DB23T 3868.3-2024教育新型基礎(chǔ)設(shè)施建設(shè) 第3部分：業(yè)務(wù)應(yīng)用安全規(guī)范

23I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是DB23/T3868《教育新型基礎(chǔ)設(shè)施建──教育新型基礎(chǔ)設(shè)施建設(shè)──教育新型基礎(chǔ)設(shè)施建設(shè)──教育新型基礎(chǔ)設(shè)施建設(shè)──教育新型基礎(chǔ)設(shè)施建設(shè)請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。揮保障中心、黑龍江省教育廳、東北林業(yè)大1教育新型基礎(chǔ)設(shè)施建設(shè)第3部分：業(yè)務(wù)應(yīng)用安全規(guī)范GB/T25069—2022信息安全技術(shù)術(shù)語GB/T38674信息安全技術(shù)應(yīng)用軟件安全編程運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、4縮略語API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）HTTP：超文本傳輸協(xié)議（HypertextTransferProtocLDAP：輕型目錄訪問協(xié)議（LightweightDirectoryAccessProto2SBOM：軟件物料清單（SoftwareBillofMaSQL：結(jié)構(gòu)化查詢語言（StructuredQueryLSSL：安全套接層（SecureSocketsTLS：傳輸層安全（TransportLayerSecurURL：統(tǒng)一資源定位系統(tǒng)（UniformResourceLocaVPN：虛擬專用網(wǎng)（VirtualPrivateNetworXML：可擴(kuò)展標(biāo)記語言（ExtensibleMarkupLa實(shí)現(xiàn)業(yè)務(wù)應(yīng)用數(shù)據(jù)在傳輸、存儲(chǔ)和處理過程中b)驗(yàn)證輸入數(shù)據(jù)的安全性，包括數(shù)據(jù)類型、數(shù)據(jù)長d)對(duì)所有輸入和輸出的字符進(jìn)行適當(dāng)c)采取有效的技術(shù)手段防止垂直越權(quán)和水平越權(quán)；3e)不能單獨(dú)使用HTTP請(qǐng)求頭中的Referg)對(duì)身份鑒別的頻率進(jìn)行限制，連續(xù)多次登錄失敗強(qiáng)制鎖定賬戶；j)禁用長期不使用的賬戶。b)不應(yīng)使用可預(yù)測的字符或數(shù)字作為口令(例如：姓名拼音或縮寫、生日、郵箱、身份證、電話號(hào)碼、連續(xù)鍵盤字符、常見英文單詞，以及與單位和個(gè)人密切相關(guān)的字符);d)使用不可逆的加密算法對(duì)口令進(jìn)行加密存儲(chǔ)，可在任意固定位置插入特定的字符進(jìn)行混淆；2)包含大寫字母、小寫字母、數(shù)字、符號(hào)中的至少3種。j)定期更改口令，至少每3個(gè)月更換1次口令。f)驗(yàn)證上傳文件的信息，包括文件類型、文件大小、文件名等。g)驗(yàn)證文件類型，檢查文件擴(kuò)展名和文件頭中文件類型標(biāo)志信息；i)采用隨機(jī)變化的方式，重新命名上傳文件的名稱；4d)為應(yīng)用程序僅授予任務(wù)所需的最小權(quán)限，不應(yīng)將數(shù)據(jù)庫管理員權(quán)限分配給應(yīng)用程序；g)不應(yīng)在應(yīng)用程序代碼和配置文件中存放數(shù)據(jù)庫帳號(hào)和口令。g)同一用戶ID不應(yīng)并發(fā)登錄。a)建立API臺(tái)賬，關(guān)閉不必要的API,避免泄漏API功能列表；c)通過訪問令牌驗(yàn)證調(diào)用者身份，設(shè)置令牌的時(shí)效性，僅允許令牌在有效時(shí)間內(nèi)可以調(diào)用API;d)對(duì)API接口的調(diào)用頻率進(jìn)行限e)通過白名單方式控制無需授權(quán)的API接口的訪問，對(duì)API的訪問應(yīng)授權(quán)；f)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理g)正確處理API返回信息，避免將敏感信息、調(diào)試信息、錯(cuò)誤信息等直接暴露給j)及時(shí)下線不再使用的API;k)系統(tǒng)交付前關(guān)閉并刪除API開發(fā)、調(diào)試等工具、框架及組件。d)業(yè)務(wù)應(yīng)用發(fā)布前刪除所有與調(diào)試和測試相關(guān)的代碼、配置和文件；f)開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理隔離，僅提供給授權(quán)的開發(fā)g)不應(yīng)在互聯(lián)網(wǎng)公共存儲(chǔ)空間(如代碼托管平臺(tái)、文庫、網(wǎng)盤等)存儲(chǔ)源代碼、技術(shù)文檔、運(yùn)維5a)將日志文件獨(dú)立保存于應(yīng)用程序目錄外，使用訪問權(quán)限來控制日志文件使用；b)完成行為記錄，包括：4)連接無效或者已過期的會(huì)話令牌；c)限制只有授權(quán)用戶才能訪問日志；e)使用哈希函數(shù)驗(yàn)證日志記錄的完整a)核查供應(yīng)商的公司背景、資質(zhì)和相關(guān)證書；b)核查供應(yīng)商的信息安全管理體系；c)評(píng)估供應(yīng)商對(duì)軟件供應(yīng)鏈的管理能力，a)SBOM應(yīng)詳細(xì)記錄軟件使用的所有組件的版本、來源、許可證類型等信息，以及組件之間的依b)業(yè)務(wù)應(yīng)用不應(yīng)設(shè)置特權(quán)賬號(hào)、調(diào)試賬號(hào)、隱藏賬號(hào)；6d)根據(jù)配置要求，選擇適合的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，進(jìn)行最小化安裝和安全配置；d)服務(wù)器全盤掃描查殺，檢測是否存在計(jì)算機(jī)b)識(shí)別需要定期備份的業(yè)務(wù)應(yīng)用數(shù)據(jù)，規(guī)定備份方式、備份頻率、存儲(chǔ)介質(zhì)、保存期等；d)指定部門或人員對(duì)業(yè)務(wù)應(yīng)用日志和安全產(chǎn)品告警進(jìn)行監(jiān)測分析，及時(shí)發(fā)現(xiàn)可疑行為；處理、存儲(chǔ)要求，對(duì)IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等；7a)定期開展業(yè)