搜索结果: GB/T 45279.3-2025, GB/T45279.3-2025, GBT 45279.3-2025, GBT45279.3-2025
| 标准编号 | GB/T 45279.3-2025 (GB/T45279.3-2025) | | 中文名称 | IPv4/IPv6网络安全防护技术规范 第3部分:互联网数据中心 | | 英文名称 | IPv4/IPv6 network security protection techenical specification - Part 3: Internet data center | | 行业 | 国家标准 (推荐) | | 中标分类 | L78 | | 国际标准分类 | 33.040.40 | | 字数估计 | 50,532 | | 发布日期 | 2025-02-28 | | 实施日期 | 2025-06-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45279.3-2025: IPv4/IPv6网络安全防护技术规范 第3部分:互联网数据中心
ICS 33.040.40
CCSL78
中华人民共和国国家标准
IPv4/IPv6网络安全防护技术规范
第3部分:互联网数据中心
Part3:Internetdatacenter
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 IDC总体要求 2
5.1 IDC安全防护范围 2
5.2 IDC安全防护内容 2
6 IDC安全防护要求 3
6.1 第1级要求 3
6.2 第2级要求 4
6.3 第3级要求 7
7 IDC安全防护测试方法 9
7.1 第1级要求 9
7.2 第2级要求 15
7.3 第3级要求 32
参考文献 44
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
GB/T 45279《IPv4/IPv6网络安全防护技术规范》与GB/T 44810《IPv6网络安全设备技术要求》共
同构成支撑IPv6安全的国家标准体系。
本文件是GB/T 45279《IPv4/IPv6网络安全防护技术规范》的第3部分,GB/T 45279已经发布了
以下部分:
---第1部分:IP承载网;
---第2部分:移动通信网;
---第3部分:互联网数据中心;
---第4部分:内容分发网络。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会(SAC/TC485)归口。
本文件起草单位:中国信息通信研究院、北京浩瀚深度信息技术股份有限公司、中国电信集团有限
公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心、北京国家金融科技
认证中心有限公司、深圳大学、中兴通讯股份有限公司、北京通和实益电信科学技术研究所有限公司、
新华三技术有限公司。
本文件主要起草人:戴方芳、贺倩、庞韶敏、宫盼盼、黄维龙、康和、寇增杰、王龑、周继华、李秀成、
袁玉东、李红曼、王妍娟、江魁、万晓兰。
引 言
根据《关于加快推进互联网协议第六版 (IPv6)规模部署和应用工作的通知》,为更好面对网络复杂
化和用户规模扩大化带来的安全挑战,推动IPv6网络安全工作的标准化,我国制定了一系列IPv6安全
标准。其中,GB/T 45279《IPv4/IPv6网络安全防护技术规范》是为规范电信网和互联网重要网络单元
在IPv6部署后所开展的安全防护工作,拟分为以下部分。
---第1部分:IP承载网。目的在于IPv6部署后,推动IP承载网的安全防护工作。
---第2部分:移动通信网。目的在于IPv6部署后,推动移动通信网的安全防护工作。
---第3部分:互联网数据中心。目的在于IPv6部署后,推动互联网数据中心的安全防护工作。
---第4部分:内容分发网络。目的在于IPv6部署后,推动内容分发网络的安全防护工作。
IPv4/IPv6网络安全防护技术规范
第3部分:互联网数据中心
1 范围
本文件规定了IPv4、IPv6、双栈环境下互联网数据中心(IDC)安全防护要求和测试方法,包括业务
安全、网络安全、主机安全、中间件安全、物理环境安全和管理安全等方面。
