GB/ZFORMTEXT?????—FORMTEXT2013FORMTEXT中小企業電子商務信息安全建設指南GuideofimplementationforE-commerceinformationsecurityinsmall&mediumenterprises(征求意見稿)FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施ICS35.240.60L67GB/ZXXXXX—2013中小企業電子商務信息安全建設指南范圍本指導性技術文件給出了中小企業典型模式網絡模式分類，電子商務信息分類與分域控制要求，為中小企業電子商務信息安全建設所涉及的信息安全技術、信息安全管理、運營風險控制等方面安全要求的實施提供指導。本指導性技術文件適用于中小企業的電子商務信息安全建設工作，為電子商務管理人員、工程技術人員等相關人員進行信息安全建設提供管理和技術參考。規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20269信息安全技術信息系統安全管理要求GB/T20275信息安全技術入侵檢測系統技術要求和測試評價方法GB/T20281信息安全技術防火墻技術要求和測試評價方法GB/T20945信息安全技術信息系統安全審計產品技術要求和測試評價方法GB/T25068信息技術安全技術IT網絡安全術語與定義下列術語和定義適用于本指導性技術文件。中小企業smallandmediumenterprise中小企業劃分為中型、小型、微型三種類型，具體標準根據企業從業人員、營業收入、資產總額等指標，結合行業特點制定。[符合工業和信息化部、國家統計局、國家發展計劃委員會、財政部在2011年共同頒布的《中小企業劃型標準規定》中規定的企業。]電子商務electroniccommerce以電子形式進行的商務活動。它在供應商、消費者、政府機構和其他業務伙伴之間通過任一電子方式實現標準化的非結構化或結構化的業務信息的共享，以管理和執行商業、行政和消費活動中的交易。[GB/T18811-2002,定義3.31]信息安全informationsecurity保持信息的保密性、完整性、可用性；另外也可包括例如真實性、可核查性、不可否認性和可靠性。[GB/T22081-2008,定義2.5]分域控制controlbydifferencerealms將基于電子商務商務系統劃分為前端數據處理區域、后端數據處理區域、服務平臺安全管理區、辦公數據處理區和辦公網安全管理區，制定安全策略，提供基于安全域的接入控制、域間信息安全交換等安全機制。縮略語下列縮略語適用于本指導性技術文件。CA證書認證機構（CertificateAuthority）CRL證書吊銷列表（CertificateRevocationList）DDoS分布式拒絕服務（DistributedDenialofservice）DTS解碼時間戳（DecodeTimeStamp）HTTP超文本傳輸協議（HyperTextTransferProtocol）IDC互聯網數據中心（InternetDataCenter）PKI公鑰基礎設施（PublicKeyInfrastructure）SSH完全外殼協議（SecureShell）VPN虛擬專用網絡(VirtualPrivateNetwork)中小企業電子商務安全威脅、需求與建設基本原則安全威脅賬戶安全賬戶安全是電子商務信息安全的基礎，賬戶安全威脅主要來源于賬戶被盜與垃圾注冊，包括但不限于：賬戶被盜。欺詐分子會利用釣魚網站、用戶會話截取等方式去獲得用戶的賬戶信息，從事一些損害其他用戶（如：惡意轉賬、騷擾其他用戶）、或者損害網站本身（如：發違禁信息、或者騷擾網站客服人員）的惡意活動。垃圾注冊。一些欺詐分子或者組織，通過注冊大量垃圾賬號，以便進一步通過惡意評價來要挾商家。交易安全在電子商務交易過程中發生的安全威脅主要包括惡意評價、交易欺詐、不良信息發布等，包括但不限于：交易欺詐。通過業務漏洞，發布虛假商品等手段，騙取貨款或者商品，嚴重影響到正常用戶網上購物信心。不良信息和商品的發布。通過發布假冒偽劣商品、“違禁”信息破壞了電子商務網絡環境。惡意評價。通過惡意評價來要挾商家，敲詐金錢，破壞評價信用體系。網絡安全電子商務是構建在互聯網上的交易平臺，同樣面臨著DDoS、端口掃描、密碼暴力破解、網站后門等網絡安全威脅,包括但不限于:DDoS攻擊。在電子商務的環境下攻擊者通過大量、惡意的訪問商家網站地址、圖片鏈接等目標，耗盡商家電子商務系統的資源導致其無法處理用戶的正常訪問請求，甚至在一定時間內導致商家的電子商務對外服務中斷。端口掃描。攻擊者在互聯網上對電子商務網站的端口進行掃描，為其進一步入侵做準備。密碼暴力破解。密碼暴力破解對電子商務網站的危害很大，如果被破解成功，會竊取網站管理員權限，從而危害電子商務網站及用戶信息和權益。電子商務網站后門。