ICS 35.240.90 CCS L 67 23 黑龙江省 地方 标准 DB 23/T 3868.3—2024 教育新型基础设施建设 第3部分：业务应用安全规范 2024 - 08 - 30发布 2024 - 09 - 29实施 黑龙江省市场监督管理局 发布 DB 23/T 3868.3 —2024 I 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 DB23/T 3868《教育新型基础设施建设》的第 3部分。DB23/T 3868已经发布了以下部分： ──教育新型基础设施建设 第1部分：高校数字校园建设规范 ──教育新型基础设施建设 第2部分：网络安全管理规范 ──教育新型基础设施建设 第3部分：业务应用安全规范 ──教育新型基础设施建设 第4部分：数据治理规范 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由黑龙江省教育厅提出并归口。 本文件起草单位：哈尔滨工业大学、哈尔滨安天系统安全技术有限公司、哈尔滨市网络安全应急指 挥保障中心、黑龙江省教育厅、东北林业大学、哈尔滨医科大学、哈尔滨工程大学、黑龙江科技大学。 本文件主要起草人：辛毅、李清锋、 徐晓航、 毛力伟、尹尚书、石笑朋、孙洪磊、朴杰、胡晓锋、 金旭东、胡全、周锋、张其梁、徐峰、邢丽刃、徐千。 DB 23/T 3868.3 —2024 1 教育新型基础设施建设 第3部分：业务应用安全规范 1 范围 本文件规定了教育新型基础设施业务应用安全规范的缩略语、总体原则、业务应用开发安全、供应 链安全、业务应用部署安全、业务应用运维安全等要求。 本文件适用于教育新型基础设施建设中的业务应用安全工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 —2022 信息安全技术 术语 GB/T 38674 信息安全技术 应用软件安全编程指南 3 术语和定义 下列术语和定义适用于本文件。 网络安全 对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。 [来源:GB/T 25069 —2022,3.616] 供应链 将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。 其中每一组织充当需方、供方或双重角色。 [来源:GB/T 25069 —2022,3.223] 安全审计 对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和 运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。 [来源:GB/T 25069 —2022,3.24] 4 缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ Application Programming Interface ） HTTP：超文本传输协议（ Hypertext Transfer Protocol ） LDAP：轻型目录访问协议（ Lightweight Directory Access Protocol ） DB 23/T 3868.3 —2024 2 SBOM：软件物料清单（ Software Bill of Materials ） SQL：结构化查询语言（ Structured Query Language ） SSL：安全套接层（ Secure Sockets Layer） TLS：传输层安全（ Transport Layer Security ） URL：统一资源定位系统（ Uniform Resource Locator ） VPN：虚拟专用网（ Virtual Private Network ） XML：可扩展标记语言（ Extensible Markup Language ） 5 总体原则 保密性 通过加密技术和访问控制保护业务应用敏感数据，不被未授权用户获取和使用。 完整性 实现业务应用数据在传输、存储和处理过程中不被修改或破坏。 可用性 实现业务应用可以持续稳定的为授权用户提供正常服务。 6 业务应用开发安全 输入与输出安全 应符合但不限于下列要求： a) 对输入的所有数据进行验证，不接受验证失败的数据； b) 验证输入数据的安全性，包括数据类型、数据长度、数据范围等。 c) 在条件允许的情况下，采用白名单形式验证所有输入； d) 对所有输入和输出的 字符进行 适当编码； e) 对SQL、LDAP、XML等查询语句以及操作系统命令进行语义净化。 访问控制 应符合但不限于下列要求： a) 使用多因素身份鉴别方式验证身份， 包括二维 码、短信、令牌、生物特征、 USB Key等其中任 意一种与口令的组合； b) 允许被授权用户访问 资源，包括： 1) 受保护URL； 2) 受保护功能； 3) 直接对象引用 ； 4) 应用程序数据； 5) 服务； 6) 文件等。 c) 采取有效的技术手段防止垂直越权和水平越权； d) 控制用户通过指定的路径访问业务应用； DB 23/T 3868.3 —2024 3 e) 不能单独使用 HTTP请求头中的 Referer验证来源页面链接； f) 避免身份鉴别过程中 提示多余信息 ， 无论是账号错误或密码错误， 都提示 “账号或密码错误” ； g) 对身份鉴别的频率进行限制，连续多次登录失败强制锁定账户； h) 为用户仅授予任务所需的最小权限； i) 在服务端进行权限控制； j) 禁用长期不使用的账户。 口令安全 应符合但不限于下列要求： a) 不应使用弱口令、空口令和默认口令； b) 不应使用可预测的字符或数字作为口令（例如：姓名拼音或缩写、生日、邮箱、身份证、电话 号码、连续键盘字符、常见英文单词，以及与单位和个人密切相关的字符）； c) 不应使用明文存储口令； d) 使用不可逆的加密算法对口令进行加密存储，可在任意固定位置插入特定的字符进行混淆； e) 不应使用已知泄漏过的口令； f) 首次登陆后，强制更改默认口令； g) 不应源码中包括口令； h) 根据系统需要采用安全的口令重置模块； i) 口令复杂度应满足以下要求： 1) 12位以上字符； 2) 包含大写字母、小写字母、数字、符号中的至少 3种。 j) 定期更改口令，至少每 3个月更换 1次口令。 文件操作 应符合但不限于下列要求： a) 禁用不必要的上传功能； b) 关闭上传目录的可执行权限； c) 不应显示上传 目录的绝对路径 ； d) 上传目录的绝对路径应不可猜测； e) 将文件名以及文件内容作为不可信的输入； f) 验证上传文件的信息，包括文件类型、文件大小、文件名等。 g) 验证文件类型，检查文件扩展名 和文件头中文件类型标志信息； h) 使用白名单 限制上传的文件类型； i) 采用随机变化的方式，重新命名上传文件的名称； j) 设置应用程序 文件和资源 的权限为 只读。 数据加密与保护 按照GB/T 38674 的规定执行。 数据库管理 应符合但不限于下列要求： a) 禁用所有不必要的数据库功能，最小化安装功能和选项； b) 重命名数据库默认账户，更改数据库默认口令； DB 23/T 3868.3 —2024 4 c) 使用参数化 SQL语句，不应改变上下文环境，区分数据和命令； d) 为应用程序仅授予任务所需的最小权限，不应将数据库管理员权限分配给应用程序； e) 对来自数据库的数据进行验证，不接受验证失败的数据； f) 敏感信息应在数据库中加密存储； g) 不应在应用程序代码和配置文件中存放数据库帐号和口令。 网络传输安全 应符合但不限于下列要求： a) 使用HTTPS协议进行身份鉴别； b) 数据来自指定的通信源； c) 使用时间戳和随机数组合方式 检测重放攻击； d) 控制网络传输流量不超过上限值； e) 会话中应使用强随机令牌或参数管理账户； f) 不应在URL、错误信息或日志中暴露会话标识符 ； g) 同一用户 ID不应并发登录。 应用程序接口安全 应符合但不限于下列要求： a) 建立API台账，关闭不必要的 API，避免泄漏 API功能列表； b) 采用用户权限认证、权限控制、参数校验、防注入、加密、防重放、调用次数限制、调用频率 控制、流量控制、白名单、审计日志等 API安全措施； c) 通过访问令牌验证调用者身份，设置令牌的时效性，仅允许令牌在有效时间内可以调用 API； d) 对API接口的调用频率进行限制，防止恶意攻击； e) 通过白名单方式控制无需授权的 API接口的