GB∕T 36316-2018 電子商務平臺數據開放 第三方軟件提供商評價準則VIP

電子商務平臺數據開放第三方軟件提供商評價準則中國國家標準化管理委員會GB/T36316—2018 I 2規(guī)范性引用文件 3術語和定義、縮略語 3.1術語和定義 3.2縮略語 14評價總體框架和評價指標 24.1評價總體框架 4.2評價模塊和子模塊表 5評價方法和結果表示 35.1評價方法 35.2評價方式 35.3結果表示 6判定規(guī)則 46.1功能實現評價模塊 6.2環(huán)境部署評價模塊 66.3使用指導評價模塊 6.4經營管理評價模塊 6.5運維管理評價模塊 6.6評價結論 7評價報告 8擴展原則與方法 參考文獻 I本標準按照GB/T1.1—2009給出的規(guī)則起草。本標準由全國電子業(yè)務標準化技術委員會(SAC/TC83)提出并歸口。本標準起草單位：阿里巴巴(中國)有限公司、中國標準化研究院、國家應用軟件產品質量監(jiān)督檢驗中心、任我行網絡技術有限公司、上海百勝軟件股份有限公司、北京淘寶科技有限公司、友盟同欣(北京)科技有限公司、泉州市晉科技術檢測有限公司、福州優(yōu)之創(chuàng)科技有限公司、安徽藝標信息科技有限公司、東莞快創(chuàng)信息科技有限公司、廣東潮族實業(yè)有限公司、四川紅世財智網絡科技有限公司、成都口口鮮貓信息技術有限公司。黃平。1電子商務平臺數據開放第三方軟件提供商評價準則本標準規(guī)定了電子商務平臺數據開放中的第三方軟件提供商評價的總體框架和評價指標、評價方本標準適用于對電子商務第三方軟件提供商進行評價。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18811—2012電子商務基本術語GB/T35408—2017電子商務質量管理術語GB/T36318—2018電子商務平臺數據開放總體要求3.1術語和定義GB/T35408—2017、GB/T18811—2012和GB/T36318—2018界定的以及下列術語和定義適用于本文件。用于測量第三方軟件提供商特性、子特性或屬性的評價技術包。注：包括評價方法和技術、評價的輸入、待測量和待收集的數據以及支持規(guī)程和工具。實施評價的個體或組織。下列縮略語適用于本文件。API:應用程序接口(ApplicationProgramInterface)ARP:地址解釋協議(AddressResolutionProtocol)DDOS:分布式拒絕服務攻擊(DistributedDenialofService)FTP:文件傳輸協議(FileTransferProtocol)IP:互聯網協議(InternetProtocol)SQL:結構化查詢語言(StructuredQueryLanguage)VPN:虛擬專用網絡(VirtualPrivateNetwork)4評價總體框架和評價指標4.1評價總體框架評價總體框架應符合GB/T36318—2018中第6章的要求。評價總體框架應包括技術要求評價和管理要求評價。技術要求的評價包括功能實現、環(huán)境部署、使用指導三個評價模塊，具體解釋如下：——功能實現評價模塊是對第三方軟件提供商進行軟件功能實現，所開發(fā)的第三方軟件需具備的功能進行評價；——環(huán)境部署評價模塊是對第三方軟件提供商需具備的第三方軟件的部署環(huán)境進行評價；——使用指導評價模塊是對第三方軟件提供商需提供的對第三方軟件的使用指導進行評價。管理要求的評價包括經營管理和運維管理兩個評價模塊，具體解釋如下：——經營管理評價模塊是對第三方軟件提供商在資質、經營、服務等方面進行評價；——運維管理評價模塊是對第三方軟件提供商需提供的對第三方軟件的運維管理方面進行評價。各個評價模塊由若干個評價子模塊以及評價內容構成，實際評價時不限于上述評價模塊、評價子模塊和評價內容。4.2評價模塊和子模塊表評價模塊和子模塊及其評價條件見表1。其中：必備項是指應對電子商務第三方軟件提供商進行評價的項目；可選項是指對電子商務第三方軟件提供商進行評價時的項目；條件可選項是指在一定的條件下需要對電子商務第三方軟件提供商進行評價的項目，比如Web應用防護子模塊，僅適用于提供Web應用軟件的第三方軟件提供商。