GB/T 31506-2022信息安全技術(shù)政務(wù)網(wǎng)站系統(tǒng)安全指南

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31506—2022

代替GB/T31506—2015

信息安全技術(shù)政務(wù)網(wǎng)站系統(tǒng)安全指南

Informationsecuritytechnology—

Securityguidelinesforwebsitesystemofgovernmentaffairs

2022-04-15發(fā)布2022-11-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31506—2022

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

概述

5………………………2

安全目標(biāo)及防護(hù)措施

5.1………………2

常見運(yùn)行模式及安全責(zé)任劃分

5.2……………………3

安全技術(shù)措施

6……………3

物理安全

6.1……………3

通信網(wǎng)絡(luò)

6.2……………4

區(qū)域邊界

6.3……………5

內(nèi)容發(fā)布及數(shù)據(jù)安全

6.4………………6

計(jì)算環(huán)境

6.5……………6

安全管理中心

6.6………………………10

安全管理措施

7……………12

管理制度

7.1……………12

管理機(jī)構(gòu)

7.2……………12

人員和培訓(xùn)

7.3…………………………12

開發(fā)與交付

7.4…………………………13

運(yùn)行維護(hù)

7.5……………14

評估檢查

7.6……………16

密碼管理

7.7……………16

系統(tǒng)退出

7.8……………16

附錄資料性政務(wù)網(wǎng)站系統(tǒng)基本結(jié)構(gòu)

A()………………17

附錄資料性政務(wù)網(wǎng)站系統(tǒng)安全措施級(jí)別選擇

B()……………………19

附錄規(guī)范性安全措施分級(jí)表

C()………………………20

附錄資料性編碼安全措施表

D()………………………22

參考文獻(xiàn)

……………………23

GB/T31506—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)

GB/T1.1—2020《1:》

定起草

。

本文件代替信息安全技術(shù)政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南與

GB/T31506—2015《》,

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

GB/T31506—2015,,:

結(jié)合標(biāo)準(zhǔn)名稱變更及內(nèi)容在范圍中增加了安全管理措施等內(nèi)容見第章

———,(1);

更改了的術(shù)語和定義見第章年版的

———3.1~3.3(3,20153.1~3.3);

增加了全文中的英文縮略語見第章

———(4);

重新描述了第章概述刪除了網(wǎng)站系統(tǒng)邏輯結(jié)構(gòu)和網(wǎng)站系統(tǒng)組成結(jié)構(gòu)更改了網(wǎng)站安全目標(biāo)

———5,,

和防護(hù)措施以及運(yùn)行模式的內(nèi)容見第章年版的第章

(5,20155);

調(diào)整分類為物理安全通信網(wǎng)絡(luò)區(qū)域邊界內(nèi)容發(fā)布及數(shù)據(jù)安全計(jì)算環(huán)境安全管理中心管

———、、、、、、

理制度管理機(jī)構(gòu)人員和培訓(xùn)開發(fā)與交付運(yùn)行維護(hù)評估檢查密碼管理系統(tǒng)退出見第

、、、、、、、(6

章和第章年版的第章和第章

7,201567);

完善了各分類中具體安全防護(hù)措施內(nèi)容見第章和第章年版的第章和第章

———(67,201567);

刪除了附錄規(guī)范性附錄高級(jí)安全技術(shù)措施年版的附錄

———A()(2015A)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位北京信息安全測評中心中電數(shù)據(jù)服務(wù)有限公司首都之窗運(yùn)行管理中心中電長

:、、、

城網(wǎng)際系統(tǒng)應(yīng)用有限公司黑龍江省網(wǎng)絡(luò)空間研究中心北京市城鄉(xiāng)經(jīng)濟(jì)信息中心杭州安恒信息技術(shù)

、、、

股份有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司桂林電子科技大學(xué)湖北省標(biāo)準(zhǔn)化與質(zhì)量研究院陜

、、、、

西省信息化工程研究院新華三技術(shù)有限公司深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司武漢網(wǎng)安教育科技

、、、

有限公司國家應(yīng)用軟件產(chǎn)品質(zhì)量檢驗(yàn)檢測中心北京神州綠盟科技有限公司北京數(shù)字認(rèn)證股份有限

、、、

公司國家工業(yè)信息安全發(fā)展研究中心北京北信源軟件股份有限公司國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理

、、、

協(xié)調(diào)中心遠(yuǎn)江盛邦北京網(wǎng)絡(luò)安全科技股份有限公司恒安嘉新北京科技股份公司山谷網(wǎng)安科技

、()、()、

股份有限公司上海市信息安全測評認(rèn)證中心陜西省網(wǎng)絡(luò)與信息安全測評中心江蘇省電子信息產(chǎn)品

、、、

質(zhì)量監(jiān)督檢驗(yàn)研究院江蘇省信息安全測評中心中國科學(xué)院信息工程研究所四川省信息安全測評中

()、、

心北京知道創(chuàng)宇信息技術(shù)股份有限公司上海觀安信息技術(shù)股份有限公司

、、。

本文件主要起草人劉海峰李媛趙章界左曉棟李晨旸閔京華周亞超高磊舒敏李珣

:、、、、、、、、、、

呂延輝張法盛于曉燕馬遙賀海林明峰丁勇顧鑫王坤楊洪起潘正泰李振宇查文靜王頡

、、、、、、、、、、、、、、

菅志剛王彩虹劉興安傅大鵬田麗丹劉為華左洪強(qiáng)鄭明孫科于忠臣江寰萬曉蘭劉中

、、、、、、、、、、、、、

王文磊劉玉嶺張騰標(biāo)楊京王丹琛徐佟海謝江姚金龍安高峰楊勃李慧穎姜政偉萬耀東

、、、、、、、、、、、、、

徐春蕾

。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2015GB/T31506—2015;

本次為第一次修訂

———。

Ⅰ

GB/T31506—2022

信息安全技術(shù)政務(wù)網(wǎng)站系統(tǒng)安全指南

1范圍

本文件給出了在對政務(wù)網(wǎng)站系統(tǒng)實(shí)施安全防護(hù)時(shí)可采取的安全技術(shù)措施和安全管理措施

。

本文件適用于指導(dǎo)政務(wù)部門開展網(wǎng)站系統(tǒng)安全防護(hù)工作也可作為對政務(wù)網(wǎng)站系統(tǒng)實(shí)施安全監(jiān)督

,

管理和評估檢查時(shí)的參考

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)軟件生存周期過程

GB/T8566—2007

信息安全技術(shù)術(shù)語

GB/T25069

信息技術(shù)軟件安全保障規(guī)范

GB/T30998—2014

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168

信息安全技術(shù)政府聯(lián)網(wǎng)計(jì)算機(jī)終端安全管理基本要求

GB/T32925—2016

信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南

GB/T33562—2017

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南

GB/T36637—2018ICT

信息安全技術(shù)電子郵件系統(tǒng)安全技術(shù)要求

GB/T37002—2018

信息技術(shù)智能移動(dòng)終端應(yīng)用軟件技術(shù)要求

GB/T37729—2019(APP)