信息安全技術 中小企業(yè)電子商務信息安全建設指南-編制說明

PAGE4PAGE1.項目背景當前，全球商業(yè)活動日趨電子化、網(wǎng)絡化。這種基于網(wǎng)絡的新型商務模式具有效率高、成本低、不受限等種種優(yōu)勢，也不斷改變著企業(yè)經(jīng)營模式與管理理念，被稱為21世紀最具活力的經(jīng)濟增長點，眾所周知的亞馬遜、阿里巴巴等電子商務網(wǎng)站就是其中的典型代表。另一方面，電子商務的重要特征就是在線信息化，這勢必涉及到信息的傳輸與獲取，隨之而來的各類信息安全問題及其隱患就層出不窮，常常會遭遇信息被截獲、篡改、偽造等各類安全威脅，從而帶來重大商業(yè)乃至聲譽損失。因此，安全是電子商務不可或缺的基礎性條件，是否能有效地防范風險、規(guī)避攻擊、提升保障質(zhì)量將成為制約電子商務快速、健康發(fā)展迫切而緊要的問題。本標準研制的目的就是為推進在我國電子商務中的應用，特別是中小企業(yè)電子商務的應用，指導電子商務信息安全建設，為電子商務的持續(xù)發(fā)展提供支撐。（1）企業(yè)特別是中小企業(yè)的技術、管理等人員對電子商務信息安全建設理解不一，建設程度也參差不齊，留下了許多安全隱患。電子商務安全問題不僅僅局限于互聯(lián)網(wǎng)及平臺自身，在平臺的規(guī)劃與設計方面也存在較多安全隱患。當前，相關管理與軟件設計等人員技術水平及整體素質(zhì)參差不齊，導致企業(yè)在電子商務的規(guī)劃與設計階段就很少關注安全問題，未及時進行安全自我檢查及代碼程序檢查，這就給網(wǎng)站運行造成嚴重的安全漏洞，引發(fā)大量信息安全問題。項目的研制將為相關人員提供技術和管理參考。（2）有效提升全國中小電子商務企業(yè)信息安全水平，為電子商務的深入發(fā)展提供安全保障。目前我國電子商務安全問題比較突出。據(jù)調(diào)查統(tǒng)計，電子商務企業(yè)受到木馬、病毒、蠕蟲、網(wǎng)絡釣魚、分布式拒絕服務攻擊(DDOS)等攻擊也較為普遍，其中有86%的企業(yè)受到木馬植入，57%的企業(yè)受到病毒攻擊，35%的企業(yè)受到DDOS攻擊。電子商務安全問題不僅僅局限于互聯(lián)網(wǎng)及平臺方面，在平臺設計方面也存在較多安全隱患。為此，項目的研制將結(jié)合電子商務企業(yè)信息安全建設中的實際問題，切實為企業(yè)提供指導，有效提升全國同類企業(yè)信息安全水平，為電子商務的深入發(fā)展提供安全保障。2.標準制定工作概況2.1任務來源根據(jù)浙江省經(jīng)濟與信息化委員會提出的國家標準制定項目建議，全國信息安全標準化技術委員會2011年11月30日印發(fā)《關于通報全國信息安全標準化技術委員會2011年信息安全標準項目的通知(信安秘字[2011]046號)》，下達了《中小企業(yè)電子商務信息安全建設指南》國家標準的起草制定任務。2.2標準起草單位和起草人《中小企業(yè)電子商務信息安全建設指南》由浙江省標準化研究院、阿里巴巴（中國）有限公司、浙江工商大學等共同起草，主要起草人員為：。2.3主要工作過程為使本標準的制定符合國家標準的編寫要求，其內(nèi)容準確、合理與切合實際，且在運行過程中具有可控制、可操作。在制定標準時力求科學性、可操作性，以科學、謹慎態(tài)度，充分參考相關標準，在對中小電子商務企業(yè)作相關調(diào)查研究和聽取有關人員及業(yè)內(nèi)人士意見的基礎上，結(jié)合我國中小企業(yè)電子商務信息安全建設實際現(xiàn)狀，經(jīng)過調(diào)查匯總、綜合分析、充分驗證資料、多次討論研究和反復修改，最終確定本標準的主要內(nèi)容和完成編制《中小企業(yè)電子商務信息安全建設指南》的起草工作。具體過程如下：1）接到標準制定任務后，任務歸口部門浙江省經(jīng)濟與信息化委員會立即向本標準提出單位浙江省標準化研究院制定任務，并向社會公開征集參與起草單位。來自電子商務企業(yè)、院校等10余為專家代表組成了起草小組。參照GB/T20269《信息安全技術信息系統(tǒng)安全管理要求》、GB/T20271《信息安全技術信息系統(tǒng)通用安全技術要求》等標準性文件，同時查閱了國內(nèi)國際等相關文獻資料，結(jié)合我國電子商務企業(yè)的實際情況，起草了本標準的討論稿。2）2012年2月，項目組召開會議，會議對標準的框架、范圍、主要內(nèi)容等進行了討論，并明確了小組成員的分工。3）隨后小組成員分頭收集了關于電子商務信息技術安全、管理安全、應用安全要求及電子商務企業(yè)對信息安全需求等，并對標準草案進行了多次修改。