對于可選項的評價，不影響對電子商務第三方軟件提供商的評價結果，會影響電子商務平臺對電子商務第三方軟件提供商進行選擇性的數據開放。第三方軟件提供商對于可選項的支持程度越高，能從電子商務平臺獲得的數據級別越高。表1第三方軟件提供商評價模塊和子模塊及其評價條件評價類別評價模塊評價子模塊評價條件技術要求功能實現賬號體系必備項賬號口令必備項會話及權限管理必備項審計管理必備項數據安全必備項環(huán)境部署服務器環(huán)境必備項數據庫環(huán)境必備項管理后臺必備項主機系統(tǒng)配置必備項軟件系統(tǒng)配置可選項基礎攻擊防御可選項入侵檢測可選項Web應用防護條件可選項兵3表1(續(xù))評價類別評價模塊評價子模塊評價條件技術要求使用指導系統(tǒng)提示必備項用戶手冊評價可選項管理要求經營管理資質要求必備項經營要求必備項服務管理必備項運維管理運維保障必備項漏洞管理必備項變更管理必備項應急響應必備項文檔管理可選項5評價方法和結果表示5.1評價方法對電子商務第三方軟件提供商的評價方法如下：——確定各子模塊的評價內容，評價內容是最小評價單元；——組合使用多種審查方式，對評價內容進行評價，給出評價結果；——依據評價內容的評價結果，給出子模塊的評價結果；——依據子模塊的評價結果，按照評價規(guī)則給出模塊的評價結果；——依據所有模塊的評價結果，按照評價規(guī)則給出評價結論，并提供相應的評價報告。5.2評價方式評價方式是對評價內容作出評價結論的主要手段，在評價過程中可使用一種評價方式，也可使用多種評價方式的結合形式。主要的評價方式有：——文件審查：對所提供的審核文件的真實性和有效性進行審查，審核文件是指在第三方軟件提供商評價過程中，被評價的提供商根據評價要求需提供的自我聲明、相關文件、證件或證明等材料；——人員訪談：對相關人員，針對評價內容進行訪談；——現場巡查：赴現場了解有關內容，對事實相符性進行查驗；——功能檢查：對軟件進行使用，對軟件功能進行檢查、核驗和測試。5.3結果表示符合評價規(guī)則要求的評價內容、評價子模塊和評價模塊，其結果表示為“通過”;不符合評價規(guī)則要求的評價內容、評價子模塊和評價模塊，其結果表示為“不通過”。評價內容不適用的情況下，不需要評46判定規(guī)則6.1功能實現評價模塊6.1.1賬號體系評價子模塊賬號體系為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)應為不同的用戶分配不同的賬號，確保一個用戶一個賬號，應禁止多人使用同一個賬號；b)軟件系統(tǒng)應及時凍結或禁用多余的、過期的用戶賬號，避免共享賬號的存在；c)軟件系統(tǒng)應及時清理和回收軟件系統(tǒng)相關的開發(fā)賬號、測試賬號和后臺管理賬號及權限，如離職或轉崗時；d)軟件系統(tǒng)應維護自有賬號和電子商務平臺賬號的對應關系；e)軟件系統(tǒng)宜具備保護和管理平臺賬號安全的能力，能及時地識別賬號的異常風險(包括但不限于賬號被盜、暴力破解等問題),并給與及時管控；f)軟件系統(tǒng)宜在識別到用戶賬號存在登錄異常風險時，對用戶賬號進行鎖定一定時間，或者直到管理員啟用該用戶賬號。a)～d)的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.1的評價結果為通過；否則為不通過。6.1.1.le)、f)的要求，為評價可選要求。6.1.2賬號口令評價子模塊賬號口令為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)管理員賬號的初始口令應為系統(tǒng)隨機產生的滿足口令強度要求的口令。b)軟件系統(tǒng)應定期提醒用戶對口令進行修改。c)口令強度同時滿足如下要求：1)軟件系統(tǒng)應保存加密后的口令歷史，并要求新口令與前四次使用的口令不同；2)口令不能為空；3)不得使用默認口令；4)口令長度至少8位以上；5)包括字母大寫、字母小寫、數字、特殊字符其中的三種或以上，不能使用連續(xù)字母或單純數字，不能使用鍵盤上連續(xù)字符；6)不能使用與用戶自身強關聯(如生日、姓名)的單詞。