信息安全技術(shù) 中小企業(yè)電子商務(wù)信息安全建設(shè)指南-編制說明

PAGE4PAGE1.項(xiàng)目背景當(dāng)前，全球商業(yè)活動(dòng)日趨電子化、網(wǎng)絡(luò)化。這種基于網(wǎng)絡(luò)的新型商務(wù)模式具有效率高、成本低、不受限等種種優(yōu)勢(shì)，也不斷改變著企業(yè)經(jīng)營(yíng)模式與管理理念，被稱為21世紀(jì)最具活力的經(jīng)濟(jì)增長(zhǎng)點(diǎn)，眾所周知的亞馬遜、阿里巴巴等電子商務(wù)網(wǎng)站就是其中的典型代表。另一方面，電子商務(wù)的重要特征就是在線信息化，這勢(shì)必涉及到信息的傳輸與獲取，隨之而來的各類信息安全問題及其隱患就層出不窮，常常會(huì)遭遇信息被截獲、篡改、偽造等各類安全威脅，從而帶來重大商業(yè)乃至聲譽(yù)損失。因此，安全是電子商務(wù)不可或缺的基礎(chǔ)性條件，是否能有效地防范風(fēng)險(xiǎn)、規(guī)避攻擊、提升保障質(zhì)量將成為制約電子商務(wù)快速、健康發(fā)展迫切而緊要的問題。本標(biāo)準(zhǔn)研制的目的就是為推進(jìn)在我國(guó)電子商務(wù)中的應(yīng)用，特別是中小企業(yè)電子商務(wù)的應(yīng)用，指導(dǎo)電子商務(wù)信息安全建設(shè)，為電子商務(wù)的持續(xù)發(fā)展提供支撐。（1）企業(yè)特別是中小企業(yè)的技術(shù)、管理等人員對(duì)電子商務(wù)信息安全建設(shè)理解不一，建設(shè)程度也參差不齊，留下了許多安全隱患。電子商務(wù)安全問題不僅僅局限于互聯(lián)網(wǎng)及平臺(tái)自身，在平臺(tái)的規(guī)劃與設(shè)計(jì)方面也存在較多安全隱患。當(dāng)前，相關(guān)管理與軟件設(shè)計(jì)等人員技術(shù)水平及整體素質(zhì)參差不齊，導(dǎo)致企業(yè)在電子商務(wù)的規(guī)劃與設(shè)計(jì)階段就很少關(guān)注安全問題，未及時(shí)進(jìn)行安全自我檢查及代碼程序檢查，這就給網(wǎng)站運(yùn)行造成嚴(yán)重的安全漏洞，引發(fā)大量信息安全問題。項(xiàng)目的研制將為相關(guān)人員提供技術(shù)和管理參考。（2）有效提升全國(guó)中小電子商務(wù)企業(yè)信息安全水平，為電子商務(wù)的深入發(fā)展提供安全保障。目前我國(guó)電子商務(wù)安全問題比較突出。據(jù)調(diào)查統(tǒng)計(jì)，電子商務(wù)企業(yè)受到木馬、病毒、蠕蟲、網(wǎng)絡(luò)釣魚、分布式拒絕服務(wù)攻擊(DDOS)等攻擊也較為普遍，其中有86%的企業(yè)受到木馬植入，57%的企業(yè)受到病毒攻擊，35%的企業(yè)受到DDOS攻擊。電子商務(wù)安全問題不僅僅局限于互聯(lián)網(wǎng)及平臺(tái)方面，在平臺(tái)設(shè)計(jì)方面也存在較多安全隱患。為此，項(xiàng)目的研制將結(jié)合電子商務(wù)企業(yè)信息安全建設(shè)中的實(shí)際問題，切實(shí)為企業(yè)提供指導(dǎo)，有效提升全國(guó)同類企業(yè)信息安全水平，為電子商務(wù)的深入發(fā)展提供安全保障。2.標(biāo)準(zhǔn)制定工作概況2.1任務(wù)來源根據(jù)浙江省經(jīng)濟(jì)與信息化委員會(huì)提出的國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目建議，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2011年11月30日印發(fā)《關(guān)于通報(bào)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2011年信息安全標(biāo)準(zhǔn)項(xiàng)目的通知(信安秘字[2011]046號(hào))》，下達(dá)了《中小企業(yè)電子商務(wù)信息安全建設(shè)指南》國(guó)家標(biāo)準(zhǔn)的起草制定任務(wù)。2.2標(biāo)準(zhǔn)起草單位和起草人《中小企業(yè)電子商務(wù)信息安全建設(shè)指南》由浙江省標(biāo)準(zhǔn)化研究院、阿里巴巴（中國(guó)）有限公司、浙江工商大學(xué)等共同起草，主要起草人員為：。2.3主要工作過程為使本標(biāo)準(zhǔn)的制定符合國(guó)家標(biāo)準(zhǔn)的編寫要求，其內(nèi)容準(zhǔn)確、合理與切合實(shí)際，且在運(yùn)行過程中具有可控制、可操作。