事件贴图网站

ICS35.
240.
60L67备案号:DB33浙江省地方标准DB33/TXXXXX—XXXX电子商务平台安全管理规范Securitymanagementspecificationsforelectroniccommerceplatform(征求意见稿)XXXX-XX-XX发布XXXX-XX-XX实施浙江省质量技术监督局发布DB33/TXXXXX—XXXX1目次前言3引言41范围52规范性引用文件53术语和定义54基本要求75机构和人员管理75.
1安全管理机构75.
2人员管理85.
3教育和培训96安全管理工作流程96.
1工作流程四个阶段96.
2规划和建设96.
3评估与部署96.
4策略与运行96.
5审核与改进107规划和建设107.
1概述107.
2总则107.
3安全管理方案107.
4安全技术支持127.
5安全意识和培训138评估与部署138.
1概述138.
2关键过程138.
3发现和报告138.
4第一次评估和安全管理部署决策138.
5第二次评估和安全管理部署调整148.
6安全日志和变更控制149策略与运行149.
1概述149.
2安全事件管理策略制订内容159.
3策略制订原则159.
4安全情报收集15DB33/TXXXXX—XXXX29.
5应急响应机制1510审核与改进1610.
1概述1610.
2进一步的数据分析1610.
3经验教训1610.
4确定安全改进1710.
5确定方案改进1710.
6安全风险分析和管理改进17附录A(资料性附录)用户账户安全管理规定.
18附录B(资料性附录)商品与信息发布安全管理规定.
20DB33/TXXXXX—XXXX3前言本规范按照GB/T1.
1-2009给出的规则起草.
本规范的附录A、B、C为资料性附录.
本规范由浙江省商务厅提出并归口.
本规范主要起草单位:淘宝(中国)软件有限公司、阿里巴巴(中国)有限公司、浙江省标准化研究院.
DB33/TXXXXX—XXXX4引言电子商务平台是电子商务发展的载体,其信息的安全性是电子商务健康发展的基础.
电子商务发展越来越快,今后一段时期,其发展趋势,仍将以超越传统产业的速度发展,而作为电子商务的重要支撑平台,其安全保障水平已日益成为妨碍电子商务发展的最大障碍.
鉴于目前国家还没有这方面的标准,根据《商务部"十二五"电子商务发展指导意见》的精神,参考《网络交易服务规范SB/T10519-2009》、《大宗商品电子交易规范GB/T18769-2003》,结合浙江省电子商务平台建设实际,浙江省商务厅组织制定了本规范.
本规范规定了电子商务交易平台在应用安全管理中应具备的一般要求.
本规范适用于全省各地提供互联网电子商务平台服务的单位.
DB33/TXXXXX—XXXX5电子商务平台安全管理规范1范围本规范规定了电子商务交易平台在安全管理中应具备的一般要求及管理过程.
本规范适用于全省各地提供互联网电子商务平台服务的单位.
2规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/T18769大宗商品电子交易规范GB/T18811电子商务基本术语GB/T24661.
2第三方电子商务服务平台服务及服务等级划分规范SB/T10518电子商务模式规范SB/T10519网络交易服务规范3术语和定义下列术语和定义适用于本指导性技术文件.
3.
1电子商务electroniccommerce以电子形式进行的商务活动.
它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方式实现标准化的非结构化或结构化的业务信息的共享,以管理和执行商业、行政和消费活动中的交易.
3.
2信息安全informationsecurity保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等.
3.
3安全策略securitypolicy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序.
3.
4用户userDB33/TXXXXX—XXXX6使用电子商务交易平台的机构或自然人,以注册的ID与用户信息为判断依据.
3.
5商户merchants租用电子商务平台进行经营活动的法人、法人委派的行为主体、其它组织机构或自然人.
3.
6网络交易networktransaction发生在企业(或其他组织机构)之间、企业(或其他组织机构)与消费者之间、消费者之间通过网络手段缔结的商品或服务交易.
3.
7二次验证thetwovalidation在用户注册或登录后进行一些重要或敏感业务操作时,通过除密码之外的如验证码、手机短信、安全问题、数字证书等对用户进行第二次校验的方式.
3.
8实物拍摄materialobjectShoot即商户针对店铺内商品进行实物拍摄的图片.
要求能够达到多角度近距离观察的细腻真实效果,让买家对商品品质有零距离的感受.
