DB21-T 2897.1-2017交通云环境 第1部分：WEB应用安全技术规范

ICS35.240.01

L70/84

备案号：58581-2018

DBDB21/T2897.121—2017

辽宁省地方标准

DB21/T2897.1—2017

交通云环境

第1部分：WEB应用安全技术规范

TrafficCloudPart1：WEBapplicationsecuritytechnology

DB21/T2897.1—2017

前言

《交通云环境》是辽宁省交通云信息安全保护技术规范相关系列标准之一。

《交通云环境》分为两部分：

——第1部分：WEB应用安全技术规范；

——第2部分：信息安全保护技术规范。

其中第1部分：WEB应用安全技术规范包含应用安全、数据安全及备份恢复两大方面内容，第2部分：

信息安全保护技术规范包含物理安全、网络安全、主机安全、云主机安全四大方面内容，两部分内容共

同对应《GB/T22239.1信息安全技术信息系统安全等级保护基本要求》技术要求部分内容。

本部分为《交通云环境》的第1部分。

本部分按照GB/T1.1—2009给出的规则起草。

本部分由辽宁省交通厅提出并归口。

本部分主要起草单位：辽宁省交通厅通信信息总站，辽宁交通信息技术有限公司，辽宁北方实验室

有限公司。

本部分主要起草人：曲卓，李涛，王菁，刘春来，杨丽春，郎志海，姜鹏，韩晓娜，郭思媚，魏宝

忠，甄挚，程景敏，张鏖，段晓祥，徐阳，耿天华，孙硕诗，张醒飞，郭越，王洪川，石绍群。

II

DB21/T2897.1—2017

引言

近年来，现代新兴信息技术发展越来越快，以云计算为代表的技术正逐步兴起，并且广泛地应用在

交通运输行业,而辽宁省交通信息化也步入了快速发展时期。为了贯彻国家信息安全相关法律法规，落

实信息安全等级保护相关技术要求，规范辽宁省交通云环境安全等级保护的工作，针对云环境的具体情

况，特制定本标准。

本标准所涵盖的第一级等级保护技术要求、第二级等级保护技术要求、第三级等级保护技术要求内

容分别对应《信息系统安全等级保护基本要求第1部分：通用安全要求》（GB/T22239.1）相应等级保

护基本要求，在部分安全项中根据云环境特点对其内容进行引用、深化及扩展。

本部分与国标《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等

级保护基本要求第1部分：通用安全要求》（GB/T22239.1）等标准共同构成了辽宁省交通云环境等级

保护的相关配套标准，主要针对辽宁省交通云环境应用现状、技术特点和安全防护要求作进一步细化和

扩展，本部分内容基于应用安全、数据安全及备份恢复两大方面分别提出满足相应安全保护等级系统的

安全防护需求，确认相关技术参数，从而进一步确保辽宁省交通行业云环境安全稳定运行。

III

DB21/T2897.1—2017

交通云环境WEB应用安全技术规范

1范围

本文档规定了辽宁省交通云应用安全技术规范，结合辽宁省交通行业特点，从技术方面设计辽宁省

交通云应用安全技术规范，主要包括应用安全、数据安全及备份恢复要求实施技术规范。

主要适用于云平台下应用系统的新建、升级、改造、部署及运行维护，供各相关单位参照执行。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB17859—1999计算机信息系统安全保护等级划分准则

