GBZ 32906-2016 信息安全技术 中小电子商务企业信息安全建设指南.docx

ICS35.040

L80

中华人民共和国国家标准化指导性技术文件GB/Z32906—2016

信息安全技术

中小电子商务企业信息安全建设指南

Informationsecuritytechnology—GuideofconstructionforinformationsecurityinsmallmediumE-commerceenterprises

2016-08-29发布

2017-03-01实施

中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会

发布

I

GB/Z32906—2016

目次

前言 Ⅲ

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5结构与模式 2

5.1应用结构 2

5.2建设模式 3

5.2.1概述 3

5.2.2自建模式 3

5.2.3资源租用模式 3

5.2.4店铺租用模式 3

5.3建设流程 4

6安全风险 4

6.1物理风险 4

6.2网络风险 4

6.3主机风险 4

6.4数据风险 4

6.5应用风险 5

7安全需求 5

8安全设计 5

8.1一般原则 5

8.2安全结构 5

8.3物理安全设计要求 5

8.4网络安全设计要求 6

8.5主机安全设计要求 6

8.6数据安全设计要求 6

8.7应用安全设计要求 6

9安全实现 6

9.1物理安全实现 6

9.1.1概述 6

9.1.2物理安全措施 7

9.2网络安全实现 7

9.2.1概述 7

9.2.2访问控制实现 7

9.2.3入侵防范 7

Ⅱ

GB/Z32906—2016

9.2.4网络设备防护 8

9.2.5安全审计 8

9.3主机安全实现 8

9.3.1概述 8

9.3.2单机防火墙 8

9.3.3主机访问控制 8

9.3.4主机身份鉴别 8

9.3.5主机入侵防范 9

9.3.6主机恶意代码防范 9

9.3.7主机安全审计 9

9.4数据安全实现 9

9.4.1概述 9

9.4.2数据完整性检测 9

9.4.3数据备份系统 9

9.4.4灾难恢复 10

9.5应用安全实现 10

9.5.1概述 10

9.5.2身份鉴别安全实现 10

9.5.3交易安全实现 11

10部署运管 11

10.1部署安装 11

10.2文档评估审查 12

10.3安全测试 12

10.3.1安全测试要求 12

10.3.2测试过程安全管理 12

10.4投入运行 12

10.5安全管理 12

10.5.1总体要求 12

10.5.2安全策略 12

10.5.3机构和人员管理 12

10.5.4安全管理制度 12

10.5.5安全跟踪管理 13

10.5.6信息安全审核管理 13

10.5.7应急措施管理 13

10.6运营风险控制管理 13

附录A(资料性附录)典型模式结构图 14

附录B(资料性附录)中小电子商务企业信息安全自建模式案例 17

附录C(资料性附录)中小电子商务企业自建或资源租用模式的项目开发过程安全管理案例 27

参考文献 29

Ⅲ

GB/Z32906—2016

前言

本指导性技术文件按照GB/T1.1—2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本指导性技术文件由全国信息安全标准化技术委员会