IPv4-IPv6網絡安全防護要求 第3部分：互聯(lián)網數(shù)據(jù)中心

ICS33.040.40

CCSM32

中華人民共和國國家標準

GB/TXXXXX.3—XXXX

IPv4/IPv6網絡安全防護技術規(guī)范

第3部分：互聯(lián)網數(shù)據(jù)中心

IPv4/IPv6securityprotectionrequirements-Part3:Internetdatacenter

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/Txxx-xxxx

前言

本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起

草。

GB/TXXXXX《IPv4/IPv6網絡安全防護技術規(guī)范》與GB/TXXXXX《IPv6網絡安全設備技術要求》、

GB/TXXXXX《IPv6網絡設備安全技術要求》共同構成支撐IPv6安全的國家標準體系。

本文件是GB/TXXXXX《IPv4/IPv6網絡安全防護技術規(guī)范》的第3部分，GB/TXXXX已經發(fā)布了

以下部分：

——第1部分：IP承載網

——第2部分：移動通信網

——第3部分：互聯(lián)網數(shù)據(jù)中心

——第4部分：內容分發(fā)網絡

注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國通信標準化技術委員會(SAC/TC485)歸口。

本文件起草單位：

本文件主要起草人：

I

GB/Txxx-xxxx

引言

根據(jù)《關于加快推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署和應用工作的通知》，為更好面對網

絡復雜化和用戶規(guī)模擴大化帶來的安全挑戰(zhàn)，推動IPv6網絡安全工作的標準化，我國制定了一系列

IPv6安全標準。其中，GB/TXXXXX《IPv4/IPv6網絡安全防護技術規(guī)范》是為規(guī)范電信網和互聯(lián)網

行業(yè)中重要網絡單元在IPv6網絡中所開展的安全防護工作，擬分為以下部分：

——第1部分：IP承載網。目的在于IPv6部署后，推動IP承載網的安全防護工作。

——第2部分：移動通信網。目的在于IPv6部署后，推動移動通信網的安全防護工作。

——第3部分：互聯(lián)網數(shù)據(jù)中心。目的在于IPv6部署后，推動互聯(lián)網數(shù)據(jù)中心的安全防護工作。

——第4部分：內容分發(fā)網絡。目的在于IPv6部署后，推動內容分發(fā)網絡的安全防護工作。

I

GB/Txxx-xxxx

IPv4/IPv6網絡安全防護技術規(guī)范第3部分：互聯(lián)網數(shù)據(jù)中心

1范圍

本文件規(guī)定了支持IPv4/IPv6協(xié)議的互聯(lián)網數(shù)據(jù)中心（IDC）安全防護要求和檢測要求，包括

業(yè)務安全、網絡安全、主機安全、中間件安全、物理環(huán)境安全和管理安全。

本文件適用于支持IPv4/IPv6協(xié)議的IDC安全防護工作開展和推進。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引

用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修

改單）適用于本文件。

GB/T41267-2022網絡關鍵設備安全技術要求交換機設備

GB/T41269-2022網絡關鍵設備安全技術要求路由器設備

GB/T18018-2019信息安全技術路由器安全技術要求

GB/T21050-2019信息安全技術網絡交換機安全技術要求

GB/T29240-2012信息安全技術終端計算機通用安全技術要求與測試評價方法

GB/T39680-2020信息安全技術服務器安全技術要求和測評準則

GB/T22239-2019信息安全技術網絡安全等級保護基本要求

YD/T1478-2006電信管理網安全技術要求

YD/T2698-2014電信網和互聯(lián)網安全防護基線配置要求及檢測要求網絡設備

YD/T2701-2014電信網和互聯(lián)網安全防護基線配置要求及檢測要求操作系統(tǒng)

YD/T2700-2014電信網和互聯(lián)網安全防護基線配置要求及檢測要求數(shù)據(jù)庫

YD/T2703-2014電信網和互聯(lián)網安全防護基線配置要求及檢測要求Web應用系統(tǒng)

