中华人民共和国国家标准标准化指导性技术文件

GB/Z—2013中小企业电子商务信息安全建设指南GuideofimplementationforE-commerceinformationsecurityinsmall&mediumenterprises(征求意见稿)XXXX-XX-XX发布XXXX-XX-XX实施ICS35.
240.
60L67目次前言III引言IV1范围12规范性引用文件13术语与定义14缩略语25中小企业电子商务安全威胁、需求与建设基本原则25.
1安全威胁25.
2安全需求35.
3信息安全建设基本原则36中小企业电子商务分类与分域控制要求36.
1模式分类及其网络结构36.
2信息分类及防护46.
3应用分类及防护46.
4系统分域控制47中小企业电子商务信息安全支撑平台57.
1中小企业电子商务安全支撑平台结构57.
2安全管理57.
3运营风险控制管理67.
4认证体系77.
5安全互联与边界防护87.
6主机安全97.
7局域网安全107.
8应用安全118电子商务信息安全建设128.
1电子商务信息安全建设流程128.
2风险评估128.
3需求分析128.
4方案设计138.
5测试138.
6系统安装调试138.
7正式运行13附录A(资料性附录)典型模式网络结构图14附录B(资料性附录)电子商务企业信息安全建设案例16附录C(资料性附录)电子商务开发项目发过程安全管理案例25参考文献27前言本指导性技术文件按照GB/T1.
1-2009给出的规则起草.
本指导性技术文件由浙江省经济与信息化委员会提出.
本指导性技术文件由全国信息安全标准化技术委员会归口.
本指导性技术文件主要起草单位:浙江省标准化研究院、引言全球商业活动日趋电子化、网络化.
这种基于网络的新型商务模式具有效率高、成本低、不受限等种种优势,也不断改变着企业经营模式与管理理念,被称为21世纪最具活力的经济增长点.
电子商务的重要特征就是在线信息化,势必涉及到信息的传输与获取,这样,随之而来的各类信息安全问题及其隐患就层出不穷,常常会遭遇信息被截获、篡改、伪造等各类安全威胁,从而带来重大商业乃至声誉损失.
如何有效地防范风险、提升保障质量已成为制约电子商务快速、健康发展迫切而紧要的问题.

为推进在我国电子商务中的应用,特别是中小企业电子商务的应用,指导电子商务信息安全建设,特制定本指导性技术文件.
本指导性技术文件确立了中小企业电子商务信息安全建设架构,为中小企业电子商务信息安全建设所涉及的信息安全技术、信息安全业务应用、信息安全管理等方面安全要求的实施提供指导.

本指导性技术文件适用于企业或个人开展中小企业电子商务信息安全工作,为电子商务管理人员、工程技术人员等相关人员进行信息安全建设提供管理和技术参考.

中小企业电子商务信息安全建设指南范围本指导性技术文件给出了中小企业典型模式网络模式分类,电子商务信息分类与分域控制要求,为中小企业电子商务信息安全建设所涉及的信息安全技术、信息安全管理、运营风险控制等方面安全要求的实施提供指导.

本指导性技术文件适用于中小企业的电子商务信息安全建设工作,为电子商务管理人员、工程技术人员等相关人员进行信息安全建设提供管理和技术参考.

规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.

GB/T20269信息安全技术信息系统安全管理要求GB/T20275信息安全技术入侵检测系统技术要求和测试评价方法GB/T20281信息安全技术防火墙技术要求和测试评价方法GB/T20945信息安全技术信息系统安全审计产品技术要求和测试评价方法GB/T25068信息技术安全技术IT网络安全术语与定义下列术语和定义适用于本指导性技术文件.
中小企业smallandmediumenterprise中小企业划分为中型、小型、微型三种类型,具体标准根据企业从业人员、营业收入、资产总额等指标,结合行业特点制定.

[符合工业和信息化部、国家统计局、国家发展计划委员会、财政部在2011年共同颁布的《中小企业划型标准规定》中规定的企业.
]电子商务electroniccommerce以电子形式进行的商务活动.
它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方式实现标准化的非结构化或结构化的业务信息的共享,以管理和执行商业、行政和消费活动中的交易.

[GB/T18811-2002,定义3.
31]信息安全informationsecurity保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性.

[GB/T22081-2008,定义2.
5]分域控制controlbydifferencerealms将基于电子商务商务系统划分为前端数据处理区域、后端数据处理区域、服务平台安全管理区、办公数据处理区和办公网安全管理区,制定安全策略,提供基于安全域的接入控制、域间信息安全交换等安全机制.

缩略语下列缩略语适用于本指导性技术文件.
CA证书认证机构(CertificateAuthority)CRL证书吊销列表(CertificateRevocationList)DDoS分布式拒绝服务(DistributedDenialofservice)DTS解码时间戳(DecodeTimeStamp)HTTP超文本传输协议(HyperTextTransferProtocol)IDC互联网数据中心(InternetDataCenter)PKI公钥基础设施(PublicKeyInfrastructure)SSH完全外壳协议(SecureShell)VPN虚拟专用网络(VirtualPrivateNetwork)中小企业电子商务安全威胁、需求与建设基本原则安全威胁账户安全账户安全是电子商务信息安全的基础,账户安全威胁主要来源于账户被盗与垃圾注册,包括但不限于:账户被盗.
欺诈分子会利用钓鱼网站、用户会话截取等方式去获得用户的账户信息,从事一些损害其他用户(如:恶意转账、骚扰其他用户)、或者损害网站本身(如:发违禁信息、或者骚扰网站客服人员)的恶意活动.

垃圾注册.
一些欺诈分子或者组织,通过注册大量垃圾账号,以便进一步通过恶意评价来要挟商家.

交易安全在电子商务交易过程中发生的安全威胁主要包括恶意评价、交易欺诈、不良信息发布等,包括但不限于:交易欺诈.
通过业务漏洞,发布虚假商品等手段,骗取货款或者商品,严重影响到正常用户网上购物信心.

