《信息安全技术 政府部门互联网安全接入要求 第2部分：第三方服务商选择要求》

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX.2—XXXX

信息安全技术政府部门互联网安全接入要

求第2部分：第三方服务商选择要求

InformationsecuritytechnologyRequirementsforgovernmentdepartmentsecure

Internetconnection—Part2:Thirdpartyserviceprovidersselectionrequirements

（草案）

（本稿完成日期：2014-4-30）

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX.2—XXXX

目次

前言.................................................................错误！未定义书签。

引言.................................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4互联网服务提供商选择要求............................................................1

4.1资质............................................................................1

4.2网络接入能力....................................................................1

4.3政府互联网流量汇聚及安全监测能力................................................2

4.4业务保障能力....................................................................2

4.5维护能力........................................................................2

4.6日志记录........................................................................2

4.7安全标准符合性..................................................................2

5互联网数据中心业务提供商选择要求....................................................2

5.1资质............................................................................2

5.2网络接入能力....................................................................3

5.3机房环境........................................................................3

5.4网络设施........................................................................3

5.5业务保障能力....................................................................3

5.6维护能力........................................................................4

5.7日志记录........................................................................4

5.8安全标准符合性..................................................................4

I

GB/TXXXXX.2—XXXX

引言

随着现代信息技术的快速发展，互联网在政府各部门得到了广泛应用，对于政府部门履行社会管理

和公共服务职能，加强政府有效管理，促进政府职能转变，提高行政办事效率和管理水平，推动政务公

开发挥重要作用。与此同时，目前政府部门互联网安全管理还存在薄弱环节，管理制度尚不完善，缺乏

统一的规划和标准，各部门接入互联网的入口数量众多,安全防护水平参差不齐,互联网接入成为信息安

全管理中的薄弱环节和“短板”，使政府部门信息安全面临新的威胁和风险。因此，迫切需要规范政府

部门互联网接入工作，减少互联网入口数量，增强互联网接入的安全防护能力，提高政府部门信息系统

的防攻击、防篡改、防恶意代码、防瘫痪和防窃密能力。

为推进政府部门互联网安全接入工作，特制定本要求,用于指导政府部门建设互联网安全接入口，

选择合适的第三方服务商，并实现政府部门和政府信息安全主管部门的安全管理与防护的联动。

II

GB/TXXXXX.2—XXXX

信息安全技术政府部门互联网安全接入要求第2部分：第三方服

务商选择要求

1范围

GB/TXXXXX—XXXX的第2部分规定了政府部门网络接入互联网时对于互联网服务提供商的选择要

求，并规定了政府部门联网信息系统进行托管时对于互联网数据中心业务提供商的选择要求。

本部分适用于政府部门建设互联网安全接入口时对于互联网服务提供商和互联网数据中心业务提

供商的选择要求，以及互联网数据中心业务提供商建设安全接入口时对于互联网服务提供商的选择要

求。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/Z20986-2007信息安全事件分类分级指南

