《农产品质量安全信用系统安全防护技术规范（征求意见稿）》.docx

ICS35.020CCSL77

江苏省地方标准

DB32/TXXXX—XXXX

农产品质量安全信用系统安全防护技术规范

Technicalspecificationofsecurityforcreditsystemsecurityofagriculturalproductqualityandsafety

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

江苏省市场监督管理局发布

I

DB32/TXXXX—XXXX

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5应用系统基本架构 3

6Web类应用风险分析 4

7Web类应用系统的安全防护需求 8

II

DB32/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由南京林业大学提出。

本文件由江苏省农产品质量安全标准化技术委员会归口。本文件起草单位：南京林业大学，南京晓庄学院，南京市

本文件主要起草人：林海峰、王芳、朱南、贺香、高玉侠、王丹、葛冰洋、张建辉、夏丽华、边晋、张能静、周莹、张芮、高勇。

1

DB32/TXXXX—XXXX

农产品质量安全信用系统安全防护技术规范

1范围

本文件规定了农产品质量安全信用系统的基本架构、系统风险分析、安全防护要求、安全防护部署等要求。本文件适用于各类农产品质量安全信用应用系统的规划、开发、测试、部署等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20270信息安全技术网络基础安全技术要求

GB/T20271信息安全技术信息系统通用安全技术要求GB/T20282信息安全技术信息系统安全工程管理要求GB/T21052信息安全技术信息系统物理安全技术要求GB/T22239信息安全技术等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

注入漏洞injectionvulnerability

可以让攻击者通过恶意的内容输入来改变应用程序执行动作的漏洞。

3.2

注入攻击injectionattack

因应用程序对通过SQL语句提交的用户输入内容缺乏必要的过滤机制，攻击者可以在输入的内容

中加入SQL语句以及参数，从而实现数据库操作，如查询、插入、修改等。

3.3

跨站漏洞cross-Sitevulnerability

因开发编程人员在编程的时候对一些变量没有做充分的过滤，或者没做任何的过滤就直接在服务器

上执行用户提交数据，导致跨站攻击。

3.4

跨站攻击cross-sitescripting(XSS)attack

在Web应用中,当用户提交数据与服务器进行交互时,攻击者将恶意脚本隐藏在用户提交的数据中，破坏服务器正常的响应页面；通过社会工程学等方法，诱骗用户点击和访问虚假的页面，达到偷窃用户

2

DB32/TXXXX—XXXX

信息、下载恶意脚本等目的。

3.5

非法上传illegalupload

攻击者利用Web系统漏洞，绕过各种限制上传文件的攻击行为。

3.6

缓冲区溢出bufferoverflow

攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

3.7

非法输入illegalinput

攻击者在动态网页的输入中使用各种非法数据，以实现获取服务器敏感数据的目的。

3.8

网站挂马websitemalwarehosting

攻击者在服务器端插入恶意代码。用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞

从而自动下载并执行恶意程序。

3.9

拒绝服务攻击denialofserviceattack

攻击者通过构造大量的无效请求或利用系统漏洞构造非法请求，耗尽Web服务器或带宽的资源，

导致Web服务器崩溃，使Web服务器不能响应正常用的访问。

3.10

跨站请求伪造c