GB/T 31506-2015信息安全技术政府门户网站系统安全技术指南

ICS35040

L80.

中华人民共和国国家标准

GB/T31506—2015

信息安全技术

政府门户网站系统安全技术指南

Informationsecuritytechnology—

Securitytechnologyguidelinesforwebportalsystemofgovernment

2015-05-15发布2016-01-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T31506—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

概述

5………………………2

逻辑结构及运行模式

5.1………………2

安全目标及防护措施

5.2………………3

基本级安全技术措施

6……………………5

运行支撑

6.1……………5

物理安全

6.2……………6

边界安全

6.3……………6

服务器安全

6.4…………………………7

管理终端安全

6.5………………………8

应用安全

6.6Web………………………9

域名安全

6.7……………11

内容发布及数据安全

6.8………………11

攻击防范

6.9……………12

安全监控与应急响应

6.10……………12

增强级安全技术措施

7……………………13

运行支撑

7.1……………13

物理安全

7.2……………14

边界安全

7.3……………15

服务器安全

7.4…………………………16

管理终端安全

7.5………………………17

应用安全

7.6Web………………………18

域名安全

7.7……………20

内容发布及数据安全

7.8………………21

攻击防范

7.9……………22

安全监控与应急响应

7.10……………22

附录规范性附录高级安全技术措施

A()………………24

Ⅰ

GB/T31506—2015

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位北京信息安全测评中心中国信息安全研究院有限公司首都之窗运行管理中心

:、、。

本标准主要起草人刘海峰钱秀槟左晓栋张晓梅闵京华赵章界李晨旸李媛梁博王春佳

:、、、、、、、、、、

胡冰李垚陈萍王喆

、、、。

Ⅲ

GB/T31506—2015

引言

由于网站具有面向互联网提供信息服务的特点带有多种动机的攻击者可能会利用互联网网站的

,

开放性和交互性进行漏洞探测进而实施非授权访问页面篡改信息窃取或拒绝服务攻击政府门户

,、、。

网站系统由于其代表政府的特殊属性与普通网站相比更容易遭到来自互联网的攻击

,。

为了提高政府网站包括防篡改防泄露防中断防恶意控制在内的综合安全防范能力为各类政府

、、、,

机构保障网站安全提供技术指导特制定本标准

,。

Ⅳ

GB/T31506—2015

信息安全技术

政府门户网站系统安全技术指南

1范围

本标准给出了政府门户网站系统安全技术控制措施

。

本标准适用于指导政府部门开展门户网站系统安全技术防范工作也可作为对政府门户网站系统

,

实施安全检查的依据

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机场地通用规范

GB/T2887—2011

信息安全技术信息系统安全等级保护基本要求

GB/T22239—2008

信息安全技术信息系统安全等级保护定级指南

GB/T22240—2008

信息安全技术术语

GB/T25069—2010

电子信息系统机房设计规范

GB/T50174—2008

3术语和定义

界定的以及下列的术语和定义适用于本文件

GB/T25069—2010。

31

.

政府门户网站webportalofgovernment

政府机构为利用互联网发布政务信息提供在线服务开展互动交流等而建立的网站包括为用户

、、,

提供展示和交互功能的页面及生成和处理页面的应用程序中间件等