GB/Z 32906-2016信息安全技術中小電子商務企業(yè)信息安全建設指南

ICS35040

L80.

中華人民共和國國家標準化指導性技術文件

GB/Z32906—2016

信息安全技術

中小電子商務企業(yè)信息安全建設指南

Informationsecuritytechnology—Guideofconstructionforinformationsecurity

insmall&mediumE-commerceenterprises

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/Z32906—2016

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

結構與模式

5………………2

應用結構

5.1……………2

建設模式

5.2……………3

概述

5.2.1……………3

自建模式

5.2.2………………………3

資源租用模式

5.2.3…………………3

店鋪租用模式

5.2.4…………………3

建設流程

5.3……………4

安全風險

6…………………4

物理風險

6.1……………4

網(wǎng)絡風險

6.2……………4

主機風險

6.3……………4

數(shù)據(jù)風險

6.4……………4

應用風險

6.5……………5

安全需求

7…………………5

安全設計

8…………………5

一般原則

8.1……………5

安全結構

8.2……………5

物理安全設計要求

8.3…………………5

網(wǎng)絡安全設計要求

8.4…………………6

主機安全設計要求

8.5…………………6

數(shù)據(jù)安全設計要求

8.6…………………6

應用安全設計要求

8.7…………………6

安全實現(xiàn)

9…………………6

物理安全實現(xiàn)

9.1………………………6

概述

9.1.1……………6

物理安全措施

9.1.2…………………7

網(wǎng)絡安全實現(xiàn)

9.2………………………7

概述

9.2.1……………7

訪問控制實現(xiàn)

9.2.2…………………7

入侵防范

9.2.3………………………7

Ⅰ

GB/Z32906—2016

網(wǎng)絡設備防護

9.2.4…………………8

安全審計

9.2.5………………………8

主機安全實現(xiàn)

9.3………………………8

概述

9.3.1……………8

單機防火墻

9.3.2……………………8

主機訪問控制

9.3.3…………………8

主機身份鑒別

9.3.4…………………8

主機入侵防范

9.3.5…………………9

主機惡意代碼防范

9.3.6……………9

主機安全審計

9.3.7…………………9

數(shù)據(jù)安全實現(xiàn)

9.4………………………9

概述

9.4.1……………9

數(shù)據(jù)完整性檢測

9.4.2………………9

數(shù)據(jù)備份系統(tǒng)

9.4.3…………………9

災難恢復

9.4.4………………………10

應用安全實現(xiàn)

9.5………………………10

概述

9.5.1……………10

身份鑒別安全實現(xiàn)

9.5.2……………10

交易安全實現(xiàn)

9.5.3…………………11

部署運管

10………………11

部署安裝

10.1…………………………11

文檔評估審查

10.2……………………12

安全測試

10.3…………………………12

安全測試要求

10.3.1………………12

測試過程安全管理

10.3.2…………12

投入運行

10.4…………………………12

安全管理

10.5…………………………12

總體要求

10.5.1……………………12

安全策略

10.5.2……………………12

機構和人員管理

10.5.3……………12

安全管理制度

10.5.4………………12

安全跟蹤管理

10.5.5………………13

信息安全審核管理

10.5.6…………13

應急措施管理

10.5.7………………13

運營風險控制管理

10.6………………13

附錄資料性附錄典型模式結構圖

A()…………………14

附錄資料性附錄中小電子商務企業(yè)信息安全自建模式案例

B()……17

附錄資料性附錄中小電子商務企業(yè)自建或資源租用模式的項目開發(fā)過程安全管理案例

C()……27

參考文獻

……………………29

Ⅱ

GB/Z32906—2016

前言

本指導性技術文件按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本指導性技術文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本指導性技術文件起草單位浙江省標準化研究院阿里巴巴中國有限公司浙江工商大學浙江

:、()、、

經(jīng)濟信息中心廈門標準化研究院浙江科技學院浙江飄飄龍網(wǎng)絡科技有限公司浙江富春江通信移動

、、、、

集團有限公司北京天融信科技有限公司上海天泰網(wǎng)絡技術有限公司中國計量學院

、、、。

本指導性技術文件主要起草人李寧劉璇焦慶春顏鷹周廣平馬駿謝俊軍胡蓓姿邵俊

:、、、、、、、、、

劉若微沈錫鏞陳宇夏祖軍葉志強范丙華等

、、、、、。

Ⅲ

GB/Z32906—2016

信息安全技術

中小電子商務企業(yè)信息安全建設指南

1范圍

本指導性技術文件給出了中小電子商務企業(yè)信息安全建設結構與模式安全風險安全需求安全

、、、

設計安全實現(xiàn)與部署運管的指南

、。

本指導性技術文件適用于中小電子商務企業(yè)的信息安全建設為電子商務項目開發(fā)運行維護提

,、、

供技術參考

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息系統(tǒng)安全管理要求

GB/T20269

信息安全技術公