DB23-T 3868.3-2024教育新型基础设施建设+第3部分：业务应用安全规范+

ICS35.240.90CCSL67ICS35.240.90CCSL67黑 龙 江 省 地 方 标 准DB23/T3868.3—2024320242024083020240929黑龙江省市场监督管理局发布前 言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是DB23/T3868《教育新型基础设施建设》的第3部分。DB23/T3868已经发布了以下部分：──教育新型基础设施建设第1部分：高校数字校园建设规范──教育新型基础设施建设第4部分：数据治理规范本文件主要起草人：辛毅、李清锋、徐晓航、毛力伟、尹尚书、石笑朋、孙洪磊、朴杰、胡晓锋、金旭东、胡全、周锋、张其梁、徐峰、邢丽刃、徐千。教育新型基础设施建设第3部分：业务应用安全规范范围本文件适用于教育新型基础设施建设中的业务应用安全工作。（GB/T25069—2022信息安全技术术语GB/T38674信息安全技术应用软件安全编程指南下列术语和定义适用于本文件。下列术语和定义适用于本文件。网络安全[来源:GB/T25069—2022,3.616]供应链将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。其中每一组织充当需方、供方或双重角色。[来源:GB/T25069—2022,3.223]安全审计[来源:GB/T25069—2022,3.24]4缩略语下列缩略语适用于本文件。API：应用程序编程接口（ApplicationProgrammingInterface）HTTP：超文本传输协议（HypertextTransferProtocol）LDAP：轻型目录访问协议（LightweightDirectoryAccessProtocol）SBOM：软件物料清单（SoftwareBillofMaterials）SQL：结构化查询语言（StructuredQueryLanguage）SSL：安全套接层（SecureSocketsLayer）TLS（TransportLayerSecurity）URL（UniformResourceLocator）VPN（VirtualPrivateNetwork）XML：可扩展标记语言（ExtensibleMarkupLanguage）保密性通过加密技术和访问控制保护业务应用敏感数据，不被未授权用户获取和使用。完整性实现业务应用数据在传输、存储和处理过程中不被修改或破坏。可用性实现业务应用可以持续稳定的为授权用户提供正常服务。输入与输出安全应符合但不限于下列要求：输入与输出安全应符合但不限于下列要求：SQL、LDAPXML访问控制应符合但不限于下列要求：USBKeyURL；HTTPReferer应符合但不限于下列要求：（）；2)包含大写字母、小写字母、数字、符号中的至少3种。j)定期更改口令，至少每3个月更换1次口令。2)包含大写字母、小写字母、数字、符号中的至少3种。j)定期更改口令，至少每3个月更换1次口令。应符合但不限于下列要求：按照GB/T38674的规定执行。应符合但不限于下列要求：SQL应符合但不限于下列要求：HTTPSURLID应符合但不限于下列要求：APIAPIAPIAPIAPAPIAPIAPIAPIAPIKeyAPI；API应符合但不限于下列要求：应符合但不限于下列要求：TLS6供应商审核应符合但不限于下列要求：软件安全应符合但不限于下列要求：SBOMgitsvncvsAPISBOM应用部署应符合但不限于下列要求：安全评估应符合但不限于以下要求：安全加固应符合但不限于下列要求：Web运维安全管理应符合但不限于下列要求：ITVPN6安全评估与加固应符合但不限于下列要求：Web数据备份与恢复应符合但不限于下列要求：应急预案与演练应符