)的網(wǎng)絡(luò)邊界設(shè)備應(yīng)按不同業(yè)務(wù)需求配置相應(yīng)的訪問控制策

略，只開放管理必須的服務(wù)及端口，避免開放較大的IPv4/IPv6地址段及服務(wù)；

e)IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)采用安全的管理和控制信息分發(fā)、過濾機(jī)制。網(wǎng)絡(luò)管理信

息應(yīng)加密傳送；應(yīng)對目的地址為管理接口的非管理報(bào)文和目的地址為數(shù)據(jù)業(yè)務(wù)接口的管

理報(bào)文進(jìn)行控制。

網(wǎng)絡(luò)入侵防范

IDC面向互聯(lián)網(wǎng)應(yīng)具備相應(yīng)防護(hù)能力，對進(jìn)出IDC的所有數(shù)據(jù)流量進(jìn)行防護(hù)。

網(wǎng)絡(luò)安全監(jiān)測

IDC應(yīng)能在互聯(lián)網(wǎng)接口處進(jìn)行流量監(jiān)控分析，及時(shí)發(fā)現(xiàn)導(dǎo)致流量異常的安全事件。

網(wǎng)絡(luò)設(shè)備防護(hù)

IDC網(wǎng)絡(luò)設(shè)備主要包括各類路由器、交換機(jī)設(shè)備等，網(wǎng)絡(luò)設(shè)備的安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)

范、設(shè)備安全要求以及設(shè)備入網(wǎng)管理相關(guān)要求的規(guī)定，包括GB/T18018-2019、GB/T21050-2019、

GB/T41267-2022、GB/T41269-2022等。網(wǎng)絡(luò)設(shè)備的安全基線配置應(yīng)滿足YD/T2698-2014相關(guān)要

求。

6.1.3主機(jī)安全

IDC通用主機(jī)設(shè)備主要包括各類通用服務(wù)器、工作站、終端、數(shù)據(jù)庫等，相關(guān)設(shè)備應(yīng)滿足相

應(yīng)標(biāo)準(zhǔn)要求，包括GB/T29240-2012、GB/T39680-2020等。相關(guān)設(shè)備安全基線配置應(yīng)滿足相應(yīng)標(biāo)

準(zhǔn)要求，通用主機(jī)設(shè)備的操作系統(tǒng)安全基線配置應(yīng)滿足YD/T2701-2014要求，數(shù)據(jù)庫的安全基線

配置應(yīng)滿足YD/T2700-2014要求，Web應(yīng)用系統(tǒng)的安全基線配置應(yīng)滿足YD/T2703-2014要求等。

6.1.4中間件安全

IDC自身業(yè)務(wù)使用中間件的安全基線配置應(yīng)滿足YD/T2702-2014要求。

6.1.5物理環(huán)境安全

應(yīng)滿足GB/T22239-2019中第一級的安全物理環(huán)境要求。

6.1.6管理安全

應(yīng)滿足GB/T22239-2019中第一級的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全運(yùn)

5

GB/Txxx-xxxx

維管理相關(guān)要求。

6.2第2級要求

6.2.1業(yè)務(wù)安全

業(yè)務(wù)安全應(yīng)滿足以下要求：

a)應(yīng)按照合同提供IDC客戶指定的安全防護(hù)資源和備份恢復(fù)技術(shù)能力；

b)應(yīng)保證IDC網(wǎng)絡(luò)單元關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

c)IDC與互聯(lián)網(wǎng)接口處的流量帶寬應(yīng)具備冗余空間，滿足業(yè)務(wù)高峰期需要。

6.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)結(jié)構(gòu)

除滿足第1級的要求以外，還應(yīng)滿足：

a)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖（反映互聯(lián)網(wǎng)接口、內(nèi)部網(wǎng)絡(luò)劃分等內(nèi)容）；

b)IDC的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)的運(yùn)營、管理或區(qū)域等因素在邏輯上合理的實(shí)現(xiàn)分層和分級，

IDC內(nèi)部網(wǎng)絡(luò)區(qū)域的劃分應(yīng)與網(wǎng)絡(luò)結(jié)構(gòu)和組織形式保持一致。

網(wǎng)絡(luò)管理

除滿足第1級的要求以外，還應(yīng)滿足：

a)通過運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)（如DCN網(wǎng)絡(luò)）遠(yuǎn)程訪問IDC中設(shè)備時(shí)，應(yīng)按業(yè)務(wù)需求在被訪

問的IDC網(wǎng)絡(luò)邊界設(shè)備上啟用接入訪問控制策略，應(yīng)對包括但不限于源IPv4/IPv6地址、

端口號等在內(nèi)的控制項(xiàng)進(jìn)行限制，避免開放過長IP地址段及過多端口；

b)通過公共互聯(lián)網(wǎng)遠(yuǎn)程訪問IDC中設(shè)備時(shí)，應(yīng)使用VPN方式訪問，并按業(yè)務(wù)需求在被訪

問的IDC網(wǎng)絡(luò)邊界設(shè)備上啟用接入訪問控制策略，應(yīng)對包括但不限于源及目的IPv4/IPv6

地址、端口號等在內(nèi)的控制項(xiàng)進(jìn)行限制，避免開放過長IPv4/IPv6地址段及過多端口；

c)IDC網(wǎng)絡(luò)邊界的隔離設(shè)備如采用Web方式進(jìn)行配置和管理，應(yīng)采用如下措施：

1)應(yīng)使用用戶安全鑒別和認(rèn)證措施，如支持TLS/TLCP協(xié)議等；

2)應(yīng)防止Web安全漏洞，如Web組件漏洞、SQL注入攻擊、跨站腳本攻擊等；

3)應(yīng)保證配置安全，采取隱蔽Web后臺配置頁面等措施，防止后臺配置界面泄露、

Web路徑泄露等漏洞被非法利用從而導(dǎo)致對設(shè)備的攻擊入侵；

4)限制Web服務(wù)器的訪問和操作權(quán)限（避免Web訪問非授權(quán)的敏感數(shù)據(jù)）。

d)IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)使用用戶安全鑒別和認(rèn)證措施，應(yīng)符合YD/T1478-2006中

