GB/Z 32906-2016信息安全技術(shù)中小電子商務(wù)企業(yè)信息安全建設(shè)指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z32906—2016

信息安全技術(shù)

中小電子商務(wù)企業(yè)信息安全建設(shè)指南

Informationsecuritytechnology—Guideofconstructionforinformationsecurity

insmall&mediumE-commerceenterprises

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/Z32906—2016

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

結(jié)構(gòu)與模式

5………………2

應(yīng)用結(jié)構(gòu)

5.1……………2

建設(shè)模式

5.2……………3

概述

5.2.1……………3

自建模式

5.2.2………………………3

資源租用模式

5.2.3…………………3

店鋪?zhàn)庥媚Ｊ?/p>

5.2.4…………………3

建設(shè)流程

5.3……………4

安全風(fēng)險(xiǎn)

6…………………4

物理風(fēng)險(xiǎn)

6.1……………4

網(wǎng)絡(luò)風(fēng)險(xiǎn)

6.2……………4

主機(jī)風(fēng)險(xiǎn)

6.3……………4

數(shù)據(jù)風(fēng)險(xiǎn)

6.4……………4

應(yīng)用風(fēng)險(xiǎn)

6.5……………5

安全需求

7…………………5

安全設(shè)計(jì)

8…………………5

一般原則

8.1……………5

安全結(jié)構(gòu)

8.2……………5

物理安全設(shè)計(jì)要求

8.3…………………5

網(wǎng)絡(luò)安全設(shè)計(jì)要求

8.4…………………6

主機(jī)安全設(shè)計(jì)要求

8.5…………………6

數(shù)據(jù)安全設(shè)計(jì)要求

8.6…………………6

應(yīng)用安全設(shè)計(jì)要求

8.7…………………6

安全實(shí)現(xiàn)

9…………………6

物理安全實(shí)現(xiàn)

9.1………………………6

概述

9.1.1……………6

物理安全措施

9.1.2…………………7

網(wǎng)絡(luò)安全實(shí)現(xiàn)

9.2………………………7

概述

9.2.1……………7

訪問控制實(shí)現(xiàn)

9.2.2…………………7

入侵防范

9.2.3………………………7

Ⅰ

GB/Z32906—2016

網(wǎng)絡(luò)設(shè)備防護(hù)

9.2.4…………………8

安全審計(jì)

9.2.5………………………8

主機(jī)安全實(shí)現(xiàn)

9.3………………………8

概述

9.3.1……………8

單機(jī)防火墻

9.3.2……………………8

主機(jī)訪問控制

9.3.3…………………8

主機(jī)身份鑒別

9.3.4…………………8

主機(jī)入侵防范

9.3.5…………………9

主機(jī)惡意代碼防范

9.3.6……………9

主機(jī)安全審計(jì)

9.3.7…………………9

數(shù)據(jù)安全實(shí)現(xiàn)

9.4………………………9

概述

9.4.1……………9

數(shù)據(jù)完整性檢測(cè)

9.4.2………………9

數(shù)據(jù)備份系統(tǒng)

9.4.3…………………9

災(zāi)難恢復(fù)

9.4.4………………………10

應(yīng)用安全實(shí)現(xiàn)

9.5………………………10

概述

9.5.1……………10

身份鑒別安全實(shí)現(xiàn)

9.5.2……………10

交易安全實(shí)現(xiàn)

9.5.3…………………11

部署運(yùn)管

10………………11

部署安裝

10.1…………………………11

文檔評(píng)估審查

10.2……………………12

安全測(cè)試

10.3…………………………12

安全測(cè)試要求

10.3.1………………12

測(cè)試過程安全管理

10.3.2…………12

投入運(yùn)行

10.4…………………………12

安全管理

10.5…………………………12

總體要求

10.5.1……………………12

安全策略

10.5.2……………………12

機(jī)構(gòu)和人員管理

10.5.3……………12

安全管理制度

10.5.4………………12

安全跟蹤管理

10.5.5………………13

信息安全審核管理

10.5.6…………13

應(yīng)急措施管理

10.5.7………………13

運(yùn)營(yíng)風(fēng)險(xiǎn)控制管理

10.6………………13

附錄資料性附錄典型模式結(jié)構(gòu)圖

A()…………………14

附錄資料性附錄中小電子商務(wù)企業(yè)信息安全自建模式案例

B()……17

附錄資料性附錄中小電子商務(wù)企業(yè)自建或資源租用模式的項(xiàng)目開發(fā)過程安全管理案例

C()……27

參考文獻(xiàn)

……………………29

Ⅱ

GB/Z32906—2016

前言

本指導(dǎo)性技術(shù)文件按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本指導(dǎo)性技術(shù)文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本指導(dǎo)性技術(shù)文件起草單位浙江省標(biāo)準(zhǔn)化研究院阿里巴巴中國(guó)有限公司浙江工商大學(xué)浙江

:、()、、

經(jīng)濟(jì)信息中心廈門標(biāo)準(zhǔn)化研究院浙江科技學(xué)院浙江飄飄龍網(wǎng)絡(luò)科技有限公司浙江富春江通信移動(dòng)

、、、、

集團(tuán)有限公司北京天融信科技有限公司上海天泰網(wǎng)絡(luò)技術(shù)有限公司中國(guó)計(jì)量學(xué)院

、、、。

本指導(dǎo)性技術(shù)文件主要起草人李寧劉璇焦慶春顏鷹周廣平馬駿謝俊軍胡蓓姿邵俊

:、、、、、、、、、

劉若微沈錫鏞陳宇夏祖軍葉志強(qiáng)范丙華等

、、、、、。

Ⅲ

GB/Z32906—2016

信息安全技術(shù)

中小電子商務(wù)企業(yè)信息安全建設(shè)指南

1范圍

本指導(dǎo)性技術(shù)文件給出了中小電子商務(wù)企業(yè)信息安全建設(shè)結(jié)構(gòu)與模式安全風(fēng)險(xiǎn)安全需求安全

、、、

設(shè)計(jì)安全實(shí)現(xiàn)與部署運(yùn)管的指南

、。

本指導(dǎo)性技術(shù)文件適用于中小電子商務(wù)企業(yè)的信息安全建設(shè)為電子商務(wù)項(xiàng)目開發(fā)運(yùn)行維護(hù)提

,、、

供技術(shù)參考

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)安全管理要求

GB/T20269

信息安全技術(shù)公