ICS 35.240.90
CCS L 67 23
黑
龙 江 省 地 方 标 准
DB 23/T 3868.3—2024
教育新型基础设施建设
第 3 部分：业务应用安全规范
2024 - 08 - 30 发布
2024 - 09 - 29 实施
黑龙江省市场监督管理局 发 布
DB 23/T 3868.3—2024
前
言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定
起草。
本文件是DB23/T 3868《教育新型基础设施建设》的第3部分。DB23/T 3868已经发布了以下部分：
──教育新型基础设施建设 第1部分：高校数字校园建设规范
──教育新型基础设施建设 第2部分：网络安全管理规范
──教育新型基础设施建设 第3部分：业务应用安全规范
──教育新型基础设施建设 第4部分：数据治理规范
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由黑龙江省教育厅提出并归口。
本文件起草单位：哈尔滨工业大学、哈尔滨安天系统安全技术有限公司、哈尔滨市网络安全应急指
挥保障中心、黑龙江省教育厅、东北林业大学、哈尔滨医科大学、哈尔滨工程大学、黑龙江科技大学。
本文件主要起草人：辛毅、李清锋、徐晓航、毛力伟、尹尚书、石笑朋、孙洪磊、朴杰、胡晓锋、
金旭东、胡全、周锋、张其梁、徐峰、邢丽刃、徐千。
I
DB 23/T 3868.3—2024
教育新型基础设施建设
第 3 部分：业务应用安全规范
1 范围
本文件规定了教育新型基础设施业务应用安全规范的缩略语、总体原则、业务应用开发安全、供应
链安全、业务应用部署安全、业务应用运维安全等要求。
本文件适用于教育新型基础设施建设中的业务应用安全工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 25069—2022 信息安全技术 术语
GB/T 38674 信息安全技术 应用软件安全编程指南
3 术语和定义
下列术语和定义适用于本文件。
网络安全
对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。
[来源:GB/T 25069—2022,3.616]
供应链
将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。
其中每一组织充当需方、供方或双重角色。
[来源:GB/T 25069—2022,3.223]
安全审计
对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和
运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。
[来源:GB/T 25069—2022,3.24]
4 缩略语
下列缩略语适用于本文件。
API：应用程序编程接口（Application Programming Interface）
HTTP：超文本传输协议（Hypertext Transfer Protocol）
LDAP：轻型目录访问协议（Lightweight Directory Access Protocol）
1
DB 23/T 3868.3—2024
SBOM：软件物料清单（Software Bill of Materials）
SQL：结构化查询语言（Structured Query Language）
SSL：安全套接层（Secure Sockets Layer）
TLS：传输层安全（Transport Layer Security）
URL：统一资源定位系统（Uniform Resource Locator）
VPN：虚拟专用网（Virtual Private Network）
XML：可扩展标记语言（Extensible Markup Language）
5 总体原则
保密性