不良信息和商品的发布.
通过发布假冒伪劣商品、"违禁"信息破坏了电子商务网络环境.

恶意评价.
通过恶意评价来要挟商家,敲诈金钱,破坏评价信用体系.
网络安全电子商务是构建在互联网上的交易平台,同样面临着DDoS、端口扫描、密码暴力破解、网站后门等网络安全威胁,包括但不限于:DDoS攻击.
在电子商务的环境下攻击者通过大量、恶意的访问商家网站地址、图片链接等目标,耗尽商家电子商务系统的资源导致其无法处理用户的正常访问请求,甚至在一定时间内导致商家的电子商务对外服务中断.

端口扫描.
攻击者在互联网上对电子商务网站的端口进行扫描,为其进一步入侵做准备.

密码暴力破解.
密码暴力破解对电子商务网站的危害很大,如果被破解成功,会窃取网站管理员权限,从而危害电子商务网站及用户信息和权益.

电子商务网站后门.
网站后门是植入网站的一段代码,通常隐蔽性较好,较难被实时发现,植入后门的网站会被窃取网站信息,甚至丢失网站控制权,同时会侵害网站用户的隐私信息,给网站造成不可挽回的损失.

业务中断威胁在电子商务领域还面临着特有的业务高弹性变化威胁,由于业务发展过快或网上促销活动等原因,电子商务企业会面临着大量客户访问超出现有系统设计容量的局面,而中小企业受限于资金规模导致其无力建设后备系统用于满足无法预测的业务访问量,最终影响电子商务网站对外提供服务的连续性.

安全需求在中小企业开展电子商务信息安全建设过程中,其信息安全需求主要包括:需要实现电子商务过程中涉及的商业信息不被泄漏,确保信息机密性.
需要实现中小企业电子交易信息的完整性.
需要实现不可抵赖性,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识.

需要实现对人或实体的认证性.
需要实现为用户提供稳定的服务.
信息安全建设基本原则信息安全建设工作应遵循:涉及国家秘密信息的保护应遵循国家涉密信息保护的相关规定.
满足用户及应用环境对信息系统提出的安全性要求.
具有良好的可操作性,便于实施.
中小企业电子商务分类与分域控制要求模式分类及其网络结构中小企业电子商务系统建设模式主要分为平台模式和店铺模式.
平台模式是中小企业依托运营商和IDC提供的网络基础服务,自主建设电子商务服务平台为互联网用户提供电子商务服务,和承担电子商务服务平台的信息安全建设与管理的建设模式,网络结构见附录A.

店铺模式是中小企业通过租赁方式在电商平台上开设网店的建设模式,网络结构见附录A.

信息分类及防护电子商务系统中信息分为公开信息和内部信息.
公开信息.
电子商务服务平台上可向用户开放的信息.
内部信息.
内部信息是只被企业员工访问的信息,包括企业的商业秘密、用户注册的个人隐私信息等;内部信息也应该采用受控访问,根据权限授权企业员工访问,并受监控与审计,以防止信息泄露与越权使用.

应用分类及防护电子商务系统应用主要分为电子商务服务与企业办公应用.
电子商务服务.
面向互联网用户提供信息发布、交易、互动交流等服务;安全防护的重点应放在信息的可用性、完整性和不可抵赖性方面.

企业办公应用.
企业内部的业务流程与管理,包括企业的账务系统、ERP系统以及办公管理、文件数据共享等,安全防护的重点主要包括对企业员工的身份鉴别、企业内部信息资源的授权访问和数据传输保护等方面.

系统分域控制安全域划分电子商务安全域划分如图1所示.
电子商务安全域划分前端数据处理区.
与互联网用户交互的区域,用来承载用户信息发布、用户商品管理、用户注册、交易信息等公开信息的电子商务应用系统及其数据库,此区域可根据互联网用户登录授权后发布和修改其相应的信息内容等.

后端数据处理区.
仅允许授权员工访问的区域,用来承载电子商务平台各种管理应用系统及其数据库,如商品管理系统、用户管理系统等.

服务平台安全管理区.
面向安全管理人员的区域,为电子商务服务平台安全运行提供统一的资源管理、用户权限管理、认证管理等.

办公数据处理区.
企业员工办公网区域,主要提供文件共享、人事系统、财务系统等办公管理需求及其数据库.

办公网安全管理区.
安全管理员访问的区域,提供员工权限管理、系统安全服务、网络安全管理服务等的区域.

分域控制策略电子商务信息安全分域控制策略如下:前端数据处理区允许互联网用户授权访问;后端数据处理区仅允许员工授权访问;服务平台安全管理区与办公网安全管理区只面向安全管理人员访问;办公数据处理区允许企业员工访问;各安全域进行数据交换时,应通过域控制设备,制订访问控制策略,防止非授权访问.

中小企业电子商务信息安全支撑平台中小企业电子商务安全支撑平台结构电子商务安全支撑平台是电子商务系统运行的安全保障.
电子商务安全支撑平台依托认证体系所提供的认证服务,通过防火墙、VPN技术等安全技术,实现安全互联与边界防护、主机安全、局域网安全、应用安全、系统安全管理和运营风险控制.
电子商务安全支撑平台结构如图2所示.

中小企业电子商务安全支撑平台结构安全管理概述应满足相关标准,遵照GB/T22081、GB/T20269的相关要求.
安全策略满足下面基本要求:管理层制定清晰的策略方向,策略文档应说明管理承诺,并提出管理信息安全的途径.

对涉及整个电子商务安全系统安全的关键策略要由管理层批准,进行统一管理,同时建立策略变更审批制度.

在整个组织中颁发和维护信息安全策略.
机构和人员管理满足下面基本要求:应严格选拔网上交易人员,落实工作责任制.
应建立信息安全专职管理队伍,配备足够的安全管理人员.
信息安全管理人员需经过安全培训才能上岗.