網站后門是植入網站的一段代碼，通常隱蔽性較好，較難被實時發現，植入后門的網站會被竊取網站信息，甚至丟失網站控制權，同時會侵害網站用戶的隱私信息，給網站造成不可挽回的損失。業務中斷威脅在電子商務領域還面臨著特有的業務高彈性變化威脅，由于業務發展過快或網上促銷活動等原因，電子商務企業會面臨著大量客戶訪問超出現有系統設計容量的局面，而中小企業受限于資金規模導致其無力建設后備系統用于滿足無法預測的業務訪問量，最終影響電子商務網站對外提供服務的連續性。安全需求在中小企業開展電子商務信息安全建設過程中，其信息安全需求主要包括：需要實現電子商務過程中涉及的商業信息不被泄漏，確保信息機密性。需要實現中小企業電子交易信息的完整性。需要實現不可抵賴性，在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。需要實現對人或實體的認證性。需要實現為用戶提供穩定的服務。信息安全建設基本原則信息安全建設工作應遵循：涉及國家秘密信息的保護應遵循國家涉密信息保護的相關規定。滿足用戶及應用環境對信息系統提出的安全性要求。具有良好的可操作性，便于實施。中小企業電子商務分類與分域控制要求模式分類及其網絡結構中小企業電子商務系統建設模式主要分為平臺模式和店鋪模式。平臺模式是中小企業依托運營商和IDC提供的網絡基礎服務，自主建設電子商務服務平臺為互聯網用戶提供電子商務服務，和承擔電子商務服務平臺的信息安全建設與管理的建設模式，網絡結構見附錄A。店鋪模式是中小企業通過租賃方式在電商平臺上開設網店的建設模式，網絡結構見附錄A。信息分類及防護電子商務系統中信息分為公開信息和內部信息。公開信息。電子商務服務平臺上可向用戶開放的信息。內部信息。內部信息是只被企業員工訪問的信息，包括企業的商業秘密、用戶注冊的個人隱私信息等；內部信息也應該采用受控訪問，根據權限授權企業員工訪問，并受監控與審計，以防止信息泄露與越權使用。應用分類及防護電子商務系統應用主要分為電子商務服務與企業辦公應用。電子商務服務。面向互聯網用戶提供信息發布、交易、互動交流等服務；安全防護的重點應放在信息的可用性、完整性和不可抵賴性方面。企業辦公應用。企業內部的業務流程與管理，包括企業的賬務系統、ERP系統以及辦公管理、文件數據共享等，安全防護的重點主要包括對企業員工的身份鑒別、企業內部信息資源的授權訪問和數據傳輸保護等方面。系統分域控制安全域劃分電子商務安全域劃分如圖1所示。企業辦公管理平臺企業辦公管理平臺電子商務服務平臺前端數據處理區（電商平臺服務系統）辦公數據處理區（辦公業務系統）后端數據處理區(電商平臺管理系統)服務平臺安全管理區（安全策略、安全系統、身份認證系統等）互聯網用戶企業員工安全管理員辦公網安全管理區（員工身份認證、防病毒、系統升級等）分域控制設備分域控制設備電子商務安全域劃分前端數據處理區。與互聯網用戶交互的區域，用來承載用戶信息發布、用戶商品管理、用戶注冊、交易信息等公開信息的電子商務應用系統及其數據庫，此區域可根據互聯網用戶登錄授權后發布和修改其相應的信息內容等。后端數據處理區。僅允許授權員工訪問的區域，用來承載電子商務平臺各種管理應用系統及其數據庫，如商品管理系統、用戶管理系統等。服務平臺安全管理區。面向安全管理人員的區域，為電子商務服務平臺安全運行提供統一的資源管理、用戶權限管理、認證管理等。辦公數據處理區。企業員工辦公網區域，主要提供文件共享、人事系統、財務系統等辦公管理需求及其數據庫。辦公網安全管理區。安全管理員訪問的區域，提供員工權限管理、系統安全服務、網絡安全管理服務等的區域。分域控制策略電子商務信息安全分域控制策略如下：前端數據處理區允許互聯網用戶授權訪問；后端數據處理區僅允許員工授權訪問；服務平臺安全管理區與辦公網安全管理區只面向安全管理人員訪問；辦公數據處理區允許企業員工訪問；各安全域進行數據交換時，應通過域控制設備，制訂訪問控制策略，防止非授權訪問。中小企業電子商務信息安全支撐平臺中小企業電子商務安全支撐平臺結構電子商務安全支撐平臺是電子商務系統運行的安全保障。電子商務安全支撐平臺依托認證體系所提供的認證服務，通過防火墻、VPN技術等安全技術，實現安全互聯與邊界防護、主機安全、局域網安全、應用安全、系統安全管理和運營風險控制。電子商務安全支撐平臺結構如圖2所示。系統安全管理運營系統安全管理運營風險控制安全互聯與邊界防護安全互聯與邊界防護應用安全局域網安全主機安全應用安全局域網安全主機安全認證體系認證體系中小企業電子商務安全支撐平臺結構安全管理概述應滿足相關標準，遵照GB/T22081、GB/T20269的相關要求。安全策略滿足下面基本要求：管理層制定清晰的策略方向，策略文檔應說明管理承諾，并提出管理信息安全的途徑。對涉及整個電子商務安全系統安全的關鍵策略要由管理層批準，進行統一管理，同時建立策略變更審批制度。在整個組織中頒發和維護信息安全策略。機構和人員管理滿足下面基本要求：應嚴格選拔網上交易人員，落實工作責任制。