《[公共安全标准]-GA 612-2006 互联网信息服务系统 安全保护技术措施 通讯标准.pdf》由会员分享,可在线阅读,更多相关《[公共安全标准]-GA 612-2006 互联网信息服务系统 安全保护技术措施 通讯标准.pdf(5页珍藏版)》请在三一文库上搜索。
1、I CS 3 5 . 0 2 0 A 9 0 6: 中华人 民共和 国公 共安全行 业标准 GA 61 2 - 2 0 0 6 互联网信息服务系统 安全保护技术措施通讯标准 I n f o r m a t i o n s e r v i c e s y s t e m o f i n t e r n e t - S e c u r i t y p r o t e c t i o n t e c h n o l o g y c o n t r o l s -S t a n d a r d o f c o mm u n i c a t i o n 2 0 0 6 - 0 4 - 2 7 发布2 0
2、 0 6 - 0 6 - 0 1 实施 中华人民共和国公安部发 布 GA 61 2 - 2 0 0 6 目 U青 本标准4 . 4 . 3 , 4 . 6 . 3为推荐性条款, 其他为强制性条款。 G A 6 1 2 -2 0 0 6为 互联网信息服务系统安全保护技术措施 系列标准之一, 该系列标准的结构 如下 : 互联网信息服务系统安全保护技术措施信息代码; 互联网信息服务系统安全保护技术措施数据格式; 互联网信息服务系统安全保护技术措施技术要求; 互联网信息服务系统安全保护技术措施通讯标准。 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标
3、准起草单位: 公安部计算机信息系统安全产品质量监督检验中心。 本标准主要起草人: 顾健、 沈亮、 蔡林、 林燕飞、 齐昆、 孔令伯、 管海星、 傅明德、 高鑫、 娄晓晨、 王国庆。 GA 61 2 - 2 0 0 6 互联网信息服务 系统 安全保护技术措施通讯标准 范 围 本标准规定互联网信息服务单位与报警处置部门进行数据交换时, 使用的互联网通信协议和接 口 要求。 本标准适用于互联网信息服务系统, 其他提供互联网信息服务的系统类型可参照本标准执行。 2规范性 引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件, 其随后所有 的修改单( 不包括勘误的内容) 或
4、修订版均不适用于本标准, 然而, 鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注 日 期的引用文件, 其最新版本适用于本标准 G B 2 3 1 2 -1 9 8 0 信息交换用汉字编码字符集 基本集 G B 1 8 0 3 0 -2 0 0 。 信息技术信息交换用汉字编码字符集基本集的扩充 G A 6 0 9 -2 0 0 6 互联网信息服务系统安全保护技术措施信息代码 GA 6 1 0 -2 0 0 6 TF联 网信点服各系统安 令误 护林犬措旅数抿格式 术语和定 义 G A 6 0 9 -2 0 0 6 确立的以及下列的术语和定义适用于本标准。 4 通信技术规范
5、 4 . 1 协议名称 互联网信息服务单位与报警处置部门应基于T C P / I P协议进行互联网通信。 4 . 2应用接 口 互联网信息服务单位与报警处置部门的通信接 口应按 We b S e r v i c e 标准相互提供服务, 接口定义 包括函数名称、 调用参数、 返回结果。 4 . 3 访问方式 a ) 互联网信息服务单位应能与报警处置部门相互鉴别建立安全数据通道。例如: 通过协商密钥 建立 S S I加密通道进行通讯; b ) 报警处置部门应能向互联网信息服务单位下发审计策略和远程查询指令例如: 在报警处置 部门同互联网信息服务单位建立了安全通道的前提下, 默认由报警处置部门下发审