GB/T25069—2010信息安全技术术语

3术语和定义

3.1

安全保护能力securityprotectionability

系统能够抵御威胁、发生安全事件以及在系统遭到损害后能够恢复先前状态等的程度。

3.2

抗抵赖non-repudiation

证明某一动作或事件已经发生的能力，以使事后不能否认这一动作或事件。

3.3

对象object

系统中可供访问的实体。例如：数据、资源、进程等。

3.4

授权authorization

赋予某一主体可实施某些动作的权力的过程。

3.5

数据完整性dataintegrity

数据没有遭受以未授权方式所作的更改或破坏的特性。

3.6

1

DB21/T2897.1—2017

用户标识userID/useridentification

信息系统用于标识用户的一种字符串或模式。

3.7

安全审计securityaudit

对信息系统的各种事件及行为实行监测、信息采集、分析，并针对特定事件及行为采取相应的动作。

3.8

访问控制accesscontrol

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。

3.9

交通云环境trafficcloud

指能够从动态虚拟化的资源池中向用户或者各种应用系统按需提供计算能力、存储能力或者虚拟机

等服务的资源集合。

3.10

主体subject

信息系统访问控制中所涵盖的系统用户和进程等。

3.11

客体object

信息系统主体所访问的系统资源，如文件、数据库表等。

4第一级等级保护技术要求

第一级等级保护技术要求参照第二级等级保护技术要求执行。

5第二级等级保护技术要求

5.1应用安全

5.1.1身份鉴别（S2）

本项要求包括：

a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

1)部署于交通云环境下的应用系统应具有专用的登录控制模块，对登录用户的账号/口令及

其他身份信息进行鉴别。

b)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标

识，身份鉴别信息不易被冒用；

1)部署于交通云环境下的应用系统应通过程序代码限制口令符合以下条件：长度至少为8

位，且为数字、字母、符号混排的方式；

2)应用系统应通过程序代码限制口令至少每半年更换1次，更新的口令至少2次内不能重复；

2

DB21/T2897.1—2017

3)应为云环境下的应用系统中的不同用户分配不同的用户标识即用户名或用户ID号，确保

身份鉴别信息不被冒用。

c)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

1)部署于交通云环境下的应用系统应限制用户的非法登录次数不超过5次；

2)账户登录失败超过5次，至少锁定30分钟，或由系统管理员解锁；

3)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败

处理功能，并根据安全策略配置相关参数。

5.1.2访问控制（S2）

本项要求包括：

a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；

1)部署于交通云环境下的应用系统应指定管理用户对系统用户进行管理，配置用户对文件、

数据库表等客体的访问控制策略，如查看、查询、增加、删除或修改等权限；

2)应用系统采取编码级措施，对SQL注入、跨站、文件上传漏洞、越权访问、敏感信息泄露

等攻击进行防护。

b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

1)访问控制功能应限制用户或进程对应用系统的功能、文件或数据库表的操作。

c)应由授权主体配置访问控制策略，并严格限制默认账户的访问权限；

1)交通云环境下应用系统由授权管理员进行用户权限管理；

2)应重命名应用系统正在使用的默认账户，如admin、manager、test等；

3)应及时删除应用系统中不被使用的账户，一般指应用系统的公共账户或测试账户。

d)应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

1)交通云环境下应用系统应根据用户的角色进行详细的权限划分；

2)应用系统应根据最小原则进行授权，并在各用户间形成相互制约关系，如分配系统管理员、

安全管理员、安全审计员，录入与审核分离，操作与监督分离等。

5.1.3安全审计（G2）

本项要求包括：

a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

1)交通云环境下应用系统应启用安全审计功能，并能覆盖到每个用户；

2)安全审计范围包括应用系统定义的重要安全事件（如包括帐户建立、用户权限分配、重要

业务数据的增加修改删除操作、用户身份鉴别失败、退出等行为）。

b)应保证无法删除、修改或覆盖审计记录；

1)审计进程与系统主进程为同一进程，无法单独中断；

2)通过应用系统无法删除、修改或覆盖审计记录；

3)审计记录每天定时备份至日志服务器。

c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。

1)审计记录至少包括事件发生的日期和时间、触发事件的主体（如用户名、IP地址等）与

客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等。

5.1.4通信完整性（S2）

本项要求包括：

3

DB21/T2897.1—2017

a)应采用校验码技术保证通信过程中数据的完整性。

1)应用系统中通信双方应利用校验码技术对数据进行完整性校验。

5.1.5通信保密性（S2）

本项要求包括：

a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；

1)利用密码技术进行会话初始化验证（SSL、SSH等）。

b)应对通信过程中的敏感信息字段进行加密。

1)对通信过程中的整个报文或会话过程进行加密。

5.1.6软件容错（A2）

本项要求包括：

a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符

合系统设定要求；

1)交通云环境下的应用系统在数据输入界面提供数据有效性检验功能（如：数据格式、数据

长度、是否为空等）。

b)在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。

1)交通云环境下应用系统采用双机热备、集群等高可用模式部署；

2)应用系统提供自动保护功能（如守护进程重启故障中断的服务进程等），确保能够自动保

护当前所有状态，保证系统能够进行恢复。

5.1.7资源控制（A2）

