DB23_T 3619—2023电子政务外网安全管理规范+第3部分：业务应用安全规范.pdf

资源描述

1、电子政务外网安全管理规范第 3 部分：业务应用安全规范ICS 35.240.20CCS L 67DB23黑龙江省地方标准DB23/T 3619-20232023-08-28 发布2023-09-27 实施黑龙江省市场监督管理局发布DB23/T 3619-2023I前言本文件按照GB/T 1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由黑龙江省政务大数据中心提出。本文件由黑龙江省营商环境建设监督局归口。本文件起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究院、中移系统集成有限公司。本文件主要起草人：王峰、郑飞、谢晓菲、赵文

2、敬、王锋、曹维、孙雷、罗南、满雪辉、杨大志、吕猛、王生瑶、王磊、向晓燕、王艳君、罗天铭、乔辉、王昀、陈志刚、邵帅。DB23/T 3619-20231电子政务外网安全管理规范第 3 部分：业务应用安全规范1范围本文件规定了电子政务外网业务应用安全的基本要求，包括业务接入方应用实施安全、运维方应用运维安全及业务应用系统安全审计。本文件适用于黑龙江省电子政务外网业务应用的接入、运维及安全管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T

3、22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2022信息安全技术术语GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T 25647-2010电子政务术语GB/T 28448-2019信息安全技术网络安全等级保护测评要求3术语和定义GB/T 25069-2022和GB/T 25647-2010界定的以及下列术语和定义适用于本文件。3.1政务外网满足各级政务部门面向社会提供服务和管理的业务网络。3.2安全评估按安全标准及相应方法，验证某一安全可交付件与适用标准的符合程度及其安全确保程度的过程。3.3安全审计对信息系统记录与活动的独立

4、评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。3.4供应链将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。其中每一组织充当需方、供方或双重角色。4缩略语DB23/T 3619-20232下列缩略语适用于本文件。API：应用程序接口（Application Programming Interface）DBA：数据库管理员（Database Administrator）HTTP：超文本传输协议（Hyper Text Transfer Protocol）IP：网际互联协议（

5、Internet Protocol）URL：统一资源定位符（Uniform Resource Locator）5接入方应用实施安全5.1基本要求接入方应用实施安全指接入黑龙江省电子政务外网的所有软件系统均需要满足的入网规定，应包括部署实施准备、安全评估、网络安全等级保护、数据库安全、主机安全、组件通信安全、应用接口安全、业务安全隔离、应用交付、应用下线、供应链安全、应用检测评估等部分。5.2部署实施准备部署在黑龙江省电子政务外网上的业务系统应在入网前做好以下实施准备：a)制定完备的应用开发人员配置计划，对应用实施人员进行网络安全指导培训；b)确定应用版本及所需数据库、中间件及组件版本，提供完备

6、的业务系统部署及测试方案。5.3安全评估应分析电子政务外网上运行的业务应用所面临的威胁及其存在的脆弱性，评估系统脆弱性一旦被利用可能造成的危害程度。提出有针对性的抵御威胁的防护对策、整改措施及其整改脆弱性后二次评估策略。5.4网络安全等级保护接入黑龙江省电子政务外网的业务系统应遵循GB/T 22239-2019、GB/T 25070-2019、GB/T28448-2019等网络安全等级保护相关标准要求，网络安全应同步规划、同步建设、同步使用，并做好定级、备案、评测、整改工作。5.5数据库安全数据库安全要求包括：a)明确数据库相关的用户管理、角色管理，明确各类数据库用户的资源访问权限，并建立规范

7、的数据库权限记录文档；b)各类数据库应及时更新补丁，在安装补丁前应在测试环境中进行操作，提前进行数据备份，充分准备回退方案和数据恢复应急预案；c)数据库部署完毕应修改默认口令，避免出现弱口令、默认口令、通用口令等；d)数据库的账号应根据业务需要进行合理分配，应为完成业务的最小化权限、应用权限严禁为DBA 权限，避免出现多业务系统共用同一账户。5.6主机安全业务系统主机遵循操作系统基线配置要求，主要包括：a)主机操作系统遵循最小化安装原则，仅安装业务所需的服务、组件和依赖软件等；DB23/T 3619-20233b)系统管理员应使用强口令，避免使用超级管理员权限用户直接登录，通过创建普通运维用户