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

GB/T25069-2010信息安全技术术语

YDN126-2009增值电信业务网络信息安全保障基本要求

YD/T1736-2009互联网安全防护要求

YD/T1737-2009互联网安全防护检测要求

3术语和定义

GB/T25069-2010和GB/TXXXXX.1—XXXX的术语和定义适用于本文件。

4互联网服务提供商选择要求

4.1资质

本项要求包括：

a)具备独立法人资格。

b)具有ISP资格或计算机信息网络国际联网业务经营许可证。

4.2网络接入能力

本项要求包括：

a)设置独立的互联网接入设施，连接互联网接入点。

b)接入互联网的流量应与其他流量分离。

c)互联网接入设施应直接连接骨干网或城域网的核心层节点。

1

GB/TXXXXX.2—XXXX

d)互联网接入设施的设备和线路应进行冗余配置。采取多链路冗余、路由备份等措施保证互联网

服务质量，消除单点故障。

e)互联网接入设施出口网络链路利用率应不大于60%。

f)互联网接入设施访问根域名服务器的平均延迟应不大于10ms。

g)互联网接入设施访问自有域名服务器的平均延迟应不大于10ms。

h)应具备良好的容灾与可扩展能力。

4.3流量汇聚能力

所接入的各个安全接入口的流量应汇聚到统一的出入口后直连城域网核心层,安全接入口的流量与

公共互联网流量在城域网接入层和汇聚层实现流量隔离。

4.4业务保障能力

本项要求包括：

a)应具备提供7×24h不间断互联网接入服务的能力。

b)应具备根据要求提供重要保障服务的能力。

c)应具备针对DDoS攻击的防护措施，能够提供流量清洗等安全服务。

4.5维护能力

本项要求包括：

a)应设置专门维护部门提供可靠的维护服务，保证信息系统的可靠性和安全性。

b)应在2h内解决一般性故障（指已经影响业务正常运行，但在人工干预下业务仍能正常运行故

障、不影响业务运行故障），8h内解决重大故障（指导致业务无法正常运行故障、节点宕机

故障）

c)应提供网络和系统维护的技术咨询，包括故障诊断、技术方案、设备维护等服务。

4.6日志记录

本项要求包括：

a)具备对各设备进行时间同步的能力，并能够按照相关标准留存日志数据。

b)如果互联网接入采用了NAT方式，日志中应保留私网地址及NAT后的公网地址。

c)日志留存应确保满足至少90d的查询要求。

4.7安全标准符合性

本项要求包括：

a)互联网服务提供商应符合YD/T1736-2009提出的安全防护要求。

b)互联网服务提供商应符合YD/T1737-2009提出的安全防护检测要求。

5互联网数据中心业务提供商选择要求

5.1资质

本项要求包括：

a)具备独立法人资格。

b)具备网络托管业务经营许可证。

2

GB/TXXXXX.2—XXXX

c)应建设符合本标准第1部分第4节要求的互联网安全接入口，并符合本要求第1部分第5节对

于接入口的相关要求。

5.2网络接入能力

如互联网数据中心业务提供商自身为互联网服务提供商，则应满足第4章的要求；如自身非互联网

服务提供商，则应选择满足第4章要求的互联网服务提供商，应同时通过两家或两家以上不同的互联网

服务提供商接入互联网。

5.3机房环境

本项要求包括：

a)政府部门托管的信息系统设备应放置于独立区域，不得与其他普通用户共用设备。

b)政府部门托管的信息系统的网络线路应直接连接出口路由器，不经过内部汇接交换机等设备。

c)应具备7×24h保安巡逻，具备完善的入室登记制度。

d)应具备7×24h视频监控，监控录像保存时间不少于3个月。

e)应具备门禁系统，门禁记录保存时间不少于1年。

5.4网络设施

本项要求包括：

a)应具备全网防火墙与分区防火墙。

b)应具备根据需求提供独立的防火墙防护服务的能力。

c)应具备主机定位能力，可根据IP地址在1min内查询、定位服务器位置、政府部门联系方式。

5.5业务保障能力

本项要求包括：

a)应采取入方向全端口流量采样，采样比率应不小于1:1000，流量采样能力应与网络带宽具有

同步扩容机制。

b)应具备实时监测和分析信息系统的网络流量的能力，且与网络带宽具有同步扩容机制，信息系

统流量出现异常变动时应在5min内报警，同时具备对各网络链路进行限流的能力。

c)应具备监测信息系统服务可达性的能力。

d)应具备独立的安全漏洞分析、验证能力，能够根据政府部门需要进行漏洞检测，同时提供及时

的漏洞描述、危害程度、补救措施等信息，为漏洞处置提供技术支持与协助，能够为信息系统

提供安全加固。

e)应具备发现信息系统遭受恶意扫描、非授权访问、拒绝服务攻击的能力；能够对攻击事件进行

处置，定位攻击源和控制服务器，并协调运营商或域名服务商进行紧急处置，同时为政府部门

提供实施攻击的源IP地址列表、攻击地域分析和攻击类型分析；并且能够对攻击事件进行取

证，为政府部门提供90d内服务器遭受攻击的历史流量记录、异常流量发生时间、主要流量分

布和统计等证据材料。

f)应具备维护恶意服务器（URL）黑名单列表，并在防火墙上阻止恶意服务器（URL）的能力。

g)应具备监测域名解析服务器状态的能力，对政府部门联网信息系统的恶意域名请求进行监测的

能力,以及处置信息系统域名劫持事件的能力。

h)应具备对网络仿冒事件进行验证和处置信息系统仿冒事件的能力，并能够协调互联网服务提供

商或域名服务商进行紧急处置。

i)应具备为政府部门提供网络安全事件取证的能力。

3

GB/TXXXXX.2—XXXX

j)应能够根据政府部门自定义策略产生网络安全事件报警，同时具备有效的网络安全事件报警手

段，例如短信、彩信、电话等。

k)网络安全事件数据应保留180d以上。

l)在重大以上安全事件发生后应能够立即启动处置流程，并在30min内通报，较大事件在30min

内启动处置流程，1h内通报，一般事件在4h内启动处置流程，并在4h内通报。

m)安全事件分级应符合GB/Z20986-2007的规定。

n)应具备按照政府部门要求的检测链接深度进行网页木马检测的能力，能够对信息系统被挂马网

页进行验证分析，能够查找网页挂马源头、并协调运营商或域名服务商