3.9　安　全

3.9.1　IDC应在合理的安全成本基础上，保护IDC的信息资产，实现IDC网络运行安全和业务安全，保证各类设备的正常运行，并应根据安全策略控制出入网络的信息流，保障网络的运营维护管理安全。

3.9.2　IDC应对整个系统进行安全域划分，各个安全域应根据安全需求确定不同的安全级别、制定不同的安全策略。

3.9.3　IDC采用安全技术措施应符合下列规定：

1　IDC的IT设备应进行安全加固。

2　IDC应能防范DDoS攻击，R3级和R2级IDC宜在IDC出入口部署异常流量检测和清洗设备。

3　IDC应配置恶意代码、病毒防范系统，实现对IDC自有设备进行统一管理，并应具备对有需求的用户设备进行恶意代码、病毒防范管理的能力。

4　IDC宜配置网页防篡改系统，实现防范服务器上的网站页面被非法篡改，并应在页面遭受非法篡改后能够自动屏蔽非法网页以及进行页面的自动恢复。

5　IDC运维管理层和被管系统的接口处宜配置安全控制网关，宜实现基于用户名、用户域名的网络权限精确管理，宜实现用户访问日志的记录、支持多种口令的认证，宜实现用户终端审计和用户行为审计。

6　IDC应提供安全可靠的VPN接入手段。

7　IDC提供虚拟机服务时，应实现虚拟机的安全管控。

8　IDC提供多租户应用服务时，应实现应用隔离。

9　IDC业务系统宜采用多因素、动态口令认证方式实现用户访问业务的认证与授权。

10　IDC应保障数据安全，宜实现数据安全隔离、数据访问控制、数据加密存储和加密传输、数据备份与恢复、进行剩余信息保护。

3.9.4　IDC应设置安全管理系统或与经营者的其他安全管理系统合设实现安全管理功能，并应具备向用户提供安全防护类附加业务的能力，按本规范第3.9.3条规定配置的安全设备宜纳入IDC安全管理系统进行集中、统一管理。

3.9.5　IDC实现信息安全管理功能应包括下列内容：

1　IDC基础数据信息安全管理功能，实现对IDC机房信息、IDC互联网出入口信息、IP地址段信息、IDC用户信息和应用服务信息的管理。

2　IP地址异常监测功能。

3　访问日志管理功能。

4　网站管理功能。

5　有害信息监测发现、过滤功能。

6　信息安全管理接口功能。