信息安全技术 政府部门互联网安全接入要求 第2部分：第三方服务商选择要求

ICS

4.1资质本项要求包括a）具备独立法人资格b）具有ISP资格或计算机信息网络国际联网业务经营许可证

5.2网络接入能力本项要求包括a）设置独立的互联网接入设施，连接互联网接入点b）接入互联网的流量应与其他流量分离c）互联网接入设施应直接连接骨干网或城域网的核心层节点d）互联网接入设施的设备和线路应进行冗余配置采取多链路冗余、路由备份等措施保证互联网服务质量，消除单点故障e）互联网接入设施出口网络链路利用率应不大于60%0f）互联网接入设施访问根域名服务器的平均延迟应不大于10msog）互联网接入设施访问自有域名服务器的平均延迟应不大于10msoh）应具备良好的容灾与可扩展能力

5.3流量汇聚能力所接入的各个安全接入口的流量应汇聚到统一的出入口后直连城域网核心层，安全接入口的流量与公共互联网流量在城域网接入层和汇聚层实现流量隔离

5.4业务保障能力本项要求包括a）应具备提供7X24h不间断互联网接入服务的能力b）应具备根据要求提供重要保障服务的能力c）应具备针对DDoS攻击的防护措施，能够提供流量清洗等安全服务

5.5维护能力本项要求包括a）应设置专门维护部门提供可靠的维护服务，保证信息系统的可靠性和安全性b）应在2h内解决一般性故障（指已经影响业务正常运行，但在人工干预下业务仍能正常运行故障、不影响业务运行故障），8h内解决重大故障（指导致业务无法正常运行故障、节点宕机故障）c）应提供网络和系统维护的技术咨询，包括故障诊断、技术方案、设备维护等服务

4.6日志记录本项要求包括a）具备对各设备进行时间同步的能力，并能够按照相关标准留存日志数据b）如果互联网接入采用了NAT方式，日志中应保留私网地址及NAT后的公网地址c）日志留存应确保满足至少90d的查询要求

4.7安全标准符合性本项要求包括a）互联网服务提供商应符合YD/T1736-2009提出的安全防护要求b）互联网服务提供商应符合YD/T1737-2009提出的安全防护检测要求5互联网数据中心业务提供商选择要求

5.1资质本项要求包括a）具备独立法人资格b）具备网络托管业务经营许可证c）应建设符合本标准第1部分第4节要求的互联网安全接入口，并符合本要求第1部分第5节对于接入口的相关要求

5.2网络接入能力如互联网数据中心业务提供商自身为互联网服务提供商，则应满足第4章的要求；如自身非互联网服务提供商，则应选择满足第4章要求的互联网服务提供商，应同时通过两家或两家以上不同的互联网服务提供商接入互联网

5.3机房环境本项要求包括a）政府部门托管的信息系统设备应放置于独立区域，不得与其他普通用户共用设备b）政府部门托管的信息系统的网络线路应直接连接出口路由器，不经过内部汇接交换机等设备c）应具备7X24h保安巡逻，具备完善的入室登记制度d）应具备7X24h视频监控，监控录像保存时间不少于3个月e）应具备门禁系统，门禁记录保存时间不少于1年

5.4网络设施本项要求包括a）应具备全网防火墙与分区防火墙b）应具备根据需求提供独立的防火墙防护服务的能力c）应具备主机定位能力，可根据IP地址在Imin内查询、定位服务器位置、政府部门联系方式

5.5业务保障能力本项要求包括a）应采取入方向全端口流量采样，采样比率应不小于1:1000,流量采样能力应与网络带宽具有同步扩容机制b）应具备实时监测和分析信息系统的网络流量的能力，且与网络带宽具有同步扩容机制，信息系统流量出现异常变动时应在5min内报警，同时具备对各网络链路进行限流的能力c）应具备监测信息系统服务可达性的能力d）应具备独立的安全漏洞分析、验证能力，能够根据政府部门需要进行漏洞检测，同时提供及时的漏洞描述、危害程度、补救措施等信息，为漏洞处置提供技术支持与协助，能够为信息系统提供安全加固e）应具备发现信息系统遭受恶意扫描、非授权访问、拒绝服务攻击的能力；能够对攻击事件进行处置，定位攻击源和控制服务器，并协调运营商或域名服务商进行紧急处置，同时为政府部门提供实施攻击的源IP地址列表、攻击地域分析和攻击类型分析；并且能够对攻击事件进行取证，为政府部门提供90d内服务器遭受攻击的历史流量记录、异常流量发生时间、主要流量分布和统计等证据材料f）应具备维护恶意服务器（URL）黑名单列表，并在防火墙上阻止恶意服务器（URL）的能力g）应具备监测域名解析服务器状态的能力，对政府部门联网信息系统的恶意域名请求进行监测的能力，以及处置信息系统域名劫持事件的能力h）应具备对网络仿冒事件进行验证和处置信息系统仿冒事件的能力，并能够协调互联网服务提供商或域名服务商进行紧急处置D应具备为政府部门提供网络安全事件取证的能力j）应能够根据政府部门自定义策略产生网络安全事件报警，同时具备有效的网络安全事件报警手段，例如短信、彩信、电话等k）网络安全事件数据应保留180d以上1）在重大以上安全事件发生后应能够立即启动处置流程，并在30niin内通报，较大事件在30min内启动处置流程，lh内通报，一般事件在4h内启动处置流程，并在4h内通报m）安全事件分级应符合GB/Z20986-2007的规定n）应具备按照政府部门要求的检测链接深度进行网页木马检测的能力，能够对信息系统被挂马网页进行验证分析，能够查找网页挂马源头、并协调运营商或域名服务商对相应的IP地址或域名进行处置，能够发现并处置被用作恶意服务器（挂马、钓鱼、木马控制端）或与恶意服务器有可疑连接的服务器o）应接受政府信息安全主管部门整改要求并实施整改，并以报告的形式反馈整改结果

5.6维护能力本项要求包括a）应设置专门维护部门提供可靠的维护服务，保证信息系统的可靠性和安全性b）应在2h内解决一般性故障，8h内解决重大故障c）应提供网络和系统维护的技术咨询，包括故障诊断、技术方案、设备维护等服务

5.7日志记录本项要求包括a）具备对各设备进行时间同步的能力，并能够按照相关标准留存日志数据b）如果互联网接入采用了NAT方式，日志中应保留私网地址及NAT后的公网地址c）日志留存应确保满足至少90d的查询要求

5.8安全标准符合性本项要求包括a）互联网数据中心业务提供商应符合GB/T22239-2008中第三级涉及的物理、网络、管理等部分的要求b）互联网数据中心业务提供商应符合YD/T1736-2009提出的安全防护要求c）互联网数据中心业务提供商应符合YD/T1737-2009提出的安全防护检测要求d）互联网数据中心业务提供商应符合YDN126-2009提出的网络信息安全保障的基本要求信息安全技术政府部门互联网安全接入要求第部分第三方服2务商选择要求信息安全技术政府部门互联网安全接入要求第部分第三方服2务商选择要求。