电子政务外网安全管理规范 第 3 部分：业务应用安全规范ICS 35.240.20 CCS L 67DB23 黑 龙 江 省 地 方 标 准 DB23/T 3619-2023 2023-08-28 发布 2023-09-27 实施 黑龙江省市场监督管理局 发 布 DB23/T 3619-2023 I前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由黑龙江省政务大数据中心提出。 本文件由黑龙江省营商环境建设监督局归口。 本文件起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究 院、中移系统集成有限公司。 本文件主要起草人：王峰、郑飞、谢晓菲、赵文敬、王锋、曹维、孙雷、罗南、满雪辉、杨大志、 吕猛、王生瑶、王磊、向晓燕、王艳君、罗天铭、乔辉、王昀、陈志刚、邵帅。 DB23/T 3619-2023 1电子政务外网安全管理规范 第 3 部分：业务应用安全规范 1 范围 本文件规定了电子政务外网业务应用安全的基本要求，包括业务接入方应用实施安全、运维方应用 运维安全及业务应用系统安全审计。 本文件适用于黑龙江省电子政务外网业务应用的接入、运维及安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239-2019 信息安全技术网络安全等级保护基本要求 GB/T 25069-2022 信息安全技术术语 GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求 GB/T 25647-2010 电子政务术语 GB/T 28448-2019 信息安全技术网络安全等级保护测评要求 3 术语和定义 GB/T 25069-2022和GB/T 25647-2010界定的以及下列术语和定义适用于本文件。 3.1 政务外网 满足各级政务部门面向社会提供服务和管理的业务网络。 3.2 安全评估 按安全标准及相应方法，验证某一安全可交付件与适用标准的符合程度及其安全确保程度的过程。 3.3 安全审计 对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和 运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。 3.4 供应链 将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。 其中每一组织充当需方、供方或双重角色。 4 缩略语 DB23/T 3619-2023 2下列缩略语适用于本文件。 API：应用程序接口（Application Programming Interface） DBA：数据库管理员（Database Administrator） HTTP：超文本传输协议（Hyper Text Transfer Protocol） IP：网际互联协议（Internet Protocol） URL：统一资源定位符（Uniform Resource Locator） 5 接入方应用实施安全 5.1 基本要求 接入方应用实施安全指接入黑龙江省电子政务外网的所有软件系统均需要满足的入网规定， 应包括 部署实施准备、安全评估、网络安全等级保护、数据库安全、主机安全、组件通信安全、应用接口安全、 业务安全隔离、应用交付、应用下线、供应链安全、应用检测评估等部分。 5.2 部署实施准备 部署在黑龙江省电子政务外网上的业务系统应在入网前做好以下实施准备： a)制定完备的应用开发人员配置计划，对应用实施人员进行网络安全指导培训； b)确定应用版本及所需数据库、中间件及组件版本，提供完备的业务系统部署及测试方案。 5.3 安全评估 应分析电子政务外网上运行的业务应用所面临的威胁及其存在的脆弱性， 评估系统脆弱性一旦被利 用可能造成的危害程度。提出有针对性的抵御威胁的防护对策、整改措施及其整改脆弱性后二次评估策 略。 5.4 网络安全等级保护 接入黑龙江省电子政务外网的业务系统应遵循GB/T 22239-2019、GB/T 25070-2019、GB/T 28448-2019等网络安全等级保护相关标准要求，网络安全应同步规划、同步建设、同步使用，并做好定 级、备案、评测、整改工作。 5.5 数据库安全 数据库安全要求包括： a)明确数据库相关的用户管理、角色管理，明确各类数据库用户的资源访问权限，并建立规范的 数据库权限记录文档； b)各类数据库应及时更新补丁，在安装补丁前应在测试环境中进行操作，提前进行数据备份，充 分准备回退方案和数据恢复应急预案； c)数据库部署完毕应修改默认口令，避免出现弱口令、默认口令、通用口令等； d)数据库的账号应根据业务需要进行合理分配，应为完成业务的最小化权限、应用权限严禁为 DBA 权限，避免出现多业务系统共用同一账户。 