4）2012年5月，召開了專家研討會，對草案進行了修改，上報全國信息安全標準化技術委員會。5）2012年9月，標準起草小組第三次會議在杭州召開，經(jīng)過討論，起草小組成員對《中小企業(yè)電子商務信息安全建設指南》討論稿的總體結(jié)構(gòu)進行了修改并達成一致，對部分術語、技術內(nèi)容的表述等做了修改。6）2012年10月，為了解現(xiàn)中小企業(yè)電子商務信息安全實際情況，開展部分中小企業(yè)電子商務信息安全的調(diào)查研究，同時征集部分企業(yè)意見。7）2012年11月，標準起草小組匯總整理了部分返回單位的意見后，在杭州召開了第四次會議，對部分內(nèi)容進行調(diào)整，補充了附錄，完成文本上報全國信息安全標準化技術委員會。8）2013年5月，全國信息安全標準化技術委員會第五工作組（TC260/WG5）于在杭州市組織召開了國家標準《中小企業(yè)電子商務信息安全建設指南》（草案）審查會，聽取了標準起草單位浙江省標準化研究院關于標準的編制說明和文本介紹，經(jīng)質(zhì)詢與討論，專家組一致同意該標準草案通過審查。編制組根據(jù)專家意見修改完善。3．標準編制原則和標準主要內(nèi)容3.1標準編制原則制訂《中小企業(yè)電子商務信息安全建設指南》國家標準以科學、客觀、合理、適用為原則，通過本標準提出中小企業(yè)電子商務安全威脅、需求與建設基本原則，安全建設總體框架，安全技術要求，業(yè)務應用安全，管理安全，電子商務信息安全建設，電子商務安全管理建設等方面的要求主要依據(jù)現(xiàn)行相關國家標準、法規(guī)文件，并考慮中小電子商務企業(yè)信息安全的實際情況而定。3.2確定主要內(nèi)容的依據(jù)及說明本標準遵循GB/T1.1-2000《標準化工作導則》的規(guī)定，具體內(nèi)容主要包括以下幾個部分：3.2.1范圍本指導性技術文件確立中小企業(yè)電子商務信息安全建設總體架構(gòu)，為中小企業(yè)電子商務信息安全建設所涉及的信息安全技術、信息安全管理、信息安全的業(yè)務應用等方面安全要求的實施提供指導。本指導性技術文件適用于企業(yè)或個人開展中小企業(yè)電子商務信息安全建設工作，為電子商務管理人員、工程技術人員等相關人員進行信息安全建設提供管理和技術參考。3.2.2規(guī)范性引用文件本章內(nèi)容列出了該標準制定過程中采用參考的標準。3.2.3術語與定義本章內(nèi)容給出了電子商務和信息安全等定義，幫助標準使用者對該標準的理解。3.2.4縮略語本章內(nèi)容列出了該標準中使用的縮略語。3.2.5中小企業(yè)電子商務安全威脅、需求與建設基本原則本章內(nèi)容給出了電子商務安全威脅、需求與建設基本原則主要依據(jù)標準編制組調(diào)研企業(yè)實際情況而確定。3.2.6中小企業(yè)電子商務分類與分域控制要求本章內(nèi)容給出了平臺模式和店鋪模式網(wǎng)絡結(jié)構(gòu)，電子商務系統(tǒng)信息分類、應用分類與防護、分域控制策略等要求。3.2.7中小企業(yè)電子商務信息安全支撐平臺本章內(nèi)容給出了安全支撐平臺各個部分的要求，包括系統(tǒng)安全管理、運營風險控制認證體系、安全互聯(lián)與邊界防護、主機安全、局域網(wǎng)安全和應用安全。3.2.8電子商務信息安全建設本章內(nèi)容給出了信息安全建設流程，并提出各部分要求。3.2.9附錄附錄A為典型模式網(wǎng)絡結(jié)構(gòu)圖，附錄B為電子商務信息安全建設案例，附錄C為電子商務項目開發(fā)過程安全管理案例4．效果預測本標準的發(fā)布，可以指導企業(yè)開展中小企業(yè)電子商務信息安全建設工作，提供詳細的操作細則和建議，非常符合當前電子商務信息安全的實際需要，為電子商務的持續(xù)發(fā)展提供支撐。5.國內(nèi)外現(xiàn)行相關法律、法規(guī)和標準情況5.1目前國內(nèi)尚無電子商務信息安全建設方面的相關法律、法規(guī)和標準。5.2國外相關法律、法規(guī)和標準未能查閱到。5.3該標準為首次制定，與有關法律、法規(guī)和強制性標準協(xié)調(diào)一致。6.重大意見分岐的處理結(jié)果和依據(jù)該標準制訂過程中，未出現(xiàn)重大意見分歧。7．廢止現(xiàn)行有關標準的建議該標準制訂實施后，無需廢止其它標準。8．標準實施的理由本標準重在指導建議，提供中小電子商務企業(yè)參考和借鑒，因此，不涉及具體的安全技術指標，