全网唯一标准王
ICS 33.030 CCS L78 中华人民共和国 通信行业标准 YD/T XXXXX —XXXX 电信网的互联网业务系统 防撞库技术要求 Technical requirements against account credential enumeration attack for Internet service system of telecommunication network (报批稿 ) XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布YDXX/T XXXXX—XXXX I 目次 前言 .................................................................................. II 1 范围 ................................................................................. 1 2 术语和定义 ........................................................................... 1 3 缩略语 ............................................................................... 1 4 总述 ................................................................................. 1 5 电信网的互联网业务系统防撞库安全防护框架 ............................................. 2 6 业务平台层技术要求 ................................................................... 2 6.1 注册接口安全设计 ................................................................. 3 6.2 找回口令接口安全设计 ............................................................. 3 6.3 登录接口安全设计 ................................................................. 3 6.4 登录口令安全策略 ................................................................. 3 7 业务模块层技术要求 ................................................................... 4 7.1 验证码识别模块 ................................................................... 4 7.2 异常模式限制模块 ................................................................. 5 7.3 数据分析模块 ..................................................................... 7 8 业务防御层技术要求 ................................................................... 8 8.1 锁定IP地址 ...................................................................... 8 8.2 策略优化 ......................................................................... 8 8.3 分级服务 ......................................................................... 8 8.4 应急响应 ......................................................................... 8 8.5 风险预警 ......................................................................... 8 8.6 用户提醒 ......................................................................... 8 XX/T XXXXX—XXXX II 前  言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 :中国移动通信集团有限公司、中国移动通信集团设计院有限公司、中国联合网络 通信集团有限公司、中国电信集团有限公司。 本文件主要起草人 :邱勤、张峰、杜雪涛、刘利军、常玲、赵蓓、张晨、薛姗、张琳、洪东、董航、 万莉莉、宋国栋、夏俊杰、高枫、汪来富。 XX/T XXXXX—XXXX 1 电信网的互联网业务系统防撞库技术要求 1 范围 本文件规定了电信网的互联网业务系统防撞库安全防护框架和具体安全技术要求, 主要包括 :注册 接口安全设计 、找回口令接口安全设计 、登录接口安全设计 、登录口令安全策略 、验证码识别 、异常模 式限制、数据分析、用户提醒、风险预警等相关技术要求。 本文件适用于所有向用户提供账号、密码登录机制的电信运营商互联网业务系统 。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1  撞库攻击 account credential enumeration attack 攻击者通过收集互联网上已泄露的用户名和密码信息 ,生成对应的字典表 ,尝试批量登陆其他网站 后,得到一系列可以登录的用户账号信息。 4 缩略语 下列缩略语适用于本 文件。 HTTPS:超文本传输安全协议( Hyper Text Transfer Protocol Secure) IMEI:移动设备国际身份码( International Mobile Equipment Identity) IP:因特网协议( Internet Protocol) MAC:介质访问控制( Media Access Control) OCR:光学字符识别( Optical Character Recognition ) URL:统一资源定位符( Uniform Resource Locator) 5 总述 XX/T XXXXX—XXXX 2 撞库攻击的攻击者在互联网上收集到足够的原始用户数据后 ,对收集到的数据进行挖掘整理 ,选择 可用部分再借助相关软件,对业务系统进行攻击。攻击方式包括但不限于以下三种: a) 攻击者使用在互联网上收集到的大量账号数据,对电信运营商业务系统进行批量尝试登录; b) 由于电信运营商业务系统通常使用手机号码作为账户名 ,攻击者使用某些简单密码 ,对某个号 段进行批量尝试登录; c) 电信运营商业务系统通常会设置初始密码 ,攻击者获取某些业务系统初始密码后 ,对某个号段 进行批量尝试登录。 在尝试登录的过程中 ,可以通过注册接口返回信息 、登录接口返回信息或者找回口令接口返回信息 等判断用户名是否存在 。由此分析得出 ,撞库攻击涉及到互联网业务系统的注册 、找回口令 、登录、人 机识别等方面,可针对以上各方面采取相应的安全防护措施。 6 电信网的互联网业务系统防撞库安全防护框架 电信网的互联网业务系统防撞库安全防护框架包括三部分 ,即业务平台层 、业务模块层和业务防御 层,如图 1所示。其中业务平台层包括注册接口安全设计、找回口令接口安全设计、登录接口安全设计 和登录口令安全策略 。业务模块层包括验证码识别模块 、异常模式限制模块和数据分析模块 。业务防御 层包括锁定 IP地址、策略优化、分级服务、应急响应、风险预警和用户提醒。 业务 防御 层 业务 平台 层安 全 防 护 框 架封IP地址 策略优化 分级服务 应急响应 风险预警 用户提醒 注册接口安全设计找回口令接口 安全设计登录接口安全设计 登录口令安全策略业务 模块 层验证码识别模块 短信验证码图形验证码异常模式限制模块 异地登录行为 限制异常登录行为 限制 设备信息分析数据分析模块 态势感知离线分析 风险评估XX/T XXXXX

.pdf文档 YD-T 4206-2023 电信网的互联网业务系统防撞库技术要求

文档预览
中文文档 12 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
YD-T 4206-2023 电信网的互联网业务系统防撞库技术要求 第 1 页 YD-T 4206-2023 电信网的互联网业务系统防撞库技术要求 第 2 页 YD-T 4206-2023 电信网的互联网业务系统防撞库技术要求 第 3 页
下载文档到电脑,方便使用
本文档由 人生无常 于 2025-07-27 15:57:22上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。