本文件适用于指导支持IPv4/IPv6协议的IDC安全防护工作开展和推进。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 18018-2019 信息安全技术 路由器安全技术要求
GB/T 21050-2019 信息安全技术 网络交换机安全技术要求
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法
GB/T 39680-2020 信息安全技术 服务器安全技术要求和测评准则
GB/T 41267-2022 网络关键设备安全技术要求 交换机设备
GB/T 41269-2022 网络关键设备安全技术要求 路由器设备
YD/T 1478-2006 电信管理网安全技术要求
YD/T 2698-2014 电信网和互联网安全防护基线配置要求及检测要求 网络设备
YD/T 2700-2014 电信网和互联网安全防护基线配置要求及检测要求 数据库
YD/T 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统
YD/T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求 中间件
YD/T 2703-2014 电信网和互联网安全防护基线配置要求及检测要求 Web应用系统
YD/T 3799-2020 电信网和互联网网络安全防护定级备案实施指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
IDC服务 IDCservices
拥有宽带出口,并以外包出租的方式为用户的服务器、网络设备等互联网相关设备提供放置、代理
维护、系统配置及管理服务,或提供计算、存储、软件等资源的出租、通信线路和出口带宽的代理租用和
其他应用服务的电子信息系统机房服务。
3.2
IDC客户 customerofIDC
通过购买IDC服务以满足其业务需求的群体。
4 缩略语
下列缩略语适用于本文件。
ACL:访问控制列表(AccessControlList)
DCN:数据中心网络(DataCenterNetwork)
SSH:安全协议外壳(SecureShel)
Telnet:终端网络(TerminalNetwork)
USM:用户安全模型(UserSecurityModel)
5 IDC总体要求
5.1 IDC安全防护范围
IDC的安全防护范围包括为用户提供各种IDC服务的IDC基础设施(包括IP网络、主机、服务器、
安全设备等)、为保证IDC正常运行所构建的IDC支撑系统(包括集中配置、集中监控、灾备等)和为保
证IDC网络安全所构建的IDC网络安全防护系统。
5.2 IDC安全防护内容
应按照 GB/T 22240-2020、YD/T 3799-2020确定移动通信网符合的安全等级,并在遵循
GB/T 22239-2019规定的相应安全等级安全通用要求基础上,按照本文件要求开展包括业务安全、网
络安全、主机安全、中间件安全、物理环境安全和管理安全等六个层面的安全防护工作。本文件提出第
1级至第3级要求,第4级、第5级要求暂同第3级要求)。其中:
a) 业务安全:为实现IDC业务所使用的应用系统的安全,一般指采用应用层技术构建的业务系
统、网管支撑系统涉及相关安全,如 Web安全、FTP、SNMP应用协议安全等。
b) 网络安全:主要包括IDC的网络结构、网络管理、网络入侵防范、网络安全监测、网络设备防护
等方面内容和要求。
c) 主机安全:主要包括IDC通用主机设备安全等方面内容和要求。
d) 中间件安全:主要包括IDC的中间件基本安全要求等方面内容和要求。
e) 物理环境安全:主要包括IDC所在的物理环境的安全要求。
f) 管理安全:主要包括IDC的安全管理、风险评估、应急预案等方面内容和要求。
6 IDC安全防护要求
6.1 第1级要求
6.1.1 网络安全
6.1.1.1 网络结构
IDC在生产运行、操作维护、系统管理等方面,应采用网络设备如交换机、路由器、防火墙等对其内
部网络进行安全域划分,划分方式包括VLAN划分、IP网段划分、可信任域划分等。
6.1.1.2 网络管理
IDC网络管理应满足以下要求。