d)軟件系統(tǒng)應提供給用戶口令重置功能，口令重置的功能應經過第三方軟件提供商客服人工確認或者經過“組合鑒別”通過才能生效，且重置后的口令應通過短信、郵件等用戶綁定的可信任的渠道告知用戶。5評價規(guī)則與結果判定的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.2的評價結果為通過；否則為不通過。6.1.3會話及權限管理評價子模塊會話及權限管理為評價必備項，其評價內容包括但不限于：a)當會話空閑超過一定的時間時，軟件系統(tǒng)應要求用戶重新驗證或重新激活會話；b)軟件系統(tǒng)應對登錄軟件系統(tǒng)的用戶進行身份標識和鑒別；c)軟件系統(tǒng)應支持對同一用戶采用兩種或兩種以上組合的鑒別技術(口令驗證、郵箱驗證、短信驗證等)實現用戶身份鑒別；d)在執(zhí)行敏感操作(口令修改或重置)或賬號行為異常的情況下，軟件系統(tǒng)應采用兩種或兩種以上的組合鑒別方式。短信、郵箱驗證可以通過發(fā)送驗證信息到用戶綁定的可信手機號或郵箱中，并且應對驗證信息設置過期時間。的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.3的評價結果為通過；否則為不通過。6.1.4審計管理評價子模塊審計管理為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)應保護所存儲的日志審計記錄的完整性，避免其受到未預期的刪除、修改或覆蓋等；b)軟件系統(tǒng)應保存日志，并滿足一定的時間期限；c)軟件系統(tǒng)應記錄和上報來自用戶端的日志；d)軟件系統(tǒng)應通過調用電子商務開放平臺提供的日志API,記錄和上報軟件系統(tǒng)所有的登錄日志，包括且不限于：用戶登錄軟件系統(tǒng)的日志；軟件系統(tǒng)管理員登錄管理后臺的登錄日志；主機端進行的系統(tǒng)登錄；e)軟件系統(tǒng)應通過調用電子商務開放平臺提供的日志API,記錄和上報用戶通過軟件系統(tǒng)查看、管理、導出訂單的詳細日志；f)軟件系統(tǒng)應通過調用電子商務開放平臺提供的日志API,記錄和上報軟件系統(tǒng)服務器之間的涉及訂單的所有數據通信記錄，包括且不限于：同軟件系統(tǒng)內部的訂單接口訪問；不同軟件系統(tǒng)之間的數據傳遞；g)軟件系統(tǒng)應通過調用電子商務開放平臺提供的日志API,記錄和上報服務器端調用數據庫服務的日志；h)軟件系統(tǒng)宜通過調用電子商務開放平臺提供的日志API,記錄和上報服務器端調用電子商務開放平臺的日志。6.1.4.la)～g)的要求為評價必備要求，同時滿足a)～g)的要求，則6.1.4的評價結果為通過；否則為不通過。66.1.5數據安全評價子模塊數據安全為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)中涉及敏感數據(比如訂單數據)的傳輸應進行加密傳輸和存儲，實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據傳輸保密性；b)軟件系統(tǒng)對用戶口令應使用安全的不可逆的加密算法進行加密保存，防止特權用戶獲取用戶c)軟件系統(tǒng)應對涉及敏感數據(比如電話號碼、郵箱、電子商務平臺昵稱等)的展示，進行脫敏處理(模糊化、匿名處理等);d)軟件系統(tǒng)之間的數據傳遞應經過電子商務開放平臺，軟件系統(tǒng)不允許將數據直接傳遞給不同第三方軟件提供商的軟件系統(tǒng)，不能將數據再次傳遞給其他軟件系統(tǒng)使用，包括同一第三方軟件提供商的不同軟件標識的軟件系統(tǒng)；e)軟件系統(tǒng)中的數據宜部署在安全云主機內，涉及電子商務訂單數據，應使用數據庫進行數據存儲，并且綁定內網IP白名單。a)～d)的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.5的評價結果為通過；否則為不通過。6.1.5.le)的要求，為評價可選要求。6.1.1～6.1.5為評價必備項。