GB/T 35281-2017信息安全技术　移动互联网应用服务器安全技术要求.pdf

ICS 35.040 L 80 OB 中华人民共和国国家标准 GB/T 35281—2017 信息安全技术移动互联网 应用服务器安全技术要求 Information security technology — Security technique requirements for application servers in mobile internet 2017-12-29 发布 2018-07-01 实施 发布 GB/T 35281—2017 目 次 .-a.Z-A T 冃U有 I 引言 n i范围i 2规范性引用文件1 3术语和定义、缩略语 1 4资产分类 2 4.1 设备资产2 4.2系统资产2 4.3 业务资产 2 4.4用户数据资产 2 5安全框架 3 6 数据安全 3 6.1 数据自身安全 3 6.2数据防护安全 3 7 业务安全4 7.1 业务安全构成 4 7.2 一般业务安全 4 7.3 特定业务安全 4 8 系统安全 5 8.1 操作系统安全5 8.2中间件安全5 8.3数据库安全6 9 设备安全 6 10 协议安全 6 10.1标准协议安全 6 10.2私有协议安全 6 11运维安全 6 11.1安全配置6 11.2 安全监控6 11.3 安全审计7 11.4恶意代码防护 7 11.5备份与故障恢复 7 附录A （资料性附录 ）安全风险分析8 参考文献 10 GB/T 35281—2017 ■ r ■ —— 刖 弓 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。 本标准起草单位：中国信息通信研究院、浙江蚂蚁小微金融服务集团股份有限公司、中国移动通信 集团公司、中国电信股份有限公司广东研究院、北京邮电大学。 本标准主要起草人:潘娟 、宁华、陈泓汲、刘陶、翟世俊、落红卫、张滨、金华敏、徐国爱、邱勤。 T GB/T 35281—2017 引 言 移动互联网应用服务器承载着各类移动应用业务，涉及众多有价值的敏感信息资源 ，因此易成为被 攻击的目标 。随着移动互联网应用对在线服务的依赖程度逐渐加深 ，应用服务器的重要程度也与日俱 增，如果其中存在安全问题 ，轻则致使大量用户无法正常使用移动互联网应用提供的各类业务，重则可 能导致用户信息遭到大规模泄露等安全风险。 本标准主要针对移动互联网应用服务器提出安全技术要求，通过规范应用服务器安全实现和运维， 强化服务器端技术和管理安全水平，完善整个移动互联网的安全架构，确保用