应实施信息安全意识的培训教育和安全技术培训.
安全管理制度应建立信息系统网络、系统、应用等各层面的安全管理制度,实现对信息系统规划、建设、运行、维护各个阶段的安全管理;开发与运营独立管理,应严格执行日常的实时管理和定期管理工作.

网络系统的日常维护制度.
硬件的日常管理和维护,包括网络设备、服务器和客户机、通信线路等;软件的日常管理和维护,包括支撑软件、应用软件等.

病毒防范制度.
给计算机安装防病毒软件,认真执行病毒定期清理制度,控制权限,高度警惕网络陷阱等.

安全跟踪管理应建立网络交易系统日志机制,用来记录系统运行的全过程.
包括建立安全保护技术措施,保留用户注册信息以及修改历史记录,保留用户登录(登录时间、登录IP)、信息发布等日志信息,保留交易列表、交互信息及交互对象用户列表等.

信息安全审核管理应有信息审核制度,对在所提供服务范围内的用户发布的信息进行逐条审核,实行先审后发等措施.
包括:经常对系统日志的检查、审核,及时发现系统故意入侵行为的记录和对系统安全功能违反的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志.

应急措施管理系统运行可能会因为自然或人为的原因遭破坏,应制订相应问题处理的应急方案,主要包括系统备份和系统恢复以及法律证据收集等.
系统应定期对数据进行完全备份,定期建立包括应用系统以及操作系统等在内的完整镜像,同时还应定期对数据做增量备份.
具体可参照附录C.

运营风险控制管理风险系统应建立风险控制中心,对于交易欺诈、盗号等行为宜采取但不限于以下措施:建立监控平台,针对交易中的异常行为加以分析判断,并做相应处理;建立配置平台,针对策略所需要的配置参数进行修改;建立风险控制措施体系,组建风险控制团队,收集有效数据分析后作出针对性的策略并开发完成上线;建立用户行为分析系统,对正常用户的使用行为、非法用户的行为进行分析,以模块配置进行筛选并处理;搭建风险数据库,收集非法用户使用过注册信息,登陆信息等黑名单数据,以供预控系统判断;建立洗钱、反套现风控体系,对于违反交易规则及国家法律法规的情况加以制止;建立案例数据库,对于已经发生的欺诈行为进行分析,将有效数据整理录入数据库内,以便以后查询和宣传.

交易欺诈行为管理平台模式的中小企业在开展电子商务时,应注意网络交易欺诈行为的管理,包括但不限于:建立网络欺诈举报平台并能及时向有关部门反映,能针对用户操作进行管理控制;建立黑名单数据系统,并纳入应用系统对交易欺诈行为进行监控拦截.
隐私保护平台模式的中小企业在开展电子商务时,对用户信息的使用应制订相应规范,其保护规定包括但不限于:保护注册用户的个人隐私与通讯信息;应明确告之用户获取用户数据的方式和内容;应明确告之用户获取数据的用途;用户对自己的隐私数据有可操作权限.
认证体系概述认证体系主要是为互联用户及企业员工提供数据证书等认证服务,是电子商务信息安全的基础设施.
店铺模式的中小企业用户直接采用电子商务平台服务商提供的认证系统,平台模式的中小企业电子商务建设可采用第三方CA认证机构,也可自建认证系统,认证体系的建设可参考相应国家、国际标准.

数字签名技术保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性.
基本要求如下:由签名者随信息发出,与信息不可分离.
签名随信息内容改变而不同,可确认信息自发出至接收未做过任何修改.

不可假冒、不可篡改、不可抵赖.
电子签名相关法律仲裁的依据.
数字时间戳技术提供对电子文件发表、签订的时间内容的安全保护,成为文件是否符合交易时间要求的有效凭证.
基本要求如下:需加时间戳的文件的摘要.
DTS收到文件的日期和时间.
DTS的数字签名.
数字证书用户的数字身份证,PKI执行机构CA所颁发的核心元素,符合X.
509标准.
基本要求如下:对申请证书用户的审核要求,及认证中心自身运转的要求等.
管理签名用户证书的密钥和其他密钥的产生、更新、备份、恢复等.
管理接收用户的证书请求,审核用户的合法身份,发放用户的数字证书,管理用户的证书等.

黑名单管理,包括注销用户的数字证书,定期产生黑名单,发布黑名单.
目录管理,目录服务器设置、证书、CRL等的更新等.
电子商务数字认证授权机构CA提供身份验证的第三方机构,由一个或多个用户信任的组织实体构成,实现电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全.

安全互联与边界防护安全互联与边界防护主要是实现各安全域之间、各平台之间、通过互联网连接的区域之间的边界防护,为互联网用户安全接入服务平台、企业员工远程接入提供访问控制.

平台模式电子商务用户安全防护要求防火墙防火墙技术可遵照GB/T20281的相应要求,中小企业电子商务满足如下基本要求:包过滤.
应支持基于IP地址的访问控制、端口的访问控制、协议类型的访问控制.

应用代理.
应至少支持HTTP、FTP、POP3、SMTP等协议的应用代理.
流量统计.
根据IP地址、协议、时间等参数对流量进行统计.
安全审计.
具有完整的日志记录和良好的日志分析能力.
分域控制.
用于各安全域之间进行访问控制时,可参照6.
4分域控制机制配置.

数据加密技术采用数据加密技术可遵照GB/T22081相应要求,中小企业电子商务满足如下基本要求:基于风险评估,确定需要的保护级别,考虑需要的加密算法的类型、强度和质量.

通过可移动或可拆卸的介质、设备或通信线路传输敏感信息.
密钥管理方法,包括应对密钥保护的方法,以及在密钥丢失、损害或毁坏后加密信息的恢复方法.

