YD/T 2093-2018 网上营业厅安全防护检测要求
- 文档部分内容预览:
网上营业厅灾难disasterofonlinebusinessh
上营业厅灾难disasterofonlinebusinesshall
由于各种原因,造成网上营业厅故障或摊痪,使网上营业厅的功能停顿或服务水平不可接受的突发 性事件
网上营业厅灾难备份backupfordisasterrecoveryofonlinebusinesshal 为了网上营业厅灾难恢复而对相关网络要素进行备份的过程。
网上营业厅灾难恢复disasterrecoveryofonlinebusinesshal 为了将网上营业厅从灾难造成的故障或瘫痰状态恢复到正常运行状态或部分正常运行 功能从灾难造成的不正常状态恢复到可接受状态铝合金标准规范范本,而设计的活动和流程。
中间件middleware 一种独立的系统软件或服务程序。中间件位于客户机/服务器的操作系统之上,管理计算机资源和 网络通信,是连接两个独立应用程序或独立系统的软件。针对不同的操作系统和硬件平台,中间件可以 有符合接口和协议规范的多种实现。实现网上营业厅功能的应用程序运行在中间件之上,此时中间件包 括Web服务器和应用服务器功能模块
入侵者在远程Web页面中插入具有恶意目的的HTML代码,用户认为该页面是可信赖的,但是当 浏览器解析该页面时,嵌入其中的恶意脚本将被解释执行,从而威胁用户浏览过程的安全。
SQL注入攻击SQLinjectionattack 攻击者构造恶意的字符串,欺骗应用系统用于构造数据库查询语句并执行,从而达到盗取或改数 据库中存储的数据的且的。
路径遍历攻击pathtraversalattack
攻击者操纵输入参数使应用系统执行或透露任意文件内容,或对服务器任意文件目录进行读 除等操作。
YD/T20932018
下列缩略语适用于本文件。 BOSS 电信业务运营支撑系统 DDoS 分布式拒绝服务 HTML 超文本标记语言 SQL 结构化查询语言
上营业厅安全防护检测机
4.1网上营业厅安全防护检测范围
BusinessandOperation support system DistributedDenialof Service HyperTextMarkuplanguage Structured QueryLanguage
网上营业厅的安全防护检测范围包括网上营业厅自身安全(如物理设备安全、应用安全、网络安全 等);网上营业厅与BOSS系统间的接口安全(预防通过网上营业厅非法获取网上营业厅用户信息或 BOSS系统敏感信息,抵御来自互联网并通过网上营业厅对BOSS系统构成的安全威胁);网上营业厅 与互联网之间的接口安全:以及与网上营业厅相关联的运维、管理、监测等辅助IT系统的安全。
4.2网上营业厅安全防护检测对象
本标准中网上营业厅的定级对象为网上营业厅系统,可按照全国、省和地市将各个系统分为不同级 别。安全等级保护的检测对象确定以后,风险评估的检测对象、灾难备份及恢复的检测对象应与安全等 级保护的检测对象相一致
4.3网上营业厅安全防护检测内容
网上营业厅安全防护检测内容包括网上营业厅安全等级保护1~5级检测。其中,1~3级检测 括业务及应用安全检测、网络安全检测、主机安全检测、中间件安全检测、数据安全及备份恢复
物理环境安全检测和管理安全检测7个部分:45级检测内容待定
5网上营业厅安全防护检测要求
5.1.1业务及应用安全
5.1.1.1身份鉴别
5.1.1.2 访问控制
2)系统对提供错误鉴别信息的合法测试账户的登录操作,予以拒绝; 3)系统对无效测试账户的登录操作,予以拒绝。 4)系统在接收到提供错误鉴别信息的合法测试账户的登录操作后,提供并启用了登录失败处理功能(如结束会话、限 制非法登录次数和自动退出等): 5)系统在接收到无效测试账户的登录操作后,提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自 动退出等) 判定原则: 达到以上预期结果,则通过,否则不通过
5.1.2.1网络安全监测
5.1.2.2网络设备防护
a)应按照YD/T2698—2014的要求进行检测
0/T2698—2014的要求进
b)数据库主机的安全基线配置应按照YD/T27002014的要求进行检测
a)应按照YD/T27022014的要求进行检测。
5.1.5数据安全及备份恢复
YD/T20932018
5.1.6物理环境安全
应按照YD/T1755一2008中的第1级要求进行检测
应按照YD/T1757—2008中的第1级要求进行检测。
5.2.1业务及应用安全
5.2.1.1身份鉴别
5.2.1.2访问控制
达到以上预期结果,则通过,否则不通
达到以上预期结果,则通过,否则不通过
5.2.1.3安全审讯
5.2.1.3安全审讯
YD/T20932018
YD/T20932018
5.2.1.4通信完整性
5.2.1.4通信完整性
5.2.1.5通信保密性
5.2.1.6软件质量
5.2.1.6软件质量
判定原则: 达到以上预期结果,则通过,否则不通过
5.2.1.7资源控制
5.2.1.7资源控制
5.2.2.1结构安全
YD/T20932018
YD/T20932018
5.2.2.2网络安全监测
5.2.2.3访问控制
YD/T20932018
5.2.2.4安全审计
5.2.2.4安全审讯
5.2.2.5网络设备防护
5.2.3.1身份鉴别
YD/T20932018
5.2.3.2访问控制
5.2.3.3安全审计
YD/T20932018
5.2.3.4入侵防范
5.2.3.5恶意代码防范
5.2.3.6资源控制
YD/T20932018
5.2.4.1身份鉴别
5.2.4.2访问控制
5.2.4.3安全审计
5.2.4.4入侵防范
5.2.4.4入侵防范
5.2.4.4入侵防范
5.2.5数据安全及备份恢复
5.2.5.1数据完整性
5.2.5.1数据完整性
5.2.5.2数据保密性
市政工艺、技术YD/T20932018
5.2.5.3备份和恢复
5.2.6物理环境安全
除按照YDT1757—2008中第2级要求检测以外,还应按照本节要求进行检测。
5.2.7.1人员和技术支持能力
建筑技术论文YD/T20932018
5.2.7.2备份管理和灾难恢复能力
备份管理和灾难恢复台
....- 检测标准
- 相关专题: