電子商務(wù)平臺數(shù)據(jù)開放第三方軟件提供商評價準(zhǔn)則中國國家標(biāo)準(zhǔn)化管理委員會GB/T36316—2018 I 2規(guī)范性引用文件 3術(shù)語和定義、縮略語 3.1術(shù)語和定義 3.2縮略語 14評價總體框架和評價指標(biāo) 24.1評價總體框架 4.2評價模塊和子模塊表 5評價方法和結(jié)果表示 35.1評價方法 35.2評價方式 35.3結(jié)果表示 6判定規(guī)則 46.1功能實現(xiàn)評價模塊 6.2環(huán)境部署評價模塊 66.3使用指導(dǎo)評價模塊 6.4經(jīng)營管理評價模塊 6.5運維管理評價模塊 6.6評價結(jié)論 7評價報告 8擴展原則與方法 參考文獻 I本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由全國電子業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC83)提出并歸口。本標(biāo)準(zhǔn)起草單位：阿里巴巴(中國)有限公司、中國標(biāo)準(zhǔn)化研究院、國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心、任我行網(wǎng)絡(luò)技術(shù)有限公司、上海百勝軟件股份有限公司、北京淘寶科技有限公司、友盟同欣(北京)科技有限公司、泉州市晉科技術(shù)檢測有限公司、福州優(yōu)之創(chuàng)科技有限公司、安徽藝標(biāo)信息科技有限公司、東莞快創(chuàng)信息科技有限公司、廣東潮族實業(yè)有限公司、四川紅世財智網(wǎng)絡(luò)科技有限公司、成都口口鮮貓信息技術(shù)有限公司。黃平。1電子商務(wù)平臺數(shù)據(jù)開放第三方軟件提供商評價準(zhǔn)則本標(biāo)準(zhǔn)規(guī)定了電子商務(wù)平臺數(shù)據(jù)開放中的第三方軟件提供商評價的總體框架和評價指標(biāo)、評價方本標(biāo)準(zhǔn)適用于對電子商務(wù)第三方軟件提供商進行評價。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18811—2012電子商務(wù)基本術(shù)語GB/T35408—2017電子商務(wù)質(zhì)量管理術(shù)語GB/T36318—2018電子商務(wù)平臺數(shù)據(jù)開放總體要求3.1術(shù)語和定義GB/T35408—2017、GB/T18811—2012和GB/T36318—2018界定的以及下列術(shù)語和定義適用于本文件。用于測量第三方軟件提供商特性、子特性或?qū)傩缘脑u價技術(shù)包。注：包括評價方法和技術(shù)、評價的輸入、待測量和待收集的數(shù)據(jù)以及支持規(guī)程和工具。實施評價的個體或組織。下列縮略語適用于本文件。API:應(yīng)用程序接口(ApplicationProgramInterface)ARP:地址解釋協(xié)議(AddressResolutionProtocol)DDOS:分布式拒絕服務(wù)攻擊(DistributedDenialofService)FTP:文件傳輸協(xié)議(FileTransferProtocol)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)SQL:結(jié)構(gòu)化查詢語言(StructuredQueryLanguage)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)4評價總體框架和評價指標(biāo)4.1評價總體框架評價總體框架應(yīng)符合GB/T36318—2018中第6章的要求。評價總體框架應(yīng)包括技術(shù)要求評價和管理要求評價。技術(shù)要求的評價包括功能實現(xiàn)、環(huán)境部署、使用指導(dǎo)三個評價模塊，具體解釋如下：——功能實現(xiàn)評價模塊是對第三方軟件提供商進行軟件功能實現(xiàn)，所開發(fā)的第三方軟件需具備的功能進行評價；——環(huán)境部署評價模塊是對第三方軟件提供商需具備的第三方軟件的部署環(huán)境進行評價；——使用指導(dǎo)評價模塊是對第三方軟件提供商需提供的對第三方軟件的使用指導(dǎo)進行評價。管理要求的評價包括經(jīng)營管理和運維管理兩個評價模塊，具體解釋如下：——經(jīng)營管理評價模塊是對第三方軟件提供商在資質(zhì)、經(jīng)營、服務(wù)等方面進行評價；——運維管理評價模塊是對第三方軟件提供商需提供的對第三方軟件的運維管理方面進行評價。各個評價模塊由若干個評價子模塊以及評價內(nèi)容構(gòu)成，實際評價時不限于上述評價模塊、評價子模塊和評價內(nèi)容。4.2評價模塊和子模塊表評價模塊和子模塊及其評價條件見表1。其中：必備項是指應(yīng)對電子商務(wù)第三方軟件提供商進行評價的項目；可選項是指對電子商務(wù)第三方軟件提供商進行評價時的項目；條件可選項是指在一定的條件下需要對電子商務(wù)第三方軟件提供商進行評價的項目，比如Web應(yīng)用防護子模塊，僅適用于提供Web應(yīng)用軟件的第三方軟件提供商。對于可選項的評價，不影響對電子商務(wù)第三方軟件提供商的評價結(jié)果，會影響電子商務(wù)平臺對電子商務(wù)第三方軟件提供商進行選擇性的數(shù)據(jù)開放。第三方軟件提供商對于可選項的支持程度越高，能從電子商務(wù)平臺獲得的數(shù)據(jù)級別越高。表1第三方軟件提供商評價模塊和子模塊及其評價條件評價類別評價模塊評價子模塊評價條件技術(shù)要求功能實現(xiàn)賬號體系必備項賬號口令必備項會話及權(quán)限管理必備項審計管理必備項數(shù)據(jù)安全必備項環(huán)境部署服務(wù)器環(huán)境必備項數(shù)據(jù)庫環(huán)境必備項管理后臺必備項主機系統(tǒng)配置必備項軟件系統(tǒng)配置可選項基礎(chǔ)攻擊防御可選項入侵檢測可選項Web應(yīng)用防護條件可選項兵3表1(續(xù))評價類別評價模塊評價子模塊評價條件技術(shù)要求使用指導(dǎo)系統(tǒng)提示必備項用戶手冊評價可選項管理要求經(jīng)營管理資質(zhì)要求必備項經(jīng)營要求必備項服務(wù)管理必備項運維管理運維保障必備項漏洞管理必備項變更管理必備項應(yīng)急響應(yīng)必備項文檔管理可選項5評價方法和結(jié)果表示5.1評價方法對電子商務(wù)第三方軟件提供商的評價方法如下：——確定各子模塊的評價內(nèi)容，評價內(nèi)容是最小評價單元；——組合使用多種審查方式，對評價內(nèi)容進行評價，給出評價結(jié)果；——依據(jù)評價內(nèi)容的評價結(jié)果，給出子模塊的評價結(jié)果；——依據(jù)子模塊的評價結(jié)果，按照評價規(guī)則給出模塊的評價結(jié)果；——依據(jù)所有模塊的評價結(jié)果，按照評價規(guī)則給出評價結(jié)論，并提供相應(yīng)的評價報告。5.2評價方式評價方式是對評價內(nèi)容作出評價結(jié)論的主要手段，在評價過程中可使用一種評價方式，也可使用多種評價方式的結(jié)合形式。主要的評價方式有：——文件審查：對所提供的審核文件的真實性和有效性進行審查，審核文件是指在第三方軟件提供商評價過程中，被評價的提供商根據(jù)評價要求需提供的自我聲明、相關(guān)文件、證件或證明等材料；——人員訪談：對相關(guān)人員，針對評價內(nèi)容進行訪談；——現(xiàn)場巡查：赴現(xiàn)場了解有關(guān)內(nèi)容，對事實相符性進行查驗；——功能檢查：對軟件進行使用，對軟件功能進行檢查、核驗和測試。5.3結(jié)果表示符合評價規(guī)則要求的評價內(nèi)容、評價子模塊和評價模塊，其結(jié)果表示為“通過”;不符合評價規(guī)則要求的評價內(nèi)容、評價子模塊和評價模塊，其結(jié)果表示為“不通過”。評價內(nèi)容不適用的情況下，不需要評46判定規(guī)則6.1功能實現(xiàn)評價模塊6.1.1賬號體系評價子模塊賬號體系為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)應(yīng)為不同的用戶分配不同的賬號，確保一個用戶一個賬號，應(yīng)禁止多人使用同一個賬號；b)軟件系統(tǒng)應(yīng)及時凍結(jié)或禁用多余的、過期的用戶賬號，避免共享賬號的存在；c)軟件系統(tǒng)應(yīng)及時清理和回收軟件系統(tǒng)相關(guān)的開發(fā)賬號、測試賬號和后臺管理賬號及權(quán)限，如離職或轉(zhuǎn)崗時；d)軟件系統(tǒng)應(yīng)維護自有賬號和電子商務(wù)平臺賬號的對應(yīng)關(guān)系；e)軟件系統(tǒng)宜具備保護和管理平臺賬號安全的能力，能及時地識別賬號的異常風(fēng)險(包括但不限于賬號被盜、暴力破解等問題),并給與及時管控；f)軟件系統(tǒng)宜在識別到用戶賬號存在登錄異常風(fēng)險時，對用戶賬號進行鎖定一定時間，或者直到管理員啟用該用戶賬號。a)～d)的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.1的評價結(jié)果為通過；否則為不通過。6.1.1.le)、f)的要求，為評價可選要求。6.1.2賬號口令評價子模塊賬號口令為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)管理員賬號的初始口令應(yīng)為系統(tǒng)隨機產(chǎn)生的滿足口令強度要求的口令。b)軟件系統(tǒng)應(yīng)定期提醒用戶對口令進行修改。c)口令強度同時滿足如下要求：1)軟件系統(tǒng)應(yīng)保存加密后的口令歷史，并要求新口令與前四次使用的口令不同；2)口令不能為空；3)不得使用默認口令；4)口令長度至少8位以上；5)包括字母大寫、字母小寫、數(shù)字、特殊字符其中的三種或以上，不能使用連續(xù)字母或單純數(shù)字，不能使用鍵盤上連續(xù)字符；6)不能使用與用戶自身強關(guān)聯(lián)(如生日、姓名)的單詞。d)軟件系統(tǒng)應(yīng)提供給用戶口令重置功能，口令重置的功能應(yīng)經(jīng)過第三方軟件提供商客服人工確認或者經(jīng)過“組合鑒別”通過才能生效，且重置后的口令應(yīng)通過短信、郵件等用戶綁定的可信任的渠道告知用戶。5評價規(guī)則與結(jié)果判定的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.2的評價結(jié)果為通過；否則為不通過。6.1.3會話及權(quán)限管理評價子模塊會話及權(quán)限管理為評價必備項，其評價內(nèi)容包括但不限于：a)當(dāng)會話空閑超過一定的時間時，軟件系統(tǒng)應(yīng)要求用戶重新驗證或重新激活會話；b)軟件系統(tǒng)應(yīng)對登錄軟件系統(tǒng)的用戶進行身份標(biāo)識和鑒別；c)軟件系統(tǒng)應(yīng)支持對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)(口令驗證、郵箱驗證、短信驗證等)實現(xiàn)用戶身份鑒別；d)在執(zhí)行敏感操作(口令修改或重置)或賬號行為異常的情況下，軟件系統(tǒng)應(yīng)采用兩種或兩種以上的組合鑒別方式。短信、郵箱驗證可以通過發(fā)送驗證信息到用戶綁定的可信手機號或郵箱中，并且應(yīng)對驗證信息設(shè)置過期時間。的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.3的評價結(jié)果為通過；否則為不通過。6.1.4審計管理評價子模塊審計管理為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)應(yīng)保護所存儲的日志審計記錄的完整性，避免其受到未預(yù)期的刪除、修改或覆蓋等；b)軟件系統(tǒng)應(yīng)保存日志，并滿足一定的時間期限；c)軟件系統(tǒng)應(yīng)記錄和上報來自用戶端的日志；d)軟件系統(tǒng)應(yīng)通過調(diào)用電子商務(wù)開放平臺提供的日志API,記錄和上報軟件系統(tǒng)所有的登錄日志，包括且不限于：用戶登錄軟件系統(tǒng)的日志；軟件系統(tǒng)管理員登錄管理后臺的登錄日志；主機端進行的系統(tǒng)登錄；e)軟件系統(tǒng)應(yīng)通過調(diào)用電子商務(wù)開放平臺提供的日志API,記錄和上報用戶通過軟件系統(tǒng)查看、管理、導(dǎo)出訂單的詳細日志；f)軟件系統(tǒng)應(yīng)通過調(diào)用電子商務(wù)開放平臺提供的日志API,記錄和上報軟件系統(tǒng)服務(wù)器之間的涉及訂單的所有數(shù)據(jù)通信記錄，包括且不限于：同軟件系統(tǒng)內(nèi)部的訂單接口訪問；不同軟件系統(tǒng)之間的數(shù)據(jù)傳遞；g)軟件系統(tǒng)應(yīng)通過調(diào)用電子商務(wù)開放平臺提供的日志API,記錄和上報服務(wù)器端調(diào)用數(shù)據(jù)庫服務(wù)的日志；h)軟件系統(tǒng)宜通過調(diào)用電子商務(wù)開放平臺提供的日志API,記錄和上報服務(wù)器端調(diào)用電子商務(wù)開放平臺的日志。6.1.4.la)～g)的要求為評價必備要求，同時滿足a)～g)的要求，則6.1.4的評價結(jié)果為通過；否則為不通過。66.1.5數(shù)據(jù)安全評價子模塊數(shù)據(jù)安全為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)中涉及敏感數(shù)據(jù)(比如訂單數(shù)據(jù))的傳輸應(yīng)進行加密傳輸和存儲，實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；b)軟件系統(tǒng)對用戶口令應(yīng)使用安全的不可逆的加密算法進行加密保存，防止特權(quán)用戶獲取用戶c)軟件系統(tǒng)應(yīng)對涉及敏感數(shù)據(jù)(比如電話號碼、郵箱、電子商務(wù)平臺昵稱等)的展示，進行脫敏處理(模糊化、匿名處理等);d)軟件系統(tǒng)之間的數(shù)據(jù)傳遞應(yīng)經(jīng)過電子商務(wù)開放平臺，軟件系統(tǒng)不允許將數(shù)據(jù)直接傳遞給不同第三方軟件提供商的軟件系統(tǒng)，不能將數(shù)據(jù)再次傳遞給其他軟件系統(tǒng)使用，包括同一第三方軟件提供商的不同軟件標(biāo)識的軟件系統(tǒng)；e)軟件系統(tǒng)中的數(shù)據(jù)宜部署在安全云主機內(nèi)，涉及電子商務(wù)訂單數(shù)據(jù)，應(yīng)使用數(shù)據(jù)庫進行數(shù)據(jù)存儲，并且綁定內(nèi)網(wǎng)IP白名單。a)～d)的要求為評價必備要求，同時滿足a)～d)的要求，則6.1.5的評價結(jié)果為通過；否則為不通過。6.1.5.le)的要求，為評價可選要求。6.1.1～6.1.5為評價必備項。同時滿足6.1.1～6.1.5,則軟件功能實現(xiàn)的模塊評價結(jié)果為通過；否則為不通過。6.2環(huán)境部署評價模塊6.2.1服務(wù)器環(huán)境評價子模塊服務(wù)器環(huán)境為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)所處運行環(huán)境應(yīng)具備快照功能和快照回滾功能，當(dāng)需要進行數(shù)據(jù)恢復(fù)時，則應(yīng)根據(jù)快照進行恢復(fù)；b)應(yīng)具備端口控制的功能，對服務(wù)器上的特殊用途端口進行預(yù)留，不可被占用；c)不同的服務(wù)器應(yīng)被劃分到不同的安全域里，安全域應(yīng)進行網(wǎng)絡(luò)隔離，避免因一臺服務(wù)器被入侵，所有資源面臨高風(fēng)險的問題；d)如果同一個第三方軟件提供商有多個軟件系統(tǒng)，第三方軟件提供商應(yīng)為不同的軟件系統(tǒng)使用不同的軟件標(biāo)識，不同的軟件系統(tǒng)應(yīng)獨立部署在不同的服務(wù)器中，確保軟件系統(tǒng)之間是被安全隔離的。評價規(guī)則與結(jié)果判定a)～c)的要求為評價必備要求，同時滿足a)～c)的要求，則6.2.1評價結(jié)果為通過；否則為不7通過。d)的要求，為評價可選項，僅適用于第三方軟件提供商有多個軟件系統(tǒng)的情況。