應建立信息安全專職管理隊伍，配備足夠的安全管理人員。信息安全管理人員需經過安全培訓才能上崗。應實施信息安全意識的培訓教育和安全技術培訓。安全管理制度應建立信息系統網絡、系統、應用等各層面的安全管理制度，實現對信息系統規劃、建設、運行、維護各個階段的安全管理；開發與運營獨立管理，應嚴格執行日常的實時管理和定期管理工作。網絡系統的日常維護制度。硬件的日常管理和維護，包括網絡設備、服務器和客戶機、通信線路等；軟件的日常管理和維護，包括支撐軟件、應用軟件等。病毒防范制度。給計算機安裝防病毒軟件，認真執行病毒定期清理制度，控制權限，高度警惕網絡陷阱等。安全跟蹤管理應建立網絡交易系統日志機制，用來記錄系統運行的全過程。包括建立安全保護技術措施，保留用戶注冊信息以及修改歷史記錄，保留用戶登錄（登錄時間、登錄IP）、信息發布等日志信息，保留交易列表、交互信息及交互對象用戶列表等。信息安全審核管理應有信息審核制度，對在所提供服務范圍內的用戶發布的信息進行逐條審核，實行先審后發等措施。包括：經常對系統日志的檢查、審核，及時發現系統故意入侵行為的記錄和對系統安全功能違反的記錄，監控和捕捉各種安全事件，保存、維護和管理系統日志。應急措施管理系統運行可能會因為自然或人為的原因遭破壞，應制訂相應問題處理的應急方案，主要包括系統備份和系統恢復以及法律證據收集等。系統應定期對數據進行完全備份，定期建立包括應用系統以及操作系統等在內的完整鏡像，同時還應定期對數據做增量備份。具體可參照附錄C。運營風險控制管理風險系統應建立風險控制中心，對于交易欺詐、盜號等行為宜采取但不限于以下措施：建立監控平臺，針對交易中的異常行為加以分析判斷，并做相應處理；建立配置平臺，針對策略所需要的配置參數進行修改；建立風險控制措施體系，組建風險控制團隊，收集有效數據分析后作出針對性的策略并開發完成上線；建立用戶行為分析系統，對正常用戶的使用行為、非法用戶的行為進行分析，以模塊配置進行篩選并處理；搭建風險數據庫，收集非法用戶使用過注冊信息，登陸信息等黑名單數據，以供預控系統判斷；建立洗錢、反套現風控體系，對于違反交易規則及國家法律法規的情況加以制止；建立案例數據庫，對于已經發生的欺詐行為進行分析，將有效數據整理錄入數據庫內，以便以后查詢和宣傳。交易欺詐行為管理平臺模式的中小企業在開展電子商務時，應注意網絡交易欺詐行為的管理，包括但不限于：建立網絡欺詐舉報平臺并能及時向有關部門反映，能針對用戶操作進行管理控制；建立黑名單數據系統，并納入應用系統對交易欺詐行為進行監控攔截。隱私保護平臺模式的中小企業在開展電子商務時，對用戶信息的使用應制訂相應規范，其保護規定包括但不限于：保護注冊用戶的個人隱私與通訊信息；應明確告之用戶獲取用戶數據的方式和內容；應明確告之用戶獲取數據的用途；用戶對自己的隱私數據有可操作權限。認證體系概述認證體系主要是為互聯用戶及企業員工提供數據證書等認證服務，是電子商務信息安全的基礎設施。店鋪模式的中小企業用戶直接采用電子商務平臺服務商提供的認證系統，平臺模式的中小企業電子商務建設可采用第三方CA認證機構，也可自建認證系統，認證體系的建設可參考相應國家、國際標準。數字簽名技術保證信息傳輸過程中信息的完整和提供信息發送者的身份認證和不可抵賴性。基本要求如下:由簽名者隨信息發出，與信息不可分離。簽名隨信息內容改變而不同，可確認信息自發出至接收未做過任何修改。不可假冒、不可篡改、不可抵賴。電子簽名相關法律仲裁的依據。數字時間戳技術提供對電子文件發表、簽訂的時間內容的安全保護，成為文件是否符合交易時間要求的有效憑證。基本要求如下：需加時間戳的文件的摘要。DTS收到文件的日期和時間。DTS的數字簽名。數字證書用戶的數字身份證，PKI執行機構CA所頒發的核心元素，符合X.509標準。基本要求如下:對申請證書用戶的審核要求，及認證中心自身運轉的要求等。管理簽名用戶證書的密鑰和其他密鑰的產生、更新、備份、恢復等。管理接收用戶的證書請求，審核用戶的合法身份，發放用戶的數字證書，管理用戶的證書等。黑名單管理，包括注銷用戶的數字證書，定期產生黑名單，發布黑名單。目錄管理，目錄服務器設置、證書、CRL等的更新等。電子商務數字認證授權機構CA提供身份驗證的第三方機構，由一個或多個用戶信任的組織實體構成，實現電子商務活動中交易參與各方身份、資信的認定，維護交易活動的安全。安全互聯與邊界防護安全互聯與邊界防護主要是實現各安全域之間、各平臺之間、通過互聯網連接的區域之間的邊界防護，為互聯網用戶安全接入服務平臺、企業員工遠程接入提供訪問控制。平臺模式電子商務用戶安全防護要求防火墻防火墻技術可遵照GB/T20281的相應要求,中小企業電子商務滿足如下基本要求:包過濾。應支持基于IP地址的訪問控制、端口的訪問控制、協議類型的訪問控制。應用代理。應至少支持HTTP、FTP、POP3、SMTP等協議的應用代理。流量統計。根據IP地址、協議、時間等參數對流量進行統計。安全審計。具有完整的日志記錄和良好的日志分析能力。