相關(guān)安全技術(shù)要求，管理使用的SNMP協(xié)議原則應(yīng)支持SNMPv3并支持VACM和USM

6

GB/Txxx-xxxx

等安全機(jī)制，對于遠(yuǎn)程登錄應(yīng)支持SSH以及相關(guān)加密和認(rèn)證算法，對于Web管理應(yīng)支

持TLS/TLCP等安全協(xié)議；

e)IDC集中運(yùn)維安全管控系統(tǒng)支持的SNMP、SSH、FTP、HTTP、Telnet等服務(wù)應(yīng)在非必

要情況下關(guān)閉和禁用，必須使用SNMP協(xié)議的設(shè)備應(yīng)加強(qiáng)對SNMP寫操作的管理控制，

可采用增加Community的復(fù)雜度或是采用ACL控制等方式進(jìn)行管理；

f)IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)能對節(jié)點(diǎn)、鏈路和各類資源的預(yù)警、告警、故障進(jìn)行及時(shí)

有效的定位，各類報(bào)警的閾值應(yīng)設(shè)置合理；

g)IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)具有并啟用完整的系統(tǒng)安全日志功能；

h)IDC集中運(yùn)維安全管控系統(tǒng)如采用Web技術(shù)進(jìn)行配置、管理，應(yīng)采用如下措施：

1)應(yīng)使用用戶安全鑒別和認(rèn)證措施，如支持TLS/TLCP協(xié)議等；

2)應(yīng)使用代碼審計(jì)等措施檢測和消除Web安全漏洞（如SQL注入攻擊、跨站腳本攻

擊等）；

3)應(yīng)保證配置安全，采取隱蔽Web后臺配置頁面等措施，防止后臺配置界面泄露、

Web路徑泄露等漏洞被非法利用從而導(dǎo)致對設(shè)備的攻擊入侵；

4)限制Web服務(wù)器的訪問和操作權(quán)限（避免Web訪問非授權(quán)的敏感數(shù)據(jù)）。

i)IDC應(yīng)部署和啟用虛假源地址流量控制策略，包括但不限于：在IDC出口設(shè)備上開啟

URPF（單播逆向路徑轉(zhuǎn)發(fā)）功能，對于不具備開啟條件的設(shè)備，啟用ACL（訪問控制

列表）功能過濾虛假源地址。

網(wǎng)絡(luò)入侵防范

除滿足第1級的要求以外，還應(yīng)滿足：

a)IDC應(yīng)具有對網(wǎng)絡(luò)安全漏洞攻擊防范能力，包括但不限于以下能力：

1)能夠?qū)σ阎踩┒垂袅髁亢凸魣?bào)文進(jìn)行檢測；

2)能夠?qū)M合型攻擊流量和攻擊報(bào)文進(jìn)行檢測和告警；

3)能夠?qū)粼催M(jìn)行溯源和記錄操作行為；

4)能夠解析IPv4/IPv6報(bào)文，通過IP5元組、攻擊數(shù)據(jù)包類型、攻擊報(bào)文關(guān)鍵字、攻

擊流量等對已知安全漏洞攻擊進(jìn)行阻斷；

5)能夠?qū)σ伤瓢踩┒垂粜袨檫M(jìn)行研判和預(yù)警；

b)IDC應(yīng)具備對DDoS攻擊的防范能力，包括但不限于以下能力：

1)能夠?qū)ΤＲ奃DoS攻擊（如ARP/NDFlood、SYNFlood、UDPFlood、ICMPFlood

7

GB/Txxx-xxxx

等）進(jìn)行檢測和告警；

2)能夠?qū)eb應(yīng)用層DDoS攻擊（如CC攻擊）進(jìn)行檢測和告警；

3)能夠?qū)DoS攻擊源或僵尸機(jī)記錄攻擊行為；

4)能夠通過解析IPv4/IPv6報(bào)文，基于IP5元組、網(wǎng)絡(luò)應(yīng)用種類、協(xié)議類型、協(xié)議標(biāo)

簽等進(jìn)行包過濾、閾值限制、重定向等手段清洗DDoS攻擊流量，DDoS攻擊防護(hù)

能力覆蓋IDC網(wǎng)絡(luò)出口帶寬。

c)IDC應(yīng)能夠檢測并防御以下攻擊行為：端口掃描、暴力攻擊、木馬后門攻擊、拒絕服務(wù)

攻擊、緩沖區(qū)溢出攻擊、ARP/ND欺騙攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。

網(wǎng)絡(luò)安全監(jiān)測

除滿足第1級的要求以外，還應(yīng)滿足：

a)應(yīng)對IDC自身業(yè)務(wù)中的重要主機(jī)進(jìn)行監(jiān)視，包括監(jiān)視主機(jī)的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等

資源的使用情況；

b)對于目的地址為IDC網(wǎng)絡(luò)內(nèi)地址的數(shù)據(jù)包，安全域邊界應(yīng)具有有效的攻擊識別和監(jiān)測能

力，應(yīng)具有對于異常數(shù)據(jù)流量的識別和處理能力；

c)IDC出入口路由器應(yīng)具備IPv4/IPv6源地址驗(yàn)證和虛假源地址流量過濾功能；

d)IDC出入口路由器應(yīng)具備流量元數(shù)據(jù)采集和轉(zhuǎn)發(fā)功能，采集格式支持NetFlow（V5及以

上）、NetStream（V5及以上）或sFlow（V4及以上），采樣率不低于1/1000。

網(wǎng)絡(luò)保護(hù)與恢復(fù)

IDC網(wǎng)絡(luò)保護(hù)與恢復(fù)應(yīng)滿足以下要求：

a)IDC應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力，自身重要服務(wù)器、重要部件、重要數(shù)據(jù)庫