6.2.2數(shù)據(jù)庫環(huán)境評價子模塊數(shù)據(jù)庫環(huán)境為評價必備項，其評價內(nèi)容包括但不限于：a)數(shù)據(jù)庫應(yīng)提供數(shù)據(jù)備份的功能，保證數(shù)據(jù)庫在出現(xiàn)問題后，數(shù)據(jù)不丟失；b)數(shù)據(jù)庫應(yīng)只允許內(nèi)網(wǎng)IP連接和訪問，保證網(wǎng)絡(luò)的安全；c)數(shù)據(jù)庫應(yīng)禁止直接從數(shù)據(jù)庫中進行數(shù)據(jù)轉(zhuǎn)存，并且為了防止數(shù)據(jù)泄漏，針對大數(shù)據(jù)量的結(jié)果集d)數(shù)據(jù)庫宜具備數(shù)據(jù)庫防火墻的功能，防止SQL注入、漏洞入侵、竊取備份等數(shù)據(jù)庫攻擊。評價規(guī)則與結(jié)果判定a)～c)的要求為評價必備要求，同時滿足a)～c)的要求，則6.2.2評價結(jié)果為通過；否則為不通過。6.2.3管理后臺評價子模塊管理后臺為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)管理員應(yīng)限制用戶對軟件系統(tǒng)和管理后臺的登錄，通過VPN撥入或者通過特定的IP登錄；b)軟件系統(tǒng)管理員應(yīng)通過安全接入VPN來登錄安全域內(nèi)的主機和管理后臺；c)軟件系統(tǒng)的后臺管理終端應(yīng)設(shè)置屏幕保護程序、鎖屏保護及口令保護功能；d)軟件系統(tǒng)的后臺管理終端應(yīng)禁用訪客賬戶；e)軟件系統(tǒng)管理員應(yīng)對軟件系統(tǒng)管理員的默認賬號進行重命名，并修改賬號的默認口令，修改后的口令應(yīng)達到一定的口令強度；f)軟件系統(tǒng)的后臺管理終端應(yīng)制定相應(yīng)的操作系統(tǒng)和必要應(yīng)用程序的補丁管理計劃，定期或不定期的維護；g)軟件系統(tǒng)的后臺管理終端應(yīng)僅限于執(zhí)行后臺管理的業(yè)務(wù)功能，終端上不得安裝與該業(yè)務(wù)功能無關(guān)的和來源不明的應(yīng)用程序；h)軟件系統(tǒng)的后臺管理終端應(yīng)安裝防病毒軟件，防護范圍包括但不限于病毒、特洛伊木馬、蠕蟲病毒、間諜軟件、廣告軟件和內(nèi)核型病毒等惡意代碼；i)軟件系統(tǒng)管理員宜定期進行病毒庫更新及全盤殺毒，防病毒軟件應(yīng)設(shè)置有系統(tǒng)全盤掃描計劃，并開啟病毒庫的自動更新；j)對于軟件系統(tǒng)的后臺管理員，第三方軟件提供商宜提供詳盡全面的操作指導(dǎo)文檔(如電子文檔或紙質(zhì)文檔),就管理員如何以安全方式使用終端進行詳細而全面的說明，便于管理員查詢，覆k)第三方軟件提供商對于在文檔中影響后臺管理安全性的操作(如修改口令、更換密鑰),宜明確提示相關(guān)的風(fēng)險。對于會影響軟件系統(tǒng)正常運行的關(guān)鍵配置項和操作，文檔中應(yīng)用警告標(biāo)志標(biāo)示，并明示其可能的影響。86.2.3.la)～h)的要求為評價必備要求，同時滿足a)～h)的要求，則6.2.3的評價結(jié)果為通過；否則為不通過。6.2.3.li)～k)的要求，為評價可選要求。6.2.4主機系統(tǒng)配置評價子模塊主機系統(tǒng)配置為評價必備項，其評價內(nèi)容包括但不限于：a)主機系統(tǒng)管理員應(yīng)在安裝完成后，對默認賬號進行重命名，并修改賬號的默認口令，修改后的口令應(yīng)達到一定的口令強度；b)主機系統(tǒng)管理員應(yīng)在安裝完成后，刪除臨時賬號和測試賬號；c)數(shù)據(jù)庫管理員應(yīng)在完成數(shù)據(jù)庫的初始化后，對數(shù)據(jù)庫管理員的默認賬號進行重命名，并修改賬號的默認口令，修改后的口令應(yīng)達到一定的口令強度；d)數(shù)據(jù)庫管理員應(yīng)在安裝完成后，刪除數(shù)據(jù)庫管理員的臨時賬號和測試賬號；e)對于部署在主機系統(tǒng)上的FTP應(yīng)用程序，不得開啟匿名登錄的功能，其FTP目錄不得為操作系統(tǒng)的根目錄，并同時不能在Web的目錄下；f)主機系統(tǒng)管理員宜進行安全邊界的設(shè)置，使主機系統(tǒng)限定來自外界對邊界內(nèi)的主機訪問，只開放少數(shù)且必需的服務(wù)端口。