YD/T2702-2014電信網和互聯(lián)網安全防護基線配置要求及檢測要求中間件

3術語和定義

下列術語和定義適用于本文件。

3.1

互聯(lián)網數(shù)據(jù)中心（IDC）服務internetdatacenterservices

2

GB/Txxx-xxxx

利用相應的機房設施，以外包出租的方式為用戶的服務器等互聯(lián)網或其他網絡相關設備提供

放置、代理維護、系統(tǒng)配置及管理服務，以及提供數(shù)據(jù)庫系統(tǒng)或服務器等設備的出租及其存儲空

間的出租、通信線路和出口帶寬的代理租用和其他應用服務。

3.2

互聯(lián)網數(shù)據(jù)中心（IDC）客戶customerofIDC

通過購買IDC服務以滿足其業(yè)務需求的群體。

4縮略語

下列縮略語適用于本文件。

ACL訪問控制列表AccessControlList

CC挑戰(zhàn)黑洞ChallengeCollapsar

CPU中央處理器CentralProcessingUnit

DNS域名系統(tǒng)DomainNameSystem

DDoS分布式拒絕服務DistributedDenialofService

FTP文件傳輸協(xié)議FileTransferProtocol

ICMPInternet控制報文協(xié)議InternetControlMessageProtocol

IDC互聯(lián)網數(shù)據(jù)中心InternetDataCenter

IPv4互聯(lián)網協(xié)議第4版InternetProtocolversion4

IPv6互聯(lián)網協(xié)議第6版InternetProtocolversion6

MAC媒體介入控制層MediumAccessControl

SNMP簡單網絡管理協(xié)議SimpleNetworkManagementProtocol

SQL結構化查詢語言StructuredQueryLanguage

SSH安全協(xié)議外殼SecureShell

SSL安全套接層SecureSocketsLayer

SYNFloodSYN洪水攻擊SynchronizeFlood

TLS傳輸層安全協(xié)議TransportLayerSecurity

UDPFloodUDP洪水攻擊UserDatagramProtocolFlood

URL統(tǒng)一資源定位符UniformResourceLocator

URPF單播逆向路徑轉發(fā)UnicastReversePathForwarding

USM用戶安全模型UserSecurityModel

VACM基于視圖的訪問控制模型View-basedAccessControlModel

VLAN虛擬局域網VirtualLocalAreaNetwork

VPN虛擬專用網VirtualPrivateNetwork

5互聯(lián)網數(shù)據(jù)中心（IDC）安全防護概述

5.1互聯(lián)網數(shù)據(jù)中心（IDC）安全防護范圍

3

GB/Txxx-xxxx

IDC的安全防護范圍包括為用戶提供各種IDC服務的IDC基礎設施（包括IP網絡、主機、服務

器、安全設備等）、為了保證IDC正常運行所構建的IDC支撐系統(tǒng)（包括集中配置、集中監(jiān)控、災

備等）和為了保證IDC網絡安全所構建的IDC網絡安全防護系統(tǒng)。

5.2互聯(lián)網數(shù)據(jù)中心（IDC）安全防護內容

應按照國家、行業(yè)的網絡安全等級劃分標準確定安全等級，并依據(jù)安全等級開展包括網絡安

全、主機安全、中間件安全、物理環(huán)境安全和管理安全等六個層面的安全防護工作。其中：

a)業(yè)務安全：指為實現(xiàn)IDC業(yè)務所使用的應用系統(tǒng)的安全，一般指采用應用層技術構建

的業(yè)務系統(tǒng)、網管支撐系統(tǒng)涉及相關安全，如Web安全、FTP、SNMP應用協(xié)議安全等

等；

b)網絡安全：主要包括IDC的網絡結構、網絡管理和網絡攻擊防范等方面內容和要求；

c)主機安全：主要包括IDC通用主機設備安全等方面內容和要求；

d)中間件安全：主要包括IDC的中間件基本安全要求等方面內容和要求；

e)物理環(huán)境安全：主要包括GB/T22239-2019中安全物理環(huán)境要求；

f)管理安全：除GB/T22239-2019要求外，還包括風險評估、應急預案等方面內容和要求。

6互聯(lián)網數(shù)據(jù)中心（IDC）安全防護要求

6.1第1級要求

6.1.1業(yè)務安全

暫不作要求。

6.1.2網絡安全

網絡結構

IDC在生產運行、操作維護、系統(tǒng)管理等方面，應采用網絡設備如交換機、路由器、防火墻

等對其內部網絡進行安全域劃分，劃分方式包括但不限于VLAN劃分、IP網段劃分、可信任域劃

分等。

網絡管理

IDC網絡管理應滿足以下要求：

a)應對IDC業(yè)務及客戶源地址進行梳理和備案；

b)IDC應啟用跨安全域訪問控制策略，控制內容包括但不限于訪問源的MAC地址、

IPv4/IPv6地址、端口號等信息；

4

GB/Txxx-xxxx

c)IDC集中運維安全管控系統(tǒng)應與為IDC提供服務的基礎設施相隔離并部署在不同網絡區(qū)

域；

d)IDC集中運維安全管控系統(tǒng)的網絡邊界設備應按不同業(yè)務需求配置相應的訪問控制策

略，只開放管理必須的服務及端口，避免開放較大的IPv4/IPv6地址段及服務；

e)IDC集中運維安全管控系統(tǒng)應采用安全的管理和控制信息分發(fā)、過濾機制。網絡管理信

息應加密傳送；應對目的地址為管理接口的非管理報文和目的地址為數(shù)據(jù)業(yè)務接口的管

理報文進行控制。

網絡入侵防范

IDC面向互聯(lián)網應具備相應防護能力，對進出IDC的所有數(shù)據(jù)流量進行防護。

網絡安全監(jiān)測

IDC應能在互聯(lián)網接口處進行流量監(jiān)控分析，及時發(fā)現(xiàn)導致流量異常的安全事件。

網絡設備防護

IDC網絡設備主要包括各類路由器、交換機設備等，網絡設備的安全應滿足相關設備技術規(guī)

