DB14T 2241-2020应急管理信息化 应急管理业务软件系统安全设计规范.pdf

ICS 13.100 C 78 DB 1 4 山 西 省 地 方 标 准 D B 14/T 2241—2020 应急管理信息化应急管理业务软件系 安全设计规范 2020 - 12 - 08 发布 2021 - 03 - 08 实施 山 西 省 市 场 监 督 管 理 局 发 布 DB14/T 2241— 2020 目 次 mr mII 1 細 1 2 规范性引用文件 1 3 术语和定义 1 4 业务软件系统软件研发周期 3 5 软件系统安全设计的基本内容 5 6 i § 腺 $ 8 7 软件开发管理 9 8 $ 战 维 - 10 附录A (资料性） 参考表 12 附录B (资料性） 业务软件系统验收大纲14 DB14/T 2241— 2020 刖 吕 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规则 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由山西省应急管理厅提出并监督实施。 本文件由山西省安全生产标准化技术委员会归口。 本文件起草单位：山西省安全生产科学研究院。 本文件主要起草人：焦新华、陈泽宇、杨柯、王延辉、杨李根、刘艳、王刚、王洋、宋梅、张旭东、 王波。 II DB14/T 2241— 2020 应急管理信息化应急管理业务软件系统安全设计规范 1 范围 木文件规定了应急管理业务软件系统安全设计规范的术语和定义、基本内容、通用要求、研发管理 以及安全运维等，本规范主要针对B/S架构。 本文件适用于指导山西省应急管理业务软件系统安全设计。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引ffl文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于木 文件。 GB/T 22239-2019信息安全技术网络安全等级保护基本要求 GBA 30998-2014信息技术软件安全保障规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 安全设计 系统在设计阶段幵展的结构分析、专项防护及方案评审等一系列活动的总称。 3. 安全策略 业务系统中制定一系列规则，实现安全目标的总称。 系统级资源 系统级资源包括：文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件日志等。 前端 前端即网站前台部分，在浏览器上展现给用广浏览的网页。 后端 后端是负责与数据库的交互，实现相应的业务逻辑。 DB14/T 2241—2020 3.6 双因子认证 密码以及实物(SMS手机、令牌等生物标志)两种或多种条件对ffl户进行认证的方法。 3.7 单向散列 是根据输入消息计算后，输出固定长度数值的算法，输出数值也称为“散列值”或 “消息摘要”， 其长度通常在128〜 256位之间。 3.8 反向代理 是指内部网络对丨ntcmcrt发出连接请求，需要制定代理服务将原本直接传输至Web 服务器的HTTP 发送至代