應(yīng)當(dāng)采用本地雙機(jī)備份的方式進(jìn)行容災(zāi)保護(hù)；

b)IDC網(wǎng)絡(luò)災(zāi)難恢復(fù)時(shí)間應(yīng)滿足國家或行業(yè)對應(yīng)急預(yù)案的相關(guān)要求；

c)IDC重要信息數(shù)據(jù)應(yīng)提供本地備份；

d)IDC的數(shù)據(jù)備份范圍和時(shí)間間隔、數(shù)據(jù)恢復(fù)能力應(yīng)符合國家或行業(yè)對應(yīng)急預(yù)案的相關(guān)要

求。

網(wǎng)絡(luò)設(shè)備防護(hù)

除滿足第1級的要求以外，還應(yīng)滿足：

a)應(yīng)對IDC網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄，

并定期對日志進(jìn)行安全審計(jì)，形成相關(guān)的審計(jì)文檔；

8

GB/Txxx-xxxx

b)IDC網(wǎng)絡(luò)邊界設(shè)備的安全日志應(yīng)在本地或外部設(shè)備上進(jìn)行記錄、輸出、存儲，并及時(shí)、

定期審計(jì)安全域邊界安全防護(hù)設(shè)備的日志，日志審計(jì)范圍應(yīng)該覆蓋設(shè)備自身操作維護(hù)記

錄，以及設(shè)備對外部發(fā)起行為的記錄，應(yīng)形成、儲存相關(guān)的審計(jì)文檔；

c)IDC網(wǎng)絡(luò)設(shè)備審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其

他與審計(jì)相關(guān)的信息。

6.2.3主機(jī)安全

與第1級的要求相同。

6.2.4中間件安全

除滿足第1級的要求以外，還應(yīng)滿足：

a)IDC自身業(yè)務(wù)所使用的中間件進(jìn)行協(xié)議級的配置時(shí)應(yīng)禁用中間件的不必要的HTTP方法，

例如PUT，TRACE，DELETE等，若啟用了HTTPS則應(yīng)禁用HTTP；

b)IDC自身業(yè)務(wù)所使用的中間件應(yīng)啟用必要的語言安全設(shè)置，例如PHP語言設(shè)置，JAVA語

言設(shè)置。

6.2.5物理環(huán)境安全

應(yīng)滿足GB/T22239-2019中第二級的安全物理環(huán)境要求。

6.2.6管理安全

安全管理要求

除滿足GB/T22239-2019中第二級的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全運(yùn)

維管理相關(guān)要求外，還應(yīng)滿足如下要求：

a)IDC應(yīng)有介質(zhì)存取、驗(yàn)證、轉(zhuǎn)儲、銷毀管理制度，確保備份數(shù)據(jù)授權(quán)訪問；

b)IDC應(yīng)按介質(zhì)特性對備份數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證；

c)IDC應(yīng)有相關(guān)服務(wù)器設(shè)備的災(zāi)難備份及恢復(fù)的管理制度。

風(fēng)險(xiǎn)評估要求

IDC風(fēng)險(xiǎn)評估應(yīng)滿足以下要求：

a)IDC及其所屬各類設(shè)備、系統(tǒng)應(yīng)根據(jù)安全防護(hù)相關(guān)規(guī)定定期進(jìn)行安全風(fēng)險(xiǎn)評估（至少每

兩年一次），風(fēng)險(xiǎn)評估范圍應(yīng)與IDC安全防護(hù)范圍一致；

b)IDC安全風(fēng)險(xiǎn)評估至少應(yīng)覆蓋業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、物理環(huán)境

安全等相關(guān)技術(shù)風(fēng)險(xiǎn)和人員安全、運(yùn)維安全等相關(guān)管理風(fēng)險(xiǎn)，至少包含IDC相關(guān)資產(chǎn)、

9

GB/Txxx-xxxx

脆弱性、威脅、安全措施、風(fēng)險(xiǎn)分析等要素和內(nèi)容，并根據(jù)評估結(jié)果制定相應(yīng)的風(fēng)險(xiǎn)處

理計(jì)劃。

災(zāi)難恢復(fù)預(yù)案

IDC災(zāi)難恢復(fù)預(yù)案應(yīng)滿足以下要求：

a)IDC應(yīng)制定完整的災(zāi)難恢復(fù)預(yù)案及對應(yīng)管理制度；

b)IDC應(yīng)有災(zāi)難恢復(fù)預(yù)案的教育和培訓(xùn)（至少每半年一次），相關(guān)人員應(yīng)了解災(zāi)難恢復(fù)預(yù)

案并具有對災(zāi)難恢復(fù)預(yù)案進(jìn)行實(shí)際操作的能力；

c)IDC應(yīng)有災(zāi)難恢復(fù)預(yù)案的演練（至少每年一次），并根據(jù)演練結(jié)果對災(zāi)難恢復(fù)預(yù)案進(jìn)行

修正。

6.3第3級要求

6.3.1業(yè)務(wù)安全

與第2級的要求相同。

6.3.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)結(jié)構(gòu)

除滿足第2級的要求以外，還應(yīng)滿足：

a)IDC的Web服務(wù)器、后臺數(shù)據(jù)庫應(yīng)分開部署在不同物理主機(jī)上。

網(wǎng)絡(luò)管理

除滿足第2級的要求之外，還應(yīng)滿足：

a)安全域之間的IP網(wǎng)絡(luò)邊界設(shè)備應(yīng)啟用接入訪問控制策略，應(yīng)依據(jù)不同安全域互相訪問需

求對包括但不限于源IP地址、端口號等在內(nèi)的控制項(xiàng)進(jìn)行限制，避免開放過長IP地址段

及過多端口。

網(wǎng)絡(luò)入侵防范

除滿足第2級的要求之外，還應(yīng)滿足：

a)當(dāng)檢測到攻擊行為時(shí)，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重

入侵事件時(shí)應(yīng)能夠?qū)崟r(shí)報(bào)警；

b)應(yīng)在IDC網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和處理，并及時(shí)對檢測系統(tǒng)進(jìn)行更新；

c)IDC應(yīng)對防惡意代碼軟件進(jìn)行統(tǒng)一管理。

網(wǎng)絡(luò)安全監(jiān)測

10

GB/Txxx-xxxx

除滿足第2級的要求外，還應(yīng)滿足：

a)IDC應(yīng)具有對僵尸網(wǎng)絡(luò)、木馬和蠕蟲的監(jiān)測能力，在IDC出入口對進(jìn)出流量進(jìn)行監(jiān)測，在

