标准解读

《GB/T 35281-2017 信息安全技术 移动互联网应用服务器安全技术要求》是由中国国家标准化管理委员会发布的一项国家标准,主要针对移动互联网环境下的应用服务器提出了具体的安全技术要求。该标准旨在通过定义一系列的技术规范来提升移动互联网应用服务器的安全性,从而保护用户数据不被非法访问或篡改,并确保服务的连续性和可用性。

根据标准内容,它涵盖了物理与环境安全、网络通信安全、主机系统安全、应用软件安全等多个方面的要求。在物理与环境安全部分,强调了对服务器所在数据中心的安全防护措施;在网络通信安全领域,则涉及到了加密传输协议的选择使用、防火墙配置等;对于主机系统而言,需要定期更新补丁以修复已知漏洞,并实施有效的身份验证机制;至于应用软件层面,则需注重代码审查、异常处理以及日志记录等功能的设计实现。

此外,《GB/T 35281-2017》还特别关注到了个人信息保护问题,规定了收集、存储及使用个人敏感信息时应遵循的原则和方法,比如最小化原则(只获取完成业务所必需的信息)、透明度原则(明确告知用户其信息将如何被利用)等。

本标准适用于所有提供移动互联网服务的应用服务器,无论是企业自建还是第三方托管平台均需参照执行。通过遵循这些详细而全面的安全指南,可以有效增强整个系统的防御能力,减少潜在风险。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2017-12-29 颁布
  • 2018-07-01 实施
©正版授权
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第1页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第2页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第3页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第4页
GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求_第5页
免费预览已结束,剩余11页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T35281—2017

信息安全技术移动互联网

应用服务器安全技术要求

Informationsecuritytechnology—

Securitytechniquerequirementsforapplicationserversinmobileinternet

2017-12-29发布2018-07-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T35281—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

资产分类

4…………………2

设备资产

4.1……………2

系统资产

4.2……………2

业务资产

4.3……………2

用户数据资产

4.4………………………2

安全框架

5…………………3

数据安全

6…………………3

数据自身安全

6.1………………………3

数据防护安全

6.2………………………3

业务安全

7…………………4

业务安全构成

7.1………………………4

一般业务安全

7.2………………………4

特定业务安全

7.3………………………4

系统安全

8…………………5

操作系统安全

8.1………………………5

中间件安全

8.2…………………………5

数据库安全

8.3…………………………6

设备安全

9…………………6

协议安全

10…………………6

标准协议安全

10.1………………………6

私有协议安全

10.2………………………6

运维安全

11…………………6

安全配置

11.1……………6

安全监控

11.2……………6

安全审计

11.3……………7

恶意代码防护

11.4………………………7

备份与故障恢复

11.5……………………7

附录资料性附录安全风险分析

A()……………………8

参考文献

……………………10

GB/T35281—2017

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息通信研究院浙江蚂蚁小微金融服务集团股份有限公司中国移动通信

:、、

集团公司中国电信股份有限公司广东研究院北京邮电大学

、、。

本标准主要起草人潘娟宁华陈泓汲刘陶翟世俊落红卫张滨金华敏徐国爱邱勤

:、、、、、、、、、。

GB/T35281—2017

引言

移动互联网应用服务器承载着各类移动应用业务涉及众多有价值的敏感信息资源因此易成为被

,,

攻击的目标随着移动互联网应用对在线服务的依赖程度逐渐加深应用服务器的重要程度也与日俱

。,

增如果其中存在安全问题轻则致使大量用户无法正常使用移动互联网应用提供的各类业务重则可

,,,

能导致用户信息遭到大规模泄露等安全风险

本标准主要针对移动互联网应用服务器提出安全技术要求通过规范应用服务器安全实现和运维

,,

强化服务器端技术和管理安全水平完善整个移动互联网的安全架构确保用户权益不受损害维护产

,,,

业有序健康发展

GB/T35281—2017

信息安全技术移动互联网

应用服务器安全技术要求

1范围

本标准规定了移动互联网应用服务器的安全技术要求包括数据安全业务安全系统安全设备安

,、、、

全协议安全和运维安全等

、。

本标准适用于支持承载各类移动互联网应用业务的计算机系统可用于指导移动互联网应用服务

,

器开发部署管理运维和测试评估也适用于相关产品的测试和服务等

、、,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息系统通用安全技术要求

GB/T20271—2006

信息安全技术操作系统安全技术要求

GB/T20272—2006

信息安全技术服务器安全技术要求

GB/T21028—2007

信息安全技术术语

GB/T25069—2010

信息安全技术云计算服务安全能力要求

GB/T31168—2014

中国金融移动支付应用安全规范

JR/T0095—2012

3术语和定义缩略语

31术语和定义

.

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

311

..

移动互联网mobileinternet

用户使用移动终端

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论