本项要求包括：

a)当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

1)用户在登录应用系统后在30分钟内未执行任何操作，应自动退出系统，超时时间可以手

工设置。

b)应能够对应用系统的最大并发会话连接数进行限制；

c)应能够对单个账户的多重并发会话进行限制。

1)交通云环境下应用系统对单个帐户的多重并发会话进行限制，禁止同一用户同时登录系

统。

5.2数据安全及备份恢复

5.2.1数据完整性（S2）

本项要求包括：

a)应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。

1)数据库管理系统、应用系统的系统管理数据，鉴别信息和重要业务数据在传输过程中具有

数据完整性检测功能；

2)在检测到完整性错误时采取必要的恢复措施。

5.2.2数据保密性（S2）

本项要求包括：

a)应采用加密或其他保护措施实现鉴别信息的存储保密性。

4

DB21/T2897.1—2017

1）交通云环境下应用系统的系统管理数据、鉴别信息和重要业务数据采用加密、数字证书或

其他有效措施实现存储保密性。

5.2.3备份和恢复（A2）

本项要求包括：

a)应能够对重要信息进行备份和恢复；

1)数据库管理系统、主要应用系统等业务数据提供本地数据备份和恢复的功能；

2)备份恢复策略配置正确，备份记录与备份策略一致，重要业务数据，系统配置文件数据等

关键数据每半月完全备份，系统镜像文件等其他数据每次变更时应进行差量备份；

3)备份介质场外存放，备份数据至少存放6个月。

b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。

1)对关键的网络设备、通信设备建立备份机制，有备机备件；

2)对关键的通信线路有冗余备份线路，主备通信线路应采用不同运营商；

3)关键的网络设备、通信线路在发生故障时可以主备切换，不影响业务运行。

6第三级等级保护技术要求

6.1应用安全

6.1.1身份鉴别（S3）

本项要求包括：

a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

1）部署于交通云环境下的应用系统应具有专用的登录控制模块，对登录用户的账号/口令及

其他身份信息进行鉴别。

b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；

1)应用系统应针对可控用户及重要权限用户，采用除账号/口令以外的其他鉴别技术进行身

份鉴别，如动态令牌、数字证书、生物特征识别等；

2)移动应用系统应针对可控重要终端，进行手机号码、终端串号或MAC地址等信息的绑定；

3)两种或两种以上鉴别技术应组合使用，避免相互替代。

c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标

识，身份鉴别信息不易被冒用；

1)部署于交通云环境下的应用系统应为不同用户分配不同的身份标识，避免多用户共享使用

及身份冒用；

2)应用系统应通过程序进行口令复杂度、口令更换限制；

3)当应用系统满足双因素身份鉴别条件时，相关密码策略要求口令长度设置不少于4位，不

满足双因素身份鉴别条件的应用系统口令应符合以下条件：数字、大小写字母、符号混排

的方式，长度至少为8位；

4)口令每个季度更换1次，更新的口令至少3次内不能重复。

d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

1)应用系统应通过程序限制用户的非法登录次数，不超过3次；

2)账户登录失败超过3次，至少锁定30分钟，或由系统管理员解锁。

5

DB21/T2897.1—2017

e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理

功能，并根据安全策略配置相关参数。

6.1.2访问控制（S3）

本项要求包括：

a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；

1)部署于交通云环境下的应用系统应指定管理用户对系统用户进行管理，配置用户对文件、

数据库表等客体的访问控制策略，如查看、查询、增加、删除或修改等权限；

2)应用系统采取编码级措施，对SQL注入、跨站、文件上传漏洞、越权访问、敏感信息泄露

等攻击进行防护。

b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

1)访问控制的粒度需达到主体为用户和进程级，客体为文件、数据库表级；

2)访问控制功能正常，覆盖范围包括与资源访问相关的主体、客体及它们之间的操作；

3)部署于交通云环境下应用系统根据用户权限进行严格的访问控制，不存在越权访问现象。

c)应由授权主体配置访问控制策略，并严格限制默认账户的访问权限；

1)交通云环境下应用系统由授权管理员进行用户权限管理；

2)应用系统应重命名正在使用的默认账户，如admin、manager、test等；

3)应用系统应及时删除不被使用的账户，一般指应用系统的公共账户或测试账户。

d)应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

1)交通云环境下应用系统应根据用户的角色进行详细的权限划分；

2)应用系统应根据最小原则进行授权，并在各用户间形成相互制约关系，如分配系统管理员、

安全管理员、安全审计员，录入与审核分离，操作与监督分离等。

6.1.3安全审计（G3）

本项要求包括：

a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

1)交通云环境下应用系统应提供覆盖到每个用户的安全审计功能；

2)安全审计范围包括应用系统定义的重要安全事件（如包括帐户建立、用户权限分配、重要

业务数据的增加修改删除操作、用户身份鉴别失败、退出等行为）。

b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；

1)审计进程与系统主进程为同一进程，无法单独中断；

2)通过应用系统无法删除、修改或覆盖审计记录；

3)审计记录每天定时备份至日志服务器。

c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；

1)审计记录至少包括事件发生的日期和时间、触发事件的主体（如用户名、IP地址等）与

客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等。

d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

1)交通云环境下应用系统应能够对审计记录进行统计、查询等分析，能根据需要生成审计报