实物拍摄图片不包括设计图片、杂志图片、官方网站图片、宣传图片及网络图片.
3.
9数字证书digitalcertificate由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件.
3.
10数字签名digitalsignature添加到消息中的数据,它允许消息的接收方验证该消息的来源.
3.
11加密encryption通过密码系统把明文变换为不可懂的形式.
3.
12安全事件securityevent电子商务安全事件,不仅包括网络上出现的攻击造成的安全事件,也包括电子商务业务应用中出现的欺诈、盗号、违禁等恶意行为.
DB33/TXXXXX—XXXX73.
13电子商务安全管理部electroniccommercesecuritymanagementdepartment在组织机构中应根据业务的规模、结构组成一个独立的负责电子商务安全管理的小组或部门,以下简称安全管理机构.
3.
14开源情报opensourceintelligence从公开可用的资源中,如极端分子的网站,收集信息,对这些信息加以分析生成情报.
3.
15计算机网络刺探computernetworkspy秘密潜入一套网络或信息系统,并获取私人信息.
4基本要求4.
1应遵守国家有关法律、行政法规及规章等相关规定.
4.
2应遵守国家制定的相关的网络技术规范和安全规范.
4.
3应遵循诚信自律的原则.
4.
4应遵循国家有关知识产权的法律法规,不应侵害他人的专利权、商标权、著作权等,并有权利和义务保护有关知识产权.
4.
5应禁止通过网络从事法律法规和国家其他相关规定禁止的违法犯罪行为,如赌博、洗钱、传销以及贩卖枪支、毒品、禁药、盗版软件、淫秽商品和服务等.
4.
6网络交易不应提供和买卖未经审批的需要相应资质的商品或服务,应禁止采用各种手段规避按照法律法规和国家其他有关规定必须具备相应资质才能开展的经营活动,如期货、烟草、石油和医药商品等.
5机构和人员管理5.
1安全管理机构5.
1.
1基本要求5.
1.
1.
1在组织机构中应根据实际的规模、结构建立一个独立的负责电子商务平台安全管理机构,以下简称安全管理机构.
5.
1.
1.
2最高管理层中应有一人分管安全管理机构的工作.
5.
1.
2安全事件应急响应小组5.
1.
2.
1安全管理机构下宜组建安全事件应急响应小组,小组成员除安全管理机构人员外,还可由来自组织不同部门(如业务运行部、质量管理部、IT部门、政府事务部、公关部等)的人员组成.
安全事件应急响应小组成员:a)指派授权代表以对如何处理事件做出立即决策;b)宜有一条独立于正常业务运行的专线用于向高级管理层报告情况;DB33/TXXXXX—XXXX8c)应确保全体成员具有较强的安全意识和必要的安全知识,核心人员具有处理安全事件相适应的专业知识与技能,并确保其安全意识、知识和技能水平可以得到保持与更新.
5.
1.
3安全管理机构的职责安全管理机构的职责包括但不限于:a)应根据国家和行业有关电子商务平台安全的政策、法律和法规,批准平台业务的安全策略和规则规划;b)应协调单位内部其它机构在平台安全工作中的职责,领导安全工作的实施;c)应监督安全措施的执行,并对重要安全事件的处理进行决策;d)指导和检查应急处理小组等下设机构的各项工作;e)建设和完善平台安全的集中控管的组织体系和管理机制.
5.
1.
4与组织内其他部门的关系5.
1.
4.
1安全管理机构的管理者及成员应具有某种等级授权.
5.
1.
4.
2根据业务的安全风险,在安全事件管理策略和方案中应详细说明安全管理机构在相应风险点部署的安全措施.
5.
1.
5与外部机构的关系安全管理机构应与公司外部机构建立沟通渠道,完善沟通机制,公司外部机构可能包括但不限于以下:a)签订合同的外部支持人员;b)外部组织的相关安全管理机构门或小组;c)执法机关;d)其他应急处理机构;e)相关的政府部门;f)公共关系官员和/或媒体记者;g)安全业务伙伴;h)用户.
5.
2人员管理5.
2.
1应配备安全管理人员,安全管理人员可由网络管理人员兼任.
5.
2.
2应登记安全管理机构成员及其备用人员的姓名和联系方式,一些必要的细节应清晰记入相关文件中,包括规程文件和报告单.