a) 对IDC业务进行梳理,对客户源地址进行备案并做相应的控制。
b) IDC启用跨安全域访问控制策略,控制内容包括访问源的 MAC地址、IPv4/IPv6地址、端口号
等信息。
c) IDC集中运维安全管控系统与为IDC提供服务的基础设施相隔离并部署在不同网络区域。
d) IDC集中运维安全管控系统的网络边界设备按不同业务需求配置相应的访问控制策略,只开
放管理必需的服务及端口,避免开放较大的IPv4/IPv6地址段及服务。
e) IDC集中运维安全管控系统采用安全的管理和控制信息分发、过滤机制;网络管理信息加密传
送;对目的地址为管理接口的非管理报文和目的地址为数据业务接口的管理报文进行控制。
6.1.1.3 网络入侵防范
IDC面向互联网应具备相应防护能力,对进出IDC的所有数据流量进行防护。
6.1.1.4 网络安全监测
IDC应能在互联网接口处进行流量监控分析,及时发现导致流量异常的安全事件。
6.1.1.5 网络设备防护
IDC网络设备主要包括各类路由器、交换机设备等,应满足GB/T 18018-2019、GB/T 21050-2019、
GB/T 41267-2022、GB/T 41269-2022等的要求。网络设备的安全基线配置应满足YD/T 2698-2014
相关要求。
6.1.2 主机安全
IDC通用主机设备主要包括各类通用服务器、工作站、终端、数据库等,应满足GB/T 29240-2012、
GB/T 39680-2020等的要求。通用主机设备的操作系统安全基线配置应满足YD/T 2701-2014要
求,数据库的安全基线配置应满足 YD/T 2700-2014要求,Web应用系统的安全基线配置应满足
YD/T 2703-2014要求。
6.1.3 中间件安全
IDC自身业务使用中间件的安全基线配置应满足YD/T 2702-2014的要求。
6.1.4 物理环境安全
应满足GB/T 22239-2019中第一级的安全物理环境要求。
6.1.5 管理安全
应满足GB/T 22239-2019中第一级的安全管理制度、安全管理机构、安全管理人员、安全运维管
理相关要求。
6.2 第2级要求
6.2.1 业务安全
业务安全应满足以下要求:
a) 按照合同提供IDC客户指定的安全防护资源和备份恢复技术能力;
b) 保证IDC网络单元关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
c) IDC与互联网接口处的流量带宽具备冗余空间,满足业务高峰期需要。
6.2.2 网络安全
6.2.2.1 网络结构
除满足第1级的要求以外,还应满足以下要求:
a) 绘制与当前运行情况相符的网络拓扑结构图(反映互联网接口、内部网络划分等内容);
b) IDC的网络结构根据网络的运营、管理或区域等因素在逻辑上合理的实现分层和分级,IDC内
部网络区域的划分与网络结构和组织形式保持一致。
6.2.2.2 网络管理
除满足第1级的要求以外,还应满足以下要求。
a) 通过运营企业内部网络(如DCN网络)远程访问IDC中设备时,按业务需求在被访问的IDC
网络边界设备上启用接入访问控制策略,对包括源IPv4/IPv6地址、端口号等在内的控制项进
行限制,避免开放过长IP地址段及过多端口。
b) 通过公共互联网远程访问IDC中设备时,使用VPN方式访问,并按业务需求在被访问的IDC
网络边界设备上启用接入访问控制策略,对包括源及目的IPv4/IPv6地址、端口号等在内的控
制项进行限制,避免开放过长IPv4/IPv6地址段及过多端口。
c) IDC网络边界的隔离设备和IDC集中运维安全管控系统如采用 Web方式进行配置和管理,采
用如下措施:
1) 使用用户安全鉴别和认证措施,如支持TLS/T LCP协议等;
2) 使用代码审计等措施检测和消除 Web安全漏洞,如 Web组件漏洞、SQL注入攻击、跨站
脚本攻击等;
3) 保证配置安全,采取隐蔽 Web后台配置页面等措施,防止后台配置界面泄露、Web路径
泄露等漏洞被非法利用从而导致对设备的攻击入侵;
4) 限制 Web服务器的访问和操作权限(避免 Web访问非授权的敏感数据)。
d) IDC集中运维安全管控系统使用用户安全鉴别和认证措施,符合YD/T 1478-2006中相关安
