《信息安全技术 中小企业电子商务信息安全建设指南》.docVIP

中华人民共和国国家标准标准化指导性技术文件

GB/ZFORMTEXT?????—FORMTEXT2013

FORMTEXT中小企业电子商务信息安全建设指南

GuideofimplementationforE-commerceinformationsecurityinsmallmediumenterprises

(征求意见稿)

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

ICS35.240.60

L67

GB/ZXXXXX—2013

PAGE27

中小企业电子商务信息安全建设指南

范围

本指导性技术文件给出了中小企业典型模式网络模式分类，电子商务信息分类与分域控制要求，为中小企业电子商务信息安全建设所涉及的信息安全技术、信息安全管理、运营风险控制等方面安全要求的实施提供指导。

本指导性技术文件适用于中小企业的电子商务信息安全建设工作，为电子商务管理人员、工程技术人员等相关人员进行信息安全建设提供管理和技术参考。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20269信息安全技术信息系统安全管理要求

GB/T20275信息安全技术入侵检测系统技术要求和测试评价方法

GB/T20281信息安全技术防火墙技术要求和测试评价方法

GB/T20945信息安全技术信息系统安全审计产品技术要求和测试评价方法

GB/T25068信息技术安全技术IT网络安全

术语与定义

下列术语和定义适用于本指导性技术文件。

中小企业smallandmediumenterprise

中小企业划分为中型、小型、微型三种类型，具体标准根据企业从业人员、营业收入、资产总额等指标，结合行业特点制定。

[符合工业和信息化部、国家统计局、国家发展计划委员会、财政部在2011年共同颁布的《中小企业划型标准规定》中规定的企业。]

电子商务electroniccommerce

以电子形式进行的商务活动。它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方式实现标准化的非结构化或结构化的业务信息的共享，以管理和执行商业、行政和消费活动中的交易。

[GB/T18811-2002,定义3.31]

信息安全informationsecurity

保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查性、不可否认性和可靠性。

[GB/T22081-2008,定义2.5]

分域控制controlbydifferencerealms

将基于电子商务商务系统划分为前端数据处理区域、后端数据处理区域、服务平台安全管理区、办公数据处理区和办公网安全管理区，制定安全策略，提供基于安全域的接入控制、域间信息安全交换等安全机制。

缩略语

下列缩略语适用于本指导性技术文件。

CA证书认证机构（CertificateAuthority）

CRL证书吊销列表（CertificateRevocationList）

DDoS分布式拒绝服务（DistributedDenialofservice）

DTS解码时间戳（DecodeTimeStamp）

HTTP超文本传输协议（HyperTextTransferProtocol）

IDC互联网数据中心（InternetDataCenter）

PKI公钥基础设施（PublicKeyInfrastructure）

SSH完全外壳协议（SecureShell）

VPN虚拟专用网络(VirtualPrivateNetwork)

中小企业电子商务安全威胁、需求与建设基本原则

安全威胁

账户安全

账户安全是电子商务信息安全的基础，账户安全威胁主要来源于账户被盗与垃圾注册，包括但不限于：

账户被盗。欺诈分子会利用钓鱼网站、用户会话截取等方式去获得用户的账户信息，从事一些损害其他用户（如：恶意转账、骚扰其他用户）、或者损害网站本身（如：发违禁信息、或者骚扰网站客服人员）的恶意活动。

垃圾注册。一些欺诈分子或者组织，通过注册大量垃圾账号，以便进一步通过恶意评价来要挟商家。

交易安全

在电子商务交易过程中发生的安全威胁主要包括恶意评价、交易欺诈、不良信息发布等，包括但不限于：

交易欺诈。通过业务漏洞，发布虚假商品等手段，骗取货款或者商品，严重