通过加密技术和访问控制保护业务应用敏感数据，不被未授权用户获取和使用。
完整性
实现业务应用数据在传输、存储和处理过程中不被修改或破坏。
可用性
实现业务应用可以持续稳定的为授权用户提供正常服务。
6 业务应用开发安全
输入与输出安全
应符合但不限于下列要求：
a) 对输入的所有数据进行验证，不接受验证失败的数据；
b) 验证输入数据的安全性，包括数据类型、数据长度、数据范围等。
c) 在条件允许的情况下，采用白名单形式验证所有输入；
d) 对所有输入和输出的字符进行适当编码；
e) 对 SQL、LDAP、XML 等查询语句以及操作系统命令进行语义净化。
访问控制
应符合但不限于下列要求：
a) 使用多因素身份鉴别方式验证身份，包括二维码、短信、令牌、生物特征、USB Key 等其中任
意一种与口令的组合；
b) 允许被授权用户访问资源，包括：
1) 受保护 URL；
2) 受保护功能；
3) 直接对象引用；
4) 应用程序数据；
5) 服务；
6) 文件等。
c) 采取有效的技术手段防止垂直越权和水平越权；
d) 控制用户通过指定的路径访问业务应用；
2
DB 23/T 3868.3—2024
e) 不能单独使用 HTTP 请求头中的 Referer 验证来源页面链接；
f) 避免身份鉴别过程中提示多余信息，无论是账号错误或密码错误，都提示“账号或密码错误”；
g) 对身份鉴别的频率进行限制，连续多次登录失败强制锁定账户；
h) 为用户仅授予任务所需的最小权限；
i) 在服务端进行权限控制；
j) 禁用长期不使用的账户。
口令安全
应符合但不限于下列要求：
a) 不应使用弱口令、空口令和默认口令；
b) 不应使用可预测的字符或数字作为口令（例如：姓名拼音或缩写、生日、邮箱、身份证、电话
号码、连续键盘字符、常见英文单词，以及与单位和个人密切相关的字符）；
c) 不应使用明文存储口令；
d) 使用不可逆的加密算法对口令进行加密存储，可在任意固定位置插入特定的字符进行混淆；
e) 不应使用已知泄漏过的口令；
f) 首次登陆后，强制更改默认口令；
g) 不应源码中包括口令；
h) 根据系统需要采用安全的口令重置模块；
i) 口令复杂度应满足以下要求：
1) 12 位以上字符；
2) 包含大写字母、小写字母、数字、符号中的至少 3 种。
j) 定期更改口令，至少每 3 个月更换 1 次口令。
文件操作
应符合但不限于下列要求：
a) 禁用不必要的上传功能；
b) 关闭上传目录的可执行权限；
c) 不应显示上传目录的绝对路径；
d) 上传目录的绝对路径应不可猜测；
e) 将文件名以及文件内容作为不可信的输入；
f) 验证上传文件的信息，包括文件类型、文件大小、文件名等。
g) 验证文件类型，检查文件扩展名和文件头中文件类型标志信息；
h) 使用白名单限制上传的文件类型；
i) 采用随机变化的方式，重新命名上传文件的名称；
j) 设置应用程序文件和资源的权限为只读。
数据加密与保护
按照GB/T 38674的规定执行。
数据库管理
应符合但不限于下列要求：
a) 禁用所有不必要的数据库功能，最小化安装功能和选项；
b) 重命名数据库默认账户，更改数据库默认口令；
3
DB 23/T 3868.3—2024
c) 使用参数化 SQL 语句，不应改变上下文环境，区分数据和命令；
d) 为应用程序仅授予任务所需的最小权限，不应将数据库管理员权限分配给应用程序；
e) 对来自数据库的数据进行验证，不接受验证失败的数据；
f) 敏感信息应在数据库中加密存储；
g) 不应在应用程序代码和配置文件中存放数据库帐号和口令。
网络传输安全
应符合但不限于下列要求：
a) 使用 HTTPS 协议进行身份鉴别；
b) 数据来自指定的通信源；
c) 使用时间戳和随机数组合方式检测重放攻击；
d) 控制网络传输流量不超过上限值；
e) 会话中应使用强随机令牌或参数管理账户；
f) 不应在 URL、错误信息或日志中暴露会话标识符；
g) 同一用户 ID 不应并发登录。
应用程序接口安全
应符合但不限于下列要求：