范、設備安全要求以及設備入網管理相關要求的規(guī)定，包括GB/T18018-2019、GB/T21050-2019、

GB/T41267-2022、GB/T41269-2022等。網絡設備的安全基線配置應滿足YD/T2698-2014相關要

求。

6.1.3主機安全

IDC通用主機設備主要包括各類通用服務器、工作站、終端、數(shù)據(jù)庫等，相關設備應滿足相

應標準要求，包括GB/T29240-2012、GB/T39680-2020等。相關設備安全基線配置應滿足相應標

準要求，通用主機設備的操作系統(tǒng)安全基線配置應滿足YD/T2701-2014要求，數(shù)據(jù)庫的安全基線

配置應滿足YD/T2700-2014要求，Web應用系統(tǒng)的安全基線配置應滿足YD/T2703-2014要求等。

6.1.4中間件安全

IDC自身業(yè)務使用中間件的安全基線配置應滿足YD/T2702-2014要求。

6.1.5物理環(huán)境安全

應滿足GB/T22239-2019中第一級的安全物理環(huán)境要求。

6.1.6管理安全

應滿足GB/T22239-2019中第一級的安全管理制度、安全管理機構、安全管理人員、安全運

5

GB/Txxx-xxxx

維管理相關要求。

6.2第2級要求

6.2.1業(yè)務安全

業(yè)務安全應滿足以下要求：

a)應按照合同提供IDC客戶指定的安全防護資源和備份恢復技術能力；

b)應保證IDC網絡單元關鍵網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；

c)IDC與互聯(lián)網接口處的流量帶寬應具備冗余空間，滿足業(yè)務高峰期需要。

6.2.2網絡安全

網絡結構

除滿足第1級的要求以外，還應滿足：

a)應繪制與當前運行情況相符的網絡拓撲結構圖（反映互聯(lián)網接口、內部網絡劃分等內容）；

b)IDC的網絡結構應根據(jù)網絡的運營、管理或區(qū)域等因素在邏輯上合理的實現(xiàn)分層和分級，

IDC內部網絡區(qū)域的劃分應與網絡結構和組織形式保持一致。

網絡管理

除滿足第1級的要求以外，還應滿足：

a)通過運營企業(yè)內部網絡（如DCN網絡）遠程訪問IDC中設備時，應按業(yè)務需求在被訪

問的IDC網絡邊界設備上啟用接入訪問控制策略，應對包括但不限于源IPv4/IPv6地址、

端口號等在內的控制項進行限制，避免開放過長IP地址段及過多端口；

b)通過公共互聯(lián)網遠程訪問IDC中設備時，應使用VPN方式訪問，并按業(yè)務需求在被訪

問的IDC網絡邊界設備上啟用接入訪問控制策略，應對包括但不限于源及目的IPv4/IPv6

地址、端口號等在內的控制項進行限制，避免開放過長IPv4/IPv6地址段及過多端口；

c)IDC網絡邊界的隔離設備如采用Web方式進行配置和管理，應采用如下措施：

1)應使用用戶安全鑒別和認證措施，如支持TLS/TLCP協(xié)議等；

2)應防止Web安全漏洞，如Web組件漏洞、SQL注入攻擊、跨站腳本攻擊等；

3)應保證配置安全，采取隱蔽Web后臺配置頁面等措施，防止后臺配置界面泄露、

Web路徑泄露等漏洞被非法利用從而導致對設備的攻擊入侵；

4)限制Web服務器的訪問和操作權限（避免Web訪問非授權的敏感數(shù)據(jù)）。

d)IDC集中運維安全管控系統(tǒng)應使用用戶安全鑒別和認證措施，應符合YD/T1478-2006中

相關安全技術要求，管理使用的SNMP協(xié)議原則應支持SNMPv3并支持VACM和USM

6

GB/Txxx-xxxx

等安全機制，對于遠程登錄應支持SSH以及相關加密和認證算法，對于Web管理應支

持TLS/TLCP等安全協(xié)議；

e)IDC集中運維安全管控系統(tǒng)支持的SNMP、SSH、FTP、HTTP、Telnet等服務應在非必

要情況下關閉和禁用，必須使用SNMP協(xié)議的設備應加強對SNMP寫操作的管理控制，

可采用增加Community的復雜度或是采用ACL控制等方式進行管理；

f)IDC集中運維安全管控系統(tǒng)應能對節(jié)點、鏈路和各類資源的預警、告警、故障進行及時

有效的定位，各類報警的閾值應設置合理；

g)IDC集中運維安全管控系統(tǒng)應具有并啟用完整的系統(tǒng)安全日志功能；

h)IDC集中運維安全管控系統(tǒng)如采用Web技術進行配置、管理，應采用如下措施：

1)應使用用戶安全鑒別和認證措施，如支持TLS/TLCP協(xié)議等；

2)應使用代碼審計等措施檢測和消除Web安全漏洞（如SQL注入攻擊、跨站腳本攻

擊等）；

3)應保證配置安全，采取隱蔽Web后臺配置頁面等措施，防止后臺配置界面泄露、

Web路徑泄露等漏洞被非法利用從而導致對設備的攻擊入侵；

4)限制Web服務器的訪問和操作權限（避免Web訪問非授權的敏感數(shù)據(jù)）。

i)IDC應部署和啟用虛假源地址流量控制策略，包括但不限于：在IDC出口設備上開啟

URPF（單播逆向路徑轉發(fā)）功能，對于不具備開啟條件的設備，啟用ACL（訪問控制

列表）功能過濾虛假源地址。

網絡入侵防范

除滿足第1級的要求以外，還應滿足：

a)IDC應具有對網絡安全漏洞攻擊防范能力，包括但不限于以下能力：

1)能夠對已知安全漏洞攻擊流量和攻擊報文進行檢測；

2)能夠對組合型攻擊流量和攻擊報文進行檢測和告警；

3)能夠對攻擊源進行溯源和記錄操作行為；

4)能夠解析IPv4/IPv6報文，通過IP5元組、攻擊數(shù)據(jù)包類型、攻擊報文關鍵字、攻

擊流量等對已知安全漏洞攻擊進行阻斷；

5)能夠對疑似安全漏洞攻擊行為進行研判和預警；

b)IDC應具備對DDoS攻擊的防范能力，包括但不限于以下能力：

1)能夠對常見DDoS攻擊（如ARP/NDFlood、SYNFlood、UDPFlood、ICMPFlood

7

GB/Txxx-xxxx

等）進行檢測和告警；

