对于《互联网数据中心和互联网接入服务信息安全管理系统技术要求》（YD/T 2248-2012）、《互联网数据中心和互联网接入服务信息安全管理系统接口规范》（YD/T 2405-2012）有关条款要求的解释说明如下。

一、解释说明

（一）YD/T 2248-2012

1.   6.1.1节：ISMS应实现基础数据信息的本地存储，应具备基础数据信息更新后自动上报的功能。

2.   6.1.1节c）款：“单位名称（或姓名）”、“单位地址及邮编”、“单位属性”中“单位”为IDC/ISP用户。

3.   6.1.1节c）款：应用服务信息记录中“服务内容”为预登记的IDC/ISP用户所提供应用服务的类型，可多选。

4.   6.1.2节：对于支持域名指向的应用服务（如：HTTP、FTP、SMTP、POP3等），ISMS应对登记接入的域名及IP地址进行监测，记录存在异常的域名或存在异常的IP地址所指向域名。

5.   6.1.2节：ISMS应实现基础数据监测信息的本地存储功能，保存时间不少于12个月。

6.   6.2节：ISMS应对IDC/ISP的上行流量（即由互联网访问IDC/ISP用户相关资源的流量）数据进行全量监测。

7.   6.2节：对于可通过传输层协议或应用层协议头信息区分会话特征的数据流量，ISMS应以会话为单位记录访问日志，记录信息至少应包括源IP、目的IP、源端口、目的端口、访问时间（起始时间），属于HTTP协议的需要留存URL；对于无法通过传输层协议或应用层协议报文头内容区分会话特征的数据流量，ISMS应以数据流为单位记录访问日志（源IP、目的IP、源端口、目的端口均相同，但包间隔大于10s数据流量应逐包记录），记录信息至少应包括源IP、目的IP、源端口、目的端口、访问时间（起始时间）。

8.   6.2节：对于采用加密方式的会话，记录的访问日志应至少包括源/目的IP，源/目的端口、访问时间。

9.   6.2节：ISMS应支持SMMS对访问日志记录内容的精确查询、检索与统计，应支持对IP地址、URL等字段的模糊查询与统计（如，以部分字符和使用通配符为条件的查询、检索）。

10. 6.2节：ISMS可对访问日志记录查询检索条件进行必要限制，建议采用“起止时间+精确源/目的IP地址”组合方式开展查询，对于起止时间建议单次查询时间跨度不大于2小时。

11. 6.3节：ISMS应对IDC/ISP网络中传输的公共信息数据进行全量监测。

12. 6.3节：ISMS应确保在信息安全管理功能的实现过程中，过滤指令的优先级高于监测指令、SMMS下发指令的优先级高于ISMS本地指令，对于同类指令可按指令下发时间顺序执行。

13. 6.3节：ISMS应至少能通过与IDC/ISP业务经营企业本地的违法网站列表、网站备案记录等数据进行比对的方式，自主实现违法违规网站发现、处置等管理功能。

14. 6.3节：违法违规网站处置记录相关“处置人账号”为下达处置指令的ISMS用户所用用户名，如系统自动处置则应记录为“ISMS”。

15. 6.3节：违法违规网站处置记录相关“处置时间”精确到日（即由ISMS上报特定违法违规网站已处置记录中“最近一次发现时间”提取的日期）。

16. 6.3节：ISMS应支持SMMS通过违法信息监测/过滤指令的方式，至少实现基于IP地址（使用特定源/目的IP的数据包或会话）、源/目的端口（使用特定源/目的端口的数据包或会话）、域名（使用特定域名的应用）、URL（使用包含特定字符串的URL所指向的资源）、关键词（页面标题和正文中含有特定明文关键词的WEB页面）规则的违法信息监测/过滤。

17. 6.3节：如单个违法信息监测/过滤指令携带多条规则（上限100条），则各规则之间为逻辑“与”关系。

18. 6.3节：ISMS应能基于特定指令，实现对TCP、UDP等类流量数据的监测，对发现的违法信息记录监测日志；至少实现对TCP类流量数据的过滤处置。

19. 6.3节：基于违法信息监测、过滤规则，如页面标题或正文含有违法信息监测/过滤的特定关键词，ISMS应记录并上报相应页面的URL、含有特定关键词的标题或含有特定关键词的正文节选（或纯文本页面快照）。

