烟草行业互联网接入安全技术规范（YQXXT,4-2017）.docx

《烟草行业互联网接入安全技术规范（YQXXT,4-2017）.docx》由会员分享，可在线阅读，更多相关《烟草行业互联网接入安全技术规范（YQXXT,4-2017）.docx（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、烟草行业互联网接入安全技术规范（YQXXT,4-2017）烟草行业互联网接入平安技术规范 Specification for Internet access security technology in tobacco industry YQ YQ-XX/T 42017中 国 烟 草 总 公 司 企 业 标 准 2017-05-01 发布 2017-05-01 实施中国烟草总公司发 布YQ-XX/T 42017 I 目次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 平安架构 . 2 5.1 接入对象 . 2 5.2 接入场景

2、. 2 5.3 平安框架 . 3 6 平安策略 . 4 7 平安技术要求 . 4 7.1 互联网平安接入区 . 4 7.1.1 基本要求 . 4 7.1.2 链路冗余 . 4 7.1.3 链路加密 . 4 7.2 互联网边界防护区 . 4 7.2.1 基本要求 . 4 7.2.2 入侵防范 . 4 7.2.3 防违规外联 . 5 7.2.4 内容过滤 . 5 7.2.5 网络恶意代码防范 . 5 7.2.6 网络接入爱护 . 5 7.3 互联网应用服务区 . 5 7.3.1 基本要求 . 5 7.3.2 系统平安 . 6 7.3.3 应用支撑环境平安 . 6 7.4 互联网数据服务区 . 7

3、7.4.1 基本要求 . 7 7.4.2 数据平安 . 7 7.4.3 数据支撑环境平安 . 7 8 平安管理要求 . 7 8.1 建设要求 . 7 8.2 管理要求 . 7 8.3 运用要求 . 8 8.3.1 内容管理 . 8YQ-XX/T 42017 II 8.3.2 运维管理 . 8 8.3.3 应急管理 . 8 参考文献 . 9YQ-XX/T 42017 III 前言 本标准依据 GB/T 1.1-2009 给出的规则起草。请留意本文件的某些内容可能涉及专利。本文件的发布机构不担当识别这些专利的责任。本标准由国家烟草专卖局提出。本标准由全国烟草标准化技术委员会信息分技术委员会（SAC

4、/TC 144/SC 7）归口。本标准起草单位：国家烟草专卖局烟草经济信息中心、湖北省烟草专卖局、北京信安世纪科技有限公司。本标准主要起草人：耿欣、马涛、张雪峰、王冬岚、王海清、王建树、童培莉、包长均、汪宗斌、李超。YQ-XX/T 4-2017 1 烟草行业互联网接入平安技术规范 1 范围 本标准制定了烟草行业互联网接入的平安架构、平安策略、平安技术要求和平安管理要求。本标准适用于烟草行业互联网接入的方案制定、系统建设和平安管理。托管在外部单位运行的烟草行业主管信息系统应参照本标准进行建设、管理、运用和运维。2 规范性引用文件 下列文件对于本文件的应用是必不行少的。凡是注日期的引用文件，仅注日

5、期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括全部的修改单）适用于本文件。YC/T 495烟草行业信息系统平安等级爱护实施规范 3 术语和定义 下列术语和定义适用于本文件。3.1互联网接入Internet Access 利用互联网、移动通信网络（如2G、3G、4G）、VPN、VPDN等基础网络，实现烟草行业信息网络和互联网之间的授权访问和数据交换。3.2烟草行业信息网络Tobacco Industry Information Network 包括行业各单位的局域网、省域网、行业骨干网等行业内部运用的计算机网络。3.3烟草行业网用户Tobacco Industry Interna

6、l Users 得到烟草行业内部单位许可，可以运用行业信息网络的人员，包括工作人员、管理人员、运维人员等。3.4烟草行业互联网应用系统Tobacco Industry Internet Application System 行业各单位在互联网运行的门户网站以及面对社会公众供应服务的网站或信息系统。3.5互联网用户Internet UsersYQ-XX/T 4-2017 2 通过互联网访问烟草行业互联网应用系统的外部人员，包括但不限于社会公众、卷烟零售户和烟农等。3.6外部业务系统External Business System 通过互联网访问烟草行业互联网应用系统和内网应用系统，或与烟草行业互

7、联网应用系统和内网应用系统进行数据交换的业务应用系统，如：托管在外单位机房的业务系统、地理信息系统等。3.7互联网服务Internet Services 运行在烟草行业信息网络外，可以通过互联网访问的应用系统或网站服务，如：互联网网站、其他行业的应用系统等。3.8敏感信息 Sensitive Information 影响互联网接入平安的帐号、密码、密钥以及业务敏感数据等信息。密钥包括但不限于用于确保通讯平安、报文完整性等的密钥，业务敏感数据包括但不限于烟草行业生产经营数据、客户信息、行业受限制发文等。4 缩略语 下列缩略语适用于本文件。APT： 高级持续性威逼（Advanced Persist

8、ent Threat）DDoS：分布式拒绝服务(Distributed Deny of Service) DMZ： 非军事区（Demilitarized Zone）FTP： 文件传输协议 （File Transfer Protocol）HTTP：超文本传输协议 （Hypertext Transfer Protocol）IP：互联网协议（Internet Protocol）IPSec： 网络协议平安（Internet Protocol Security）MAC： 介质访问限制（Media Access Control）SSL： 平安套接层（Secure Socket Layer）VPDN：虚拟专