6.2.4.la)～e)的要求為評價必備要求，同時滿足a)～e)的要求，則6.2.4的評價結(jié)果為通過；否則為不通過。6.2.5軟件系統(tǒng)配置評價子模塊軟件系統(tǒng)配置為評價可選項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)宜檢查并綁定訪問者的昵稱白名單和訪問來源的IP白名單，并提供綁定白名單的b)軟件系統(tǒng)宜提供黑名單的保護機制，通過黑名單來攔截非法的訪問，黑名單的緯度包括IP、用戶賬號和終端標(biāo)識。6.2.6基礎(chǔ)攻擊防御評價子模塊基礎(chǔ)攻擊防御為評價可選項，其評價內(nèi)容包括但不限于.a)軟件系統(tǒng)所處運行環(huán)境宜能阻止偽造物理地址、偽造IP地址、ARP欺騙等攻擊；b)軟件系統(tǒng)所處運行環(huán)境宜具備內(nèi)外雙向網(wǎng)絡(luò)流量監(jiān)控的能力；9c)軟件系統(tǒng)所處運行環(huán)境宜具備抵抗內(nèi)外部網(wǎng)絡(luò)發(fā)起的DDOS攻擊的能力，當(dāng)監(jiān)控到某個IP入流量超過一定閾值時，能自動進行DDOS攻擊流量清洗；d)軟件系統(tǒng)所處運行環(huán)境宜具備脆弱性檢測的能力，具備檢測Web漏洞、檢測弱口令的能力。6.2.7入侵檢測評價子模塊入侵檢測為評價可選項，其評價內(nèi)容包括但不限于：a)宜具備對網(wǎng)站后門(Webshell)的查殺能力；b)宜具備異地登錄告警的功能；c)宜具備口令暴力破解攔截能力；d)宜具備異常系統(tǒng)賬號檢測并告警的能力。評價規(guī)則與結(jié)果判定a)～d)的要求，為評價可選要求。6.2.8Web應(yīng)用防護評價子模塊Web應(yīng)用防護為評價條件項，僅適用于Web應(yīng)用系統(tǒng)的情況，其評價內(nèi)容包括但不限于：a)宜具備SQL注入攻擊防御能力；b)宜具備網(wǎng)頁后門上傳攔截的能力；c)宜具備對掃描行為進行及時發(fā)現(xiàn)并告警和阻斷的能力；d)宜具備針對Web用戶的IP設(shè)置為白名單的能力；e)宜具備代碼執(zhí)行攻擊防護能力。評價規(guī)則與結(jié)果判定為條件可選項，僅適用于Web應(yīng)用的情況。其a)～e)的要求，為評價可選要求。對于非Web應(yīng)用的情況，本評價項不適用。6.2.9模塊評價結(jié)論6.2.1～6.2.4為評價必備項，同時滿足6.2.1～6.2.4的要求，則本模塊的評價結(jié)果為通過；否則為不通過。6.3使用指導(dǎo)評價模塊6.3.1系統(tǒng)提示評價子模塊系統(tǒng)提示為評價必備項，其評價內(nèi)容包括但不限于：a)軟件系統(tǒng)應(yīng)在合適的界面提示用戶口令被盜的風(fēng)險、使用默認口令的風(fēng)險；b)軟件系統(tǒng)應(yīng)在合適的界面提示用戶使用訪客賬號的風(fēng)險；c)軟件系統(tǒng)應(yīng)在合適的界面提示用戶使用默認賬號的風(fēng)險；d)軟件系統(tǒng)宜在合適的界面提示用戶不及時安裝補丁的風(fēng)險；e)軟件系統(tǒng)宜在合適的界面提示用戶病毒感染的風(fēng)險。a)對于軟件系統(tǒng)的商家用戶，第三方軟件提供商宜提供詳盡全面的操作指導(dǎo)文檔(如幫助文件和紙質(zhì)文檔),便于用戶查詢，用于指導(dǎo)用戶使用或配置第三方軟件提供商提供的軟件系統(tǒng)的安b)第三方軟件提供商在文檔中應(yīng)寫明軟件系統(tǒng)中所提供的安全功能介紹，對于用戶影響系統(tǒng)安c)第三方軟件提供商宜告知用戶對口令進行安全保護，包括檢驗口令強度并提示用戶設(shè)置強口d)第三方軟件提供商宜告知用戶終端的安全使用需要注意的不安全的日常使用行為和基本安全f)第三方軟件提供商宜告知用戶移動介質(zhì)的安全管理，包括移動介質(zhì)的安全存放，設(shè)置用戶口b)第三方軟件提供商應(yīng)通過電子商務(wù)平臺的實名認證；f)第三方軟件提供商應(yīng)擁有對接電子商務(wù)平臺的能力；g)第三方軟件提供商應(yīng)按需配合電子商務(wù)開放平臺部署安全保障的工具和軟件。a)第三方軟件提供商在電子商務(wù)開放平臺所申請的軟件標(biāo)識不得轉(zhuǎn)讓給