5.
2.
3应统一管理关键岗位的安全操作人员.
关键岗位的安全操作人员要求:a)允许一人多岗,但安全操作人员不宜由其他关键岗位人员兼任;b)关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识.
5.
2.
4人员录用的基本要求:a)对应聘者进行审查,确认其具有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识;b)除劳动合同外,应签订安全保密协议.
5.
2.
5定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核,可作为人员是否适合当前岗位的参考.
5.
2.
6对咨询人员、临时性的短期职位人员,以及辅助人员和外部服务人员等第三方人员的管理要求:DB33/TXXXXX—XXXX9a)签署包括不同安全责任的合同书或保密协议;b)规定各类人员的业务操作权限;c)第三方人员必须进行逻辑访问时,应划定范围并经过负责人批准.
5.
3教育和培训5.
3.
1应让电子商务平台相关员工了解电子商务平台安全的重要性,应掌握的平台安全基本知识和技能等.
5.
3.
2应制定并实施安全教育和培训计划,培养电子商务平台各类人员安全意识,并提供对安全政策和操作规程的认知教育和训练等.
6安全管理工作流程6.
1工作流程四个阶段电子商务平台安全管理实施流程可被划分为四个阶段:规划与建设;评估与部署;策略与运行;审核与改进.
图1电子商务安全管理过程图6.
2规划和建设a)制定电子商务安全管理方案;b)分析安全风险,并规划安全管理流程;c)建立业务风险评估标准,与各部门达成一致的安全保障管理流程;d)通过技术支持,选择开发或者采购相应安全产品;e)测试安全管理方案;f)对相关人员开展培训;g)为提升用户安全意识,重视安全宣传的力量,建设宣传平台及渠道.
6.
3评估与部署a)对电子商务平台进行风险分析和安全管理,更新评估方案;b)管理平台安全资源,建立与公司其它部门的安全措施部署通道,有效利用安全资源;c)对新上线功能进行评估并决定是否部署相应安全系统;d)对安全事件做出响应,调整和优化安全系统的部署.
6.
4策略与运行DB33/TXXXXX—XXXX10a)运行安全系统,监控平台安全状态;b)分析安全事件,制订实时安全防护策略;c)监测并报告安全事件;d)建立应急响应机制,处理突发安全事件.
6.
5审核与改进a)根据监测数据,审核安全系统的运行状态;b)总结经验教训,启动对安全的改进,确定安全的改进之处;c)确定电子商务安全管理方案的改进之处;d)改进安全风险分析和管理评审的结果;e)审核报告将作为安全系统规划和建设的依据,优化安全产品及策略,并持续改进电子商务安全管理方案.
7规划和建设7.
1概述要将电子商务安全管理方案投入运行使用并取得良好的效率和效果,在规划和建设阶段不应从开始就追求大而全,而应从现有平台规模与实际出发;规划与建设作为电子商务安全管理的第一阶段至关重要,为最终形成良性循环并持续改善做准备.
7.
2总则7.
2.
1电子商务安全管理在规划和建设阶段应着重于:a)建立电子商务安全管理方案,包含安全操作流程规范、安全事件定级、信息保护分级标准、安全评估标准、信息系统操作访问权限的管理规范等,以及其它相关内容并形成正式文件,并获得相关部门及管理层的承诺;b)安全技术支持:规划和开发安全信息系统;c)制定安全意识简报和培训计划、宣传计划.
7.
2.
2应制定详细的电子商务平台安全管理方案并形成正式文件.
方案中包括并不限于以下主题:a)通过风险分析,用于给安全事件定级的标准;可根据事件对组织业务运行的实际或预计负面影响的大小,将事件划分为严重和中等、轻微三个级别;b)对平台各类信息进行分类,并根据信息重要程度和可能造成的损失风险,对信息进行分级,可按照信息的重要程度,如对资金相关信息和用户个人敏感信息,对信息进行分级,并作为部署安全系统的依据之一;c)各类信息、安全系统的权限管理规范;d)带有文件化的职责的安全管理机构的运行规程,以及执行各种活动的被指定人员的角色的分配.
7.
2.
3其他a)通过技术和其他手段支持电子商务平台安全管理方案.
b)设计安全管理培训计划与安全意识宣传计划.
7.