IDC內(nèi)部對內(nèi)部流量進(jìn)行監(jiān)測。包括但不限于以下能力：

1)能夠?qū)σ阎┦W(wǎng)絡(luò)、木馬和蠕蟲病毒進(jìn)行監(jiān)測和告警；

2)能夠?qū)嚎s流量和嵌入型僵尸網(wǎng)絡(luò)和木馬進(jìn)行監(jiān)測和告警；

3)能夠?qū)┦W(wǎng)絡(luò)和木馬控制端進(jìn)行溯源并記錄操作行為；

4)能夠?qū)σ伤平┦W(wǎng)絡(luò)、木馬和蠕蟲病毒進(jìn)行預(yù)警；

5)能夠?qū)DC機(jī)房服務(wù)器的Web網(wǎng)站進(jìn)行掛馬掃描；

6)能夠?qū)DC機(jī)房服務(wù)器的IPv4/IPv6地址進(jìn)行系統(tǒng)漏洞掃描；

7)具備基于網(wǎng)絡(luò)行為、樣本特征和惡意URL的僵尸網(wǎng)絡(luò)、木馬和蠕蟲病毒庫。

b)IDC應(yīng)具有對不同種類業(yè)務(wù)相關(guān)數(shù)據(jù)進(jìn)行監(jiān)測、統(tǒng)計(jì)、控制、過濾的功能；

c)宜對IDC管理運(yùn)維人員的設(shè)備系統(tǒng)訪問等操作行為進(jìn)行監(jiān)控和審計(jì)。

網(wǎng)絡(luò)保護(hù)與恢復(fù)

除滿足第2級的要求外，還應(yīng)滿足：

a)IDC應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力，重要服務(wù)器、重要部件、重要數(shù)據(jù)庫應(yīng)當(dāng)

采用異址（同城不同地點(diǎn)的機(jī)房或異地）方式進(jìn)行容災(zāi)保護(hù)；

b)IDC與互聯(lián)網(wǎng)之間應(yīng)具備冗余鏈路；

c)IDC網(wǎng)絡(luò)中關(guān)鍵設(shè)備之間應(yīng)當(dāng)提供多條物理鏈路（如Web服務(wù)器設(shè)備與數(shù)據(jù)庫服務(wù)器設(shè)

備之間）；

d)IDC重要信息數(shù)據(jù)應(yīng)提供異址備份（同城不同地點(diǎn)的機(jī)房或異地）。

網(wǎng)絡(luò)設(shè)備防護(hù)

除滿足第2級的要求之外，還應(yīng)滿足：

a)IDC網(wǎng)絡(luò)設(shè)備帳號口令更新周期不大于60天。

6.3.3主機(jī)安全

除滿足第2級的要求之外，還應(yīng)滿足：

a)IDC通用主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶口令更新周期不大于60天；

b)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息（如，配置信息、審計(jì)記錄等）的

操作；

c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

11

GB/Txxx-xxxx

d)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；

e)應(yīng)能夠檢測到對IDC內(nèi)主機(jī)進(jìn)行入侵的行為，能夠記錄入侵的源IPv4/IPv6地址、攻擊的

類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

6.3.4中間件安全

除滿足第2級的要求以外，還應(yīng)滿足：

a）IDC自身業(yè)務(wù)所使用的中間件應(yīng)用運(yùn)行時(shí)應(yīng)啟動必要的自我安全保護(hù)技術(shù)。

6.3.5物理環(huán)境安全

應(yīng)滿足GB/T22239-2019中第三級的安全物理環(huán)境要求。

6.3.6管理安全

安全管理要求

應(yīng)滿足第2級和GB/T22239-2019中第三級的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、

安全運(yùn)維管理相關(guān)要求。

風(fēng)險(xiǎn)評估要求

除滿足第2級要求外，還應(yīng)定期對IDC及其所屬各類設(shè)備、系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估（至少每年

一次）。

災(zāi)難恢復(fù)預(yù)案

除滿足第2級要求外，還應(yīng)定期組織IDC及其所屬各類設(shè)備、系統(tǒng)災(zāi)難恢復(fù)預(yù)案的教育培訓(xùn)（至

少每季度一次）和演練（至少每半年一次）。

安全建設(shè)管理

IDC業(yè)務(wù)實(shí)施時(shí)，客戶應(yīng)提交業(yè)務(wù)客戶信息采集表，主要包含但不限于以下信息：系統(tǒng)數(shù)據(jù)

分類與安全等級、系統(tǒng)對基礎(chǔ)設(shè)施的依賴關(guān)系、系統(tǒng)要求配置的防火墻與路由器策略等。

安全運(yùn)維管理

IDC安全運(yùn)維應(yīng)滿足以下要求：

a)應(yīng)至少每六個(gè)月檢查一次防火墻和路由器的規(guī)則設(shè)置（檢測防火墻和路由器是否存在沖

突規(guī)則、冗余規(guī)則或無效規(guī)則等）；

b)應(yīng)至少每三個(gè)月進(jìn)行一次應(yīng)用層弱點(diǎn)掃描，當(dāng)基礎(chǔ)設(shè)施或應(yīng)用完成重大的升級或調(diào)整后，

應(yīng)執(zhí)行應(yīng)用層弱點(diǎn)掃描；

12

GB/Txxx-xxxx

c)應(yīng)至少每年進(jìn)行一次應(yīng)用層滲透測試，當(dāng)基礎(chǔ)設(shè)施或應(yīng)用完成重大的升級或調(diào)整后，應(yīng)