分域控制。用于各安全域之間進行訪問控制時，可參照6.4分域控制機制配置。數據加密技術采用數據加密技術可遵照GB/T22081相應要求，中小企業電子商務滿足如下基本要求：基于風險評估，確定需要的保護級別，考慮需要的加密算法的類型、強度和質量。通過可移動或可拆卸的介質、設備或通信線路傳輸敏感信息。密鑰管理方法，包括應對密鑰保護的方法，以及在密鑰丟失、損害或毀壞后加密信息的恢復方法。VPN技術VPN技術可遵照GB/T25068.1和GB/T25068.5的相應要求,中小企業電子商務滿足如下基本要求:互聯安全。為電子商務各安全域之間遠程連接建立安全通道提供保證，實現數據傳輸的機密性、完整性等安全機制。移動安全接入。支持各種終端設備的遠程安全接入。接入控制。支持基于用戶的接入控制功能。分域控制。具有分域控制功能，可參照7.3分域控制機制配置。店鋪模式安全互聯與邊界防護要求店鋪模式單機用戶，在通過互聯網管理網店時，應注意的邊界防護要求：連接互聯網的無線路由器、網橋應采用加密連接，選擇合適加密方式；開通電子商務平臺服務商提供的VPN等安全服務，進行店鋪數據的操作與備份。主機安全主機安全主要是為企業辦公終端、服務器主機或店鋪模式的單機用戶提供基于單個主機的操作安全、訪問控制、傳輸安全、存儲安全等綜合安全防護措施。具體可參照附錄B。單機防火墻功能應滿足如下基本要求：實現對進出終端數據包進行安全過濾；可實現統一策略下發到終端，可啟用操作系統自帶防火墻功能。主機身份鑒別應滿足如下基本要求:宜設置域賬號服務器對用戶登陸操作進行身份標識和鑒別；宜設置VPN賬號服務器對VPN用戶接入身份標識和鑒別；各類服務器的所有賬號均需設置口令，符合復雜度要求；應啟用登錄失敗處理功能，設定賬戶鎖定閥值和賬戶鎖定時間；應采用加密傳輸的遠程桌面管理工具管理服務器；域賬號、VPN賬號的設置均需要唯一性，以便追溯到用戶。主機訪問控制應滿足如下基本要求:應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；重新命名管理員賬戶。主機安全審計應滿足如下基本要求:啟用主機審計功能，覆蓋對賬戶登錄事件、賬戶管理、目錄服務訪問、登錄事件、對象訪問、策略更改、系統事件等類型的審核記錄。定期查看和備份審計記錄。主機入侵防范操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。主機惡意代碼防范應滿足如下基本要求:應架設防病毒服務器，實時自動下載、更新防病毒軟件及病毒定義；各類服務器統一安裝病毒服務器的客戶端程序，不得在同一服務器上安裝有兩種及以上防病毒客戶端程序。每臺服務器開啟防病毒客戶端實時監控功能，定期進行計算機病毒檢測，并保持防毒軟件或病毒特征庫的實時更新。主機備份及恢復定時備份操作系統及數據。局域網安全概述局域網安全主要指電子商務服務平臺、企業辦公平臺的網絡建設安全，需考慮網絡的物理安全，以及采用的主要安全技術包括入侵檢測、漏洞掃描、安全審計、網頁保護、防病毒技術等。具體可參照附錄B。機房物理安全辦公網機房需要建設在具備基本的防震、防風、防雨能力的建筑物內；機房內應配備消防設備；機房出入口宜設置視頻監控；機房內宜采用具有穩壓功能的UPS，保證短期電力供應。分域控制策略按照6.4分域控制機制，劃分網絡區域；通過硬件分域控制設備對安全域配置安全訪問策略；各安全域采用訪問控制列表技術實現源、目的地址的端口級訪問控制。入侵檢測系統入侵檢測系統技術可遵照GB/T20275相應要求，中小企業電子商務滿足如下基本要求：數據探測。具有實時獲取受保護網段內的數據要求；至少應監控基于IP、TCP、HTTP、POP3、FTP等協議；應監控常見如端口掃描、強力攻擊、木馬后門攻擊等常見攻擊行為；應監視整個網絡或者某一特定協議、地址、端口的報文流量和文字流量。入侵分析。以模式匹配、協議分析、人工智能等一種或多種方式對收集的數據包進行入侵分析。入侵響應。當系統檢測到入侵時，應自動采取屏幕實時提示、E-mail告警、聲音告警等方式發出安全警告；系統在檢測到網絡上的非法連接時，可進行阻斷。檢測結果處理。系統應記錄并保存檢測到的入侵事件，能生成詳盡的檢測結果報告。性能。系統應將誤報率和漏報率控制在應用許可的范圍，不能對正常使用產生較大影響。安全審計安全審計可以遵照GB/T20945的相應要求，電子商務滿足如下基本要求：應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。網絡設備防護通過控制互聯網遠程控制、HTTP訪問、使用SSH遠程控制等方式保障網絡設備的安全備份及恢復定期備份網絡設備的操作系統及配置。應用安全安全套接層協議基本要求如下：數據保密性要求。采用各種加密技術保證數據的機密性。客戶端和服務器的合法性保證要求。在握手交換過程中做數字認證，確保用戶的合法性。維護數據完整性要求。