3安全管理方案7.
3.
1方案适用人群与覆盖范围DB33/TXXXXX—XXXX11应将电子商务安全管理方案告知给组织全体员工且不限于全体员工的其它相关人员,方案应覆盖平台所有可能有安全风险的系统以及外部引发平台安全风险的相关因素.
包括但不限于:a)发现和报告安全事件,可以是组织内任何员工,包括正式员工和外包人员;b)评估、响应以及安全事件解决后必要的经验教训总结、改进、修订安全管理方案的工作中包括的成员、管理层、公关部人员和法律代表等;c)应该考虑任何平台用户,以及第三方组织、政府和合作伙伴.
7.
3.
2安全事件定义及分级依据采用对组织、信息造成的负面后果来定义安全事件,包括但不限于:a)未授权泄露信息;b)未授权修改信息;c)抵赖的信息;a)信息和/或服务不可用;b)信息和/或服务遭受破坏;通过上列分类,定义事态/事件严重性衡量尺度的细节,如严重或轻微,或重大、紧急、轻微、不要紧.
7.
3.
3安全评估价值判断与衡量尺度安全评估根据造成的负面价值判断,可采用最适合自身环境的衡量尺度.
a)信息涉及资金损失或破坏信息未授权泄露和修改、抵赖以及不可用和遭受破坏的后果,可能是资金损失,如因行动迟缓或没有行动造成网络欺诈导致用户网上资金损失等.
尤其是信息不可用或遭受破坏的后果会中断组织的服务运行.
b)商业和经济利益企业商业和经济信息必须得到保护,并估算它们对于竞争者的价值以及它们的安全受到危及时可能会给组织的商业利益带来的影响.
c)个人信息保护根据我国个人信息保护相关法律法规以及国家标准的规定,平台应对持有和处理的个人信息施以保护,以防它们被未授权泄露、使用.
平台应按相关要求,被授权采集个人信息,明确个人信息的使用范围、保障个人信息的正确性.
d)法律法规义务平台持有和处理的信息应遵从国家相关法律法规规定的义务.
可能涉及违禁、违反知识产权等信息的发布,无论有意还是无意,都有可能导致对相关组织或个人采取法律诉讼或行政处罚的行动.
e)管理和运行有的信息十分重要,它的损害可能会危害组织的有效运行.
例如,与平台商业规则变动相关的信息如果泄露的话,可能会引起公众反应,造成该规则无法实施或恶劣影响.
与财务或计算机软件相关信息的修改、抵赖或不可用也有可能对组织的运行带来严重后果.
此外,对承诺的否认也可能会对组织带来负面后果.
7.
3.
4安全管理流程要求a)规划和建设——安全管理机构下设机构团队,承担安全规划与建设职能;——收集有关风险及安全信息,制订相对应标准、流程;DB33/TXXXXX—XXXX12——使用组织内认可的评估体系,获得其它部门与管理层承诺;——取得安全技术方合作,规划相关安全系统,并开发建设;——把安全相关标准、规定以及安全产品使用等安全知识对相关人员进行培训;——建立安全宣传平台和渠道,对用户进行安全宣传,提升用户安全意识.
b)评估与部署——安全管理机构下设分支团队,承担安全评估与安全系统部署职能;——与其它部门协同,对平台新系统进行评估,以确定部署相应的安全系统,对老系统进行监控,根据实际情况调整安全系统;——按要求上报便于进一步评估和/或决策;——确保所有活动被恰当记录,以便于日后分析;——对安全风险进行分析,以确保安全系统覆盖所有的风险点.
c)策略与运行——安全管理机构下设分支团队,承担安全系统运行与实时策略配置的职能;——确定安全事件是否处于可控制状态;——重视情报的收集,为策略制订提供足够依据;——如果安全事件不在控制下,启动应急响应机制;——对突发安全事件、新安全事件、重大安全事件成立应急响应虚拟小组重点解决.
d)审核与改进——总结安全事件的经验教训并形成文件;——根据所得的经验教训,审核和确定信息安全的改进;——审核相关过程和规程在响应、评估和恢复每个安全事件时的效率,根据所总结的经验教训,确定电子商务安全管理方案在总体上需要改进的地方;——监控安全数据的异常情况,并审核其原因,形成报表,传递到相关人员,形成改进建议;——循环改进整体的安全,实施新的和/或经过改进的防护措施.