執(zhí)行應(yīng)用層滲透測試。

6.4第4級要求

同第3級要求。

6.5第5級要求

同第3級要求。

7互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）安全防護(hù)檢測要求

7.1第1級要求

7.1.1網(wǎng)絡(luò)安全

網(wǎng)絡(luò)結(jié)構(gòu)

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)結(jié)構(gòu)安全-01

測試項(xiàng)目：-a，IDC應(yīng)對其內(nèi)部網(wǎng)絡(luò)進(jìn)行安全域劃分。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔、網(wǎng)絡(luò)拓?fù)湮臋n、網(wǎng)絡(luò)安全策

略、運(yùn)維管理制度、設(shè)備配置文檔等；

2）進(jìn)入現(xiàn)場檢查網(wǎng)絡(luò)及設(shè)備實(shí)際組網(wǎng)情況，實(shí)地查看IDC的拓?fù)洹⒃O(shè)備部署、鏈路設(shè)置

等情況；

3）分別檢查不同的安全域的網(wǎng)絡(luò)管理情況，檢查其是否滿足分域定制的管理要求。

預(yù)期結(jié)果：

1）IDC實(shí)際拓?fù)浣Y(jié)構(gòu)、設(shè)備部署等均完成了安全域劃分。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

網(wǎng)絡(luò)管理

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-01

測試項(xiàng)目：-a，IDC應(yīng)對業(yè)務(wù)及客戶源地址進(jìn)行梳理和備案。

測試步驟：

1）訪談IDC運(yùn)維人員，查看客戶源地址規(guī)劃和備案記錄；

13

GB/Txxx-xxxx

2）檢查并核對網(wǎng)絡(luò)設(shè)備實(shí)際配置地址情況。

預(yù)期結(jié)果：

1）IDC客戶源地址分配和使用有統(tǒng)一規(guī)劃和備案；

2）IDC客戶源地址備案信息與實(shí)際部署一致。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-02

測試項(xiàng)目：-b，IDC應(yīng)啟用跨安全域訪問控制策略。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、運(yùn)維管理制度、設(shè)

備配置文檔等，查看IDC跨域訪問控制策略；

2）使用流量發(fā)生器構(gòu)造具有不同源MAC、源IPv4/IPv6地址、端口號特征的報(bào)文流訪問

不同安全域；

3）在安全域邊界設(shè)備處查看訪問日志，在安全域內(nèi)被訪問設(shè)備處使用流量分析儀進(jìn)行抓包

分析。

預(yù)期結(jié)果：

1）IDC啟用了跨安全域訪問控制策略；

2）IDC內(nèi)不同安全域能夠?qū)Ψ欠ㄔL問請求進(jìn)行攔截阻斷和記錄。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-03

測試項(xiàng)目：-c，IDC集中運(yùn)維安全管控系統(tǒng)應(yīng)與提供服務(wù)基礎(chǔ)設(shè)施相隔離。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、運(yùn)維管理制度、設(shè)

備配置文檔等，查看IDC業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維安全管控系統(tǒng)間的連接情況；

2）從IDC業(yè)務(wù)網(wǎng)絡(luò)側(cè)訪問運(yùn)維安全管控系統(tǒng)中的設(shè)備，驗(yàn)證網(wǎng)絡(luò)與運(yùn)維安全管控系統(tǒng)間

14

GB/Txxx-xxxx

是否實(shí)現(xiàn)邏輯隔離，評估安全域訪問控制策略的應(yīng)用效果；

3）使用網(wǎng)絡(luò)維護(hù)終端訪問運(yùn)維安全管控系統(tǒng)中的設(shè)備，驗(yàn)證是否有安全的訪問認(rèn)證措施對

其進(jìn)行限制。

預(yù)期結(jié)果：

1）IDC運(yùn)維安全管控系統(tǒng)與提供服務(wù)基礎(chǔ)設(shè)施間采用了邏輯隔離的隔離措施；

2）網(wǎng)絡(luò)維護(hù)終端訪問被管理網(wǎng)絡(luò)設(shè)備時(shí)采取了安全措施。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-04

測試項(xiàng)目：-d，IDC集中運(yùn)維安全管控系統(tǒng)的網(wǎng)絡(luò)邊界設(shè)備應(yīng)配置訪問控制策略。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)安全策略、設(shè)備配置文檔等，查看IDC運(yùn)維

安全管控系統(tǒng)的網(wǎng)絡(luò)邊界設(shè)備訪問控制策略；

2）對IDC運(yùn)維安全管控系統(tǒng)進(jìn)行IP地址和端口掃描，查看掃描結(jié)果。

預(yù)期結(jié)果：

1）IDC集中運(yùn)維安全管控系統(tǒng)的網(wǎng)絡(luò)邊界設(shè)備配置了訪問控制策略；

2）IDC集中運(yùn)維安全管控系統(tǒng)只開放了有限但必須的IP地址和端口服務(wù)。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-05

測試項(xiàng)目：-e，IDC集中運(yùn)維安全管控系統(tǒng)網(wǎng)絡(luò)管理會話信息應(yīng)通過加密方式傳送。

網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置專用管理接口，對于發(fā)往管理和業(yè)務(wù)接口的報(bào)文進(jìn)行嚴(yán)格過濾和限制。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維人員，查看運(yùn)維安全管控系統(tǒng)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、設(shè)備管理配置記

