ICS 35.240.90 CCS L 67 23 黑龙江省 地方 标准 DB 23/T 3868.3—2024 教育新型基础设施建设 第3部分：业务应用安全规范 2024 - 08 - 30发布 2024 - 09 - 29实施 黑龙江省市场监督管理局 发布 DB 23/T 3868.3 —2024 I 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 DB23/T 3868《教育新型基础设施建设》的第 3部分。DB23/T 3868已经发布了以下部分： ──教育新型基础设施建设 第1部分：高校数字校园建设规范 ──教育新型基础设施建设 第2部分：网络安全管理规范 ──教育新型基础设施建设 第3部分：业务应用安全规范 ──教育新型基础设施建设 第4部分：数据治理规范 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由黑龙江省教育厅提出并归口。 本文件起草单位：哈尔滨工业大学、哈尔滨安天系统安全技术有限公司、哈尔滨市网络安全应急指 挥保障中心、黑龙江省教育厅、东北林业大学、哈尔滨医科大学、哈尔滨工程大学、黑龙江科技大学。 本文件主要起草人：辛毅、李清锋、 徐晓航、 毛力伟、尹尚书、石笑朋、孙洪磊、朴杰、胡晓锋、 金旭东、胡全、周锋、张其梁、徐峰、邢丽刃、徐千。 DB 23/T 3868.3 —2024 1 教育新型基础设施建设 第3部分：业务应用安全规范 1 范围 本文件规定了教育新型基础设施业务应用安全规范的缩略语、总体原则、业务应用开发安全、供应 链安全、业务应用部署安全、业务应用运维安全等要求。 本文件适用于教育新型基础设施建设中的业务应用安全工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 —2022 信息安全技术 术语 GB/T 38674 信息安全技术 应用软件安全编程指南 3 术语和定义 下列术语和定义适用于本文件。 网络安全 对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。 [来源:GB/T 25069 —2022,3.616] 供应链 将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。 其中每一组织充当需方、供方或双重角色。 [来源:GB/T 25069 —2022,3.223] 安全审计 对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和 运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。 [来源:GB/T 25069 —2022,3.24] 4 缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ Application Programming Interface ） HTTP：超文本传输协议（ Hypertext Transfer Protocol ） LDAP：轻型目录访问协议（ Lightweight Directory Access Protocol ） DB 23/T 3868.3 —2024 2 SBOM：软件物料清单（ Software Bill of Materials ） SQL：结构化查询语言（ Structured Query Language ） SSL：安全套接层（ Secure Sockets Layer） TLS：传输层安全（ Transport Layer Security ） URL：统一资源定位系统（ Uniform Resource Locator ） VPN：虚拟专用网（ Virtual Private Network ） XML：可扩展标记语言（ Extensible Markup Language ） 5 总体原则 保密性 通过加密技术和访问控制保护业务应用敏感数据，不被未授权用户获取和使用。 完整性 实现业务应用数据在传输、存储和处理过程中不被修改或破坏。 可用性 实现业务应用可以持续稳定的为授权用户提供正常服务。 6 业务应用开发安全 输入与输出安全 应符合但不限于下列要求： a) 对输入的所有数据进行验证，不接受验证失败的数据； b) 验证输入数据的安全性，包括数据类型、数据长度、数据范围等。 c) 在条件允许的情况下，采用白名单形式验证所有输入； d) 对所有输入和输出的 字符进行 适当编码； e) 对SQL、LDAP、XML等查询语句以及操作系统命令进行语义净化。 访问控制 应符合但不限于下列要求： a) 使用多因素身份鉴别方式验证身份， 包括二维 码、短信、令牌、生物特征、 USB Key等其中任 意一种与口令的组合； b) 允许被授权用户访问 资源，包括： 1) 受保护URL； 2) 受保护功能； 3) 直接对象引用 ； 4) 应用程序数据； 5) 服务； 6) 文件等。 c) 采取有效的技术手段防止垂直越权和水平越权； d) 控制用户通过指定的路径访问业务应用；