全技术要求,管理使用的SNMP协议支持SNMPv3并支持VACM和USM等安全机制,对于
远程登录支持SSH 以及相关加密和认证算法,对于 Web管理应支持 TLS/T LCP等安全
协议。
e) IDC集中运维安全管控系统支持的SNMP、SSH、FTP、HTTP、Telnet等服务在非必要情况下
关闭和禁用,使用SNMP协议的设备加强对SNMP写操作的管理控制,如采用增加Commu-
nity的复杂度或是采用ACL控制等方式进行管理。
f) IDC集中运维安全管控系统能对节点、链路等各类资源的预警、告警、故障进行及时有效的定
位,各类报警的阈值设置合理。
g) IDC集中运维安全管控系统具有并启用完整的系统安全日志功能。
h) IDC部署和启用虚假源地址流量控制策略,包括在IDC出口设备上开启单播逆向路径转发
(URPF)功能,对于不具备开启条件的设备,启用访问控制列表(ACL)功能过滤虚假源地址。
6.2.2.3 网络入侵防范
除满足第1级的要求以外,还应满足以下要求。
a) IDC具有对网络安全漏洞攻击防范能力,包括以下能力:
1) 能对已知安全漏洞攻击流量和攻击报文进行检测;
2) 能对组合型攻击流量和攻击报文进行检测和告警;
3) 能对攻击源进行溯源和记录操作行为;
4) 能解析IPv4/IPv6报文,通过IP5元组、攻击数据包类型、攻击报文关键字、攻击流量等
对已知安全漏洞攻击进行阻断;
5) 能对疑似安全漏洞攻击行为进行研判和预警。
b) IDC具备对DDoS攻击的防范能力,包括以下能力:
1) 能对常见DDoS攻击(如ARP/ND泛洪攻击、同步泛洪攻击、UDP泛洪攻击、ICMP泛
洪攻击等)进行检测和告警;
2) 能对 Web应用层DDoS攻击(如CC攻击)进行检测和告警;
3) 能对DDoS攻击源或僵尸机记录攻击行为;
4) 能通过解析IPv4/IPv6报文,基于IP5元组、网络应用种类、协议类型、协议标签等进行
包过滤、阈值限制、重定向等手段清洗DDoS攻击流量,DDoS攻击防护能力覆盖IDC网
络出口带宽。
c) IDC应能检测并防御以下攻击行为:端口扫描、暴力破解攻击、木马后门攻击、缓冲区溢出攻
击、ARP/ND欺骗攻击、IP碎片攻击、网络蠕虫攻击等。
6.2.2.4 网络安全监测
除满足第1级的要求以外,还应满足以下要求:
a) 对IDC自身业务中的重要主机进行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使
用情况;
b) 对于目的地址为IDC网络内地址的数据包,安全域边界具有有效的攻击识别和监测能力,具
有对于异常数据流量的识别和处理能力;
c) IDC出入口路由器具备IPv4/IPv6源地址验证和虚假源地址流量过滤功能;
d) IDC出入口路由器具备流量元数据采集和转发功能,采集格式支持 NetFlow(V5及以上)、
NetStream(V5及以上)或sFlow(V4及以上),采样率不低于千分之一。
6.2.2.5 网络保护与恢复
IDC网络保护与恢复应满足以下要求:
a) IDC具备一定的抗灾难以及灾难恢复能力,自身重要服务器、重要部件、重要数据库应当采用
本地双机备份的方式进行容灾保护;
b) IDC网络灾难恢复时间满足国家或行业对应急预案的相关要求;
c) IDC重要信息数据提供本地异机备份;
d) IDC的数据备份范围和时间间隔、数据恢复能力符合国家或行业对应急预案的相关要求。
6.2.2.6 网络设备防护
除满足第1级的要求以外,还应满足以下要求:
a) IDC网络宜配置中央日志服务器,对日志进行统一管理、分析处理;
b) 对IDC网络系统中的关键网络设备运行状况、网络流量、用户行为等进行日志记录,并定期对
日志进行安全审计,形成相关的审计文档;
c) IDC网络边界设备的安全日志在本地或外部设备上进行记录、输出、存储,并及时、定期审计安
全域边界安全防护设备的日志,日志审计范围覆盖设备自身操作维护记录,以及设备对外部发
起行为的记录,形成相关的审计文档;
d) IDC网络设备审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计
相关的信息。
6.2.3 主机安全
与第1级的要求相同。
6.2.4 中间件安全
除满足第1级的要求以外,还应满足以下要求:
a) IDC自身业务所使用的中间件进行协议级的配置时禁用中间件的不必要的 HTTP方法,例如
PUT,TRACE,DELETE等,若启用了HTTPS则禁用HTTP;
b) IDC自身业务所使用的中间件启用必要的语言安全设置,例如PHP语言安全设置,JAVA语
言安全设置。
6.2.5 物理环境安全
应满足第1级和GB/T 22239-2019中第二级的安全物理环境要求。
6.2.6 管理安全
6.2.6.1 安全管理要求
除满足GB/T 22239-2019中第二级的安全管理制度、安全管理机构、安全管理人员、安全运维管
理相关要求外,还应满足如下要求:
a) IDC有介质存取、验证、转存、销毁管理制度,确保备份数据授权访问;
b) IDC按介质特性对备份数据进行定期的有效性验证;
c) IDC有相关服务器设备的灾难备份及恢复的管理制度。
6.2.6.2 风险评估要求
IDC风险评估应满足以下要求:
a) IDC及其所属各类设备、系统根据安全防护相关规定定期进行安全风险评估(至少每两年一
次),风险评估范围与IDC安全防护范围一致;
b) IDC安全风险评估至少覆盖业务安全、网络安全、主机安全、中间件安全、物理环境安全等相关
技术风险和人员安全、运维安全等相关管理风险,至少包含IDC相关资产、脆弱性、威胁、安全
措施、风险分析等要素和内容,并根据评估结果制定相应的风险处理计划。
6.2.6.3 灾难恢复预案
IDC灾难恢复预案应满足以下要求:
a) IDC制定完整的灾难恢复预案及对应管理制度;
b) IDC有灾难恢复预案的教育和培训(至少每半年一次),相关人员了解灾难恢复预案并具有对
灾难恢复预案进行实际操作的能力;
c) IDC有灾难恢复预案的演练(至少每年一次),并根据演练结果对灾难恢复预案进行修正。
6.3 第3级要求
6.3.1 业务安全
与第2级的要求相同。
6.3.2 网络安全
6.3.2.1 网络结构
除满足第2级的要求以外,IDC的 Web服务器、后台数据库应分开部署在不同物理主机上。
6.3.2.2 网络管理
除满足第2级的要求之外,安全域之间的IP网络边界设备应启用接入访问控制策略,应依据不同
安全域互相访问需求对包括源IP地址、端口号等在内的控制项进行限制,避免开放过长IP地址段及过
多端口。
6.3.2.3 网络入侵防范
除满足第2级的要求之外,还应满足以下要求:
a) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时
应能够实时报警;
b) 在IDC网络边界处对恶意代码进行检测和处理,并及时对检测系统进行更新;
c) IDC对防恶意代码软件进行统一管理。
6.3.2.4 网络安全监测
除满足第2级的要求外,还应满足以下要求。
a) IDC具有对僵尸网络、木马和蠕虫的监测能力,在IDC出入口对进出流量进行监测,在IDC内
部对内部流量进行监测。包括以下能力:
1) 能对已知僵尸网络、木马和蠕虫病毒进行监测和告警;
2) 能对压缩流量和嵌入型僵尸网络和木马进行监测和告警;
3) 能对僵尸网络和木马控制端进行溯源并记录操作行为;
4) 能对疑似僵尸网络、木马和蠕虫病毒进行预警;
5) 能对IDC机房服务器的 Web网站进行挂马扫描;
6) 能对IDC机房服务器的IPv4/IPv6地址进行系统漏洞扫描;
7) 具备基于网络行为、样本特征和恶意URL的僵尸网络、木马和蠕虫病毒库。
b) IDC具有对不同种类业务相关数据进行监测、统计、控制、过滤的功能。
c) 对IDC管理运维人员的设备系统访问等操作行为进行监控和审计。
6.3.2.5 网络保护与恢复
除满足第2级的要求外,还满足以下要求:
a) IDC应具备一定的抗灾难以及灾难恢复能力,重要服务器、重要部件、重要数据库应当采用异
址(同城不同地点的机房或异地)方式进行容灾保护;
b) IDC与互联网之间应具备冗余链路;
c) IDC网络中关键设备之间应当提供多条物理链路(如 Web服务器设备与数据库服务器设备之
间);
d) IDC重要信息数据应提供异址备份(同城不同地点的机房或异地)。
6.3.2.6 网络设备防护
除满足第2级的要求之外,IDC网络设备账号口令更新周期应不大于60d。
6.3.3 主机安全
除满足第2级的要求之外,还应满足以下要求:
a)......
|