錄等，查看IDC集中運(yùn)維安全管控系統(tǒng)的管理信息控制機(jī)制；

2）檢查是否配備相應(yīng)設(shè)備或進(jìn)行有關(guān)配置，實(shí)現(xiàn)管理、控制信息能夠安全的分發(fā)和過濾；

3）使用流量分析儀抓取管理報(bào)文，驗(yàn)證網(wǎng)絡(luò)管理信息是否通過加密方式傳送；

15

GB/Txxx-xxxx

4）檢查集中運(yùn)維安全管控系統(tǒng)設(shè)備是否設(shè)置專用管理接口；

5）將被測設(shè)備的管理接口作為目的地址發(fā)送非管理報(bào)文，檢查管理接口針對非管理報(bào)文的

處理情況；

6）將被測設(shè)備的業(yè)務(wù)接口作為目的地址發(fā)送管理報(bào)文，檢查業(yè)務(wù)接口針對管理報(bào)文的處理

情況。

預(yù)期結(jié)果：

1）IDC集中運(yùn)維安全管控系統(tǒng)的網(wǎng)絡(luò)管理采用了管理信息和控制信息的安全分發(fā)、過濾等

機(jī)制；

2）IDC集中運(yùn)維安全管控系統(tǒng)的網(wǎng)絡(luò)流量管理策略為IDC相關(guān)管理信息流提供較高的優(yōu)先

級；

3）IDC集中運(yùn)維安全管控系統(tǒng)網(wǎng)絡(luò)管理會話信息通過加密方式傳送；

4）IDC集中運(yùn)維安全管控系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備均劃分專用的管理接口；

5）IDC集中運(yùn)維安全管控系統(tǒng)相關(guān)設(shè)備的專用管理接口能夠?qū)δ康牡刂窞樵O(shè)備本身的非管

理報(bào)文進(jìn)行嚴(yán)格過濾和控制；

6）IDC集中運(yùn)維安全管控系統(tǒng)相關(guān)設(shè)備的專用管理接口能夠?qū)δ康牡刂窞闃I(yè)務(wù)接口的管理

報(bào)文進(jìn)行嚴(yán)格過濾和控制。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

網(wǎng)絡(luò)入侵防范

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)入侵防范-01

測試項(xiàng)目：-a，IDC面向互聯(lián)網(wǎng)應(yīng)具備基本防護(hù)能力。

測試步驟：

1）訪談安全管理人員，查看網(wǎng)絡(luò)拓?fù)湮臋n、網(wǎng)絡(luò)安全策略等，查看IDC安全防護(hù)設(shè)備的

部署；

2）查看IDC安全防護(hù)設(shè)備的策略配置和使用日志。

預(yù)期結(jié)果：

1）IDC配備有基本的安全防護(hù)設(shè)備，具有面向互聯(lián)網(wǎng)的基本防護(hù)能力。所有安全防護(hù)設(shè)備

功能均符合相應(yīng)的設(shè)備技術(shù)要求和設(shè)備安全技術(shù)要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

16

GB/Txxx-xxxx

網(wǎng)絡(luò)安全監(jiān)測

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全監(jiān)測-01

測試項(xiàng)目：-a，IDC應(yīng)能在互聯(lián)網(wǎng)接口處進(jìn)行流量監(jiān)控分析。

測試步驟：

1）訪談安全管理人員，查看網(wǎng)絡(luò)拓?fù)湮臋n、網(wǎng)絡(luò)安全策略、設(shè)備配置文檔等，查看IDC

與互聯(lián)網(wǎng)邊界處的監(jiān)測能力部署；

2）在互聯(lián)網(wǎng)和IDC之間雙向發(fā)送特定流量；

3）在IDC內(nèi)部測試位置接入流量分析儀，將流量采集分析結(jié)果與發(fā)送流量進(jìn)行比對；

4）查看IDC與互聯(lián)網(wǎng)接口處的流量分析結(jié)果，與發(fā)送流量進(jìn)行比對。

預(yù)期結(jié)果：

1）IDC在互聯(lián)網(wǎng)接口處部署有流量監(jiān)測能力；

2）IDC流量監(jiān)測系統(tǒng)能夠及時(shí)發(fā)現(xiàn)導(dǎo)致流量異常的安全事件。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

網(wǎng)絡(luò)設(shè)備防護(hù)

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)設(shè)備防護(hù)-01

測試項(xiàng)目：-a，網(wǎng)絡(luò)設(shè)備的安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)范、設(shè)備安全要求以及設(shè)備入

網(wǎng)管理相關(guān)要求的規(guī)定。

測試步驟：

1）訪談設(shè)備采購管理、運(yùn)維和安全管理人員，查看設(shè)備入網(wǎng)檢測報(bào)告、設(shè)備入網(wǎng)證等；

2）檢查IDC相關(guān)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備的技術(shù)規(guī)范和安全配置。

預(yù)期結(jié)果：

1）IDC涉及的所有網(wǎng)絡(luò)設(shè)備（如以太網(wǎng)交換機(jī)、具有路由功能的交換機(jī)、低端路由器、高

端路由器等設(shè)備）均有有效的設(shè)備入網(wǎng)證，均可支持IPv4/IPv6協(xié)議；

2）IDC涉及的所有網(wǎng)絡(luò)設(shè)備相關(guān)功能均符合相應(yīng)的設(shè)備技術(shù)要求和設(shè)備安全技術(shù)要求；

3）IDC涉及的所有網(wǎng)絡(luò)設(shè)備安全基線配置符合相應(yīng)的基線要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

17

GB/Txxx-xxxx

7.1.2主機(jī)安全

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-主機(jī)安全-01

測試項(xiàng)目：7.1.2-a，通用主機(jī)設(shè)備的安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)范、設(shè)備安全要求。

測試步驟：

1）訪談設(shè)備采購管理、運(yùn)維和安全管理人員，查看設(shè)備安全檢測報(bào)告等；

2）檢查IDC現(xiàn)網(wǎng)使用的通用主機(jī)設(shè)備的技術(shù)規(guī)范和安全配置。

預(yù)期結(jié)果：

1）IDC現(xiàn)網(wǎng)使用的通用主機(jī)設(shè)備相關(guān)功能均符合相應(yīng)的設(shè)備技術(shù)要求和設(shè)備安全技術(shù)要