2)能夠對Web應用層DDoS攻擊（如CC攻擊）進行檢測和告警；

3)能夠對DDoS攻擊源或僵尸機記錄攻擊行為；

4)能夠通過解析IPv4/IPv6報文，基于IP5元組、網絡應用種類、協(xié)議類型、協(xié)議標

簽等進行包過濾、閾值限制、重定向等手段清洗DDoS攻擊流量，DDoS攻擊防護

能力覆蓋IDC網絡出口帶寬。

c)IDC應能夠檢測并防御以下攻擊行為：端口掃描、暴力攻擊、木馬后門攻擊、拒絕服務

攻擊、緩沖區(qū)溢出攻擊、ARP/ND欺騙攻擊、IP碎片攻擊、網絡蠕蟲攻擊等。

網絡安全監(jiān)測

除滿足第1級的要求以外，還應滿足：

a)應對IDC自身業(yè)務中的重要主機進行監(jiān)視，包括監(jiān)視主機的CPU、硬盤、內存、網絡等

資源的使用情況；

b)對于目的地址為IDC網絡內地址的數(shù)據(jù)包，安全域邊界應具有有效的攻擊識別和監(jiān)測能

力，應具有對于異常數(shù)據(jù)流量的識別和處理能力；

c)IDC出入口路由器應具備IPv4/IPv6源地址驗證和虛假源地址流量過濾功能；

d)IDC出入口路由器應具備流量元數(shù)據(jù)采集和轉發(fā)功能，采集格式支持NetFlow（V5及以

上）、NetStream（V5及以上）或sFlow（V4及以上），采樣率不低于1/1000。

網絡保護與恢復

IDC網絡保護與恢復應滿足以下要求：

a)IDC應具備一定的抗災難以及災難恢復能力，自身重要服務器、重要部件、重要數(shù)據(jù)庫

應當采用本地雙機備份的方式進行容災保護；

b)IDC網絡災難恢復時間應滿足國家或行業(yè)對應急預案的相關要求；

c)IDC重要信息數(shù)據(jù)應提供本地備份；

d)IDC的數(shù)據(jù)備份范圍和時間間隔、數(shù)據(jù)恢復能力應符合國家或行業(yè)對應急預案的相關要

求。

網絡設備防護

除滿足第1級的要求以外，還應滿足：

a)應對IDC網絡系統(tǒng)中的關鍵網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄，

并定期對日志進行安全審計，形成相關的審計文檔；

8

GB/Txxx-xxxx

b)IDC網絡邊界設備的安全日志應在本地或外部設備上進行記錄、輸出、存儲，并及時、

定期審計安全域邊界安全防護設備的日志，日志審計范圍應該覆蓋設備自身操作維護記

錄，以及設備對外部發(fā)起行為的記錄，應形成、儲存相關的審計文檔；

c)IDC網絡設備審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其

他與審計相關的信息。

6.2.3主機安全

與第1級的要求相同。

6.2.4中間件安全

除滿足第1級的要求以外，還應滿足：

a)IDC自身業(yè)務所使用的中間件進行協(xié)議級的配置時應禁用中間件的不必要的HTTP方法，

例如PUT，TRACE，DELETE等，若啟用了HTTPS則應禁用HTTP；

b)IDC自身業(yè)務所使用的中間件應啟用必要的語言安全設置，例如PHP語言設置，JAVA語

言設置。

6.2.5物理環(huán)境安全

應滿足GB/T22239-2019中第二級的安全物理環(huán)境要求。

6.2.6管理安全

安全管理要求

除滿足GB/T22239-2019中第二級的安全管理制度、安全管理機構、安全管理人員、安全運

維管理相關要求外，還應滿足如下要求：

a)IDC應有介質存取、驗證、轉儲、銷毀管理制度，確保備份數(shù)據(jù)授權訪問；

b)IDC應按介質特性對備份數(shù)據(jù)進行定期的有效性驗證；

c)IDC應有相關服務器設備的災難備份及恢復的管理制度。

風險評估要求

IDC風險評估應滿足以下要求：

a)IDC及其所屬各類設備、系統(tǒng)應根據(jù)安全防護相關規(guī)定定期進行安全風險評估（至少每

兩年一次），風險評估范圍應與IDC安全防護范圍一致；

b)IDC安全風險評估至少應覆蓋業(yè)務安全、網絡安全、主機安全、中間件安全、物理環(huán)境

安全等相關技術風險和人員安全、運維安全等相關管理風險，至少包含IDC相關資產、

9

GB/Txxx-xxxx

脆弱性、威脅、安全措施、風險分析等要素和內容，并根據(jù)評估結果制定相應的風險處

理計劃。

災難恢復預案

IDC災難恢復預案應滿足以下要求：

a)IDC應制定完整的災難恢復預案及對應管理制度；

b)IDC應有災難恢復預案的教育和培訓（至少每半年一次），相關人員應了解災難恢復預

案并具有對災難恢復預案進行實際操作的能力；

c)IDC應有災難恢復預案的演練（至少每年一次），并根據(jù)演練結果對災難恢復預案進行

修正。

6.3第3級要求

6.3.1業(yè)務安全

與第2級的要求相同。

6.3.2網絡安全

網絡結構

除滿足第2級的要求以外，還應滿足：

a)IDC的Web服務器、后臺數(shù)據(jù)庫應分開部署在不同物理主機上。

網絡管理

除滿足第2級的要求之外，還應滿足：

a)安全域之間的IP網絡邊界設備應啟用接入訪問控制策略，應依據(jù)不同安全域互相訪問需

求對包括但不限于源IP地址、端口號等在內的控制項進行限制，避免開放過長IP地址段

及過多端口。

網絡入侵防范

除滿足第2級的要求之外，還應滿足：

a)當檢測到攻擊行為時，應記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重

入侵事件時應能夠實時報警；

b)應在IDC網絡邊界處對惡意代碼進行檢測和處理，并及時對檢測系統(tǒng)進行更新；

c)IDC應對防惡意代碼軟件進行統(tǒng)一管理。

網絡安全監(jiān)測

10

GB/Txxx-xxxx

除滿足第2級的要求外，還應滿足：

a)IDC應具有對僵尸網絡、木馬和蠕蟲的監(jiān)測能力，在IDC出入口對進出流量進行監(jiān)測，在

