• 现行
  • 正在执行有效
  • 2017-12-29 颁布
  • 2018-07-01 实施
©正版授权
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第1页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第2页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第3页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第4页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第5页
免费预览已结束,剩余11页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T35281—2017

信息安全技术移动互联网

应用服务器安全技术要求

Informationsecuritytechnology—

Securitytechniquerequirementsforapplicationserversinmobileinternet

2017-12-29发布2018-07-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T35281—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

资产分类

4…………………2

设备资产

4.1……………2

系统资产

4.2……………2

业务资产

4.3……………2

用户数据资产

4.4………………………2

安全框架

5…………………3

数据安全

6…………………3

数据自身安全

6.1………………………3

数据防护安全

6.2………………………3

业务安全

7…………………4

业务安全构成

7.1………………………4

一般业务安全

7.2………………………4

特定业务安全

7.3………………………4

系统安全

8…………………5

操作系统安全

8.1………………………5

中间件安全

8.2…………………………5

数据库安全

8.3…………………………6

设备安全

9…………………6

协议安全

10…………………6

标准协议安全

10.1………………………6

私有协议安全

10.2………………………6

运维安全

11…………………6

安全配置

11.1……………6

安全监控

11.2……………6

安全审计

11.3……………7

恶意代码防护

11.4………………………7

备份与故障恢复

11.5……………………7

附录资料性附录安全风险分析

A()……………………8

参考文献

……………………10

GB/T35281—2017

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息通信研究院浙江蚂蚁小微金融服务集团股份有限公司中国移动通信

:、、

集团公司中国电信股份有限公司广东研究院北京邮电大学

、、。

本标准主要起草人潘娟宁华陈泓汲刘陶翟世俊落红卫张滨金华敏徐国爱邱勤

:、、、、、、、、、。

GB/T35281—2017

引言

移动互联网应用服务器承载着各类移动应用业务涉及众多有价值的敏感信息资源因此易成为被

,,

攻击的目标随着移动互联网应用对在线服务的依赖程度逐渐加深应用服务器的重要程度也与日俱

。,

增如果其中存在安全问题轻则致使大量用户无法正常使用移动互联网应用提供的各类业务重则可

,,,

能导致用户信息遭到大规模泄露等安全风险

本标准主要针对移动互联网应用服务器提出安全技术要求通过规范应用服务器安全实现和运维

,,

强化服务器端技术和管理安全水平完善整个移动互联网的安全架构确保用户权益不受损害维护产

,,,

业有序健康发展

GB/T35281—2017

信息安全技术移动互联网

应用服务器安全技术要求

1范围

本标准规定了移动互联网应用服务器的安全技术要求包括数据安全业务安全系统安全设备安

,、、、

全协议安全和运维安全等

、。

本标准适用于支持承载各类移动互联网应用业务的计算机系统可用于指导移动互联网应用服务

,

器开发部署管理运维和测试评估也适用于相关产品的测试和服务等

、、,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息系统通用安全技术要求

GB/T20271—2006

信息安全技术操作系统安全技术要求

GB/T20272—2006

信息安全技术服务器安全技术要求

GB/T21028—2007

信息安全技术术语

GB/T25069—2010

信息安全技术云计算服务安全能力要求

GB/T31168—2014

中国金融移动支付应用安全规范

JR/T0095—2012

3术语和定义缩略语

31术语和定义

.

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

311

..

移动互联网mobileinternet

用户使用移动终端

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论