VPN技术VPN技术可遵照GB/T25068.
1和GB/T25068.
5的相应要求,中小企业电子商务满足如下基本要求:互联安全.
为电子商务各安全域之间远程连接建立安全通道提供保证,实现数据传输的机密性、完整性等安全机制.

移动安全接入.
支持各种终端设备的远程安全接入.
接入控制.
支持基于用户的接入控制功能.
分域控制.
具有分域控制功能,可参照7.
3分域控制机制配置.
店铺模式安全互联与边界防护要求店铺模式单机用户,在通过互联网管理网店时,应注意的边界防护要求:连接互联网的无线路由器、网桥应采用加密连接,选择合适加密方式;开通电子商务平台服务商提供的VPN等安全服务,进行店铺数据的操作与备份.

主机安全主机安全主要是为企业办公终端、服务器主机或店铺模式的单机用户提供基于单个主机的操作安全、访问控制、传输安全、存储安全等综合安全防护措施.
具体可参照附录B.

单机防火墙功能应满足如下基本要求:实现对进出终端数据包进行安全过滤;可实现统一策略下发到终端,可启用操作系统自带防火墙功能.
主机身份鉴别应满足如下基本要求:宜设置域账号服务器对用户登陆操作进行身份标识和鉴别;宜设置VPN账号服务器对VPN用户接入身份标识和鉴别;各类服务器的所有账号均需设置口令,符合复杂度要求;应启用登录失败处理功能,设定账户锁定阀值和账户锁定时间;应采用加密传输的远程桌面管理工具管理服务器;域账号、VPN账号的设置均需要唯一性,以便追溯到用户.
主机访问控制应满足如下基本要求:应启用访问控制功能,依据安全策略控制用户对资源的访问;重新命名管理员账户.
主机安全审计应满足如下基本要求:启用主机审计功能,覆盖对账户登录事件、账户管理、目录服务访问、登录事件、对象访问、策略更改、系统事件等类型的审核记录.

定期查看和备份审计记录.
主机入侵防范操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新.

主机恶意代码防范应满足如下基本要求:应架设防病毒服务器,实时自动下载、更新防病毒软件及病毒定义;各类服务器统一安装病毒服务器的客户端程序,不得在同一服务器上安装有两种及以上防病毒客户端程序.

每台服务器开启防病毒客户端实时监控功能,定期进行计算机病毒检测,并保持防毒软件或病毒特征库的实时更新.

主机备份及恢复定时备份操作系统及数据.
局域网安全概述局域网安全主要指电子商务服务平台、企业办公平台的网络建设安全,需考虑网络的物理安全,以及采用的主要安全技术包括入侵检测、漏洞扫描、安全审计、网页保护、防病毒技术等.
具体可参照附录B.

机房物理安全办公网机房需要建设在具备基本的防震、防风、防雨能力的建筑物内;机房内应配备消防设备;机房出入口宜设置视频监控;机房内宜采用具有稳压功能的UPS,保证短期电力供应.
分域控制策略按照6.
4分域控制机制,划分网络区域;通过硬件分域控制设备对安全域配置安全访问策略;各安全域采用访问控制列表技术实现源、目的地址的端口级访问控制.

入侵检测系统入侵检测系统技术可遵照GB/T20275相应要求,中小企业电子商务满足如下基本要求:数据探测.
具有实时获取受保护网段内的数据要求;至少应监控基于IP、TCP、HTTP、POP3、FTP等协议;应监控常见如端口扫描、强力攻击、木马后门攻击等常见攻击行为;应监视整个网络或者某一特定协议、地址、端口的报文流量和文字流量.

入侵分析.
以模式匹配、协议分析、人工智能等一种或多种方式对收集的数据包进行入侵分析.

入侵响应.
当系统检测到入侵时,应自动采取屏幕实时提示、E-mail告警、声音告警等方式发出安全警告;系统在检测到网络上的非法连接时,可进行阻断.

检测结果处理.
系统应记录并保存检测到的入侵事件,能生成详尽的检测结果报告.

性能.
系统应将误报率和漏报率控制在应用许可的范围,不能对正常使用产生较大影响.

安全审计安全审计可以遵照GB/T20945的相应要求,电子商务满足如下基本要求:应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息.

网络设备防护通过控制互联网远程控制、HTTP访问、使用SSH远程控制等方式保障网络设备的安全备份及恢复定期备份网络设备的操作系统及配置.
应用安全安全套接层协议基本要求如下:数据保密性要求.
采用各种加密技术保证数据的机密性.
客户端和服务器的合法性保证要求.
在握手交换过程中做数字认证,确保用户的合法性.

维护数据完整性要求.
采用哈希函数和机密等共享的方法,在客户端与服务器之间建立安全的通道,使所有经过安全套接层协议处理的数据能完整准确地到达目的地.

安全电子交易公告采用双重签名技术,保证顾客的隐私不被侵犯.
基本要求如下:电子商务中所有参与者信息的相应隔离要求.
信息在互联网上安全传输.
防止被窃取或篡改.
解决多方认证问题.
保证所有的支付过程可在线完成.
支持不同厂家开发的软件.
数据服务外部数据接入安全基本要求如下:与外部合作方签订相关合作与安全协议;对合作方URL进行监控;接口以HTTP方式开放;设计接口有身份认证,并对来源授权;接口调用有日志记录;参数传递应做签名验证,并应有时间戳;明确用户上传的文件类型;对用户上传的图片,进行安全处理.
交易服务基本要求如下:保密性要求.
支持交易数据在传输过程或存储中不能被未授权实体获得.

完整性要求.
支持交易数据不能在未经授权的情况进行任何的更改.
不可否认性要求.
一旦成功交易、生成交易电子凭证,客户和商家事后均不能否认这个交易的存在.

可追溯性要求.
在某些情况下,如交易由于买家的违约,交易中的买家身份可以唯一被识别.

抵抗非法滥用性要求.
商家不能将从客户那里得到的信息用于其他非法目的,万一发生滥用的情况,也能很容易确定滥用者,并追究其责任.