IDC內部對內部流量進行監(jiān)測。包括但不限于以下能力：

1)能夠對已知僵尸網絡、木馬和蠕蟲病毒進行監(jiān)測和告警；

2)能夠對壓縮流量和嵌入型僵尸網絡和木馬進行監(jiān)測和告警；

3)能夠對僵尸網絡和木馬控制端進行溯源并記錄操作行為；

4)能夠對疑似僵尸網絡、木馬和蠕蟲病毒進行預警；

5)能夠對IDC機房服務器的Web網站進行掛馬掃描；

6)能夠對IDC機房服務器的IPv4/IPv6地址進行系統(tǒng)漏洞掃描；

7)具備基于網絡行為、樣本特征和惡意URL的僵尸網絡、木馬和蠕蟲病毒庫。

b)IDC應具有對不同種類業(yè)務相關數(shù)據(jù)進行監(jiān)測、統(tǒng)計、控制、過濾的功能；

c)宜對IDC管理運維人員的設備系統(tǒng)訪問等操作行為進行監(jiān)控和審計。

網絡保護與恢復

除滿足第2級的要求外，還應滿足：

a)IDC應具備一定的抗災難以及災難恢復能力，重要服務器、重要部件、重要數(shù)據(jù)庫應當

采用異址（同城不同地點的機房或異地）方式進行容災保護；

b)IDC與互聯(lián)網之間應具備冗余鏈路；

c)IDC網絡中關鍵設備之間應當提供多條物理鏈路（如Web服務器設備與數(shù)據(jù)庫服務器設

備之間）；

d)IDC重要信息數(shù)據(jù)應提供異址備份（同城不同地點的機房或異地）。

網絡設備防護

除滿足第2級的要求之外，還應滿足：

a)IDC網絡設備帳號口令更新周期不大于60天。

6.3.3主機安全

除滿足第2級的要求之外，還應滿足：

a)IDC通用主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶口令更新周期不大于60天；

b)應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息（如，配置信息、審計記錄等）的

操作；

c)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

11

GB/Txxx-xxxx

d)應保護審計進程，避免受到未預期的中斷；

e)應能夠檢測到對IDC內主機進行入侵的行為，能夠記錄入侵的源IPv4/IPv6地址、攻擊的

類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。

6.3.4中間件安全

除滿足第2級的要求以外，還應滿足：

a）IDC自身業(yè)務所使用的中間件應用運行時應啟動必要的自我安全保護技術。

6.3.5物理環(huán)境安全

應滿足GB/T22239-2019中第三級的安全物理環(huán)境要求。

6.3.6管理安全

安全管理要求

應滿足第2級和GB/T22239-2019中第三級的安全管理制度、安全管理機構、安全管理人員、

安全運維管理相關要求。

風險評估要求

除滿足第2級要求外，還應定期對IDC及其所屬各類設備、系統(tǒng)進行安全風險評估（至少每年

一次）。

災難恢復預案

除滿足第2級要求外，還應定期組織IDC及其所屬各類設備、系統(tǒng)災難恢復預案的教育培訓（至

少每季度一次）和演練（至少每半年一次）。

安全建設管理

IDC業(yè)務實施時，客戶應提交業(yè)務客戶信息采集表，主要包含但不限于以下信息：系統(tǒng)數(shù)據(jù)

分類與安全等級、系統(tǒng)對基礎設施的依賴關系、系統(tǒng)要求配置的防火墻與路由器策略等。

安全運維管理

IDC安全運維應滿足以下要求：

a)應至少每六個月檢查一次防火墻和路由器的規(guī)則設置（檢測防火墻和路由器是否存在沖

突規(guī)則、冗余規(guī)則或無效規(guī)則等）；

b)應至少每三個月進行一次應用層弱點掃描，當基礎設施或應用完成重大的升級或調整后，

應執(zhí)行應用層弱點掃描；

12

GB/Txxx-xxxx

c)應至少每年進行一次應用層滲透測試，當基礎設施或應用完成重大的升級或調整后，應

執(zhí)行應用層滲透測試。

6.4第4級要求

同第3級要求。

6.5第5級要求

同第3級要求。

7互聯(lián)網數(shù)據(jù)中心（IDC）安全防護檢測要求

7.1第1級要求

7.1.1網絡安全

網絡結構

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡結構安全-01

測試項目：-a，IDC應對其內部網絡進行安全域劃分。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡設計/驗收文檔、網絡拓撲文檔、網絡安全策

略、運維管理制度、設備配置文檔等；

2）進入現(xiàn)場檢查網絡及設備實際組網情況，實地查看IDC的拓撲、設備部署、鏈路設置

等情況；

3）分別檢查不同的安全域的網絡管理情況，檢查其是否滿足分域定制的管理要求。

預期結果：

1）IDC實際拓撲結構、設備部署等均完成了安全域劃分。

判定原則：

達到以上預期結果，則通過，否則不通過。

網絡管理

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡管理安全-01

測試項目：-a，IDC應對業(yè)務及客戶源地址進行梳理和備案。

測試步驟：

1）訪談IDC運維人員，查看客戶源地址規(guī)劃和備案記錄；

13

GB/Txxx-xxxx

2）檢查并核對網絡設備實際配置地址情況。

預期結果：

1）IDC客戶源地址分配和使用有統(tǒng)一規(guī)劃和備案；

2）IDC客戶源地址備案信息與實際部署一致。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡管理安全-02

測試項目：-b，IDC應啟用跨安全域訪問控制策略。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡設計文檔、網絡安全策略、運維管理制度、設