采用哈希函數和機密等共享的方法，在客戶端與服務器之間建立安全的通道，使所有經過安全套接層協議處理的數據能完整準確地到達目的地。安全電子交易公告采用雙重簽名技術，保證顧客的隱私不被侵犯。基本要求如下：電子商務中所有參與者信息的相應隔離要求。信息在互聯網上安全傳輸。防止被竊取或篡改。解決多方認證問題。保證所有的支付過程可在線完成。支持不同廠家開發的軟件。數據服務外部數據接入安全基本要求如下：與外部合作方簽訂相關合作與安全協議；對合作方URL進行監控；接口以HTTP方式開放；設計接口有身份認證，并對來源授權；接口調用有日志記錄；參數傳遞應做簽名驗證，并應有時間戳；明確用戶上傳的文件類型；對用戶上傳的圖片，進行安全處理。交易服務基本要求如下：保密性要求。支持交易數據在傳輸過程或存儲中不能被未授權實體獲得。完整性要求。支持交易數據不能在未經授權的情況進行任何的更改。不可否認性要求。一旦成功交易、生成交易電子憑證，客戶和商家事后均不能否認這個交易的存在。可追溯性要求。在某些情況下，如交易由于買家的違約，交易中的買家身份可以唯一被識別。抵抗非法濫用性要求。商家不能將從客戶那里得到的信息用于其他非法目的，萬一發生濫用的情況，也能很容易確定濫用者，并追究其責任。可驗證性要求。對于有效的交易電子憑證，驗證者能通過驗證，確信這個憑證記載的是客戶和商家均認可的交易。Web服務基本要求如下：權限的授權要求。支持權限擁有者把權限授權給其他實體，實體可進行一些安全操作，如網頁訪問、網頁數據修改、刪除等；保密性要求。支持未授權用戶不能訪問Web服務器及客戶端與服務器之間的保密信息；完整性要求。支持Web數據在未經授權的情況下不能被刪除或更改；可用性要求。支持授權用戶能在授權范圍內的活動；檢測性要求。支持有能力檢測發現Web漏洞。代碼規范性要求。支持Web源代碼開放經過規范約束與審計。文件服務基本要求如下：可授權性要求。支持每個用戶根據授予的權限存取和刪除自己擁有的文件；可追蹤性要求。支持每個用戶都要有自己的賬戶，并且對特定文件夾的訪問需要形成訪問日至保存下來供管理員查看。抗病毒侵擾性要求。保證用戶所存放在服務器上的文件不攜帶病毒或其它有危害的代碼。保密性要求。對一些重要的私密文件，用戶能進行加密處理，保證這些信息不會被別人讀取。使用空間的可控性要求。磁盤配額能限制用戶對磁盤空間的使用額度。每個用戶只能在服務器上存放一定大小的文件而不是無限大的文件，當存放到特定警戒線的時候能通知管理員。電子商務信息安全建設電子商務信息安全建設流程電子商務信息安全建設流程可劃分為6個階段:風險評估、需求分析、方案設計、測試、系統安裝調試、正式運行等。風險評估運用風險評估方法計算企業整體的資產價值、弱點、威脅發生的機率及可能造成的影響等。評估時應考慮下面的因素：信息安全可能造成的商業損失，并把損失的潛在后果也考慮進來。在極為普遍的危害和采取的相應措施的作用下，故障實際發生的可能性。需求分析在項目的計劃階段，項目需求部門應與項目建設部門共同討論信息系統的安全需求，明確重要的安全需求點，安全需求分析應該作為項目需求分析報告的組成部分。項目需求部門與項目建設部門應對系統進行風險分析，考慮業務處理流程中的技術控制要求、業務系統及其相關在線系統運行過程中的安全控制要求，在滿足相關法律、法規、技術規范和標準等的約束下，確定系統的安全需求。對系統安全應遵循適度保護的原則，需在滿足以下基本要求的前提下，實施與業務安全等級相符合的安全機制。通過必要的技術手段建立適當的安全管控機制，保證數據信息在處理、存儲和傳輸過程中的完整性和安全性，防止數據信息被非法使用、篡改和復制；實施必要的數據備份和恢復控制；實施有效的用戶和密碼管理，能對不同級別的用戶進行有限授權，防止非法用戶的侵入和破壞。系統的安全需求及其分析要需經過項目組內部充分討論，項目需求方和項目建設方應和對安全需求及其分析的理解達成一致。方案設計項目建設部門應根據確定的安全需求設計系統安全技術方案，應滿足以下要求：系統安全技術方案要滿足所有安全需求，并且符合公安部、工信部和主管部門的法規和標準要求；系統安全技術方案應至少包括網絡安全設計、操作系統和數據庫安全、應用軟件安全設計等部分；系統安全技術方案涉及采用的安全產品，應符合國家有關法律法規。測試信息系統安全功能測試在信息系統測試階段，應根據信息系統安全功能需求進行測試，確保所有設計的安全功均能得到落實和實現。在測試報告或相關文檔中應明確說明檢查列表中各項安全功能的落實和實現情況。測試過程的安全管理在信息系統開發測試過程中，對于來自業務系統的數據要根據相關規定進行變形處理，禁止在開發或測試環境中直接使用生產系統的密鑰和用戶密碼等重要數據。測試環境要依據相關規定進行合適的管理和安全防護，并通過相應的手段確保與生產系統、開發系統隔離。系統安裝調試在信息系統安裝部署時，應采取相應措施確保系統安全功能的實現，對操作系統、數據庫、應用系統等軟件的安裝部署和配置應該符合相應的安全規范和標準。信息系統投產前應進行安全評估或審查，通過審查系統設計文檔中的安全功能設計、系統測試文檔中的安全功能測試，確保系統本身安全功能的實現。通過審核系統安裝與配置過程或文檔，確保系統安全配置的落實與實現。正式運行系統投入正式運行后，需清除系統中各種臨時數據，進行管理權交接，開發方不得隨意更改安全策略和系統配置。