可验证性要求.
对于有效的交易电子凭证,验证者能通过验证,确信这个凭证记载的是客户和商家均认可的交易.

Web服务基本要求如下:权限的授权要求.
支持权限拥有者把权限授权给其他实体,实体可进行一些安全操作,如网页访问、网页数据修改、删除等;保密性要求.
支持未授权用户不能访问Web服务器及客户端与服务器之间的保密信息;完整性要求.
支持Web数据在未经授权的情况下不能被删除或更改;可用性要求.
支持授权用户能在授权范围内的活动;检测性要求.
支持有能力检测发现Web漏洞.
代码规范性要求.
支持Web源代码开放经过规范约束与审计.
文件服务基本要求如下:可授权性要求.
支持每个用户根据授予的权限存取和删除自己拥有的文件;可追踪性要求.
支持每个用户都要有自己的账户,并且对特定文件夹的访问需要形成访问日至保存下来供管理员查看.

抗病毒侵扰性要求.
保证用户所存放在服务器上的文件不携带病毒或其它有危害的代码.

保密性要求.
对一些重要的私密文件,用户能进行加密处理,保证这些信息不会被别人读取.

使用空间的可控性要求.
磁盘配额能限制用户对磁盘空间的使用额度.
每个用户只能在服务器上存放一定大小的文件而不是无限大的文件,当存放到特定警戒线的时候能通知管理员.

电子商务信息安全建设电子商务信息安全建设流程电子商务信息安全建设流程可划分为6个阶段:风险评估、需求分析、方案设计、测试、系统安装调试、正式运行等.

风险评估运用风险评估方法计算企业整体的资产价值、弱点、威胁发生的机率及可能造成的影响等.
评估时应考虑下面的因素:信息安全可能造成的商业损失,并把损失的潜在后果也考虑进来.
在极为普遍的危害和采取的相应措施的作用下,故障实际发生的可能性.

需求分析在项目的计划阶段,项目需求部门应与项目建设部门共同讨论信息系统的安全需求,明确重要的安全需求点,安全需求分析应该作为项目需求分析报告的组成部分.

项目需求部门与项目建设部门应对系统进行风险分析,考虑业务处理流程中的技术控制要求、业务系统及其相关在线系统运行过程中的安全控制要求,在满足相关法律、法规、技术规范和标准等的约束下,确定系统的安全需求.

对系统安全应遵循适度保护的原则,需在满足以下基本要求的前提下,实施与业务安全等级相符合的安全机制.

通过必要的技术手段建立适当的安全管控机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、篡改和复制;实施必要的数据备份和恢复控制;实施有效的用户和密码管理,能对不同级别的用户进行有限授权,防止非法用户的侵入和破坏.

系统的安全需求及其分析要需经过项目组内部充分讨论,项目需求方和项目建设方应和对安全需求及其分析的理解达成一致.

方案设计项目建设部门应根据确定的安全需求设计系统安全技术方案,应满足以下要求:系统安全技术方案要满足所有安全需求,并且符合公安部、工信部和主管部门的法规和标准要求;系统安全技术方案应至少包括网络安全设计、操作系统和数据库安全、应用软件安全设计等部分;系统安全技术方案涉及采用的安全产品,应符合国家有关法律法规.
测试信息系统安全功能测试在信息系统测试阶段,应根据信息系统安全功能需求进行测试,确保所有设计的安全功均能得到落实和实现.
在测试报告或相关文档中应明确说明检查列表中各项安全功能的落实和实现情况.

测试过程的安全管理在信息系统开发测试过程中,对于来自业务系统的数据要根据相关规定进行变形处理,禁止在开发或测试环境中直接使用生产系统的密钥和用户密码等重要数据.
测试环境要依据相关规定进行合适的管理和安全防护,并通过相应的手段确保与生产系统、开发系统隔离.

系统安装调试在信息系统安装部署时,应采取相应措施确保系统安全功能的实现,对操作系统、数据库、应用系统等软件的安装部署和配置应该符合相应的安全规范和标准.

信息系统投产前应进行安全评估或审查,通过审查系统设计文档中的安全功能设计、系统测试文档中的安全功能测试,确保系统本身安全功能的实现.
通过审核系统安装与配置过程或文档,确保系统安全配置的落实与实现.

正式运行系统投入正式运行后,需清除系统中各种临时数据,进行管理权交接,开发方不得随意更改安全策略和系统配置.

(资料性附录)典型模式网络结构图平台模式网络结构图A.
1给出了电子商务平台模式的网络结构.
电子商务平台模式网络结构电子商务服务平台通常包括安全管理系统、前端服务系统、后端管理系统、数据库系统和负载均衡、接口安全等.

办公管理平台通常包括企业办公网、分支网络等.
店铺模式网络结构图A.
2给出了电子商务店铺模式的网络结构.
电子商务店铺模式网络结构店铺模式电子商务服务平台的信息安全建设由电商平台服务商提供.
办公管理平台由中小企业自主建设,根据中小企业的规模和实际业务需要,办公管理平台可由数台独立的能上网终端组成,也可是办公局域网.

(资料性附录)电子商务企业信息安全建设案例某电子商务企业公众服务端信息安全建设机房物理安全机房选址机房应选择具有防震、防雨和防风能力的建筑物;机房场地禁止设在在建筑物地下或顶层.
物理访问控制机房所在建筑物及机房入口均24小时专人值守;除机房管理人员外的人员来访均需机房管理员授权;来访人员均进行身份核查并登记,进出机房要机房管理员全程陪同;采用物理隔断对机房内各区域进行划分,在机房重要区域前应设置电子门禁;保留电子门禁的运行和维护记录.
防盗窃和防破坏机房所有设备均需要放置于机架上并固定,机架、设备、线缆均需标识资产标签;机房内线缆均采用下走线,用于备份的磁带、硬盘等存储介质需要分类标识并放置于专用柜中,机房内需配备防盗报警并保留运行和维护记录;机房内需要设置无盲区24小时视频监控,视频监控信息需保留3个月,视频监控信息支持实时查看,视频探头、监控记录需定期检查.