表；

2)通过审计平台进行审计记录的统计、查询、分析及生成审计报表。

6.1.4剩余信息保护（S3）

本项要求包括：

6

DB21/T2897.1—2017

a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信

息是存放在何种存储介质中；

1)交通云环境下应用系统应具有清除用户鉴别信息的功能；

2)正常退出和非强制关闭后，应用系统和操作系统临时文件等均无残留的用户鉴别信息。

b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户

前得到完全清除。

1)正常退出和非强制关闭后，用户无法访问其他用户已经释放的文件、目录和数据库记录等

资源中存储的其他用户数据。

6.1.5通信完整性（S3）

本项要求包括：

a)应采用密码技术保证通信过程中数据的完整性。

1)交通云环境下应用系统采用MD5、SHA-1等密码算法进行完整性保护或采用SSL等加密通

信方式。

6.1.6通信保密性（S3）

本项要求包括：

a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；

1)利用密码技术进行会话初始化验证（SSL、SSH等）。

b)应对通信过程中的整个报文或会话过程进行加密。

1)对通信过程中的整个报文或会话过程进行加密。

6.1.7抗抵赖（G3）

本项要求包括：

a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；

1)交通云环境下应用系统应采用数字签名等非对称加密技术，保证传输的数据是由确定的用

户发送。

b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

1)交通云环境下应用系统应采用数字签名等非对称加密技术，保证传输的数据是由指定的用

户接收。

6.1.8软件容错（A3）

本项要求包括：

a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符

合系统设定要求；

1)交通云环境下应用系统在数据输入界面提供数据有效性检验功能（如：数据格式、数据长

度、是否为空等）。

b)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

1)交通云环境下应用系统采用双机热备、集群等高可用模式部署；

2)应用系统提供自动保护功能（如守护进程重启故障中断的服务进程等），确保能够自动保

护当前所有状态，保证系统能够进行恢复。

6.1.9资源控制（A3）

7

DB21/T2897.1—2017

本项要求包括：

a)当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

1)用户在登录应用系统后在30分钟内未执行任何操作，应自动退出系统，超时时间可以手

工设置。

b)应能够对系统的最大并发会话连接数进行限制；

c)应能够对单个账户的多重并发会话进行限制；

1)交通云环境下应用系统对单个帐户的多重并发会话进行限制，禁止同一用户同时登录系

统。

d)应能够对一个时间段内可能的并发会话连接数进行限制；

e)应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额；

f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；

1)能够对系统服务水平进行检测；

2)达到设置阈值时能够进行报警。

g)应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根

据优先级分配系统资源。

6.2数据安全及备份恢复

6.2.1数据完整性（S3）

本项要求包括：

a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检

测到完整性错误时采取必要的恢复措施；

1)数据库管理系统、应用系统的系统管理数据，鉴别信息和重要业务数据在传输过程中具有

数据完整性检测功能；

2)在检测到完整性错误时采取必要的恢复措施。

b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检

测到完整性错误时采取必要的恢复措施。

1)数据库管理系统、应用系统的系统管理数据，鉴别信息和重要业务数据在存储过程中具有

数据完整性检测功能；

2）在检测到完整性错误时采取必要的恢复措施。

6.2.2数据保密性（S3）

本项要求包括：

a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；

1)交通云环境下应用系统的系统管理数据、鉴别信息和重要业务数据采用加密、数字证书或

其他有效措施实现传输保密性。

b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

1)交通云环境下应用系统的系统管理数据、鉴别信息和重要业务数据采用加密、数字证书或

其他有效措施实现存储保密性。

6.2.3备份和恢复（A3）

本项要求包括：

a)应提供本地数据备份与恢复功能，完全数据备份至少每天1次，备份介质场外存放；

1)数据库管理系统、主要应用系统等业务数据提供本地数据备份和恢复的功能；

8

DB21/T2897.1—2017

2)备份恢复策略配置正确，备份记录与备份策略一致，重要业务数据，系统配置文件数据等

关键数据，每天1次完全备份，系统镜像文件等其他数据每次变更时应进行差量备份；

3)备份介质场外存放，备份数据至少存放6个月。

b)应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；

1)提供数据异地备份的场地；

2)定义与应用系统相关的关键数据；

3)利用通信网络定时批量传送至备用场地，备份数据至少存放6个月。

c)应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；

d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

1)交通云环境下主要的服务器和数据库系统采取双机热备、集群的模式部署，在发生硬件、

软件等故障时，可以实现自动或快速的手动切换。

9

DB21/T2897.1—2017

参考文献

GB/T22239.1信息安全技术信息系统安全等级保护基本要求第1部分：通用安全要求

_________________________________

10

DB21/T2897.1—2017

目次

前言.........................................................