7.
3.
5权限管理要求a)应建立对访问用户信息与信息系统操作的权限管理制度,统一全平台的权限管理;b)不得非法获得权限,不得越权使用、滥用、妨碍、窃取组织及其他用户的信息;c)在安全事件管理策略和方案中,需临时授权时,必须详细说明并审批.
7.
3.
6规程有关要求a)在电子商务安全管理方案开始运行之前,必须有形成正式文件并经过检查的规程可供使用;b)每个规程文件应指明其使用和管理的负责人员;c)操作规程的内容取决于许多准则,可能与某一特定事件类型或实际上与某一类型安全产品相关联;d)每个操作规程都应清楚注明需要采取哪些步骤以及由谁执行.
7.
4安全技术支持a)使用电子安全事件数据库和技术手段快速建立和更新数据库,分析其中的信息,以便于对事件做出响应(并不排除有要求或使用手工记录的情况);b)快速获得安全事件和事件报告;c)对已评估的风险采取适当的预防措施,以确保遭受网络攻击;d)对已评估的风险采取适当的预防措施,以确保系统、服务和网络遭受攻击时仍然可用;DB33/TXXXXX—XXXX13e)根据已得到评估的风险采取措施,利用加密来确保数据的完整性和防泄漏;f)便于对已收集信息的归档和安全保存;g)所有技术手段都应认真挑选、正确实施和定期测试.
7.
5安全意识和培训a)应积极宣传安全管理的作用,作为总体信息安全意识和培训计划的一部分;b)安全意识计划及相关材料应该对所有人员可用,包括新员工,以及相关第三方用户和合作伙伴;c)根据安全事件类型、频率及其与安全管理方案交互的重要程度的不同,直接参与事件管理的各组成员需要不同类型不同级别的培训;d)在有些情况下,可将有关安全事件管理的安全意识教育细节包括在其他培训计划,如面向员工的培训计划或一般性的总体安全意识计划.
8评估与部署8.
1概述评估与部署环节是要求安全管理机构与其它部门协同合作,是确保对内部、外部风险进行有效覆盖的重要环节.
在评估与部署阶段,与组织各部门达成共识至关重要,并建立沟通机制.
通过对风险的评估,来决定如何部署和什么时候部署安全系统(如在系统上线前或根据系统运行一段时间后再部署).
8.
2关键过程a)发现和报告电子商务平台系统开发、上线、运行的安全状况;开发、上线应建立系统提交机制,安全管理机构根据安全风险标准,启动评估流程;b)任何平台上运行的系统都应该设置安全监控点,在系统开发阶段,收集有关数据访问风险的信息,在系统上线测试阶段,收集业务逻辑风险信息;根据所需访问的安全级别、业务逻辑风险程度,由安全管理机构与相应部门进行第一次评估,来确定是否部署安全措施、如何部署;c)新系统上线后,根据监控数据,如触发安全事件,需进行第二次评估,以调整安全防控措施;d)确保对流程中所有相关信息进行收集和安全保存,同时确保系统安全状态得到持续监控,以供审核所用.
8.
3发现和报告a)新系统的开发与上线,如果符合信息分级保护规定,或风险评估规定,发现的安全人员要负责启动安全评估流程.
b)对已经运行的系统安全状态,可通过监控数据发现,如安全监控系统在预设参数被激发的情况下发出的警报,发现的人员可根据规程启动安全评估流程.
c)在大部分情况下,电子商务安全事件来自于偶然发现(包括系统漏洞),发现的人员可以是组织内任何一名员工.
该员工应遵照相关规程,并使用电子商务安全管理方案规定的安全事件报告单在第一时间把安全事件报告给评估团队,报告单最好是电子格式的,如以电子邮件或web表单的方式提交.
d)在填写安全事件报告单的内容时,要保证准确性和及时性.
如报告人对报告单上某些字段中的数据没有信心,在提交时应加上适当的标记,以便后来沟通时修改.
e)8.
4第一次评估和安全管理部署决策DB33/TXXXXX—XXXX14系统在开发和上线测试两个阶段,安全评估人员应得到详细说明,并从其他地方进一步收集可用的任何必要和已知信息.