防雷击机房所在建筑物安装防雷保安器防止感应雷;机房应设置交流底线.
防火机房设置自动气体灭火装置;自动气体灭火装置具备自动检测火情和自动报警功能;机房工作间和辅助房均应采用A1、A2级别的耐火等级建筑材料;机房可采用铁笼隔离将重要设备与其他设备隔离.
防水和防潮机房房顶上、活动地板下不得有水管穿过;机房采用监控系统对温湿度进行监控和报警;机房应设置挡水和排水设施;应定期检查机房湿度并保留记录.
防静电机房采用静电地板;机房内所有机柜均应采用防静电措施.
温湿度控制机房应采用精密空调将机房温度控制在23℃±3℃,湿度40%~55%并保持空调系统7*24小时工作正常;机房维护人员每2小时巡检一次温湿度.
电力供应机房内采用具有稳压功能的UPS,UPS备用电力至少支撑2小时;机房内应设置并行电缆线路为机房供电;机房应配备柴油发电机并能在UPS电力短缺时自动切换,机房可考虑建立油库或同加油站签署供油协议;机房维护人员每2小时巡检一次供电系统.
电磁防护机房电源线和通信线缆需要隔离铺设;机房内应采用接地方式防止外界电磁干扰和设备寄生耦合干扰.
网络安全网络安全域的划分按照"公众服务端"的安全需求,可划分为互联网接入区、前端应用接入区、后端管理接入区三个安全域;安全域描述.
公众服务端网络安全域描述安全域描述互联网接入区用于外部互联网络接入前端应用接入区用于网站前台、支付系统、商品系统、业务流程管理、信息展示、安全保障系统前端等面向互联网用户的系统接入后端管理接入区用于会员管理、权限管理、系统配置系统、数据库系统、安全保障系统后端,办公管理端通过VPN接入网络结构对核心层、汇聚层网络设备考虑硬件冗余;互联网接入保证足够带宽以满足互联网用户的需求;根据各安全域内系统的重要性,采用VLAN技术划分不同的子网或网段,通过路由协议认证建立安全的访问路径;在核心层网络设备上提供带宽优先级分配,保障重要业务的带宽.
访问控制通过路由器控制互联网接入区对前端应用区、后端管理区和办公管理端的访问,核心交换机控制前端应用接入区和后端管理区之间的访问,汇聚交换机控制后端管理区内各管理系统和数据库之间的访问;各安全域采用访问控制列表技术实现源、目的地址的端口级访问控制;关闭不必要的协议端口;通过设置负载均衡设备控制网络会话数连接;建立网络流量负载检测和扩容机制;对前端应用区、后端管理区交换机配置IP、mac地址绑定;采用VPN技术提供办公管理端对后端管理区的接入.
边界完整性检查采用域控和802.
1X认证结合技术控制外部用户网络接入和网络访问去向控制;互联网接入区只允许外部访问前端应用区80和443端口,前端服务区和后端管理区采用访问控制列表的方式控制内部用户对外网的访问.

入侵防范部署网络流量侦测设备,对符合DDoS攻击行为的异常流量予以清洗或路由黑洞.

安全审计设置专用的syslog日志服务器收集和存储网络设备日志并对日志进行分析形成图表报告;设置第三方审计系统进行审计,审计记录应包括日期、时间、用户/ip、事件类型、信息描述等.

网络设备防护采用用户名+口令的方式对登录网络设备的用户进行身份鉴别;vty和consle登陆需要tacacs服务器认证;采用绑定堡垒机IP的方式限制对网络设备的登陆;登陆tacacs服务器的用户名具有唯一性;网络设备的登陆需要管理员pin码和动态令牌登陆到堡垒机;堡垒机登陆失败3次后自动锁定账户直至管理员解锁;远程登陆网络设备采用SSH加密登陆方式;网络设备的用户权限分为查看级别和配置级别.
备份及恢复网络配置发生改变立即备份到专用备份服务器;每周定期备份网络设备的操作系统及配置.
主机安全主机安全主要考虑将前端应用端和后端管理端部署在虚拟服务器下的安全性.

虚拟服务器加固定义统一虚拟服务器加固标准;制作虚拟机服务器映像时按照加固标准进行配置加固,并打上所有可用的安全补丁;持续关注安全公告,至少每月更新一次虚拟机服务器映像,以保证虚拟机服务器映像满足最新的安全要求;所有虚拟机服务器实例安装基于主机的入侵检测软件;虚拟机服务器实例默认开启自动更新,以及时获取最新的安全补丁;虚拟机服务器实例依据不用操作系统安装杀毒软件并自动更新.
虚拟机隔离虚拟机集群分为多个安全域,安全域之间使用访问控制列表进行端口级的访问控制.
同一安全域内部,虚拟机之间通过宿主机隔离,Linux虚拟机使用自带iptables进行隔离.

Hypervisor安全安装宿主机时,对宿主机操作系统以及Hypervisor进行配置加固;Hypervisor变更是否经过QA验证、安全评估;Hypervisor的操作必须通过双因素认证方式登录堡垒机后进行,操作过程必须实时审计.

虚拟机管理采用虚拟化在线管理系统对虚拟资源进行管理;虚拟化在线管理系统支持虚拟机服务器的弹性扩容;虚拟机映像文件妥善保存并加密,防止攻击者获取映像或快照.
虚拟机的迁移当虚拟机实例从一台硬件服务器转移到另外一台硬件服务器时,实时对其过程进行审计、监控和告警.
虚拟机实例迁移后,消除原有物理机上磁盘和内存数据,使得虚拟机实例无法恢复.

存储虚拟机数据的磁盘报废、送修前,所有的存储介质均必须消磁后方能进行下一步操作,从而避免数据泄露的安全风险.