（資料性附錄）

典型模式網絡結構圖平臺模式網絡結構圖A.1給出了電子商務平臺模式的網絡結構。電子商務辦公管理平臺電子商務辦公管理平臺電子商務服務平臺Internet前端服務系統企業辦公網分支網絡負載均衡、接口安全分支網絡安全管理系統后端管理系統數據庫系統電子商務平臺模式網絡結構電子商務服務平臺通常包括安全管理系統、前端服務系統、后端管理系統、數據庫系統和負載均衡、接口安全等。辦公管理平臺通常包括企業辦公網、分支網絡等。店鋪模式網絡結構圖A.2給出了電子商務店鋪模式的網絡結構。網店1Internet網店1Internet網店n賣家客服1客服n電子商務店鋪模式網絡結構店鋪模式電子商務服務平臺的信息安全建設由電商平臺服務商提供。辦公管理平臺由中小企業自主建設，根據中小企業的規模和實際業務需要，辦公管理平臺可由數臺獨立的能上網終端組成，也可是辦公局域網。

（資料性附錄）

電子商務企業信息安全建設案例某電子商務企業公眾服務端信息安全建設機房物理安全機房選址機房應選擇具有防震、防雨和防風能力的建筑物；機房場地禁止設在在建筑物地下或頂層。物理訪問控制機房所在建筑物及機房入口均24小時專人值守；除機房管理人員外的人員來訪均需機房管理員授權；來訪人員均進行身份核查并登記，進出機房要機房管理員全程陪同；采用物理隔斷對機房內各區域進行劃分，在機房重要區域前應設置電子門禁；保留電子門禁的運行和維護記錄。防盜竊和防破壞機房所有設備均需要放置于機架上并固定，機架、設備、線纜均需標識資產標簽；機房內線纜均采用下走線，用于備份的磁帶、硬盤等存儲介質需要分類標識并放置于專用柜中，機房內需配備防盜報警并保留運行和維護記錄；機房內需要設置無盲區24小時視頻監控，視頻監控信息需保留3個月，視頻監控信息支持實時查看，視頻探頭、監控記錄需定期檢查。防雷擊機房所在建筑物安裝防雷保安器防止感應雷；機房應設置交流底線。防火機房設置自動氣體滅火裝置；自動氣體滅火裝置具備自動檢測火情和自動報警功能；機房工作間和輔助房均應采用 A1、A2級別的耐火等級建筑材料；機房可采用鐵籠隔離將重要設備與其他設備隔離。防水和防潮機房房頂上、活動地板下不得有水管穿過；機房采用監控系統對溫濕度進行監控和報警；機房應設置擋水和排水設施；應定期檢查機房濕度并保留記錄。防靜電機房采用靜電地板；機房內所有機柜均應采用防靜電措施。溫濕度控制機房應采用精密空調將機房溫度控制在23℃±3℃，濕度40%~55%并保持空調系統7*24小時工作正常；機房維護人員每2小時巡檢一次溫濕度。電力供應機房內采用具有穩壓功能的UPS，UPS備用電力至少支撐2小時；機房內應設置并行電纜線路為機房供電；機房應配備柴油發電機并能在UPS電力短缺時自動切換，機房可考慮建立油庫或同附件加油站簽署供油協議；機房維護人員每2小時巡檢一次供電系統。電磁防護機房電源線和通信線纜需要隔離鋪設；機房內應采用接地方式防止外界電磁干擾和設備寄生耦合干擾。網絡安全網絡安全域的劃分按照“公眾服務端”的安全需求，可劃分為互聯網接入區、前端應用接入區、后端管理接入區三個安全域；安全域描述。公眾服務端網絡安全域描述安全域描述互聯網接入區用于外部互聯網絡接入前端應用接入區用于網站前臺、支付系統、商品系統、業務流程管理、信息展示、安全保障系統前端等面向互聯網用戶的系統接入后端管理接入區用于會員管理、權限管理、系統配置系統、數據庫系統、安全保障系統后端，辦公管理端通過VPN接入網絡結構對核心層、匯聚層網絡設備考慮硬件冗余；互聯網接入保證足夠帶寬以滿足互聯網用戶的需求；根據各安全域內系統的重要性，采用VLAN技術劃分不同的子網或網段，通過路由協議認證建立安全的訪問路徑；在核心層網絡設備上提供帶寬優先級分配，保障重要業務的帶寬。訪問控制通過路由器控制互聯網接入區對前端應用區、后端管理區和辦公管理端的訪問，核心交換機控制前端應用接入區和后端管理區之間的訪問，匯聚交換機控制后端管理區內各管理系統和數據庫之間的訪問；各安全域采用訪問控制列表技術實現源、目的地址的端口級訪問控制；關閉不必要的協議端口；通過設置負載均衡設備控制網絡會話數連接；建立網絡流量負載檢測和擴容機制；對前端應用區、后端管理區交換機配置IP、mac地址綁定；采用VPN技術提供辦公管理端對后端管理區的接入。邊界完整性檢查采用域控和802.1X認證結合技術控制外部用戶網絡接入和網絡訪問去向控制；互聯網接入區只允許外部訪問前端應用區80和443端口，前端服務區和后端管理區采用訪問控制列表的方式控制內部用戶對外網的訪問。入侵防范部署網絡流量偵測設備，對符合DDoS攻擊行為的異常流量予以清洗或路由黑洞。