ICS35.080CCSL772201SecurityspecificationforgovernmentapplicationDB2201/T71—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由長春市政務服務和數字化建設管理局提出并歸口。本文件起草單位：杭州安恒信息技術股份有限公司、長春市標準研究院（長春市WTO/TBT咨詢中心）。本文件起草人：劉競雄、柳羽輝、鄧賀、戚志軍、李聰、冷皓、李凌岳。DB2201/T71—20243政務應用系統開發(fā)安全規(guī)范本文件規(guī)定了政務應用系統開發(fā)過程中需求分析、設計、開發(fā)、測試、部署及運維各階段的安全要本文件適用于政務應用系統開發(fā)過程。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術術語GB/T36626信息安全技術信息系統安全運維管理指南GB/T39412信息安全技術代碼安全審計規(guī)范GB/T39837信息技術遠程運維技術參考模型3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。政務應用系統governmentapplicationsystem在非涉密業(yè)務環(huán)境下，用于實現政務部門工作或履行其職能的應用軟件及其運行的軟環(huán)境和承載業(yè)務直接關聯的數據。需求分析階段requirementanalysisphase收集和理解用戶需求，確保最終軟件產品能夠完全滿足用戶需求的過程。代碼安全審計codesecurityaudit對代碼進行安全分析，以發(fā)現代碼安全缺陷或違反代碼安全規(guī)范的動作。[來源：GB/T39412-2020，3.1.1]4需求分析階段系統安全應包括但不限于以下內容：a)安全需求分析：確定系統的安全需求，包括身份驗證、授權、數據保護、審計跟蹤等方面的4b)敏感信息識別：確定系統的敏感信息，如個人身份信息、財務數據等，并明確其在系統中的c)安全性能要求：確定系統在安全性能方面的要求，包括認證和授權的響應速度以及數據加密d)合規(guī)性要求：確定系統在合規(guī)性方面的要求，包括法律法規(guī)、標準、業(yè)務規(guī)范等要求。a)數據保護要求：確定系統對數據的加密、傳輸、存儲和銷毀等方面的保護要求，包括加密算b)訪問控制要求：確定系統對不同用戶角色的訪問控制策略，包括用戶身份驗證、權限分配和4.3監(jiān)控與審計應確定系統需要記錄和審計的安全事件和操作，包括登錄記系統應具備應對安全事件的能力，包括但不限于開展應急演應確定與外部供應商合作時對其安全性的要求，包括安全評估、合同條款、監(jiān)a)應用系統服務器操作系統安全定期更新補丁、強化身份驗證；5a)采用統一的認證和授權平臺，認證過程需要進行加密，密鑰長度不低于128位；b)輸入數據應采用輸入復核或其他輸入檢查方式；d)定義用戶或系統進程可以訪問特定資源以e)API(應用程序接口)進行訪問控制；應從數據收集、傳輸、存儲、處理、交換、銷應通過代碼安全審計，代碼安全審計宜參照GB/T39412執(zhí)行。c)測試過程使用的后門、用戶名及口令不可保存并同步發(fā)布到生產版本；8.1應制定部署標準、流程、應急預案及回退方案，b)基于角色的授權策略：配置管理基于角色(操作員和管理員等)進行授權；6DB2201/T71—2024e)不應使用Web空間配置文件；f)限制對包含加密數