20. 6.3节：ISMS可选支持基于违法信息监测、过滤规则的代理发现与记录功能，如记录代理类型宜按照附录B.8的规定进行分类。

21. 6.3节：对于生效的违法违规网站管理指令，ISMS应实现监测、处置记录的本地存储功能，保存时间不少于12个月；对于生效的违法信息监测、过滤指令，ISMS至少应缓存有关监测、过滤记录直至完成向SMMS上报。

22. 6.4节：ISMS向SMMS传送有关数据信息所用代码见YD/T 2248-2012附录B； ISMS应支持SMMS通过代码表发布指令的方式来实现在用数据代码的更新。

23. 6.4.1节：ISMS应对SMMS下发指令及其执行状态进行有效保护，防止受到未授权的干扰与影响，且ISMS应能根据信息安全管理指令中的可读标记来实现ISMS侧全体用户对特定指令及其执行结果的读写权限控制。

24. 8.1节：访问日志记录错漏应不高于1%，访问时间记录误差不大于10s.

25. 8.1节：访问日志历史数据的查询检索速度应不低于10万条记录/s，且ISMS原则上应在接收查询指令后10min内完成全部匹配记录的上报，如上报记录总量大于1万条则应在接收查询指令后10min内至少完成前1万条匹配记录（按时间由近到远排序）的上报。

26. 8.1节：ISMS系统在所覆盖业务链路的峰值流量压力下，按5万条生效的违法信息监测规则（特定域名、特定URL、特定关键词的规则至少各1万条）对违法信息实施监测的准确率不低于95%、漏判及误判总量不高于5%；按5万条生效的违法信息过滤规则（条件同前）对违法信息实施过滤的成功比例不低于95%.

（二）YD/T 2405-2012

1.   7.4节：ISMS上报数据文件应带有。xml后缀名（如，“生成时间。xml”形式）。

2.   7.4节：数据上报文件大小的要求为单个上报数据文件必须小于12M字节，如上报数据量较大，可分拆为多个文件。

3.   7.4节：SMMS生成数据上报处理结果为UTF-8编码的纯文本文件，不带后缀名（文件名示例“上报数据类型代码-上报数据文件名-处理结果代码”）。

4.   7.4节：ISMS应在完成上报数据文件传送后及时获取SMMS对相应上报数据的处理结果，SMMS处理时长不超过10分钟（如遇极端情况，SMMS应在10分钟内通过代码“999”的处理结果文件告知ISMS相应上报数据仍在处理过程中）。

5.   8章、9章、11章：如无特殊说明各接口方法参数、各消息节点的长度单位均为字节。

6.   8.1.3节、8.2.3节：“idcId”参数长度大18为字节。

7.   8.1.3节、8.2.3节、8.3.1节：ISMS至少应支持采用CBC模式、PKCS7Padding补码方式实现AES加密算法，并可根据SMMS的要求设置AES密钥长度、加密偏移量等参数。

8.   8.1.4节、8.2.4节、8.3.2节：ISMS指令文件认证和处理过程中哈希计算结果应采用十六进制字符串（英文字母小写）。

9.   10.8节：ISMS可选实现基于关键词的附件标题、附件正文违法信息监测与过滤功能。

10. 11.3节：ISMS仅更新经营者基本信息时，表18“updateData”节点为选填。

11. 11.7节：SMMS应通过“管理指令文件序号”（表36“commandFileId”节点）和管理指令ID（表37“commandId”）对特定信息安全管理指令进行修改或撤销。

12. 11.7节：如信息安全管理指令包含“生效范围”（表37 “range”节点），则“IDC/ISP经营者ID”（表37“idcId”子节点）应与调用idc_command（）方法时“idcId”参数（表3）一致内容（即每次调用idc_command（）方法只发送指令到同一个IDC/ISP经营者）。

二、勘误

（一）YD/T 2405-2012

1.   7.4节：有关上报数据的类型共计七种。

2.   8.2.3节：有关idc_commandack（ ）方法共使用八个参数。

3.   11.12节：有关接入方式代码信息子节点（表43）为“jrfsXx”。

IDC/ISP业务评测政策解读：http://www.idcquan.com/Special/idcpolicy/