随后,与相应系统开发和使用部门共同进行评估,以确定这个系统是否需要部署安全措施.
a)如果确定该系统暂时不需要部署安全措施,或者部署安全措施理由不充分,可暂时只监控系统的运行.
b)如果确定系统存在安全隐患,标准来源于信息分级保护、安全风险程度划分以及以前类似系统已经出现的安全事件;则需要选择相适应的安全措施.
而且安全评估成员可以进行进一步评估,如果当一个系统确定为有重大安全隐患(根据组织内预先制定的事件严重性衡量尺度)时,应直接通知上级.
如果出现危机情况,应该及时宣布,但最可能的情况是,必须对系统的安全事件进行进一步评估和采取措施,直至有改进方案或者对系统进行下线.
c)无论决定下一步要采取什么行动,安全评估组成员都应尽可能地将信息收集完整.
8.
5第二次评估和安全管理部署调整新系统上线运行过程中,引发安全事件,需进行第二次安全评估.
进行第二次评估以及对是否调整安全措施的部署是安全管理机构的职责.
接收报告的人员应:——签收由填写完成的安全事件报告单;——向系统使用部门寻求任何必要的澄清说明;——评审报告单内容;——从其他地方进一步收集可能用的任何必要和已知信息;——组织系统开发和使用方启动第二次评估.
如果安全事件的真实性或报告信息的完整性仍然存在某种程度不确定,安全管理机构成员应借助数据分析进行一次安全管理机构内部评估,以确定该安全事件是否属实还是仅为一次误报.
如果安全事件被确定为误报,应完成填写安全事件报告并记录保存.
如果安全事件被确定是真实的,评估小组成员(包括系统开发和使用方代表)应进行进一步的评估,以尽快确认:——该安全事件是什么样的情形;——是如何被引起的——由什么或由谁引起;——带来或可能带来什么危害,对组织业务造成的影响或潜在影响;——是否属于重大事件(根据组织预先制定的事件严重性衡量尺度而定);——评估完成,并调整相应安全措施.
8.
6安全日志和变更控制a)所有参与安全评估、安全事件报告和管理的人员应完整地记录下所有的活动以供日后分析之用.
这些内容应包含在安全事件数据库中,要在从第一次报告单到事件后评审完成的整个过程中不断更新.
b)记录下来的信息应妥善保存并留有完整备份.
c)在追踪安全事件以及更新安全事件报告单和安全事件数据库的过程中所做的任何变更,应遵照已得到正式批准的变更控制方案进行.
9策略与运行9.
1概述DB33/TXXXXX—XXXX15策略与运行环节是对所部署安全系统的使用,通过安全系统配置策略,以应对各种安全风险,并根据安全事件修订策略,达到持续优化安全防控的目的.
策略与运行阶段是安全防控的最前端,直接与破坏电子商务健康运行的恶意行为做斗争;在实时调整策略防控时,会出现许多突发安全事件,宜组建应急响应小组对单个安全事件进行快速响应.
策略与运行环节的关键还有需要考虑对安全事件的立即响应和长期响应,所有的安全事件都需要提早分析其潜在负面影响,包括短期和长期影响.
此外,对完全不可预见的安全事件作出某些响应是必要的.
策略与运行,包括:——策略制订;——情报收集;——应急响应.
9.
2安全事件管理策略制订内容安全事件管理策略的内容涉及以下主题:a)安全事件管理对于组织的重要性,取决于其在电子商务平台上出现的频率与对正常用户的破坏程度;例如:现阶段电子商务平台上出现的常见安全事件有:——钓鱼木马;——账户被盗;——欺诈;——垃圾信息传播;——知识产权——窃取和篡改信息——恶意破坏和恶意信息传播等.
主要涉及账户安全、交易安全、商品品质的问题,安全事件管理策略是根据电子商务实际出现的问题有针对性的制订;并随时跟踪新的安全事件的发生,而及时响应.
b)安全策略的重点是区分正常用户与恶意用户.
c)应注重安全事件库的收集.
9.
3策略制订原则a)确保各项策略的一致性;b)确保对安全事件做出有计划的、系统的和冷静的响应;c)明确指定负责授权和/或执行某些关键行动的人员;d)策略应要求建立适当的审批机制,特别是会造成较大影响的处罚策略.
9.
