DB23T 3868.3-2024教育新型基础设施建设 第3部分：业务应用安全规范

23本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件是DB23/T3868《教育新型基础设施建──教育新型基础设施建设──教育新型基础设施建设──教育新型基础设施建设──教育新型基础设施建设挥保障中心、黑龙江省教育厅、东北林业大教育新型基础设施建设第3部分：业务应用安全规范GB/T25069—2022信息安全技术术语GB/T38674信息安全技术应用软件安全编程3.13.23.3运行规程的符合性，发现安全违规，并在控制、4缩略语API：应用程序编程接口（ApplicationPrograHTTP：超文本传输协议（HypertextTransferProtocLDAP：轻型目录访问协议（LightweightDirectoryAccessProtoSSL：安全套接层（SecureSocketsTLS：传输层安全（TransportLayerSecurURL：统一资源定位系统（UniformVPN：虚拟专用网（VirtualPrivateNetworXML：可扩展标记语言（ExtensibleMarkupLab)验证输入数据的安全性，包括数据类型、数据长d)对所有输入和输出的字符进行适当6.2访问控制c)采取有效的技术手段防止垂直越权和水平越权；e)不能单独使用HTTP请求头中的Referer验证来源页面链接；g)对身份鉴别的频率进行限制，连续多次登录失败强制锁定账户；a)不应使用弱口令、空口令和默认口令；号码、连续键盘字符、常见英文单词，以及与单位和个）；d)使用不可逆的加密算法对口令进行加密f)首次登陆后，强制更改默认口令；e)将文件名以及文件内容作为不可信的输g)验证文件类型，检查文件扩展名和文件头中文件类型标志信息；h)使用白名单限制上传的文件类型；6.5数据加密与保护b)重命名数据库默认账户，更改数据库默认口令；d)为应用程序仅授予任务所需的最小权限，不应将数据库管理员权限分配给应用程序；f)敏感信息应在数据库中加密存储；6.7网络传输安全e)会话中应使用强随机令牌或参数管理账f)不应在URL、错误信息或日志中暴露6.8应用程序接口安全f)对传输的数据进行加密处理，防止数据在传输过程中被截获和篡改；6.9开发环境安全a)使用官方支持更新的操作系统、编译器和相关组件，最小化安装，并安装所有补丁；a)将日志文件独立保存于应用程序目录外，使用访问权限来控制日志文件使用；b)完成行为记录，包括：4)连接无效或者已过期的会话令牌；a)核查供应商的公司背景、资质和相关证书；b)核查供应商的信息安全管理体系；c)评估供应商对软件供应链的管理能力，7.2软件安全a)SBOM应详细记录软件使用的所有组件的版本、来源、许可证类型等信息，以及组件之间的依b)业务应用不应设置特权账号、调试账号、隐藏账号；应及时通报，采取更新、修复等措施，完善SB8.2安全评估a)源代码安全审计，检测代码中的安全漏洞；c)安全基线检查，检查操作系统、中间件、数据库等不安全配置；8.3安全加固9业务应用运维安全a)建立健全安全运维管理制度，明确运维团队中各岗位职责；b)识别需要定期备份的业务应用数据，规定备份方式d)指定部门或人员对业务应用日志和安全产品告警进行监测分析，及时发现可疑行为；f)对外来计算机或存储设备在接入系统前进行恶意代码检查；g)控制远程运维的开通，如业务需求采用远程运维应使用VPN加运维审计系统，设置证，操作过程中保留不可更改的审计日志，操作结束后立即关闭接口或a)定期开展业务应用安全评估，对评估发现的