a) 建立 API 台账，关闭不必要的 API，避免泄漏 API 功能列表；
b) 采用用户权限认证、权限控制、参数校验、防注入、加密、防重放、调用次数限制、调用频率
控制、流量控制、白名单、审计日志等 API 安全措施；
c) 通过访问令牌验证调用者身份，设置令牌的时效性，仅允许令牌在有效时间内可以调用 API；
d) 对 API 接口的调用频率进行限制，防止恶意攻击；
e) 通过白名单方式控制无需授权的 API 接口的访问，对 API 的访问应授权；
f) 对传输的数据进行加密处理，防止数据在传输过程中被截获和篡改；
g) 正确处理 API 返回信息，避免将敏感信息、调试信息、错误信息等直接暴露给客户端；
h) 应用程序接口文档及调用方法应遵循最小化的原则进行公布；
i) 保护 API 鉴权、私钥、Key 等敏感信息；
j) 及时下线不再使用的 API；
k) 系统交付前关闭并删除 API 开发、调试等工具、框架及组件。
开发环境安全
应符合但不限于下列要求：
a) 使用官方支持更新的操作系统、编译器和相关组件，最小化安装，并安装所有补丁；
b) 关闭目录遍历功能，若业务需要开启不应包含敏感文件；
c) 删除用户可访问的源代码中含有敏感信息的注释内容；
d) 业务应用发布前删除所有与调试和测试相关的代码、配置和文件；
e) 对存储源代码、软件开发文档的空间进行访问控制，不可未授权访问；
f) 开发环境与实际运行环境物理隔离，仅提供给授权的开发和测试团队访问；
g) 不应在互联网公共存储空间（如代码托管平台、文库、网盘等）存储源代码、技术文档、运维
信息、服务器配置、口令等敏感信息。
日志安全
4
DB 23/T 3868.3—2024
应符合但不限于下列要求：
a) 将日志文件独立保存于应用程序目录外，使用访问权限来控制日志文件使用；
b) 完成行为记录，包括：
1) 所有失败的输入验证；
2) 所有的身份验证记录；
3) 所有失败的访问控制；
4) 连接无效或者已过期的会话令牌；
5) 所有的管理功能行为；
6) 所有失败的后端 TLS 链接；
7) 加密模块的错误；
8) 明显的修改事件等。
c) 限制只有授权用户才能访问日志；
d) 日志中不应保存敏感数据；
e) 使用哈希函数验证日志记录的完整性；
f) 日志记录留存不少于 6 个月。
7 供应链安全
供应商审核
应符合但不限于下列要求：
a) 核查供应商的公司背景、资质和相关证书；
b) 核查供应商的信息安全管理体系；
c) 评估供应商对软件供应链的管理能力，包括软件物料清单管理、源代码管理、交付验证等；
d) 评估供应商提供的产品质量，包括软件的功能、性能、稳定性等；
e) 评估供应商的服务能力，包括技术支持、售后服务等。
软件安全
应符合但不限于下列要求：
a) SBOM 应详细记录软件使用的所有组件的版本、来源、许可证类型等信息，以及组件之间的依
赖关系，并提交用户；
b) 业务应用不应设置特权账号、调试账号、隐藏账号；
c) 业务应用不应使用文件管理接口、命令执行接口、开发调试接口；
d) 应对使用的开源软件、第三方组件及工具中存在的已公开漏洞及时修复，不应使用无法持续维
护或已失去官方支持的中间件、框架、组件及相关工具；
e) 在开发、编译和部署实施过程中，不应使用硬编码密钥、默认密钥、相同或有规律的加密密钥；
f) 源代码、项目敏感信息等不应在互联网公开，包括 git、svn、cvs 等项目管理系统，bug 管理
系统，知识库等。
g) 采用模拟数据进行开发、调试，在开发、测试、演示系统中不应存储用户数据；
h) 采用加密等方式存储用户运维数据，包括但不限于各种用户名、服务器信息、密码、密钥等；
i) 采取防盗版、防污染措施，对业务系统采用的开源软件、第三方组件及工具进行检测；
j) 软件前端不应存储敏感信息，包括业务数据、全量 API 接口、登录信息、各类密钥、开发测试
环境等。
5
DB 23/T 3868.3—2024