4安全情报收集a)在网络空间内收集情报包括开源情报、传统的信号情报和计算机网络刺探等类型.
b)情报系统的建设包含人工智能及识别技术,通过一个基于知识库的主动式专题搜索引擎完成专题情报的收集,并过滤与分类收集信息.
9.
5应急响应机制a)如果确定安全事件不在策略控制之下,应启动应急响应机制.
DB33/TXXXXX—XXXX16b)应急响应行动首先是对业务系统的监控加强.
在对安全事件进行评估之后,应在适当的地方增加监视防护措施,并进行专项数据分析,以帮助发现具有安全事件症状的异常和可疑事态.
这样的监视还可更深刻地揭露安全事件,同时确定还有哪些系统受到危及.
c)应启动相关业务连续性计划中特定的响应.
这样的应急响应涉及系统的所有方面,不仅包括那些与IT直接相关的方面,还应包括关键业务功能的维护和以后的恢复.
d)在许多情况下,当突发事件被确定属实时,需要同时通知部门人员(不在安全管理机构的正常联系范围内)和外部人员(包括新闻界).
这种情况可能会发生在事件处理的各个阶段.
e)为协助必要时通报工作的顺利进行,需要提前准备一些材料,到时候根据特定安全事件的具体情况调整材料的部分内容,然后迅速通报给新闻界和/或其他媒体.
任何有关安全事件的消息在发布绐新闻界时,应遵照组织相关公关发布策略.
需要发布的消息应由相关方审查,其中包括组织高级管理层、公共关系协调员和信息安全人员.
f)有时会出现必须将事情上报给高级管理层、组织内其他部门或组织外人员/组织的情况.
这可能是为了对处理安全事件的建议行动做出决定,也可能是为了对事件做出进一步评估以确定需要采取什么行动.
10审核与改进10.
1概述通过数据挖掘的方式进行分析和审核,确定有哪些经验教训需要汲取,以及组织的整体安全和电子商务安全管理方案有哪些地方需要改进.
10.
2进一步的数据分析在审核与改进环节,安全系统的监控数据与安全事件库数据将得到进一步的数据分析,并为改进提供依据,改进阶段的工作包括前面各阶段提出的建议,即改进安全风险分析和管理结果、改善安全状况和改进电子商务安全管理方案.
10.
3经验教训一旦安全事件的处理工作结束,应该迅速从安全事件中总结经验教训并立即付诸实施,这一点十分重要.
经验教训可能反映在以下方面:a)新的或改变的安全防护措施需求.
可能是技术或非技术的防护措施.
根据总结出来的经验教训,可能需要迅速更新和发布安全培训简报(给用户和其他人员),以及迅速修订和发布安全标准和方案;b)电子商务安全管理方案及其过程、报告单和安全事件/事件数据库的变更.
c)此外,这项工作应不仅限于某一次安全事件的范畴,还应分析事件的发展趋势和发生模式,这有助于确定防护措施或方法需要有哪些改变.
根据一次安全事件的情况进行信息安全测试,尤其是脆弱性评估.
也是十分明智的做法.
d)在安全事件发生过程中所获得的相关信息应该用来进行事件发展趋势/发生模式的分析.
这一点对于根据以往经验和文字资料尽早确定安全事件以及警告进一步会引发哪些安全事件来说,十分有效.
e)应该对安全事件做出分析总结,并呈递到组织管理层的信息安全管理协调小组和/或组织总体信息安全策略中定义的其他管理协调小组的每次会议上.
DB33/TXXXXX—XXXX1710.
4确定安全改进在审核和改进环节,根据需要,可能确定新的或改变的防护措施.
改进建议和相关防护措施需求可能因运作上的原因不能立即付诸实施,在这种情况下应作为组织的长期目标逐步实行.
10.
5确定方案改进在审核与改进环节,安全管理机构下设的数据智能部门或其代表应该审核所发生的一切以进行分析,从而量化对安全事件整体响应的效果.
响应后分析的一个重要方面是将信息和知识反馈到电子商务安全管理方案中.
如果事件相当严重,应在事件解决后尽快安排所有相关方召开会议.
这样的会议应该考虑以下因素:a)电子商务安全管理方案规定的规程是否发挥了预期作用b)是否有对发现事件有帮助的规程或方法c)是否确定过对响应过程有帮助的规程或工具d)在事件发现、报告和响应的整个过程中向所有相关方的事件通报是否有效10.