求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

7.1.3中間件安全

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-中間件安全-01

測試項(xiàng)目：7.1.3-a，IDC自身業(yè)務(wù)使用中間件的安全應(yīng)滿足相關(guān)技術(shù)規(guī)范和安全要求。

測試步驟：

1）訪談設(shè)備運(yùn)維和安全管理人員，查看中間件安全檢測報(bào)告等；

2）檢查IDC現(xiàn)網(wǎng)使用的通用主機(jī)設(shè)備中間件的技術(shù)規(guī)范和安全配置。

預(yù)期結(jié)果：

1）IDC現(xiàn)網(wǎng)使用的通用主機(jī)中間件相關(guān)功能均符合相應(yīng)的技術(shù)要求和安全要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

7.1.4物理環(huán)境安全

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-物理環(huán)境安全-01

測試項(xiàng)目：7.1.4-a，應(yīng)滿足GB/T22239-2019第1級的相關(guān)要求。

18

GB/Txxx-xxxx

測試步驟：

1）訪談物理環(huán)境管理人員，查看物理環(huán)境設(shè)計(jì)文檔、管理制度、維護(hù)記錄等，查看其是否

符合中第1級的相關(guān)要求；

2）現(xiàn)場檢查IDC所處的物理環(huán)境。

預(yù)期結(jié)果：

1）IDC物理環(huán)境的安全要求符合GB/T22239-2019中第1級的相關(guān)要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

7.1.5管理安全

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第1級-管理安全-01

測試項(xiàng)目：7.1.5-a，應(yīng)滿足GB/T22239-2019中第1級的相關(guān)要求。

測試步驟：

1）訪談網(wǎng)絡(luò)安全管理人員，查看與網(wǎng)絡(luò)安全管理相關(guān)的材料等，查看其是否符合GB/T

22239-2019中第1級的相關(guān)要求。

預(yù)期結(jié)果：

1）IDC管理安全要求符合GB/T22239-2019中第1級的相關(guān)要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

7.2第2級要求

7.2.1業(yè)務(wù)安全

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-業(yè)務(wù)安全-01

測試項(xiàng)目：7.2.1-a，應(yīng)按照合同提供IDC客戶指定的安全防護(hù)資源和備份恢復(fù)技術(shù)能力。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維人員和安全管理人員，查看IDC與客戶簽訂的安全保障合同、網(wǎng)絡(luò)安全

設(shè)備配置文檔、運(yùn)維管理制度、安全事件記錄等，查看IDC根據(jù)客戶需求實(shí)地部署的

安全防護(hù)能力；

2）使用流量發(fā)生器和滲透工具分別從互聯(lián)網(wǎng)和IDC內(nèi)部網(wǎng)絡(luò)向受測IDC客戶發(fā)起特定模

擬攻擊；

19

GB/Txxx-xxxx

3）在IDC受測客戶端和IDC安全防護(hù)系統(tǒng)及設(shè)備處查看模擬攻擊效果和防護(hù)效果。

預(yù)期結(jié)果：

1）IDC按照合同要求向客戶業(yè)務(wù)提供了有效的安全防護(hù)；

2）IDC安全防護(hù)系統(tǒng)能夠發(fā)現(xiàn)并阻斷針對特定客戶業(yè)務(wù)的攻擊。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-業(yè)務(wù)安全-02

測試項(xiàng)目：7.2.1-b，應(yīng)保證IDC關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高

峰期需要。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)備配置文檔、故障告警記錄等，查看IDC重要設(shè)備和

部件的冗余情況；

2）在日常業(yè)務(wù)高峰期查看關(guān)鍵設(shè)備的性能狀況和運(yùn)行狀態(tài)。

預(yù)期結(jié)果：

1）IDC關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間；

2）IDC的冗余處理能力滿足業(yè)務(wù)高峰期需要。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-業(yè)務(wù)安全-03

測試項(xiàng)目：7.2.1-c，應(yīng)保證IDC與互聯(lián)網(wǎng)接口帶寬具備冗余空間，滿足業(yè)務(wù)高峰期需要。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)備配置文檔、故障告警記錄等，查看IDC互聯(lián)網(wǎng)出口

帶寬的冗余情況；

2）在日常業(yè)務(wù)高峰期查看IDC出口網(wǎng)絡(luò)流量監(jiān)測狀態(tài)。

預(yù)期結(jié)果：

20

GB/Txxx-xxxx

1）IDC與互聯(lián)網(wǎng)間的接口帶寬具備冗余空間；

2）IDC與互聯(lián)網(wǎng)間的接口帶寬滿足業(yè)務(wù)高峰期需要。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

7.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)結(jié)構(gòu)

除按照第1級的要求進(jìn)行檢測之外，還應(yīng)按照本節(jié)內(nèi)容進(jìn)行檢測：

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)結(jié)構(gòu)安全-01

測試項(xiàng)目：-a，應(yīng)繪制有與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)拓?fù)湮臋n；

2）檢查和驗(yàn)證網(wǎng)絡(luò)拓?fù)溆涗浶畔⑹欠衽c當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路等資源配置和運(yùn)營情況相一

致。

預(yù)期結(jié)果：

1）繪制有網(wǎng)絡(luò)拓?fù)鋱D（或記錄完整拓?fù)湫畔⒌倪\(yùn)維文檔），且相關(guān)信息標(biāo)注完整、準(zhǔn)確；

2）網(wǎng)絡(luò)拓?fù)鋱D（或記錄完整拓?fù)湫畔⒌倪\(yùn)維文檔）及相關(guān)信息與當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路等資

源配置和運(yùn)營情況相符合。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)結(jié)構(gòu)安全-02

測試項(xiàng)目：-b，網(wǎng)絡(luò)結(jié)構(gòu)在邏輯上實(shí)現(xiàn)分層和分級，IDC內(nèi)部網(wǎng)絡(luò)劃分應(yīng)與網(wǎng)絡(luò)結(jié)構(gòu)

和組織形式保持一致。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、設(shè)備運(yùn)維記錄等，查看IDC內(nèi)部