主机身份鉴别采用堡垒机方式登录服务器,堡垒机支持用户名+静态密码+动态口令的方式对用户身份标识和鉴别;设置VPN账号服务器对VPN用户接入身份标识和鉴别;各类服务器的所有账号均设置口令,口令设置参考"微型管理端"中相关要求,禁用不需要的账号;启用登录失败处理功能,设定账户锁定阀值和账户锁定时间;采用加密传输的远程桌面管理工具管理服务器;各类账号的设置均是唯一性,以便追溯到用户;主机访问控制堡垒机根据每个账户需求,设定有的权限列表key,用户根据相应的权限列表key对系统资源进行访问;关闭或禁用所有系统默认账户;禁止多人共用一个账户.
主机安全审计采用实时审计功能对用户名、时间、事件、所做操作予以记录;对触发超出权限的操作予以邮件报警并通知管理员;保证审计记录无法被删除;定期查看和备份审计记录.
主机入侵防范操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新.

主机恶意代码防范架设防病毒服务器,实时自动下载、更新防病毒软件及病毒定义;各类服务器统一安装病毒服务器的客户端程序,不在同一服务器上安装有两种及以上防病毒客户端程序;每台服务器开启防病毒客户端实时监控功能,定期进行计算机病毒检测,并保持防毒软件或病毒特征库的实时更新.

主机资源控制采用第三方主机监控系统对服务器CPU、硬盘、内存、网络等资源予以监控.

主机备份及恢复支持实时备份,备份至少保留三个副本.
应用安全安全开发建立SDL(安全开发流程),参与到需求分析、产品设计、开发编码、产品测试、系统发布过程中,通过软件开发的螺旋开发模式,考虑系统安全性.

需求分析阶段:根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成《安全需求分析建议》,并与业务方、开发人员就其中建议达成共识;根据项目特征,与测试人员沟通安全测试关键点,形成《安全测试建议》.

产品设计阶段:结合《安全需求分析建议》,评审产品设计文档.
同时根据产品设计文档,对产品设计中采用的技术进行安全评估,形成《产品设计安全建议》,并与开发人员就安全建议达成共识.

开发编码阶段:开发过程中开发需要遵守各类《安全开发规范》,避免出现不安全的代码.

产品测试阶段:产品测试分为产品代码扫描、产品黑盒测试和产品手工测试三个部分.

产品白盒测试:在产品代码发布后,使用代码扫描工具,对产品代码进行白盒扫描,输出《代码扫描报告》,开发人员根据报告中的风险点进行安全加固.

产品黑盒测试:在产品代码提交后,使用黑盒扫描工具,对产品进行黑盒扫描,输出《安全测试报告》的黑盒工具扫描部分,开发人员根据报告中的风险点进行安全加固.

产品手工测试:根据《安全测试建议》,针对产品白盒测试、黑盒测试中不能覆盖点,进行手动测试.

在产品安全测试过程中出现的安全漏洞,视同产品BUG,需要开发工程师重新编码修补,并且经过重新测试认可,最终输出《安全审核报告》.

系统发布阶段:对系统发布进行严格管理,只有在经过产品测试,并且得到《安全审核报告》许可后,系统才能发布到线上环境,以防止产品携带安全漏洞在生产环境运行.

应用身份鉴别应用设计有专门的登录模块,并支持口令和用户名方式、安全控件;支持通过手机短信方式获取动态口令;具备身份标识唯一性检查功能;具备用户身份鉴别信息复杂度检查功能,口令长度要求6位,包含数字、大小写字母;不允许存在空口令帐户;若登录多次未成功,设计需要输入验证码,下次登录成功后回提示之前登录信息.

安全保障系统网页漏洞检测对网站面临的SQL注入、xss跨站脚本等各项高危安全漏洞进行检测.
网站挂马检测通过静态分析技术与虚拟机沙箱检测技术相结合,对网站进行挂马检测.

防Ddos服务部署专业防Ddos设备来抵御SYNflood拒绝服务攻击.
端口安全检测定期扫描服务器当前开放的端口,降低系统被入侵的风险.
异地登录提醒根据网站用户的登录习惯进行分析并建立模型,对异地登录提醒通过扫描访问日志实时发现异常登录行为,并以短信或邮件的方式通知用户,避免非授权登录可能造成的损害.

主机密码暴力破解防御提供密码破解防御实时发现非法入侵.
网站后门检测通过扫描访问URL实时发现网站后门,并以短信或邮件的方式通知管理员.

办公管理端信息安全建设机房物理安全办公网机房建设在具备基本的防震、防风、防雨能力的建筑物内,建筑物需要设置避雷针、机房应设置交流电源底线;机房房顶上、活动地板下不得有水管穿过;机房设置防水层防止雨水渗入,机房窗户保持关闭;机房内需要配备手动灭火器或自动气体消防设备,定期检查、维护消防器具,并保留运行记录、维护记录和报警记录;机房出入口需要设置24小时视频监控,机房设置门禁系统或上锁,非机房管理员进出机房需要机房管理员邮件审批并陪同;机房所有设备放置于机架上并固定,机架、设备、线缆标识资产标签,机房内线缆采用上走线,机房电源线和通信线缆隔离铺设,用于备份的磁带、硬盘等存储介质分类标识并放置于专用柜中,机房内设置无盲区24小时视频监控,视频监控信息保留3个月,视频探头、监控记录定期检查;机房采用自动空调或精密空调将机房温度控制在23℃±3℃,湿度40%~55%并保持空调系统7*24小时工作正常;机房采用静电地板、接地的方式防止静电;机房内采用具有稳压功能的UPS,保证短期电力供应.
网络安全网络安全域的划分按照"办公管理端"局域网的安全需求,可划分为互联网接入区、服务器接入区、办公终端接入区三个安全域;安全域描述.
办公管理端网络安全域描述安全域描述互联网接入区用于外部互联网络接入服务器接入区用于内网网站、内部公文流转平台、域控服务器、防病毒服务器、补丁管理服务器、VPN接入,仅允许内部员工访问办公终端接入区用于内部员工终端网络接入,仅允许内部员工访问网络结构对汇聚层网络设备应考虑硬件冗余;互联网接入应保证足够带宽以满足内网用户的需求;应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,采用VLAN技术划分不同的子网或网段.