6安全风险分析和管理改进根据安全事件的严重程度和影响,在评估安全风险分析和管理评审的结果时,必须考虑新的威胁和脆弱性.
作为完成安全风险分析和管理评审更新的后续工作,引入更新的或全新的防护措施可能是必要的.
DB33/TXXXXX—XXXX18AA附录A(资料性附录)用户账户安全管理规定A.
1用户实名制要求注册用户提供真实身份信息,并进行核验.
电子商务交易平台服务单位应对用户注册的昵称进行审核,禁止使用违反法律法规和社会道德的昵称.
A.
2个人用户注册电子商务交易平台服务单位对个人用户注册需满足以下规定之一:——要求用户提供真实的身份信息及联系方式;A.
3平台商户注册要求开店的个人商户,首先需满足A.
2规定,并提交身份证信息和与身份证原件比对大头照及本人上半身照;以单位名义开店的商户,需提供国家规定的相关证照及联系方式.
A.
4用户登陆/注册安全管理电子商务交易平台服务单位可提供以下措施,如:——注册页面需要有验证码,登录失败3次后,应出现验证码;——登录页面需要使用安全控件;——登录过程需要使用https安全通道;——对登录成功后需要跳转的URL进行验证.
A.
5用户的账户保护电子商务交易平台服务单位应对账户信息进行加密存贮,并对账户提供除密码之外的如手机短信、动态令牌、数字证书等二次验证保护.
A.
6用户发布有害信息的处理措施电子商务交易平台服务单位应根据相关法律法规,对制作、复制、发布、传播违法有害信息的用户,以及公安机关通报的涉嫌违法犯罪的用户制订相应处罚措施,如:——限制为其提供服务;——控制其信息发布与平台内的活动;——对其信息发布内容实施先审后发措施;DB33/TXXXXX—XXXX19——屏蔽其发布信息,不进入搜索引擎;——限制其参加相应活动;——关闭账户.
A.
7用户信息使用要求电子商务交易平台服务单位根据相关法律法规,对用户信息的使用应制订相应规范,应严格保护用户隐私,其保护规定包括但不限于:——保护注册用户的个人隐私与通讯信息;——需要明确告之用户获取用户数据的方式和内容;——需要明确告之用户获取数据的用途;——用户对自己的隐私数据有可操作权限.
DB33/TXXXXX—XXXX20B(资料性附录)B附录B(资料性附录)商品与信息发布安全管理规定B.
1商品与信息屏蔽——具备对发布法律禁止发布的商品与信息的屏蔽过滤措施;——支持基于关键词的违法信息的屏蔽过滤,支持基于样本数据特征值的违法音视频、图片的屏蔽过滤,支持基于违法外域链接的屏蔽过滤;B.
2商品与信息删除——具备对违法信息的快速处置功能;——对特定文本、图片、视频、链接等信息能够在合理时间内进行删除,并支持批量处理.
B.
3商品与信息控制——具备特定用户商品与信息发布控制功能.
可对特定用户发布的商品与信息(包括文本、图片、视频、链接等信息)进行屏蔽、审核控制;具备特定发布来源控制功能,可识别手机客户端、web客户端等发布源,并进行审核控制或切断一项甚至多项发布来源;——具备指定用户或指定商品与信息控制功能.
对特定用户发布的单条或全部商品与信息内容采取屏蔽、禁止访问、交易等措施.
B.
4商品与信息检索——具备完备的后台商品与信息检索功能;——支持关键字的逻辑组合查询,支持对本网站所有商品与信息进行全文搜索.
B.
5第三方软件商品与信息发布管理——具备对第三方软件发布商品与信息的管控功能,能够限制或切断信息与其他互联网应用的互联互通;——根据法律法规,对第三方数据接口(API)发布的信息进行审核,发现违法信息需采取必要措施.
B.
6商品与信息发布管理——具备停止全部或单项发布服务功能;——可停止全部或单项服务(包括停止发布、交易、评论、上传图片、上传视频、上传音频、第三方应用、搜索等)等.
DB33/TXXXXX—XXXX21B.
7信息加密、传输、存储安全管理——明确定义使用信息的安全级别;——根据安全级别对信息进行不同强度的加密;——对相应安全级别数据进行加密传输;——对相应安全级别数据进行加密存储;——保障密钥的安全性.