網(wǎng)的層級設(shè)計(jì)和網(wǎng)絡(luò)劃分方式；

2）檢查網(wǎng)絡(luò)及設(shè)備實(shí)際組網(wǎng)情況是否與設(shè)計(jì)相一致；

3）檢查IDC網(wǎng)絡(luò)設(shè)備配置信息是否對內(nèi)部網(wǎng)絡(luò)進(jìn)行了嚴(yán)格界定。

21

GB/Txxx-xxxx

預(yù)期結(jié)果：

1）IDC的網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)運(yùn)營、管理或區(qū)域等因素在邏輯上進(jìn)行實(shí)現(xiàn)分層和分級；

2）IDC內(nèi)部網(wǎng)絡(luò)劃分與網(wǎng)絡(luò)結(jié)構(gòu)和組織形式一致。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

網(wǎng)絡(luò)管理

除按照第1級的要求進(jìn)行檢測之外，還應(yīng)按照本節(jié)內(nèi)容進(jìn)行檢測：

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-01

測試項(xiàng)目：-a，通過運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)遠(yuǎn)程訪問IDC中運(yùn)維管理設(shè)備時(shí)，應(yīng)在被訪問

的IP網(wǎng)絡(luò)邊界設(shè)備上啟用接入訪問控制策略。

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、運(yùn)維管理制度、設(shè)

備配置文檔等，查看IDC內(nèi)部網(wǎng)絡(luò)與運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)之間邊界處的訪問控制策略；

2）構(gòu)造具有不同源IPv4/IPv6地址、端口號特征的報(bào)文流從運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)訪問IDC內(nèi)

部不同網(wǎng)絡(luò)；

3）在IDC與運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界設(shè)備處查看訪問日志，在IDC內(nèi)被訪問設(shè)備處使用

流量分析儀進(jìn)行抓包分析；

4）對IDC內(nèi)部系統(tǒng)進(jìn)行IP地址和端口掃描，查看掃描結(jié)果。

預(yù)期結(jié)果：

1）IDC內(nèi)部網(wǎng)絡(luò)在和運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)之間邊界處啟用了訪問控制策略；

2）IDC內(nèi)部網(wǎng)絡(luò)和運(yùn)營企業(yè)內(nèi)部網(wǎng)絡(luò)之間邊界處能夠?qū)Ψ欠ㄔL問請求進(jìn)行攔截阻斷和記

錄；

3）IDC內(nèi)部網(wǎng)絡(luò)只開放了有限但必須的IP地址和端口服務(wù)。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-02

測試項(xiàng)目：-b，通過公共互聯(lián)網(wǎng)遠(yuǎn)程訪問IDC中運(yùn)維管理設(shè)備時(shí)，應(yīng)使用VPN方式

訪問，在被訪問的IP網(wǎng)絡(luò)邊界設(shè)備上啟用接入訪問控制策略。

22

GB/Txxx-xxxx

測試步驟：

1）訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、運(yùn)維管理制度、設(shè)

備配置文檔等，查看IDC內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)之間邊界處的訪問控制策略；

2）構(gòu)造具有不同源IP、端口號特征的報(bào)文流從公共互聯(lián)網(wǎng)訪問IDC內(nèi)部不同網(wǎng)絡(luò)；

3）在IDC與公共互聯(lián)網(wǎng)的邊界設(shè)備處查看訪問日志，在IDC內(nèi)被訪問設(shè)備處使用流量分

析儀進(jìn)行抓包分析；

4）對IDC內(nèi)部系統(tǒng)進(jìn)行IP地址和端口掃描，查看掃描結(jié)果。

預(yù)期結(jié)果：

1）IDC內(nèi)部網(wǎng)絡(luò)在和公共互聯(lián)網(wǎng)之間邊界處啟用了VPN和訪問控制策略；

2）IDC內(nèi)部網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)之間邊界處能夠?qū)Ψ欠ㄔL問請求進(jìn)行攔截阻斷和記錄；

3）IDC內(nèi)部網(wǎng)絡(luò)只開放了有限但必須的IP地址和端口服務(wù)。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-03

測試項(xiàng)目：-c，IDC網(wǎng)絡(luò)邊界隔離設(shè)備如采用Web方式配置和管理，應(yīng)使用鑒別認(rèn)證

措施，防止安全漏洞并做安全配置。

測試步驟：

1）訪談安全管理人員，查看邊界隔離設(shè)備配置文檔等，查看邊界隔離設(shè)備Web頁面和后

臺配置策略；

2）使用維護(hù)終端訪問邊界隔離設(shè)備，通過流量分析儀對訪問流量進(jìn)行抓包和協(xié)議分析；

3）使用漏洞掃描器對隔離設(shè)備Web系統(tǒng)進(jìn)行掃描；

4）檢查Web后臺管理路徑，檢查Web管理地址的允許訪問地址列表；

5）檢查Web服務(wù)器的訪問和操作權(quán)限。

預(yù)期結(jié)果：

1）IDC內(nèi)Web管理界面啟用了基本的用戶名和口令認(rèn)證，口令滿足中相關(guān)要求；

2）IDC內(nèi)Web管理界面啟用了TLS/TLCP等鑒別和認(rèn)證措施；

3）IDC內(nèi)Web管理界面沒有Web組件漏洞、SQL注入攻擊、跨站腳本攻擊等可利用的漏

洞；

4）IDC內(nèi)Web管理界面后臺管理路徑不使用默認(rèn)或常見路徑，對訪問地址進(jìn)行了限制；

23

GB/Txxx-xxxx

5）IDC內(nèi)Web管理界面無訪問非授權(quán)的敏感數(shù)據(jù)情況。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過，否則不通過。

測試編號：互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）-第2級-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理安全-04

測試項(xiàng)目：-d，IDC集中運(yùn)維安全管控系統(tǒng)網(wǎng)絡(luò)管理使用的協(xié)議都應(yīng)支持加密和認(rèn)證

算法，管理服務(wù)應(yīng)能在必要情況下關(guān)閉和禁用。

測試步驟：

1）訪談網(wǎng)