在制定標(biāo)準(zhǔn)時(shí)力求科學(xué)性、可操作性，以科學(xué)、謹(jǐn)慎態(tài)度，充分參考相關(guān)標(biāo)準(zhǔn)，在對(duì)中小電子商務(wù)企業(yè)作相關(guān)調(diào)查研究和聽取有關(guān)人員及業(yè)內(nèi)人士意見的基礎(chǔ)上，結(jié)合我國(guó)中小企業(yè)電子商務(wù)信息安全建設(shè)實(shí)際現(xiàn)狀，經(jīng)過調(diào)查匯總、綜合分析、充分驗(yàn)證資料、多次討論研究和反復(fù)修改，最終確定本標(biāo)準(zhǔn)的主要內(nèi)容和完成編制《中小企業(yè)電子商務(wù)信息安全建設(shè)指南》的起草工作。具體過程如下：1）接到標(biāo)準(zhǔn)制定任務(wù)后，任務(wù)歸口部門浙江省經(jīng)濟(jì)與信息化委員會(huì)立即向本標(biāo)準(zhǔn)提出單位浙江省標(biāo)準(zhǔn)化研究院制定任務(wù)，并向社會(huì)公開征集參與起草單位。來自電子商務(wù)企業(yè)、院校等10余為專家代表組成了起草小組。參照GB/T20269《信息安全技術(shù)信息系統(tǒng)安全管理要求》、GB/T20271《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》等標(biāo)準(zhǔn)性文件，同時(shí)查閱了國(guó)內(nèi)國(guó)際等相關(guān)文獻(xiàn)資料，結(jié)合我國(guó)電子商務(wù)企業(yè)的實(shí)際情況，起草了本標(biāo)準(zhǔn)的討論稿。2）2012年2月，項(xiàng)目組召開會(huì)議，會(huì)議對(duì)標(biāo)準(zhǔn)的框架、范圍、主要內(nèi)容等進(jìn)行了討論，并明確了小組成員的分工。3）隨后小組成員分頭收集了關(guān)于電子商務(wù)信息技術(shù)安全、管理安全、應(yīng)用安全要求及電子商務(wù)企業(yè)對(duì)信息安全需求等，并對(duì)標(biāo)準(zhǔn)草案進(jìn)行了多次修改。4）2012年5月，召開了專家研討會(huì)，對(duì)草案進(jìn)行了修改，上報(bào)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)。5）2012年9月，標(biāo)準(zhǔn)起草小組第三次會(huì)議在杭州召開，經(jīng)過討論，起草小組成員對(duì)《中小企業(yè)電子商務(wù)信息安全建設(shè)指南》討論稿的總體結(jié)構(gòu)進(jìn)行了修改并達(dá)成一致，對(duì)部分術(shù)語、技術(shù)內(nèi)容的表述等做了修改。6）2012年10月，為了解現(xiàn)中小企業(yè)電子商務(wù)信息安全實(shí)際情況，開展部分中小企業(yè)電子商務(wù)信息安全的調(diào)查研究，同時(shí)征集部分企業(yè)意見。7）2012年11月，標(biāo)準(zhǔn)起草小組匯總整理了部分返回單位的意見后，在杭州召開了第四次會(huì)議，對(duì)部分內(nèi)容進(jìn)行調(diào)整，補(bǔ)充了附錄，完成文本上報(bào)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)。8）2013年5月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)第五工作組（TC260/WG5）于在杭州市組織召開了國(guó)家標(biāo)準(zhǔn)《中小企業(yè)電子商務(wù)信息安全建設(shè)指南》（草案）審查會(huì)，聽取了標(biāo)準(zhǔn)起草單位浙江省標(biāo)準(zhǔn)化研究院關(guān)于標(biāo)準(zhǔn)的編制說明和文本介紹，經(jīng)質(zhì)詢與討論，專家組一致同意該標(biāo)準(zhǔn)草案通過審查。編制組根據(jù)專家意見修改完善。3．標(biāo)準(zhǔn)編制原則和標(biāo)準(zhǔn)主要內(nèi)容3.1標(biāo)準(zhǔn)編制原則制訂《中小企業(yè)電子商務(wù)信息安全建設(shè)指南》國(guó)家標(biāo)準(zhǔn)以科學(xué)、客觀、合理、適用為原則，通過本標(biāo)準(zhǔn)提出中小企業(yè)電子商務(wù)安全威脅、需求與建設(shè)基本原則，安全建設(shè)總體框架，安全技術(shù)要求，業(yè)務(wù)應(yīng)用安全，管理安全，電子商務(wù)信息安全建設(shè)，電子商務(wù)安全管理建設(shè)等方面的要求主要依據(jù)現(xiàn)行相關(guān)國(guó)家標(biāo)準(zhǔn)、法規(guī)文件，并考慮中小電子商務(wù)企業(yè)信息安全的實(shí)際情況而定。