備配置文檔等，查看IDC跨域訪問控制策略；

2）使用流量發(fā)生器構造具有不同源MAC、源IPv4/IPv6地址、端口號特征的報文流訪問

不同安全域；

3）在安全域邊界設備處查看訪問日志，在安全域內被訪問設備處使用流量分析儀進行抓包

分析。

預期結果：

1）IDC啟用了跨安全域訪問控制策略；

2）IDC內不同安全域能夠對非法訪問請求進行攔截阻斷和記錄。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡管理安全-03

測試項目：-c，IDC集中運維安全管控系統(tǒng)應與提供服務基礎設施相隔離。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡設計文檔、網絡安全策略、運維管理制度、設

備配置文檔等，查看IDC業(yè)務網絡與運維安全管控系統(tǒng)間的連接情況；

2）從IDC業(yè)務網絡側訪問運維安全管控系統(tǒng)中的設備，驗證網絡與運維安全管控系統(tǒng)間

14

GB/Txxx-xxxx

是否實現(xiàn)邏輯隔離，評估安全域訪問控制策略的應用效果；

3）使用網絡維護終端訪問運維安全管控系統(tǒng)中的設備，驗證是否有安全的訪問認證措施對

其進行限制。

預期結果：

1）IDC運維安全管控系統(tǒng)與提供服務基礎設施間采用了邏輯隔離的隔離措施；

2）網絡維護終端訪問被管理網絡設備時采取了安全措施。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡管理安全-04

測試項目：-d，IDC集中運維安全管控系統(tǒng)的網絡邊界設備應配置訪問控制策略。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡安全策略、設備配置文檔等，查看IDC運維

安全管控系統(tǒng)的網絡邊界設備訪問控制策略；

2）對IDC運維安全管控系統(tǒng)進行IP地址和端口掃描，查看掃描結果。

預期結果：

1）IDC集中運維安全管控系統(tǒng)的網絡邊界設備配置了訪問控制策略；

2）IDC集中運維安全管控系統(tǒng)只開放了有限但必須的IP地址和端口服務。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡管理安全-05