6、计策略, 即 要求互联网信息服务单位执行此审计策略, 进行相应的审计部署, 实现即时上传报警或本地留 存信息报警。远程查询指令默认由互联网信息服务单位提供接口和指令集, 由报警处置部门 通过安全通道进行远程数据获取; c ) 互联网信息服务单位应能够向报警处置部门提交符合规则要求的实时上报报警数据( 即即时 上报信息) , 也能按查询( 此查询可以通过远程查询或本地数据查询实现) 要求提供上报报警数 据和日常日志数据。 4 . 4安全保护 4 . 4 . 1 W e b S e rv i c e We b S e r v i c e 是一个开放标准, 为避免同时调用数过多以及恶意的攻击, 导致
7、管理端系统拥塞, 互 GA 61 2 - 2 0 0 6 联网信息服务单位应有防护机制, 确保在本机硬件条件和网络带宽限制下, 对同一客户端只接受不超过 一定数量的同时请求。在大量请求甚至恶意攻击情况下, 有技术手段防范出现系统崩溃或者全面停止 响应的情况。 4 . 4 . 2网络通讯 应能利用 H T T P S和F T P S协议, 确保连接过程中的进行 S S L安全通信连接 4 . 4 . 3 网络地址 报警处置系统应具有真实固定的互联网网络地址, 互联网信息服务单位宜拥有真实固定的互联网 网络地址 互联网信息服务单位安全保护技术措施与报警处置部门联网时, 都应对对方网络地址进行合法性
8、 检查, 只接受指定网络地址的连接。 4 . 5 数据标准 数据在本地存储时所有字符采用 G B 2 3 1 2 -1 9 8 。中规定的字符, GB 2 3 1 2 -1 9 8 。中没有规定的字 符, 采用GB 1 8 0 3 0 -2 0 0 0 的扩充格式。参与交互的数据应采用X ML标准描述, UT F - 8编码。 4 . 6 通信机制 4 . 6 . 1 We b S e rvi c e工作模式 客户端, 取得服务端的服务描述文件 WS D I , 解析该文件的内容, 了解服务端的服务信息, 以及调 用方式。根据需要, 生成恰当的S O AP请求消息( 指定调用的方法, 已经调用
9、的参数) , 发往服务端。等 待服务端返回的S O AP回应消息, 解析得到返回值。 服务端, 生成服务描述文件, 以供客户端获取。接收客户端发来的S O A P请求消息, 解析其中的方 法调用和参数格式。根据W S D L和WS MI的描述完成指定功能, 并把返回值放人 S O AP回应消息返 回给用户 。 4 . 6 . 2 即时上报 4 . 6 . 2 . 1 少数据里 本项传送方式适用于互联网信息服务单位安全保护技术措施上传给报警处置部门双方协商好的固 定条数的记录, 如图 1 所示。如需传送的记录条数大于双方协商好的固定条数, 则分批传送。 数 据 上 报 W e b s e rv
10、ic e 请求 ) 返 回状 态 图 1 少数据f的传输 4 . 6 . 2 . 2 大数据f 本项传送方式适用于互联网信息服务单位安全保护技术措施向报警处置部门传送完整文件的情 况, 如图 2 所示。文件按照 GA 6 1 0 -2 0 0 6中文件命名格式进行编码, 同上传信息中的上传内容、 用户 活动内容、 电子邮件内容、 电子邮件附件内容和原始电子邮件所记录的文件名称一致。互联网信息服务 单位安全保护技术措施向报警处置部门传送记录之后, 可以通过 F T P S途径传送完整的文件。然后报 警处置部门可以通过记录中的文件名称找到相应的完整文件。 z GA 6 1 2 - 2 0 0 6
11、傲 据 上 报 W e b S e rv ic e 请求) 返 回 状 态 F T P S 上报数据 图 2 大数据f的传输 4 . 6 . 3 指令下达 本项传送方式适用于报警处置部门向互联网信息服务单位下达策略指令文件的情况, 如图 3 所示。 文件按照 G A 6 1 0 -2 0 0 6中4 . 1 . 3审计策略文件命名格式进行编码。报警处置部门向互联网信息服务 单位发送指令下达消息之后, 可以通过 F TP S途径传送完整的策略文件, 然后互联网信息服务单位向报 警处置部门返回策略接收的状态。 W e b S e rv ice请 求 指 令 下 达 返 回 状 态 返 回 状 态 T P S 传送黄略文件 图 3指令下达