3.2確定主要內(nèi)容的依據(jù)及說明本標(biāo)準(zhǔn)遵循GB/T1.1-2000《標(biāo)準(zhǔn)化工作導(dǎo)則》的規(guī)定，具體內(nèi)容主要包括以下幾個(gè)部分：3.2.1范圍本指導(dǎo)性技術(shù)文件確立中小企業(yè)電子商務(wù)信息安全建設(shè)總體架構(gòu)，為中小企業(yè)電子商務(wù)信息安全建設(shè)所涉及的信息安全技術(shù)、信息安全管理、信息安全的業(yè)務(wù)應(yīng)用等方面安全要求的實(shí)施提供指導(dǎo)。本指導(dǎo)性技術(shù)文件適用于企業(yè)或個(gè)人開展中小企業(yè)電子商務(wù)信息安全建設(shè)工作，為電子商務(wù)管理人員、工程技術(shù)人員等相關(guān)人員進(jìn)行信息安全建設(shè)提供管理和技術(shù)參考。3.2.2規(guī)范性引用文件本章內(nèi)容列出了該標(biāo)準(zhǔn)制定過程中采用參考的標(biāo)準(zhǔn)。3.2.3術(shù)語與定義本章內(nèi)容給出了電子商務(wù)和信息安全等定義，幫助標(biāo)準(zhǔn)使用者對(duì)該標(biāo)準(zhǔn)的理解。3.2.4縮略語本章內(nèi)容列出了該標(biāo)準(zhǔn)中使用的縮略語。3.2.5中小企業(yè)電子商務(wù)安全威脅、需求與建設(shè)基本原則本章內(nèi)容給出了電子商務(wù)安全威脅、需求與建設(shè)基本原則主要依據(jù)標(biāo)準(zhǔn)編制組調(diào)研企業(yè)實(shí)際情況而確定。3.2.6中小企業(yè)電子商務(wù)分類與分域控制要求本章內(nèi)容給出了平臺(tái)模式和店鋪模式網(wǎng)絡(luò)結(jié)構(gòu)，電子商務(wù)系統(tǒng)信息分類、應(yīng)用分類與防護(hù)、分域控制策略等要求。3.2.7中小企業(yè)電子商務(wù)信息安全支撐平臺(tái)本章內(nèi)容給出了安全支撐平臺(tái)各個(gè)部分的要求，包括系統(tǒng)安全管理、運(yùn)營(yíng)風(fēng)險(xiǎn)控制認(rèn)證體系、安全互聯(lián)與邊界防護(hù)、主機(jī)安全、局域網(wǎng)安全和應(yīng)用安全。3.2.8電子商務(wù)信息安全建設(shè)本章內(nèi)容給出了信息安全建設(shè)流程，并提出各部分要求。3.2.9附錄附錄A為典型模式網(wǎng)絡(luò)結(jié)構(gòu)圖，附錄B為電子商務(wù)信息安全建設(shè)案例，附錄C為電子商務(wù)項(xiàng)目開發(fā)過程安全管理案例4．效果預(yù)測(cè)本標(biāo)準(zhǔn)的發(fā)布，可以指導(dǎo)企業(yè)開展中小企業(yè)電子商務(wù)信息安全建設(shè)工作，提供詳細(xì)的操作細(xì)則和建議，非常符合當(dāng)前電子商務(wù)信息安全的實(shí)際需要，為電子商務(wù)的持續(xù)發(fā)展提供支撐。5.國(guó)內(nèi)外現(xiàn)行相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)情況5.1目前國(guó)內(nèi)尚無電子商務(wù)信息安全建設(shè)方面的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)。5.2國(guó)外相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)未能查閱到。5.3該標(biāo)準(zhǔn)為首次制定，與有關(guān)法律、法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)協(xié)調(diào)一致。6.重大意見分岐的處理結(jié)果和依據(jù)該標(biāo)準(zhǔn)制訂過程中，未出現(xiàn)重大意見分歧。7．廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議該標(biāo)準(zhǔn)制訂實(shí)施后，無需廢止其它標(biāo)準(zhǔn)。8．標(biāo)準(zhǔn)實(shí)施的理由本標(biāo)準(zhǔn)重在指導(dǎo)建議，提供中小電子商務(wù)企業(yè)參考和借鑒，因此，不涉及具體的安全技術(shù)指標(biāo)，