DB23_T 3868.3—2024教育新型基础设施建设+第3部分：业务应用安全规范+.docxVIP

ICS35.240.90CCSL67

ICS

35.240.90

CCS

L67

黑 龙 江 省 地 方 标 准

DB23/T3868.3—2024

教育新型基础设施建设第3部分：业务应用安全规范

2024

2024-08-30发布

2024-09-29实施

黑龙江省市场监督管理局

发布

前 言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是DB23/T3868《教育新型基础设施建设》的第3部分。DB23/T3868已经发布了以下部分：

──教育新型基础设施建设第1部分：高校数字校园建设规范

──教育新型基础设施建设第2部分：网络安全管理规范

──教育新型基础设施建设第3部分：业务应用安全规范

──教育新型基础设施建设第4部分：数据治理规范

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由黑龙江省教育厅提出并归口。

本文件起草单位：哈尔滨工业大学、哈尔滨安天系统安全技术有限公司、哈尔滨市网络安全应急指挥保障中心、黑龙江省教育厅、东北林业大学、哈尔滨医科大学、哈尔滨工程大学、黑龙江科技大学。

本文件主要起草人：辛毅、李清锋、徐晓航、毛力伟、尹尚书、石笑朋、孙洪磊、朴杰、胡晓锋、金旭东、胡全、周锋、张其梁、徐峰、邢丽刃、徐千。

教育新型基础设施建设

第3部分：业务应用安全规范

范围

本文件规定了教育新型基础设施业务应用安全规范的缩略语、总体原则、业务应用开发安全、供应链安全、业务应用部署安全、业务应用运维安全等要求。

本文件适用于教育新型基础设施建设中的业务应用安全工作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T38674信息安全技术应用软件安全编程指南

术语和定义

下列术语和定义适用于本文件。

下列术语和定义适用于本文件。

网络安全

对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。[来源:GB/T25069—2022,3.616]

供应链

将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。其中每一组织充当需方、供方或双重角色。

[来源:GB/T25069—2022,3.223]

安全审计

对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。

[来源:GB/T25069—2022,3.24]

4缩略语

下列缩略语适用于本文件。

API：应用程序编程接口（ApplicationProgrammingInterface）HTTP：超文本传输协议（HypertextTransferProtocol）

LDAP：轻型目录访问协议（LightweightDirectoryAccessProtocol）

SBOM：软件物料清单（SoftwareBillofMaterials）SQL：结构化查询语言（StructuredQueryLanguage）SSL：安全套接层（SecureSocketsLayer）

TLS：传输层安全（TransportLayerSecurity）URL：统一资源定位系统（UniformResourceLocator）VPN：虚拟专用网（VirtualPrivateNetwork）

XML：可扩展标记语言（ExtensibleMarkupLanguage）

总体原则

保密性

通过加密技术和访问控制保护业务应用敏感数据，不被未授权用户获取和使用。

完整性

实现业务应用数据在传输、存储和处理过程中不被修改或破坏。

可用性

实现业务应用可以持续稳定的为授权用户提供正常服务。

输入与输出安全应符合但不限于下列要求：对输入的所有数据进行验证，不接受验证失败的数据；

输入与输出安全

应符合但不限于下列要求：

对输入的所有数据进行验证，不接受验证失败的数据；

验证输入数据的安全性，包括数据类型、数据长度、数据范围等。

在条件允许的情况下，采用白名单形式验证所有输入；

对所有输入和输出的字符进行适当编码；

对SQL、LDAP、XML等查询语句以及操作系统命令进行语义净化。

访问控制

应符合但不限于下列要求：

使用多因素身份鉴