DB2201T 71-2024政务应用系统开发安全规范.docxVIP

ICS35.080CCSL77

2201

长春市地方标准

DB2201/T71—2024

政务应用系统开发安全规范

Securityspecificationforgovernmentapplicationsystemdevelopment

2024-12-30发布2025-02-07实施

长春市市场监督管理局发布

II

DB2201/T71—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由长春市政务服务和数字化建设管理局提出并归口。

本文件起草单位：杭州安恒信息技术股份有限公司、长春市标准研究院（长春市WTO/TBT咨询中心）。

本文件起草人：刘竞雄、柳羽辉、邓贺、戚志军、李聪、冷皓、李凌岳。

DB2201/T71—2024

3

政务应用系统开发安全规范

1范围

本文件规定了政务应用系统开发过程中需求分析、设计、开发、测试、部署及运维各阶段的安全要求。

本文件适用于政务应用系统开发过程。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069

信息安全技术术语

GB/T36626

信息安全技术信息系统安全运维管理指南

GB/T39412

信息安全技术代码安全审计规范

GB/T39837

信息技术远程运维技术参考模型

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

政务应用系统governmentapplicationsystem

在非涉密业务环境下，用于实现政务部门工作或履行其职能的应用软件及其运行的软环境和承载业务直接关联的数据。

需求分析阶段requirementanalysisphase

收集和理解用户需求，确保最终软件产品能够完全满足用户需求的过程。

代码安全审计codesecurityaudit

对代码进行安全分析，以发现代码安全缺陷或违反代码安全规范的动作。[来源：GB/T39412-2020，3.1.1]

4需求分析阶段

系统安全

应包括但不限于以下内容：

a)安全需求分析：确定系统的安全需求，包括身份验证、授权、数据保护、审计跟踪等方面的需求；

4

DB2201/T71—2024

b)敏感信息识别：确定系统的敏感信息，如个人身份信息、财务数据等，并明确其在系统中的流动和处理方式；

c)安全性能要求：确定系统在安全性能方面的要求，包括认证和授权的响应速度以及数据加密解密的效率；

d)合规性要求：确定系统在合规性方面的要求，包括法律法规、标准、业务规范等要求。

4.2数据保护与访问控制

应包括但不限于以下内容：

a)数据保护要求：确定系统对数据的加密、传输、存储和销毁等方面的保护要求，包括加密算法、密钥管理、数据备份和灾难恢复等措施；

b)访问控制要求：确定系统对不同用户角色的访问控制策略，包括用户身份验证、权限分配和访问控制规则等。

4.3监控与审计

应确定系统需要记录和审计的安全事件和操作，包括登录记录、权限变更记录、数据访问记录等。

4.4安全保障与培训

应确定系统用户和管理人员需要接受的安全培训内容和频率。

4.5应急响应与事件处理

系统应具备应对安全事件的能力，包括但不限于开展应急演练、实施事件响应、制定规划与流程、进行漏洞修复，及事件恢复等。

4.6外部合作与供应商管理

应确定与外部供应商合作时对其安全性的要求，包括安全评估、合同条款、监督和审查等。

4.7安全测试与验证

应确定渗透测试、代码审查、安全漏洞扫描等安全测试与验证的范围和内容。

5设计阶段

5.1环境安全要求

应对以下方面进行确认：

a)应用系统服务器操作系统安全定期更新补丁、强化身份验证；

b)应用系统数据访问权限的控制、对敏感数据进行加密存储、定期备份；

c)应用系统网络通信安全。

5.2身份识别和认证

应包括用户账号管理、会话管理、权限管理等内容，在用户身份验证和会话管理过程中使用安全的传输协议。

5.3访问控制和授权

5

DB2201/T71—2024

应包括但不限于以下内容：

a