同時滿足6.1.1～6.1.5,則軟件功能實現的模塊評價結果為通過；否則為不通過。6.2環(huán)境部署評價模塊6.2.1服務器環(huán)境評價子模塊服務器環(huán)境為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)所處運行環(huán)境應具備快照功能和快照回滾功能，當需要進行數據恢復時，則應根據快照進行恢復；b)應具備端口控制的功能，對服務器上的特殊用途端口進行預留，不可被占用；c)不同的服務器應被劃分到不同的安全域里，安全域應進行網絡隔離，避免因一臺服務器被入侵，所有資源面臨高風險的問題；d)如果同一個第三方軟件提供商有多個軟件系統(tǒng)，第三方軟件提供商應為不同的軟件系統(tǒng)使用不同的軟件標識，不同的軟件系統(tǒng)應獨立部署在不同的服務器中，確保軟件系統(tǒng)之間是被安全隔離的。評價規(guī)則與結果判定a)～c)的要求為評價必備要求，同時滿足a)～c)的要求，則6.2.1評價結果為通過；否則為不7通過。d)的要求，為評價可選項，僅適用于第三方軟件提供商有多個軟件系統(tǒng)的情況。6.2.2數據庫環(huán)境評價子模塊數據庫環(huán)境為評價必備項，其評價內容包括但不限于：a)數據庫應提供數據備份的功能，保證數據庫在出現問題后，數據不丟失；b)數據庫應只允許內網IP連接和訪問，保證網絡的安全；c)數據庫應禁止直接從數據庫中進行數據轉存，并且為了防止數據泄漏，針對大數據量的結果集d)數據庫宜具備數據庫防火墻的功能，防止SQL注入、漏洞入侵、竊取備份等數據庫攻擊。評價規(guī)則與結果判定a)～c)的要求為評價必備要求，同時滿足a)～c)的要求，則6.2.2評價結果為通過；否則為不通過。6.2.3管理后臺評價子模塊管理后臺為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)管理員應限制用戶對軟件系統(tǒng)和管理后臺的登錄，通過VPN撥入或者通過特定的IP登錄；b)軟件系統(tǒng)管理員應通過安全接入VPN來登錄安全域內的主機和管理后臺；c)軟件系統(tǒng)的后臺管理終端應設置屏幕保護程序、鎖屏保護及口令保護功能；d)軟件系統(tǒng)的后臺管理終端應禁用訪客賬戶；e)軟件系統(tǒng)管理員應對軟件系統(tǒng)管理員的默認賬號進行重命名，并修改賬號的默認口令，修改后的口令應達到一定的口令強度；f)軟件系統(tǒng)的后臺管理終端應制定相應的操作系統(tǒng)和必要應用程序的補丁管理計劃，定期或不定期的維護；g)軟件系統(tǒng)的后臺管理終端應僅限于執(zhí)行后臺管理的業(yè)務功能，終端上不得安裝與該業(yè)務功能無關的和來源不明的應用程序；h)軟件系統(tǒng)的后臺管理終端應安裝防病毒軟件，防護范圍包括但不限于病毒、特洛伊木馬、蠕蟲病毒、間諜軟件、廣告軟件和內核型病毒等惡意代碼；i)軟件系統(tǒng)管理員宜定期進行病毒庫更新及全盤殺毒，防病毒軟件應設置有系統(tǒng)全盤掃描計劃，并開啟病毒庫的自動更新；j)對于軟件系統(tǒng)的后臺管理員，第三方軟件提供商宜提供詳盡全面的操作指導文檔(如電子文檔或紙質文檔),就管理員如何以安全方式使用終端進行詳細而全面的說明，便于管理員查詢，覆k)第三方軟件提供商對于在文檔中影響后臺管理安全性的操作(如修改口令、更換密鑰),宜明確提示相關的風險。對于會影響軟件系統(tǒng)正常運行的關鍵配置項和操作，文檔中應用警告標志標示，并明示其可能的影響。86.2.3.la)～h)的要求為評價必備要求，同時滿足a)～h)的要求，則6.2.3的評價結果為通過；否則為不通過。6.2.3.li)～k)的要求，為評價可選要求。