23I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是DB23/T3868《教育新型基礎(chǔ)設(shè)施建──教育新型基礎(chǔ)設(shè)施建設(shè)──教育新型基礎(chǔ)設(shè)施建設(shè)──教育新型基礎(chǔ)設(shè)施建設(shè)──教育新型基礎(chǔ)設(shè)施建設(shè)請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。揮保障中心、黑龍江省教育廳、東北林業(yè)大1教育新型基礎(chǔ)設(shè)施建設(shè)第3部分：業(yè)務(wù)應(yīng)用安全規(guī)范GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T38674信息安全技術(shù)應(yīng)用軟件安全編程3.13.23.3運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、4縮略語(yǔ)API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）HTTP：超文本傳輸協(xié)議（HypertextTransferProtocLDAP：輕型目錄訪問(wèn)協(xié)議（LightweightDirectoryAccessProto2SBOM：軟件物料清單（SoftwareBillofMaSQL：結(jié)構(gòu)化查詢語(yǔ)言（StructuredQueryLSSL：安全套接層（SecureSocketsTLS：傳輸層安全（TransportLayerSecurURL：統(tǒng)一資源定位系統(tǒng)（UniformResourceLocaVPN：虛擬專用網(wǎng)（VirtualPrivateNetworXML：可擴(kuò)展標(biāo)記語(yǔ)言（ExtensibleMarkupLa實(shí)現(xiàn)業(yè)務(wù)應(yīng)用數(shù)據(jù)在傳輸、存儲(chǔ)和處理過(guò)程中b)驗(yàn)證輸入數(shù)據(jù)的安全性，包括數(shù)據(jù)類型、數(shù)據(jù)長(zhǎng)d)對(duì)所有輸入和輸出的字符進(jìn)行適當(dāng)6.2訪問(wèn)控制c)采取有效的技術(shù)手段防止垂直越權(quán)和水平越權(quán)；3g)對(duì)身份鑒別的頻率進(jìn)行限制，連續(xù)多次登錄失敗強(qiáng)制鎖定賬戶；a)不應(yīng)使用弱口令、空口令和默認(rèn)口令；號(hào)碼、連續(xù)鍵盤(pán)字符、常見(jiàn)英文單詞，以及與單位和個(gè)）；d)使用不可逆的加密算法對(duì)口令進(jìn)行加密f)首次登陸后，強(qiáng)制更改默認(rèn)口令；e)將文件名以及文件內(nèi)容作為不可信的輸g)驗(yàn)證文件類型，檢查文件擴(kuò)展名和文件頭中文件類型標(biāo)志信息；h)使用白名單限制上傳的文件類型；6.5數(shù)據(jù)加密與保護(hù)6.6數(shù)據(jù)庫(kù)管理b)重命名數(shù)據(jù)庫(kù)默認(rèn)賬戶，更改數(shù)據(jù)庫(kù)默認(rèn)口令；4d)為應(yīng)用程序僅授予任務(wù)所需的最小權(quán)限，不應(yīng)將數(shù)據(jù)庫(kù)管理員權(quán)限分配給應(yīng)用程序；f)敏感信息應(yīng)在數(shù)據(jù)庫(kù)中加密存儲(chǔ)；g)不應(yīng)在應(yīng)用程序代碼和配置文件中存放數(shù)據(jù)庫(kù)帳號(hào)和口令。e)會(huì)話中應(yīng)使用強(qiáng)隨機(jī)令牌或參數(shù)管理賬f)不應(yīng)在URL、錯(cuò)誤信息或日志中暴露f)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，防止數(shù)據(jù)在傳輸過(guò)程中被截獲和篡改；a)使用官方支持更新的操作系統(tǒng)、編譯器和相關(guān)組件，最小化安裝，并安裝所有補(bǔ)?。?a)將日志文件獨(dú)立保存于應(yīng)用程序目錄外，使用訪問(wèn)權(quán)限來(lái)控制日志文件使用；b)完成行為記錄，包括：4)連接無(wú)效或者已過(guò)期的會(huì)話令牌；c)限制只有授權(quán)用戶才能訪問(wèn)日志；e)使用哈希函數(shù)驗(yàn)證日志記錄的完整a)核查供應(yīng)商的公司背景、資質(zhì)和相關(guān)證書(shū)；b)核查供應(yīng)商的信息安全管理體系；c)評(píng)估供應(yīng)商對(duì)軟件供應(yīng)鏈的管理能力，7.2軟件安全a)SBOM應(yīng)詳細(xì)記錄軟件使用的所有組件的版本、來(lái)源、許可證類型等信息，以及組件之間的依b)業(yè)務(wù)應(yīng)用不應(yīng)設(shè)置特權(quán)賬號(hào)、調(diào)試賬號(hào)、隱藏賬號(hào)；6應(yīng)及時(shí)通報(bào)，采取更新、修復(fù)等措施，完善SB8.2安全評(píng)估a)源代碼安全審計(jì)，檢測(cè)代碼中的安全漏洞；c)安全基線檢查，檢查操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等不安全配置；8.3安全加固9業(yè)務(wù)應(yīng)用運(yùn)維安全a)建立健全安全運(yùn)維管理制度，明確運(yùn)維團(tuán)隊(duì)中各崗位職責(zé)；b)識(shí)別需要定期備份的業(yè)務(wù)應(yīng)用數(shù)據(jù)，規(guī)定備份方式d)指定部門(mén)或人員對(duì)業(yè)務(wù)應(yīng)用日志和安全產(chǎn)品告警進(jìn)行監(jiān)測(cè)分析，及時(shí)發(fā)現(xiàn)可疑行為；f)對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備在接入系統(tǒng)前進(jìn)行惡意代碼檢查；g)控制遠(yuǎn)程運(yùn)維的開(kāi)通，如業(yè)務(wù)需求采用遠(yuǎn)程運(yùn)維應(yīng)使用VPN加運(yùn)維審計(jì)系統(tǒng)，設(shè)置證，操作過(guò)程中保留不可更改的審計(jì)日志，操作結(jié)束后立即關(guān)閉接口或7a)定期開(kāi)展業(yè)務(wù)應(yīng)用安全評(píng)估，對(duì)評(píng)估發(fā)現(xiàn)的漏洞或不安全配