k) 持续跟踪所使用开源软件、第三方组件及工具的使用状态、安全状态，对于存在安全风险的，
应及时通报，采取更新、修复等措施，完善 SBOM 信息，对于缺乏维护或即将废止的组件采取
处置措施、制定替代计划。
8 业务应用部署安全
应用部署
应符合但不限于下列要求：
a) 保留业务应用安装和配置文档，包括服务器、存储设备、网络设备的配置步骤和参数设置等；
b) 根据业务应用的需求和规模，配置适合的服务器；
c) 根据数据存储需求，配置足够的存储设备，如硬盘、磁盘阵列等；
d) 根据配置要求，选择适合的操作系统和数据库系统，进行最小化安装和安全配置；
e) 程序代码、数据库信息、开发文档、升级包及部署包等敏感信息、程序不应存储在可以公开访
问的目录中。
安全评估
应符合但不限于以下要求：
a) 源代码安全审计，检测代码中的安全漏洞；
b) 漏洞扫描和渗透测试，检测业务应用存在的安全漏洞；
c) 安全基线检查，检查操作系统、中间件、数据库等不安全配置；
d) 服务器全盘扫描查杀，检测是否存在计算机病毒。
安全加固
应符合但不限于下列要求：
a) 对安全评估中发现的安全漏洞与不安全配置进行修复；
b) 安装带有病毒查杀、勒索防护功能的主机安全防护软件；
c) 部署 Web 应用防护系统，对业务应用进行防护。
9 业务应用运维安全
运维安全管理
应符合但不限于下列要求：
a) 建立健全安全运维管理制度，明确运维团队中各岗位职责；
b) 识别需要定期备份的业务应用数据，规定备份方式、备份频率、存储介质、保存期等；
c) 对安全策略、配置管理、账户管理、日常操作、升级与打补丁、口令更新周期、日志管理等方
面作出规定；
d) 指定部门或人员对业务应用日志和安全产品告警进行监测分析，及时发现可疑行为；
e) 与外包运维服务商签订协议，应明确约定外包运维的范围、工作内容，以及对敏感信息的访问、
处理、存储要求，对 IT 基础设施中断服务的应急保障要求等；
f) 对外来计算机或存储设备在接入系统前进行恶意代码检查；
g) 控制远程运维的开通，如业务需求采用远程运维应使用 VPN 加运维审计系统，设置双因素认
证，操作过程中保留不可更改的审计日志，操作结束后立即关闭接口或通道；
6
DB 23/T 3868.3—2024
h) 业务应用日志和安全产品日志至少保留 6 个月。
安全评估与加固
应符合但不限于下列要求：
a) 定期开展业务应用安全评估，对评估发现的漏洞或不安全配置及时加固；
b) 定期对业务应用进行威胁排查，发现计算机病毒立即清除并分析溯源；
c) 及时更新 Web 应用防护系统、主机安全防护软件的版本与规则库；
d) 及时修复业务应用相关的操作系统、中间件、数据库等漏洞。
数据备份与恢复
应符合但不限于下列要求：
a) 具备业务应用数据本地备份与恢复功能，数据备份可采用全量备份加增量备份的组合方式；
b) 具备重要业务应用系统的热冗余，保证系统的高可用性。
应急预案与演练
应符合但不限于下列要求：
a) 应急预案应包括启动预案条件、应急组织结构、应急资源保障、应急响应流程、系统恢复流程、
事后总结和培训等内容；
b) 定期组织相关人员开展应急预案的培训、演练；
c) 定期对应急预案进行评估与修订完善。
安全监测与处置
应符合但不限于下列要求：
a) 通过监测网络安全设备与主机安全防护软件，对操作系统、中间件、应用等进行安全审计，结
合威胁情报进行分析研判，相关安全事件在规定时间内向安全管理部门报告，发生网络安全案
件及时向主管部门报案；
b) 在安全事件报告和响应处理过程中，分析安全事件发生的原因，收集证据，记录处理过程，总
结经验教训；
c) 网络安全事件应按照应急预案及时处置。
7
DB 23/T 3868.3—2024
参 考 文 献
[1] GB/T 22239 信息安全技术 网络安全等级保护基本要求
[2] 《OWASP安全编码规范快速参考指南》,Version 1.0,2012年8月
[3] 《中华人民共和国网络安全法》（中华人民共和国主席令第五十三号）
8