GB/T 31506-2022信息安全技术政务网站系统安全指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T31506—2022

代替GB/T31506—2015

信息安全技术政务网站系统安全指南

Informationsecuritytechnology—

Securityguidelinesforwebsitesystemofgovernmentaffairs

2022-04-15发布2022-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31506—2022

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

概述

5………………………2

安全目标及防护措施

5.1………………2

常见运行模式及安全责任划分

5.2……………………3

安全技术措施

6……………3

物理安全

6.1……………3

通信网络

6.2……………4

区域边界

6.3……………5

内容发布及数据安全

6.4………………6

计算环境

6.5……………6

安全管理中心

6.6………………………10

安全管理措施

7……………12

管理制度

7.1……………12

管理机构

7.2……………12

人员和培训

7.3…………………………12

开发与交付

7.4…………………………13

运行维护

7.5……………14

评估检查

7.6……………16

密码管理

7.7……………16

系统退出

7.8……………16

附录资料性政务网站系统基本结构

A()………………17

附录资料性政务网站系统安全措施级别选择

B()……………………19

附录规范性安全措施分级表

C()………………………20

附录资料性编码安全措施表

D()………………………22

参考文献

……………………23

GB/T31506—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规

GB/T1.1—2020《1:》

定起草

。

本文件代替信息安全技术政府门户网站系统安全技术指南与

GB/T31506—2015《》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T31506—2015,,:

结合标准名称变更及内容在范围中增加了安全管理措施等内容见第章

———,(1);

更改了的术语和定义见第章年版的

———3.1~3.3(3,20153.1~3.3);

增加了全文中的英文缩略语见第章

———(4);

重新描述了第章概述删除了网站系统逻辑结构和网站系统组成结构更改了网站安全目标

———5,,

和防护措施以及运行模式的内容见第章年版的第章

(5,20155);

调整分类为物理安全通信网络区域边界内容发布及数据安全计算环境安全管理中心管

———、、、、、、

理制度管理机构人员和培训开发与交付运行维护评估检查密码管理系统退出见第

、、、、、、、(6

章和第章年版的第章和第章

7,201567);

完善了各分类中具体安全防护措施内容见第章和第章年版的第章和第章

———(67,201567);

删除了附录规范性附录高级安全技术措施年版的附录

———A()(2015A)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位北京信息安全测评中心中电数据服务有限公司首都之窗运行管理中心中电长

:、、、

城网际系统应用有限公司黑龙江省网络空间研究中心北京市城乡经济信息中心杭州安恒信息技术

、、、

股份有限公司北京天融信网络安全技术有限公司桂林电子科技大学湖北省标准化与质量研究院陕

、、、、

西省信息化工程研究院新华三技术有限公司深圳开源互联网安全技术有限公司武汉网安教育科技

、、、

有限公司国家应用软件产品质量检验检测中心北京神州绿盟科技有限公司北京数字认证股份有限

、、、

公司国家工业信息安全发展研究中心北京北信源软件股份有限公司国家计算机网络应急技术处理

、、、

协调中心远江盛邦北京网络安全科技股份有限公司恒安嘉新北京科技股份公司山谷网安科技

、()、()、

股份有限公司上海市信息安全测评认证中心陕西省网络与信息安全测评中心江苏省电子信息产品

、、、

质量监督检验研究院江苏省信息安全测评中心中国科学院信息工程研究所四川省信息安全测评中

()、、

心北京知道创宇信息技术股份有限公司上海观安信息技术股份有限公司

、、。

本文件主要起草人刘海峰李媛赵章界左晓栋李晨旸闵京华周亚超高磊舒敏李珣

:、、、、、、、、、、

吕延辉张法盛于晓燕马遥贺海林明峰丁勇顾鑫王坤杨洪起潘正泰李振宇查文静王颉

、、、、、、、、、、、、、、

菅志刚王彩虹刘兴安傅大鹏田丽丹刘为华左洪强郑明孙科于忠臣江寰万晓兰刘中

、、、、、、、、、、、、、

王文磊刘玉岭张腾标杨京王丹琛徐佟海谢江姚金龙安高峰杨勃李慧颖姜政伟万耀东

、、、、、、、、、、、、、

徐春蕾

。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2015GB/T31506—2015;

本次为第一次修订

———。

Ⅰ

GB/T31506—2022

信息安全技术政务网站系统安全指南

1范围

本文件给出了在对政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施

。

本文件适用于指导政务部门开展网站系统安全防护工作也可作为对政务网站系统实施安全监督

,

管理和评估检查时的参考

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术软件生存周期过程

GB/T8566—2007

信息安全技术术语

GB/T25069

信息技术软件安全保障规范

GB/T30998—2014

信息安全技术云计算服务安全能力要求

GB/T31168

信息安全技术政府联网计算机终端安全管理基本要求

GB/T32925—2016

信息安全技术安全域名系统实施指南

GB/T33562—2017

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术供应链安全风险管理指南

GB/T36637—2018ICT

信息安全技术电子邮件系统安全技术要求

GB/T37002—2018

信息技术智能移动终端应用软件技术要求

GB/T37729—2019(APP)