入侵防范在网络出口通过设置访问控制列表和防火墙,防止外部网络攻击.
网络访问控制各安全域采用访问控制列表技术实现源、目的地址的端口级访问控制.

安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息.

网络设备防护包括:采用用户名+口令的方式对登录网络设备的用户进行身份鉴别;采用绑定网络设备管理员地址的方式对网络设备的登陆路径予以限制;登陆网络设备的用户名具有唯一性;登陆网络设备的console应配置口令,console口令及各类远程登陆口令均应满足长度8位及以上,包含字母和数字,每三个月定期修改口令;网络设备启用登录失败处理功能,设备登陆3次验证失败后自动退出;网络登录连接超时自动退出时间<5分种;远程登陆网络设备采用SSH、HTTPS等加密登陆方式.
备份及恢复每周定期备份网络设备的操作系统及配置.
主机安全主机身份鉴别设置域账号服务器对用户登陆操作进行身份标识和鉴别;设置VPN账号服务器对VPN用户接入身份标识和鉴别;各类服务器的所有账号均设置口令,口令设置参考"微型管理端"中相关要求,禁用不需要的账号;启用登录失败处理功能,设定账户锁定阀值和账户锁定时间;采用加密传输的远程桌面管理工具管理服务器;域账号、VPN账号的设置均唯一性,以便追溯到用户.
主机访问控制启用访问控制功能,依据安全策略控制用户对资源的访问,除非必需,关闭缺省共享目录;重新命名管理员账户.
主机安全审计启用主机审计功能,覆盖对账户登录事件、账户管理、目录服务访问、登录事件、对象访问、策略更改、系统事件等类型的审核记录,事件记录包含日期、时间、类型、主体标识、客体标识和结果等信息;定期查看和备份审计记录.
主机入侵防范操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新.

主机恶意代码防范架设防病毒服务器,实时自动下载、更新防病毒软件及病毒定义;各类服务器统一安装病毒服务器的客户端程序,不得在同一服务器上安装有两种及以上防病毒客户端程序;每台服务器开启防病毒客户端实时监控功能,定期进行计算机病毒检测,并保持防毒软件或病毒特征库的实时更新.

主机备份及恢复每天定时备份操作系统及数据应用安全应用身份鉴别应用设计有专门的登录模块,并支持域账号单点登录;所有帐号都有唯一的ID,均有域账号认证;应用系统需启用登录失败处理功能,登录多次未成功,能自动断开.
应用访问控制应用系统根据不同用户的角色分配相应的权限;授予不同帐户为完成各自承担任务所需的最小权限.
应用安全审计应用系统提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;应用系统审计记录保证无法删除、修改;审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等.

通信保密性采用加密技术如https保证通信过程中数据的完整性.
备份与恢复每天定时备份应用及数据.
(资料性附录)电子商务开发项目发过程安全管理案例开发人员的安全管理参加开发项目队伍人员(以下统称"开发人员")在参与重要信息系统项目开发之前,应经过严格的背景审查,并签订相关的保密协议.

加强开发人员的职业道德教育,提高开发人员的安全防范和保密意识,对开发人员进行安全防范技术和措施等方面的培训;明确开发人员在信息系统开发过程中的安全职责和对信息系统的访问权限.

严格加强对系统开发环境和开发场地的出入管理,进入开发现场应该经过必要的安全控制措施,禁止非项目组人员未经允许进入开发环境和现场,特殊情况下应该进入开发环境或现场时应获得相应的授权.

开发设备使用的安全管理做好对信息系统开发环境的安全管理,信息系统的开发环境要相对独立,开发环境应与运行环境进行分离;开发环境中的设备应该明确安全责任人,遵循"谁使用谁负责"的原则,公共用途的设备应指定安全责任人进行保管和维护;信息系统的开发环境和实施场地应当与生产环境和实施场地隔离;严格管理开发环境中的各种移动设备、个人信息处理设备,禁止未经允许的设备接入开发环境,接入开发环境的桌面设备应满足对桌面系统使用规范和防病毒系统管理规范的要求.

开发文档的安全管理信息系统开发过程中的资料、文档要按照技术档案管理的有关规定进行整理和归档;在文档的编写、整理过程中,要明确文档标准化格式规范.
对文档的修改进行记录、评估修改对文档安全的影响,并确保文档的一致性;文档中与安全相关的内容要准确、完整,并明确文档的密级以及分发范围;开发过程中的各种文档,只能在授权分发范围内流转,任何人不得以各种形式进行其非授权分发或外泄.

开发过程中软件和源代码的安全管理除因工作需要外,禁止任何人持有、复制软件源代码,禁止任何人外借或对外复制软件源代码;信息系统开发所使用的操作系统、数据库、开发工具软件等应该授权使用的软件,不使用非授权软件;应对编程语言和编程工具的使用进行培训,了解和掌握编程语言和编程工具已知的安全隐患,加强对源代码的检查,防止源代码中存在可疑程序和已知的安全隐患;信息系统所采用的关键技术措施和核心安全功能设计应严格控制发放范围,对于自行编制的加密算法应采用二次加密控制并由不同人员分别编程实现.
对于重要的秘密资源(如源程序、目标码等)应严格设置访问权限控制;对应用系统的编译过程进行严格监督,确保经正确编译的软件版本最终生成运行代码,并保证运行代码的完整性、安全性;严格控制对软件版本的管理,确保信息系统开发过程中源代码和执行代码的一致性和正确性.