9、用数据网（Virtual Private Data Network）VPN： 虚拟专用网络（Virtual Private Network）5 平安架构 5.1 接入对象 涉及烟草行业互联网接入的对象分为内部对象和外部对象。内部对象包括烟草行业网用户、烟草行业互联网应用系统等；外部对象包括但不限于互联网用户、外部业务系统等。5.2 接入场景YQ-XX/T 4-2017 3 烟草行业信息网络和互联网之间的网络链路依据接入对象的不同分为四种接入场景：a) 烟草行业网用户通过互联网向烟草行业信息网络发起单向网络访问恳求的场景，如通过互联网进行远程办公、管理和运维等操作； b) 烟草行业网用户从烟草行

10、业信息网络向互联网发起单向网络访问恳求的场景，如访问互联网网站等； c) 互联网用户从互联网向烟草行业信息网络发起单向网络访问恳求的接入场景，如零售客户访问网上订货系统等； d) 外部业务系统与烟草行业信息网络间进行双向网络访问的接入场景，如物流监控系统或烟叶GIS系统与外部地理信息系统间数据交换等。5.3 平安框架 本标准结合烟草行业互联网应用的特点，制定了烟草行业互联网接入平安框架，包括平安策略、平安技术和平安管理，为烟草行业互联网应用的建设、管理、运用供应平安保障依据。其中，烟草行业互联网接入平安技术架构由互联网平安接入区、互联网边界防护区、互联网应用服务区、互联网数据服务区四部分组成。

11、互联网平安接入区是指运营商互联网链路与行业各单位互联网防火墙之间的区域，是互联网和烟草行业信息网络之间的唯一数据出入口，实现互联网与烟草行业信息网络之间的互联。互联网边界防护区担当行业信息网络与互联网间、互联网应用服务区与互联网数据服务区间的平安隔离和爱护功能。互联网应用服务区通常处于DMZ区，主要部署烟草行业互联网应用系统的应用服务器、邮件系统、域名解析系统等。互联网数据服务区处于各单位的局域网，部署烟草行业互联网应用系统的数据库服务器，为互联网应用服务区供应数据支撑服务。烟草行业互联网平安架构如图1所示：接入对象内部对象：内部用户、烟草行业互联网应用系统外部对象：互联网用户、外部业务系统互

12、联网平安接入区互联网边界防护区入侵防范 防违规外联 内容过滤互联网应用服务区系统平安 应用支撑环境平安互联网数据服务区数据平安 数据支撑环境平安链路冗余 链路加密网络恶意代码防范 网络接入爱护烟草行业互联网接入平安管理烟草行业互联网接入平安策略 图1 烟草行业互联网接入平安框架YQ-XX/T 4-2017 4 6 平安策略 应遵循分级分域、整体爱护、主动预防、动态管理的行业信息化总体平安策略，结合行业互联网应用的特点，根据相互关联、相互均衡的原则，对互联网平安接入区、互联网边界防护区、互联网应用服务区、互联网数据服务区部署的平安防护设备设施制定完善的互联网接入双向平安策略，对管理和技术中的各种

13、平安限制措施和机制提出目标和要求。确定的平安策略应能保证互联网平安技术防护体系与应用相适应，覆盖互联网接入平安防护工作的各个方面，具备防攻击、防病毒、防篡改、防瘫痪、防泄密实力，保障烟草行业互联网接入平安。7 平安技术要求 7.1 互联网平安接入区 7.1.1 基本要求 互联网平安接入区建设应通过链路冗余、链路加密等技术，重点保证互联网接入服务的保密性、完整性、可用性。7.1.2 链路冗余 链路冗余平安要求包括但不限于：接入链路应冗余配置，提高接入链路的可用性； 用于连接互联网接入链路的网络设备应具备冗余实力，满意流量高负荷时的需求，避开单一故障点或用户访问高峰导致的互联网接入中断或局部瘫痪；

14、 应采纳技术措施，实现冗余链路的负载均衡与最佳接入链路选择的功能。7.1.3 链路加密 烟草行业网用户通过互联网访问行业内部网络和应用系统时，应采纳链路加密技术进行平安防护，链路加密平安要求包括但不限于：敏感信息通过互联网传输时，应采纳 IPsec、SSL 等平安协议进行爱护，保证数据传输过程中的保密性和完整性； 运用 SSL 协议时，应运用 SSL3.0 及以上版本，采纳国家密码管理局认可的密码算法。7.2 互联网边界防护区 7.2.1 基本要求 互联网边界防护区应从防病毒、防攻击、防泄密方面进行建设，通过采纳入侵防范、防非法外联、内容过滤、网络恶意代码防范、网络接入爱护等措施，进行行业信息

15、网络与互联网间、互联网应用服务区与互联网数据服务区间的平安隔离和访问限制。7.2.2 入侵防范 入侵防范平安要求包括但不限于：应能发觉网络探测与嗅探等攻击行为并阻断和告警； 应能发觉 DDoS 攻击、域名劫持等网络攻击行为并阻断和告警； 应能发觉针对漏洞的渗透攻击行为并阻断和告警；YQ-XX/T 4-2017 5 应能发觉非法 URL 访问、SQL 注入、跨站脚本等破坏访问限制的攻击行为并阻断和告警。7.2.3 防违规外联 防违规外联平安要求包括但不限于：应对内部访问互联网的用户、终端 IP 地址和 MAC 地址进行注册，设置平安策略对用户上网行为进行管控和审计，审计日志应至少保留 6 个月； 应能以 IP 地址或 MAC 地址的黑、白名单方式限制未授权的设备访问互联网； 应能主动发觉非法外联的用户或设备，并刚好阻断和告警； 对能够接入到烟草行业各单位局域网的终端，应强制安装具有发觉和.