GB/T 35284-2017信息安全技術(shù)網(wǎng)站身份和系統(tǒng)安全要求與評(píng)估方法

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T35284—2017

信息安全技術(shù)

網(wǎng)站身份和系統(tǒng)安全要求與評(píng)估方法

Informationsecuritytechnology—

Requirementsandassessmentmethodsforwebsiteidentityandsystemsecurity

2017-12-29發(fā)布2018-07-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T35284—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………1

概述

5………………………2

網(wǎng)站基本級(jí)要求

6…………………………2

身份要求

6.1……………2

系統(tǒng)安全要求

6.2………………………3

網(wǎng)站增強(qiáng)級(jí)要求

7…………………………5

身份要求

7.1……………5

系統(tǒng)安全要求

7.2………………………5

網(wǎng)站基本級(jí)評(píng)估方法

8……………………7

身份真實(shí)性評(píng)估

8.1……………………7

系統(tǒng)安全評(píng)估

8.2………………………8

網(wǎng)站增強(qiáng)級(jí)評(píng)估方法

9……………………11

身份真實(shí)性評(píng)估

9.1……………………11

系統(tǒng)安全評(píng)估

9.2………………………12

評(píng)估結(jié)果展示

10…………………………16

評(píng)估結(jié)果撤銷(xiāo)

11…………………………16

附錄資料性附錄評(píng)估流程示例

A()……………………17

參考文獻(xiàn)

……………………18

GB/T35284—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北龍中網(wǎng)北京科技有限責(zé)任公司上海憑安網(wǎng)絡(luò)

:、()、

科技有限公司北京奇虎科技有限公司北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司北京數(shù)字認(rèn)證股份有限

、、、

公司陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心中國(guó)信息安全認(rèn)證中心

、、。

本標(biāo)準(zhǔn)主要起草人許東陽(yáng)劉賢剛范科峰葉潤(rùn)國(guó)上官曉麗毛偉楊茂江石曉虹郝萱

:、、、、、、、、、

傅大鵬楊帆王楠張斌

、、、。

Ⅰ

GB/T35284—2017

引言

互聯(lián)網(wǎng)應(yīng)用的迅速普及各種網(wǎng)站得到快速發(fā)展但由此產(chǎn)生的網(wǎng)站信任問(wèn)題也逐漸突出和嚴(yán)重

,,。

大量的假冒網(wǎng)站和釣魚(yú)網(wǎng)站的出現(xiàn)已嚴(yán)重影響了我國(guó)網(wǎng)站的健康發(fā)展很多的網(wǎng)民被假冒網(wǎng)站和釣魚(yú)

,

網(wǎng)站欺詐過(guò)每年造成巨大的經(jīng)濟(jì)損失這引發(fā)了互聯(lián)網(wǎng)的誠(chéng)信危機(jī)也對(duì)社會(huì)和經(jīng)濟(jì)的發(fā)展造成了一

,,,

定負(fù)面的影響

。

本標(biāo)準(zhǔn)從網(wǎng)站身份和系統(tǒng)安全兩個(gè)方面提出要求與評(píng)估方法使得網(wǎng)站標(biāo)識(shí)頒發(fā)機(jī)構(gòu)可以評(píng)估網(wǎng)

,

站的身份真實(shí)性與系統(tǒng)安全互聯(lián)網(wǎng)各終端軟件廠商瀏覽器搜索引擎微博安全軟件和即時(shí)通訊軟

,(、、、

件等可查詢(xún)網(wǎng)站標(biāo)識(shí)頒發(fā)機(jī)構(gòu)驗(yàn)證的標(biāo)識(shí)信息并以適當(dāng)?shù)姆绞秸故窘o網(wǎng)民以實(shí)現(xiàn)對(duì)網(wǎng)民上網(wǎng)行為

),,

的保護(hù)幫助網(wǎng)民有效甄別真假網(wǎng)站凈化網(wǎng)絡(luò)環(huán)境

,,。

Ⅱ

GB/T35284—2017

信息安全技術(shù)

網(wǎng)站身份和系統(tǒng)安全要求與評(píng)估方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)站身份和系統(tǒng)安全要求與評(píng)估方法包括網(wǎng)站基本級(jí)要求網(wǎng)站增強(qiáng)級(jí)要求評(píng)估

,、、

方法評(píng)估結(jié)果展示和撤銷(xiāo)等內(nèi)容

、。

本標(biāo)準(zhǔn)適用于我國(guó)合法接入的互聯(lián)網(wǎng)網(wǎng)站也可為網(wǎng)站的開(kāi)發(fā)運(yùn)維及評(píng)估等提供參考

,、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求

GB/T21052—2007

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

網(wǎng)站系統(tǒng)websitesystem

網(wǎng)站及支撐其運(yùn)行的物理環(huán)境網(wǎng)絡(luò)環(huán)境服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等

、、。

32

.

交易類(lèi)網(wǎng)站transactionalwebsite

以產(chǎn)品的網(wǎng)絡(luò)銷(xiāo)售為核心目的與盈利模式的網(wǎng)站涉及支付交易等行為如網(wǎng)絡(luò)商店網(wǎng)絡(luò)商