对于《互联网数据中心和互联网接入服务信息安全管理系统技术要求》(YD/T 2248-2012)、《互联网数据中心和互联网接入服务信息安全管理系统接口规范》(YD/T 2405-2012)有关条款要求的解释说明如下。
1. 6.1.1节:ISMS应实现基础数据信息的本地存储,应具备基础数据信息更新后自动上报的功能。
2. 6.1.1节c)款:“单位名称(或姓名)”、“单位地址及邮编”、“单位属性”中“单位”为IDC/ISP用户。
3. 6.1.1节c)款:应用服务信息记录中“服务内容”为预登记的IDC/ISP用户所提供应用服务的类型,可多选。
4. 6.1.2节:对于支持域名指向的应用服务(如:HTTP、FTP、SMTP、POP3等),ISMS应对登记接入的域名及IP地址进行监测,记录存在异常的域名或存在异常的IP地址所指向域名。
5. 6.1.2节:ISMS应实现基础数据监测信息的本地存储功能,保存时间不少于12个月。
6. 6.2节:ISMS应对IDC/ISP的上行流量(即由互联网访问IDC/ISP用户相关资源的流量)数据进行全量监测。
7. 6.2节:对于可通过传输层协议或应用层协议头信息区分会话特征的数据流量,ISMS应以会话为单位记录访问日志,记录信息至少应包括源IP、目的IP、源端口、目的端口、访问时间(起始时间),属于HTTP协议的需要留存URL;对于无法通过传输层协议或应用层协议报文头内容区分会话特征的数据流量,ISMS应以数据流为单位记录访问日志(源IP、目的IP、源端口、目的端口均相同,但包间隔大于10s数据流量应逐包记录),记录信息至少应包括源IP、目的IP、源端口、目的端口、访问时间(起始时间)。
8. 6.2节:对于采用加密方式的会话,记录的访问日志应至少包括源/目的IP,源/目的端口、访问时间。
9. 6.2节:ISMS应支持SMMS对访问日志记录内容的精确查询、检索与统计,应支持对IP地址、URL等字段的模糊查询与统计(如,以部分字符和使用通配符为条件的查询、检索)。
10. 6.2节:ISMS可对访问日志记录查询检索条件进行必要限制,建议采用“起止时间+精确源/目的IP地址”组合方式开展查询,对于起止时间建议单次查询时间跨度不大于2小时。
11. 6.3节:ISMS应对IDC/ISP网络中传输的公共信息数据进行全量监测。
12. 6.3节:ISMS应确保在信息安全管理功能的实现过程中,过滤指令的优先级高于监测指令、SMMS下发指令的优先级高于ISMS本地指令,对于同类指令可按指令下发时间顺序执行。
13. 6.3节:ISMS应至少能通过与IDC/ISP业务经营企业本地的违法网站列表、网站备案记录等数据进行比对的方式,自主实现违法违规网站发现、处置等管理功能。
14. 6.3节:违法违规网站处置记录相关“处置人账号”为下达处置指令的ISMS用户所用用户名,如系统自动处置则应记录为“ISMS”。
15. 6.3节:违法违规网站处置记录相关“处置时间”精确到日(即由ISMS上报特定违法违规网站已处置记录中“最近一次发现时间”提取的日期)。
扫一扫 关注微信公众号