測試項目：-e，IDC集中運維安全管控系統(tǒng)網絡管理會話信息應通過加密方式傳送。

網絡設備應設置專用管理接口，對于發(fā)往管理和業(yè)務接口的報文進行嚴格過濾和限制。

測試步驟：

1）訪談網絡運維人員，查看運維安全管控系統(tǒng)設計文檔、網絡安全策略、設備管理配置記

錄等，查看IDC集中運維安全管控系統(tǒng)的管理信息控制機制；

2）檢查是否配備相應設備或進行有關配置，實現(xiàn)管理、控制信息能夠安全的分發(fā)和過濾；

3）使用流量分析儀抓取管理報文，驗證網絡管理信息是否通過加密方式傳送；

15

GB/Txxx-xxxx

4）檢查集中運維安全管控系統(tǒng)設備是否設置專用管理接口；

5）將被測設備的管理接口作為目的地址發(fā)送非管理報文，檢查管理接口針對非管理報文的

處理情況；

6）將被測設備的業(yè)務接口作為目的地址發(fā)送管理報文，檢查業(yè)務接口針對管理報文的處理

情況。

預期結果：

1）IDC集中運維安全管控系統(tǒng)的網絡管理采用了管理信息和控制信息的安全分發(fā)、過濾等

機制；

2）IDC集中運維安全管控系統(tǒng)的網絡流量管理策略為IDC相關管理信息流提供較高的優(yōu)先

級；

3）IDC集中運維安全管控系統(tǒng)網絡管理會話信息通過加密方式傳送；

4）IDC集中運維安全管控系統(tǒng)相關網絡設備均劃分專用的管理接口；

5）IDC集中運維安全管控系統(tǒng)相關設備的專用管理接口能夠對目的地址為設備本身的非管

理報文進行嚴格過濾和控制；

6）IDC集中運維安全管控系統(tǒng)相關設備的專用管理接口能夠對目的地址為業(yè)務接口的管理

報文進行嚴格過濾和控制。

判定原則：

達到以上預期結果，則通過，否則不通過。

網絡入侵防范

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡入侵防范-01

測試項目：-a，IDC面向互聯(lián)網應具備基本防護能力。

測試步驟：

1）訪談安全管理人員，查看網絡拓撲文檔、網絡安全策略等，查看IDC安全防護設備的

部署；

2）查看IDC安全防護設備的策略配置和使用日志。

預期結果：

1）IDC配備有基本的安全防護設備，具有面向互聯(lián)網的基本防護能力。所有安全防護設備

功能均符合相應的設備技術要求和設備安全技術要求。

判定原則：

達到以上預期結果，則通過，否則不通過。

16

GB/Txxx-xxxx

網絡安全監(jiān)測

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡安全監(jiān)測-01

測試項目：-a，IDC應能在互聯(lián)網接口處進行流量監(jiān)控分析。

測試步驟：

1）訪談安全管理人員，查看網絡拓撲文檔、網絡安全策略、設備配置文檔等，查看IDC

與互聯(lián)網邊界處的監(jiān)測能力部署；

2）在互聯(lián)網和IDC之間雙向發(fā)送特定流量；

3）在IDC內部測試位置接入流量分析儀，將流量采集分析結果與發(fā)送流量進行比對；

4）查看IDC與互聯(lián)網接口處的流量分析結果，與發(fā)送流量進行比對。

預期結果：

1）IDC在互聯(lián)網接口處部署有流量監(jiān)測能力；

2）IDC流量監(jiān)測系統(tǒng)能夠及時發(fā)現(xiàn)導致流量異常的安全事件。

判定原則：

達到以上預期結果，則通過，否則不通過。

網絡設備防護

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-網絡安全-網絡設備防護-01

測試項目：-a，網絡設備的安全應滿足相關設備技術規(guī)范、設備安全要求以及設備入

網管理相關要求的規(guī)定。

測試步驟：

1）訪談設備采購管理、運維和安全管理人員，查看設備入網檢測報告、設備入網證等；

2）檢查IDC相關數(shù)據(jù)網絡設備的技術規(guī)范和安全配置。

預期結果：

1）IDC涉及的所有網絡設備（如以太網交換機、具有路由功能的交換機、低端路由器、高

端路由器等設備）均有有效的設備入網證，均可支持IPv4/IPv6協(xié)議；

2）IDC涉及的所有網絡設備相關功能均符合相應的設備技術要求和設備安全技術要求；

3）IDC涉及的所有網絡設備安全基線配置符合相應的基線要求。

判定原則：

達到以上預期結果，則通過，否則不通過。

17

GB/Txxx-xxxx

7.1.2主機安全

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-主機安全-01

測試項目：7.1.2-a，通用主機設備的安全應滿足相關設備技術規(guī)范、設備安全要求。

測試步驟：

1）訪談設備采購管理、運維和安全管理人員，查看設備安全檢測報告等；

2）檢查IDC現(xiàn)網使用的通用主機設備的技術規(guī)范和安全配置。

預期結果：

1）IDC現(xiàn)網使用的通用主機設備相關功能均符合相應的設備技術要求和設備安全技術要

求。

判定原則：

達到以上預期結果，則通過，否則不通過。

7.1.3中間件安全

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-中間件安全-01

測試項目：7.1.3-a，IDC自身業(yè)務使用中間件的安全應滿足相關技術規(guī)范和安全要求。

測試步驟：

1）訪談設備運維和安全管理人員，查看中間件安全檢測報告等；

2）檢查IDC現(xiàn)網使用的通用主機設備中間件的技術規(guī)范和安全配置。

預期結果：

1）IDC現(xiàn)網使用的通用主機中間件相關功能均符合相應的技術要求和安全要求。

判定原則：

達到以上預期結果，則通過，否則不通過。

7.1.4物理環(huán)境安全

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-物理環(huán)境安全-01

測試項目：7.1.4-a，應滿足GB/T22239-2019第1級的相關要求。

18

GB/Txxx-xxxx

測試步驟：

1）訪談物理環(huán)境管理人員，查看物理環(huán)境設計文檔、管理制度、維護記錄等，查看其是否

符合中第1級的相關要求；

2）現(xiàn)場檢查IDC所處的物理環(huán)境。

預期結果：

1）IDC物理環(huán)境的安全要求符合GB/T22239-2019中第1級的相關要求。

判定原則：

達到以上預期結果，則通過，否則不通過。

7.1.5管理安全

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第1級-管理安全-01

測試項目：7.1.5-a，應滿足GB/T22239-2019中第1級的相關要求。

測試步驟：

1）訪談網絡安全管理人員，查看與網絡安全管理相關的材料等，查看其是否符合GB/T

22239-2019中第1級的相關要求。

預期結果：

1）IDC管理安全要求符合GB/T22239-2019中第1級的相關要求。

判定原則：

達到以上預期結果，則通過，否則不通過。

7.2第2級要求

7.2.1業(yè)務安全

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-業(yè)務安全-01

測試項目：7.2.1-a，應按照合同提供IDC客戶指定的安全防護資源和備份恢復技術能力。

測試步驟：

1）訪談網絡運維人員和安全管理人員，查看IDC與客戶簽訂的安全保障合同、網絡安全

設備配置文檔、運維管理制度、安全事件記錄等，查看IDC根據(jù)客戶需求實地部署的

安全防護能力；

2）使用流量發(fā)生器和滲透工具分別從互聯(lián)網和IDC內部網絡向受測IDC客戶發(fā)起特定模

擬攻擊；

19

GB/Txxx-xxxx

3）在IDC受測客戶端和IDC安全防護系統(tǒng)及設備處查看模擬攻擊效果和防護效果。

預期結果：

1）IDC按照合同要求向客戶業(yè)務提供了有效的安全防護；

2）IDC安全防護系統(tǒng)能夠發(fā)現(xiàn)并阻斷針對特定客戶業(yè)務的攻擊。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-業(yè)務安全-02

測試項目：7.2.1-b，應保證IDC關鍵網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高

峰期需要。

測試步驟：

1）訪談網絡運維人員，查看網絡設備配置文檔、故障告警記錄等，查看IDC重要設備和

部件的冗余情況；

2）在日常業(yè)務高峰期查看關鍵設備的性能狀況和運行狀態(tài)。

預期結果：

1）IDC關鍵網絡設備的業(yè)務處理能力具備冗余空間；

2）IDC的冗余處理能力滿足業(yè)務高峰期需要。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-業(yè)務安全-03

測試項目：7.2.1-c，應保證IDC與互聯(lián)網接口帶寬具備冗余空間，滿足業(yè)務高峰期需要。

測試步驟：

1）訪談網絡運維人員，查看網絡設備配置文檔、故障告警記錄等，查看IDC互聯(lián)網出口

帶寬的冗余情況；

2）在日常業(yè)務高峰期查看IDC出口網絡流量監(jiān)測狀態(tài)。

預期結果：

20

GB/Txxx-xxxx

1）IDC與互聯(lián)網間的接口帶寬具備冗余空間；

2）IDC與互聯(lián)網間的接口帶寬滿足業(yè)務高峰期需要。

判定原則：

達到以上預期結果，則通過，否則不通過。

7.2.2網絡安全

網絡結構

除按照第1級的要求進行檢測之外，還應按照本節(jié)內容進行檢測：

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-網絡安全-網絡結構安全-01

測試項目：-a，應繪制有與當前運行情況相符的網絡拓撲結構圖。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡拓撲文檔；