安全審計設置專用的syslog日志服務器收集和存儲網絡設備日志并對日志進行分析形成圖表報告；設置第三方審計系統進行審計，審計記錄應包括日期、時間、用戶/ip、事件類型、信息描述等。網絡設備防護采用用戶名+口令的方式對登錄網絡設備的用戶進行身份鑒別；vty和consle登陸需要tacacs服務器認證；采用綁定堡壘機IP的方式限制對網絡設備的登陸；登陸tacacs服務器的用戶名具有唯一性；網絡設備的登陸需要管理員pin碼和動態令牌登陸到堡壘機；堡壘機登陸失敗3次后自動鎖定賬戶直至管理員解鎖；遠程登陸網絡設備采用SSH加密登陸方式；網絡設備的用戶權限分為查看級別和配置級別。備份及恢復網絡配置發生改變立即備份到專用備份服務器；每周定期備份網絡設備的操作系統及配置。主機安全主機安全主要考慮將前端應用端和后端管理端部署在虛擬服務器下的安全性。虛擬服務器加固定義統一虛擬服務器加固標準；制作虛擬機服務器映像時按照加固標準進行配置加固，并打上所有可用的安全補丁；持續關注安全公告，至少每月更新一次虛擬機服務器映像，以保證虛擬機服務器映像滿足最新的安全要求；所有虛擬機服務器實例安裝基于主機的入侵檢測軟件；虛擬機服務器實例默認開啟自動更新，以及時獲取最新的安全補丁；虛擬機服務器實例依據不用操作系統安裝殺毒軟件并自動更新。虛擬機隔離虛擬機集群分為多個安全域，安全域之間使用訪問控制列表進行端口級的訪問控制。同一安全域內部，虛擬機之間通過宿主機隔離，Linux虛擬機使用自帶iptables進行隔離。Hypervisor安全安裝宿主機時，對宿主機操作系統以及Hypervisor進行配置加固；Hypervisor變更是否經過QA驗證、安全評估；Hypervisor的操作必須通過雙因素認證方式登錄堡壘機后進行，操作過程必須實時審計。虛擬機管理采用虛擬化在線管理系統對虛擬資源進行管理；虛擬化在線管理系統支持虛擬機服務器的彈性擴容；虛擬機映像文件妥善保存并加密，防止攻擊者獲取映像或快照。虛擬機的遷移當虛擬機實例從一臺硬件服務器轉移到另外一臺硬件服務器時，實時對其過程進行審計、監控和告警。虛擬機實例遷移后，消除原有物理機上磁盤和內存數據，使得虛擬機實例無法恢復。存儲虛擬機數據的磁盤報廢、送修前，所有的存儲介質均必須消磁后方能進行下一步操作，從而避免數據泄露的安全風險。主機身份鑒別采用堡壘機方式登錄服務器，堡壘機支持用戶名+靜態密碼+動態口令的方式對用戶身份標識和鑒別；設置VPN賬號服務器對VPN用戶接入身份標識和鑒別；各類服務器的所有賬號均設置口令，口令設置參考“微型管理端”中相關要求，禁用不需要的賬號；啟用登錄失敗處理功能，設定賬戶鎖定閥值和賬戶鎖定時間；采用加密傳輸的遠程桌面管理工具管理服務器；各類賬號的設置均是唯一性，以便追溯到用戶；主機訪問控制堡壘機根據每個賬戶需求，設定有的權限列表key，用戶根據相應的權限列表key對系統資源進行訪問；關閉或禁用所有系統默認賬戶；禁止多人共用一個賬戶。主機安全審計采用實時審計功能對用戶名、時間、事件、所做操作予以記錄；對觸發超出權限的操作予以郵件報警并通知管理員；保證審計記錄無法被刪除；定期查看和備份審計記錄。主機入侵防范操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。主機惡意代碼防范架設防病毒服務器，實時自動下載、更新防病毒軟件及病毒定義；各類服務器統一安裝病毒服務器的客戶端程序，不在同一服務器上安裝有兩種及以上防病毒客戶端程序；每臺服務器開啟防病毒客戶端實時監控功能，定期進行計算機病毒檢測，并保持防毒軟件或病毒特征庫的實時更新。主機資源控制采用第三方主機監控系統對服務器CPU、硬盤、內存、網絡等資源予以監控。主機備份及恢復支持實時備份，備份至少保留三個副本。應用安全安全開發建立SDL（安全開發流程），參與到需求分析、產品設計、開發編碼、產品測試、系統發布過程中，通過軟件開發的螺旋開發模式，考慮系統安全性。需求分析階段：根據功能需求文檔進行安全需求分析，針對業務內容、業務流程、技術框架進行溝通，形成《安全需求分析建議》，并與業務方、開發人員就其中建議達成共識；根據項目特征，與測試人員溝通安全測試關鍵點，形成《安全測試建議》。產品設計階段：結合《安全需求分析建議》，評審產品設計文檔。同時根據產品設計文檔，對產品設計中采用的技術進行安全評估，形成《產品設計安全建議》，并與開發人員就安全建議達成共識。開發編碼階段：開發過程中開發需要遵守各類《安全開發規范》，避免出現不安全的代碼。產品測試階段：產品測試分為產品代碼掃描、產品黑盒測試和產品手工測試三個部分。產品白盒測試：在產品代碼發布后，使用代碼掃描工具，對產品代碼進行白盒掃描，輸出《代碼掃描報告》，開發人員根據報告中的風險點進行安全加固。產品黑盒測試：在產品代碼提交后，使用黑盒掃描工具，對產品進行黑盒掃描，輸出《安全測試報告》的黑盒工具掃描部分，開發人員根據報告中的風險點進行安全加固。產品手工測試：根據《安全測試建議》，針對產品白盒測試、黑盒測試中不能覆蓋點，進行手動測試。