6.2.4主機系統(tǒng)配置評價子模塊主機系統(tǒng)配置為評價必備項，其評價內容包括但不限于：a)主機系統(tǒng)管理員應在安裝完成后，對默認賬號進行重命名，并修改賬號的默認口令，修改后的口令應達到一定的口令強度；b)主機系統(tǒng)管理員應在安裝完成后，刪除臨時賬號和測試賬號；c)數據庫管理員應在完成數據庫的初始化后，對數據庫管理員的默認賬號進行重命名，并修改賬號的默認口令，修改后的口令應達到一定的口令強度；d)數據庫管理員應在安裝完成后，刪除數據庫管理員的臨時賬號和測試賬號；e)對于部署在主機系統(tǒng)上的FTP應用程序，不得開啟匿名登錄的功能，其FTP目錄不得為操作系統(tǒng)的根目錄，并同時不能在Web的目錄下；f)主機系統(tǒng)管理員宜進行安全邊界的設置，使主機系統(tǒng)限定來自外界對邊界內的主機訪問，只開放少數且必需的服務端口。6.2.4.la)～e)的要求為評價必備要求，同時滿足a)～e)的要求，則6.2.4的評價結果為通過；否則為不通過。6.2.5軟件系統(tǒng)配置評價子模塊軟件系統(tǒng)配置為評價可選項，其評價內容包括但不限于：a)軟件系統(tǒng)宜檢查并綁定訪問者的昵稱白名單和訪問來源的IP白名單，并提供綁定白名單的b)軟件系統(tǒng)宜提供黑名單的保護機制，通過黑名單來攔截非法的訪問，黑名單的緯度包括IP、用戶賬號和終端標識。6.2.6基礎攻擊防御評價子模塊基礎攻擊防御為評價可選項，其評價內容包括但不限于.a)軟件系統(tǒng)所處運行環(huán)境宜能阻止偽造物理地址、偽造IP地址、ARP欺騙等攻擊；b)軟件系統(tǒng)所處運行環(huán)境宜具備內外雙向網絡流量監(jiān)控的能力；9c)軟件系統(tǒng)所處運行環(huán)境宜具備抵抗內外部網絡發(fā)起的DDOS攻擊的能力，當監(jiān)控到某個IP入流量超過一定閾值時，能自動進行DDOS攻擊流量清洗；d)軟件系統(tǒng)所處運行環(huán)境宜具備脆弱性檢測的能力，具備檢測Web漏洞、檢測弱口令的能力。6.2.7入侵檢測評價子模塊入侵檢測為評價可選項，其評價內容包括但不限于：a)宜具備對網站后門(Webshell)的查殺能力；b)宜具備異地登錄告警的功能；c)宜具備口令暴力破解攔截能力；d)宜具備異常系統(tǒng)賬號檢測并告警的能力。評價規(guī)則與結果判定a)～d)的要求，為評價可選要求。6.2.8Web應用防護評價子模塊Web應用防護為評價條件項，僅適用于Web應用系統(tǒng)的情況，其評價內容包括但不限于：a)宜具備SQL注入攻擊防御能力；b)宜具備網頁后門上傳攔截的能力；c)宜具備對掃描行為進行及時發(fā)現并告警和阻斷的能力；d)宜具備針對Web用戶的IP設置為白名單的能力；e)宜具備代碼執(zhí)行攻擊防護能力。評價規(guī)則與結果判定為條件可選項，僅適用于Web應用的情況。其a)～e)的要求，為評價可選要求。對于非Web應用的情況，本評價項不適用。6.2.9模塊評價結論6.2.1～6.2.4為評價必備項，同時滿足6.2.1～6.2.4的要求，則本模塊的評價結果為通過；否則為不通過。6.3使用指導評價模塊6.3.1系統(tǒng)提示評價子模塊系統(tǒng)提示為評價必備項，其評價內容包括但不限于：a)軟件系統(tǒng)應在合適的界面提示用戶口令被盜的風險、使用默認口令的風險；b)軟件系統(tǒng)應在合適的界面提示用戶使用訪客賬號的風險；c)軟件系統(tǒng)應在合適的界面提示用戶使用默認賬號的風險；d)軟件系統(tǒng)宜在合適的界面提示用戶不及時安裝補丁的風險；e)軟件系統(tǒng)宜在合適的界面提示用戶病毒感染的風險。a)對于軟件系統(tǒng)的商家用戶，第三方軟件提供商宜提供詳盡全面的操作指導文檔(如幫助文件和紙質文檔),便于用戶查詢，用于指導用戶使用或配置第三方軟件提供商提供的軟件系統(tǒng)的安b)第三方軟件提供商在文檔中應寫明軟件系統(tǒng)中所提供的安全功能介紹，對于用戶影響系統(tǒng)安c)第三方軟件提供商宜告知用戶對口令進行安全保護，包括檢驗口令強度并提示用戶設置強口d)第三方軟件提供商宜告知用戶終端的安全使用需要注意的不安全的日常使用行為和基本安全f)第三方軟件提供商宜告知用戶移動介質的安全管理，包括移動介質的安全存放，設置用戶口b)第三方軟件提供商應通過電子商務平臺的實名認證；f)第三方軟件提供商應擁有對接電子商務平臺的能力；g)第三方軟件提供商應按需配合電子商務開放平臺部署安全保障的工具和軟件。a)第三方軟件提供商在電子商務開放平臺所申請的軟件標識不得轉讓給