2）檢查和驗證網絡拓撲記錄信息是否與當前網絡節(jié)點、鏈路等資源配置和運營情況相一

致。

預期結果：

1）繪制有網絡拓撲圖（或記錄完整拓撲信息的運維文檔），且相關信息標注完整、準確；

2）網絡拓撲圖（或記錄完整拓撲信息的運維文檔）及相關信息與當前網絡節(jié)點、鏈路等資

源配置和運營情況相符合。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-網絡安全-網絡結構安全-02

測試項目：-b，網絡結構在邏輯上實現(xiàn)分層和分級，IDC內部網絡劃分應與網絡結構

和組織形式保持一致。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡設計文檔、設備運維記錄等，查看IDC內部

網的層級設計和網絡劃分方式；

2）檢查網絡及設備實際組網情況是否與設計相一致；

3）檢查IDC網絡設備配置信息是否對內部網絡進行了嚴格界定。

21

GB/Txxx-xxxx

預期結果：

1）IDC的網絡結構根據(jù)網絡運營、管理或區(qū)域等因素在邏輯上進行實現(xiàn)分層和分級；

2）IDC內部網絡劃分與網絡結構和組織形式一致。

判定原則：

達到以上預期結果，則通過，否則不通過。

網絡管理

除按照第1級的要求進行檢測之外，還應按照本節(jié)內容進行檢測：

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-網絡安全-網絡管理安全-01

測試項目：-a，通過運營企業(yè)內部網絡遠程訪問IDC中運維管理設備時，應在被訪問

的IP網絡邊界設備上啟用接入訪問控制策略。

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡設計文檔、網絡安全策略、運維管理制度、設

備配置文檔等，查看IDC內部網絡與運營企業(yè)內部網絡之間邊界處的訪問控制策略；

2）構造具有不同源IPv4/IPv6地址、端口號特征的報文流從運營企業(yè)內部網絡訪問IDC內

部不同網絡；

3）在IDC與運營企業(yè)內部網絡的邊界設備處查看訪問日志，在IDC內被訪問設備處使用

流量分析儀進行抓包分析；

4）對IDC內部系統(tǒng)進行IP地址和端口掃描，查看掃描結果。

預期結果：

1）IDC內部網絡在和運營企業(yè)內部網絡之間邊界處啟用了訪問控制策略；

2）IDC內部網絡和運營企業(yè)內部網絡之間邊界處能夠對非法訪問請求進行攔截阻斷和記

錄；

3）IDC內部網絡只開放了有限但必須的IP地址和端口服務。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-網絡安全-網絡管理安全-02

測試項目：-b，通過公共互聯(lián)網遠程訪問IDC中運維管理設備時，應使用VPN方式

訪問，在被訪問的IP網絡邊界設備上啟用接入訪問控制策略。

22

GB/Txxx-xxxx

測試步驟：

1）訪談網絡運維和安全管理人員，查看網絡設計文檔、網絡安全策略、運維管理制度、設

備配置文檔等，查看IDC內部網絡與公共互聯(lián)網之間邊界處的訪問控制策略；

2）構造具有不同源IP、端口號特征的報文流從公共互聯(lián)網訪問IDC內部不同網絡；

3）在IDC與公共互聯(lián)網的邊界設備處查看訪問日志，在IDC內被訪問設備處使用流量分

析儀進行抓包分析；

4）對IDC內部系統(tǒng)進行IP地址和端口掃描，查看掃描結果。

預期結果：

1）IDC內部網絡在和公共互聯(lián)網之間邊界處啟用了VPN和訪問控制策略；

2）IDC內部網絡和公共互聯(lián)網之間邊界處能夠對非法訪問請求進行攔截阻斷和記錄；

3）IDC內部網絡只開放了有限但必須的IP地址和端口服務。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-網絡安全-網絡管理安全-03

測試項目：-c，IDC網絡邊界隔離設備如采用Web方式配置和管理，應使用鑒別認證

措施，防止安全漏洞并做安全配置。

測試步驟：

1）訪談安全管理人員，查看邊界隔離設備配置文檔等，查看邊界隔離設備Web頁面和后

臺配置策略；

2）使用維護終端訪問邊界隔離設備，通過流量分析儀對訪問流量進行抓包和協(xié)議分析；

3）使用漏洞掃描器對隔離設備Web系統(tǒng)進行掃描；

4）檢查Web后臺管理路徑，檢查Web管理地址的允許訪問地址列表；

5）檢查Web服務器的訪問和操作權限。

預期結果：

1）IDC內Web管理界面啟用了基本的用戶名和口令認證，口令滿足中相關要求；

2）IDC內Web管理界面啟用了TLS/TLCP等鑒別和認證措施；

3）IDC內Web管理界面沒有Web組件漏洞、SQL注入攻擊、跨站腳本攻擊等可利用的漏

洞；

4）IDC內Web管理界面后臺管理路徑不使用默認或常見路徑，對訪問地址進行了限制；

23

GB/Txxx-xxxx

5）IDC內Web管理界面無訪問非授權的敏感數(shù)據(jù)情況。

判定原則：

達到以上預期結果，則通過，否則不通過。

測試編號：互聯(lián)網數(shù)據(jù)中心（IDC）-第2級-網絡安全-網絡管理安全-04

測試項目：-d，IDC集中運維安全管控系統(tǒng)網絡管理使用的協(xié)議都應支持加密和認證

算法，管理服務應能在必要情況下關閉和禁用。

測試步驟：

1）訪談網