8、进行操作；c)应做好主机系统的安全加固操作，包括但不限于系统补丁、恶意代码查杀、开启各类系统日志记录功能等。5.7组件通信安全组件包括业务系统的基本组成元素、搭载业务系统的开发框架以及第三方中间件，接入方应提供完备的新版业务组件，应采用安全通信协议对账号、口令信息等重要数据进行安全传输，保证业务系统上线前的组件通信安全。5.8应用程序接口安全业务系统应用程序接口（API）安全要求包括：a)业务系统间通过 API 接口调用时，应确保调用的机密性、完整性、可用性，应满足高并发访问并防止大量占用资源的情况发生，保证系统的稳定性；b)API 接口应采用身份认证机制，验证接口调用方身份的合法性。应对 A

9、PI 接口的调用权限、调用次数进行限制；c)提供有效的系统可监控机制，使得 API 接口的运行情况可监控；d)做好 API 接口的访问控制，应区分面向系统内部、业务系统间、外部系统等开放程度和范围；e)API 接口传输数据根据其重要程度应具有不同的加密机制，对于重要数据或海量数据要有验证数据机制；f)做好 API 接口传输大文件的压缩传输，降低对传输网络的带宽压力；g)API 接口的会话应设置有效期，避免接口被恶意调用；h)记录 API 接口调用过程的操作日志并定期对日志进行审计。5.9业务安全隔离应对不同业务系统之间的服务器、虚拟机、应用接口、虚拟网络、虚拟存储设置安全隔离。5.10应用交付

10、业务系统应用交付要求包括：a)制定详细的应用交付清单，并根据交付清单对所交接的软件程序（含代码、开源软件等）、设备和帮助文档等进行汇总整理；b)对应用运行维护部门的技术人员进行相应的技术指导和后期维护技能培训。5.11应用下线业务系统应用下线包括：a)应用下线前应明确应用下线过程中的各角色职责分工，确保应用下线过程中不影响电子政务平台其他应用的正常运行，并做好应用下线过程中的各项保障工作；b)应彻底擦除服务使用机构的数据信息及所有数据备份，禁止违规留存业务应用数据（包含历史数据和归档数据等）；c)应用下线后配合服务使用机构做好后续衔接工作，如将应用迁移至其他网络环境或完全废弃。5.12供应链安

11、全保护供应链安全保护要求包括：DB23/T 3619-20234a)采购网络产品和服务时，应明确提供者的安全责任和义务，要求提供者对网络产品和服务的设计、研发、生产、交付等关键环节加强管理；b)应要求网络产品和服务提供者提供包括开发过程中使用的组件、操作系统、数据库、开源框架、中间件在内的软件物料清单；c)应自行或委托第三方网络安全服务机构对软件进行源代码安全检测，或由供应方提供第三方网络安全服务机构出具的代码安全检测报告；d)使用的网络产品和服务存在安全缺陷、漏洞等风险时，应及时采取措施消除风险隐患，涉及重大风险的应按规定向相关部门报告。5.13应用检测评估应用检测评估要求包括：a)应用系统

12、上线前应进行代码审计、渗透测试、漏洞排查监控。出现安全问题后应第一时间反馈安全风险问题并启动应急预案，同时对安全问题进行及时修补；b)应定期组织对接入应用的安全检测评估，并及时整改发现的问题。6运维方应用运维安全6.1基本要求运维方指对黑龙江省电子政务外网所承载业务应用进行运维和管理服务的组织或机构。业务应用运维安全工作由运维方承担，应包括应用配置管理、业务运行维护、应用补丁管理、应用容灾备份、终端检测响应、应急预案、安全监测体系等部分。6.2应用配置管理制定并实施应用配置管理计划，包括应用基线配置策略、软件使用与限制策略和文档等，并将该策略和文档分发至开发人员和运维人员，按照配置要求制定、记