在產品安全測試過程中出現的安全漏洞，視同產品BUG，需要開發工程師重新編碼修補，并且經過重新測試認可，最終輸出《安全審核報告》。系統發布階段：對系統發布進行嚴格管理，只有在經過產品測試，并且得到《安全審核報告》許可后，系統才能發布到線上環境，以防止產品攜帶安全漏洞在生產環境運行。應用身份鑒別應用設計有專門的登錄模塊，并支持口令和用戶名方式、安全控件；支持通過手機短信方式獲取動態口令；具備身份標識唯一性檢查功能；具備用戶身份鑒別信息復雜度檢查功能，口令長度要求6位，包含數字、大小寫字母；不允許存在空口令帳戶；若登錄多次未成功，設計需要輸入驗證碼，下次登錄成功后回提示之前登錄信息。安全保障系統網頁漏洞檢測對網站面臨的SQL注入、xss跨站腳本等各項高危安全漏洞進行檢測。網站掛馬檢測通過靜態分析技術與虛擬機沙箱檢測技術相結合，對網站進行掛馬檢測。防Ddos服務部署專業防Ddos設備來抵御SYNflood拒絕服務攻擊。端口安全檢測定期掃描服務器當前開放的端口，降低系統被入侵的風險。異地登錄提醒根據網站用戶的登錄習慣進行分析并建立模型，對異地登錄提醒通過掃描訪問日志實時發現異常登錄行為，并以短信或郵件的方式通知用戶，避免非授權登錄可能造成的損害。主機密碼暴力破解防御提供密碼破解防御實時發現非法入侵。網站后門檢測通過掃描訪問URL實時發現網站后門，并以短信或郵件的方式通知管理員。辦公管理端信息安全建設機房物理安全辦公網機房建設在具備基本的防震、防風、防雨能力的建筑物內，建筑物需要設置避雷針、機房應設置交流電源底線；機房房頂上、活動地板下不得有水管穿過；機房設置防水層防止雨水滲入，機房窗戶保持關閉；機房內需要配備手動滅火器或自動氣體消防設備，定期檢查、維護消防器具，并保留運行記錄、維護記錄和報警記錄；機房出入口需要設置24小時視頻監控，機房設置門禁系統或上鎖，非機房管理員進出機房需要機房管理員郵件審批并陪同；機房所有設備放置于機架上并固定，機架、設備、線纜標識資產標簽，機房內線纜采用上走線，機房電源線和通信線纜隔離鋪設，用于備份的磁帶、硬盤等存儲介質分類標識并放置于專用柜中，機房內設置無盲區24小時視頻監控，視頻監控信息保留3個月，視頻探頭、監控記錄定期檢查；機房采用自動空調或精密空調將機房溫度控制在23℃±3℃，濕度40%~55%并保持空調系統7*24小時工作正常；機房采用靜電地板、接地的方式防止靜電；機房內采用具有穩壓功能的UPS，保證短期電力供應。網絡安全網絡安全域的劃分按照“辦公管理端”局域網的安全需求，可劃分為互聯網接入區、服務器接入區、辦公終端接入區三個安全域；安全域描述。辦公管理端網絡安全域描述安全域描述互聯網接入區用于外部互聯網絡接入服務器接入區用于內網網站、內部公文流轉平臺、域控服務器、防病毒服務器、補丁管理服務器、VPN接入，僅允許內部員工訪問辦公終端接入區用于內部員工終端網絡接入，僅允許內部員工訪問網絡結構對匯聚層網絡設備應考慮硬件冗余；互聯網接入應保證足夠帶寬以滿足內網用戶的需求；應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，采用VLAN技術劃分不同的子網或網段。入侵防范在網絡出口通過設置訪問控制列表和防火墻，防止外部網絡攻擊。網絡訪問控制各安全域采用訪問控制列表技術實現源、目的地址的端口級訪問控制。安全審計應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。網絡設備防護包括：采用用戶名+口令的方式對登錄網絡設備的用戶進行身份鑒別；采用綁定網絡設備管理員地址的方式對網絡設備的登陸路徑予以限制；登陸網絡設備的用戶名具有唯一性；登陸網絡設備的console應配置口令，console口令及各類遠程登陸口令均應滿足長度8位及以上，包含字母和數字，每三個月定期修改口令；網絡設備啟用登錄失敗處理功能，設備登陸3次驗證失敗后自動退出；網絡登錄連接超時自動退出時間<5分種；遠程登陸網絡設備采用SSH、HTTPS等加密登陸方式。備份及恢復每周定期備份網絡設備的操作系統及配置。主機安全主機身份鑒別設置域賬號服務器對用戶登陸操作進行身份標識和鑒別；設置VPN賬號服務器對VPN用戶接入身份標識和鑒別；各類服務器的所有賬號均設置口令，口令設置參考“微型管理端”中相關要求，禁用不需要的賬號；啟用登錄失敗處理功能，設定賬戶鎖定閥值和賬戶鎖定時間；采用加密傳輸的遠程桌面管理工具管理服務器；域賬號、VPN賬號的設置均唯一性，以便追溯到用戶。主機訪問控制啟用訪問控制功能，依據安全策略控制用戶對資源的訪問，除非必需，關閉缺省共享目錄；重新命名管理員賬戶。主機安全審計啟用主機審計功能，覆蓋對賬戶登錄事件、賬戶管理、目錄服務訪問、登錄事件、對象訪問、策略更改、系統事件等類型的審核記錄，事件記錄包含日期、時間、類型、主體標識、客體標識和結果等信息；定期查看和備份審計記錄。主機入侵防范操作