GB/T 35281-2017信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T35281—2017

信息安全技術(shù)移動互聯(lián)網(wǎng)

應(yīng)用服務(wù)器安全技術(shù)要求

Informationsecuritytechnology—

Securitytechniquerequirementsforapplicationserversinmobileinternet

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T35281—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語

3、………………………1

資產(chǎn)分類

4…………………2

設(shè)備資產(chǎn)

4.1……………2

系統(tǒng)資產(chǎn)

4.2……………2

業(yè)務(wù)資產(chǎn)

4.3……………2

用戶數(shù)據(jù)資產(chǎn)

4.4………………………2

安全框架

5…………………3

數(shù)據(jù)安全

6…………………3

數(shù)據(jù)自身安全

6.1………………………3

數(shù)據(jù)防護安全

6.2………………………3

業(yè)務(wù)安全

7…………………4

業(yè)務(wù)安全構(gòu)成

7.1………………………4

一般業(yè)務(wù)安全

7.2………………………4

特定業(yè)務(wù)安全

7.3………………………4

系統(tǒng)安全

8…………………5

操作系統(tǒng)安全

8.1………………………5

中間件安全

8.2…………………………5

數(shù)據(jù)庫安全

8.3…………………………6

設(shè)備安全

9…………………6

協(xié)議安全

10…………………6

標(biāo)準(zhǔn)協(xié)議安全

10.1………………………6

私有協(xié)議安全

10.2………………………6

運維安全

11…………………6

安全配置

11.1……………6

安全監(jiān)控

11.2……………6

安全審計

11.3……………7

惡意代碼防護

11.4………………………7

備份與故障恢復(fù)

11.5……………………7

附錄資料性附錄安全風(fēng)險分析

A()……………………8

參考文獻

……………………10

GB/T35281—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國信息通信研究院浙江螞蟻小微金融服務(wù)集團股份有限公司中國移動通信

:、、

集團公司中國電信股份有限公司廣東研究院北京郵電大學(xué)

、、。

本標(biāo)準(zhǔn)主要起草人潘娟寧華陳泓汲劉陶翟世俊落紅衛(wèi)張濱金華敏徐國愛邱勤

:、、、、、、、、、。

Ⅰ

GB/T35281—2017

引言

移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器承載著各類移動應(yīng)用業(yè)務(wù)涉及眾多有價值的敏感信息資源因此易成為被

,,

攻擊的目標(biāo)隨著移動互聯(lián)網(wǎng)應(yīng)用對在線服務(wù)的依賴程度逐漸加深應(yīng)用服務(wù)器的重要程度也與日俱

。,

增如果其中存在安全問題輕則致使大量用戶無法正常使用移動互聯(lián)網(wǎng)應(yīng)用提供的各類業(yè)務(wù)重則可

,,,

能導(dǎo)致用戶信息遭到大規(guī)模泄露等安全風(fēng)險

。

本標(biāo)準(zhǔn)主要針對移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器提出安全技術(shù)要求通過規(guī)范應(yīng)用服務(wù)器安全實現(xiàn)和運維

,,

強化服務(wù)器端技術(shù)和管理安全水平完善整個移動互聯(lián)網(wǎng)的安全架構(gòu)確保用戶權(quán)益不受損害維護產(chǎn)

,,,

業(yè)有序健康發(fā)展

。

Ⅱ

GB/T35281—2017

信息安全技術(shù)移動互聯(lián)網(wǎng)

應(yīng)用服務(wù)器安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器的安全技術(shù)要求包括數(shù)據(jù)安全業(yè)務(wù)安全系統(tǒng)安全設(shè)備安

,、、、

全協(xié)議安全和運維安全等

、。

本標(biāo)準(zhǔn)適用于支持承載各類移動互聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)的計算機系統(tǒng)可用于指導(dǎo)移動互聯(lián)網(wǎng)應(yīng)用服務(wù)

,

器開發(fā)部署管理運維和測試評估也適用于相關(guān)產(chǎn)品的測試和服務(wù)等

、、,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T20271—2006

信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T20272—2006

信息安全技術(shù)服務(wù)器安全技術(shù)要求

GB/T21028—2007

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)云計算服務(wù)安全能力要求

GB/T31168—2014

中國金融移動支付應(yīng)用安全規(guī)范

JR/T0095—2012

3術(shù)語和定義縮略語

、

31術(shù)語和定義

.

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

311

..

移動互聯(lián)網(wǎng)mobileinternet

用戶使用移動終端