13、录并维护应用系统的基线配置。6.3业务运行维护运维方负责黑龙江省电子政务外网所承载业务应用系统及服务接入的日常管理与技术支持。业务运维过程中应定期开展安全维护，包括业务运行状态、业务健康度检查以及其他应定期检查的项目，做好数据的备份留存工作。6.4应用补丁管理定期针对业务应用程序代码缺陷、中间件漏洞（如：Apache、Tomcat、IIS、Nginx、Weblogic、JBoss等）、WEB开发框架漏洞（如：Spring、Struts2、React、Shiro等）进行补丁修复。在正式环境修复补丁前应在测试环境中验证无误，做好相应的补丁修复应急预案。6.5应用容灾备份保障重要数据的存储安全，防止

14、业务应用数据被篡改，建立数据备份机制和提高容灾能力，主要包括：a)所有业务系统应实现数据备份、应用程序代码备份机制，可采用全量备份、增量备份等方式；b)重要业务系统应实现应用级容灾、数据异地灾备。6.6终端检测响应DB23/T 3619-20235业务应用所在服务器主机应具备终端检测响应能力，主要包括：a)应具备检测安全事件、遏制安全威胁、调查安全事件、提供安全修复的功能；b)应及时定位存在安全隐患的主机终端，清除恶意代码，进行漏洞修补并及时更新病毒库；c)应具备防勒索病毒、防虚拟货币“挖矿”功能；d)应具备介质管控措施。6.7应急预案应急预案要求包括：a)建立健全应用安全建设预案，加强对业务

15、应用的日常监测与梳理，强化安全管理，对可能引发网络安全事件的有关信息进行分析研判，发现异常情况应第一时间果断处置并逐级报告；b)业务应用数据和文件应定期备份，备份可采用全量备份、增量备份等方式，要求备份数据恢复时间应满足业务需求并通过备份数据恢复验证；c)保持与业务应用开发商沟通渠道的畅通，确保在应急响应处理过程中遇到困难能得到有效解决；d)每年应定期开展网络安全应急演练，制定应急演练方案，按计划实施应急演练，总结应急演练成果，并及时修正生产业务系统中存在的问题和应急演练方案。6.8安全监测体系安全监测体系要求包括：a)应具备网络安全威胁态势感知、网络攻击监测、脆弱性扫描、数据库审计、日志审计

16、、运维审计及安全运营等功能；b)应设置专职安全监控管理人员，加强监控人员管理，具备网络安全实时监测能力，提供7*24小时全方位实时监测，对异常事件进行分析并及时上报。7业务应用系统安全审计7.1基本要求业务应用系统安全审计对象一般包括运行在电子政务外网上的业务应用所产生的网络行为日志、所在服务器主机日志、所使用的数据库日志、业务系统执行操作日志以及应用访问日志等，相关的网络日志留存不少于半年，应采用第三方日志平台、安全审计产品等进行留存。7.2主机审计主机审计指业务系统所在服务器主机操作系统的安全日志审计，主要包括对操作系统远程管理、账户登录、策略更改、系统事件、账户管理、系统安全日志等进行记

17、录。7.3数据库审计数据库审计指对数据库操作进行细粒度审计的合规性记录，对数据库遭受的风险行为进行实时告警，可以通过数据库日志对用户访问数据库行为的记录、分析和报告。7.4业务操作审计业务操作审计指对各类业务系统进行的增加、更新、删除、查询等操作的详细记录，同时记录各类用户角色的操作记录，至少应包括登录（操作）账号、时间、登录用户IP及操作内容等。7.5应用访问日志DB23/T 3619-20236网络级应用访问日志记录功能要求包括：a)对于可以通过传输层协议或应用层协议头信息区分会话特征的数据流量，应以会话为单位记录访问日志，记录信息至少应包括源 IP、源端口、目的 IP、目的端口、访问时间，使用域名的访问需要留存域名，使用浏览类协议的访问需要留存 URL；b)对于采用加密方式的会话，记录的访问日志至少包括源IP、源端口、目的IP、目的端口、访问时间；c)应用程序、中间件等日志记录应至少包括源IP、系统设备主机名称、操作时间、操作用户、操作方式以及操作结果等。DB23/T 3619-20237参考文献1国务院关于加强数字政府建设的指导意见国发202214号2“十四五”推进国家政务信息化规划发改高技20211898号3黑龙江省人民政府关于加强数字政府建设的实施意见黑政发202223号4黑龙江省“十四五”数字政府建设规划黑政发202117号

展开阅读全文