5.6 主机安全 业务系统主机遵循操作系统基线配置要求，主要包括： a)主机操作系统遵循最小化安装原则，仅安装业务所需的服务、组件和依赖软件等； DB23/T 3619-2023 3b)系统管理员应使用强口令，避免使用超级管理员权限用户直接登录，通过创建普通运维用户进 行操作； c)应做好主机系统的安全加固操作，包括但不限于系统补丁、恶意代码查杀、开启各类系统日志 记录功能等。 5.7 组件通信安全 组件包括业务系统的基本组成元素、搭载业务系统的开发框架以及第三方中间件，接入方应提供完 备的新版业务组件，应采用安全通信协议对账号、口令信息等重要数据进行安全传输，保证业务系统上 线前的组件通信安全。 5.8 应用程序接口安全 业务系统应用程序接口（API）安全要求包括： a)业务系统间通过 API 接口调用时，应确保调用的机密性、完整性、可用性，应满足高并发访问 并防止大量占用资源的情况发生，保证系统的稳定性； b)API 接口应采用身份认证机制，验证接口调用方身份的合法性。应对 API 接口的调用权限、调 用次数进行限制； c)提供有效的系统可监控机制，使得 API 接口的运行情况可监控； d)做好 API 接口的访问控制，应区分面向系统内部、业务系统间、外部系统等开放程度和范围； e)API 接口传输数据根据其重要程度应具有不同的加密机制，对于重要数据或海量数据要有验证 数据机制； f)做好 API 接口传输大文件的压缩传输，降低对传输网络的带宽压力； g)API 接口的会话应设置有效期，避免接口被恶意调用； h)记录 API 接口调用过程的操作日志并定期对日志进行审计。 5.9 业务安全隔离 应对不同业务系统之间的服务器、虚拟机、应用接口、虚拟网络、虚拟存储设置安全隔离。 5.10 应用交付 业务系统应用交付要求包括： a)制定详细的应用交付清单，并根据交付清单对所交接的软件程序（含代码、开源软件等）、设 备和帮助文档等进行汇总整理； b)对应用运行维护部门的技术人员进行相应的技术指导和后期维护技能培训。 5.11 应用下线 业务系统应用下线包括： a)应用下线前应明确应用下线过程中的各角色职责分工， 确保应用下线过程中不影响电子政务平 台其他应用的正常运行，并做好应用下线过程中的各项保障工作； b)应彻底擦除服务使用机构的数据信息及所有数据备份，禁止违规留存业务应用数据（包含历史 数据和归档数据等）； c)应用下线后配合服务使用机构做好后续衔接工作，如将应用迁移至其他网络环境或完全废弃。 5.12 供应链安全保护 供应链安全保护要求包括： DB23/T 3619-2023 4a)采购网络产品和服务时，应明确提供者的安全责任和义务，要求提供者对网络产品和服务的设 计、研发、生产、交付等关键环节加强管理； b)应要求网络产品和服务提供者提供包括开发过程中使用的组件、 操作系统、 数据库、 开源框架、 中间件在内的软件物料清单； c)应自行或委托第三方网络安全服务机构对软件进行源代码安全检测， 或由供应方提供第三方网 络安全服务机构出具的代码安全检测报告； d)使用的网络产品和服务存在安全缺陷、漏洞等风险时，应及时采取措施消除风险隐患，涉及重 大风险的应按规定向相关部门报告。 5.13 应用检测评估 应用检测评估要求包括： a)应用系统上线前应进行代码审计、渗透测试、漏洞排查监控。出现安全问题后应第一时间反馈 安全风险问题并启动应急预案，同时对安全问题进行及时修补； b)应定期组织对接入应用的安全检测评估，并及时整改发现的问题。 6 运维方应用运维安全 6.1 基本要求 运维方指对黑龙江省电子政务外网所承载业务应用进行运维和管理服务的组织或机构。 业务应用运 维安全工作由运维方承担，应包括应用配置管理、业务运行维护、应用补丁管理、应用容灾备份、终端 检测响应、应急预案、安全监测体系等部分。 6.2 应用配置管理 制定并实施应用配置管理计划，包括应用基线配置策略、软件使用与限制策略和文档等，并将该策 略和文档分发至开发人员和运维人员，按照配置要求制定、记录并维护应用系统的基线配置。 6.3 业务运行维护 运维方负责黑龙江省电子政务外网所承载业务应用系统及服务接入的日常管理与技术支持。 业务运 维过程中应定期开展安全维护，包括业务运行状态、业务健康度检查以及其他应定期检查的项目，做好 数据的备份留存工作。 6.4 应用补丁管理 定期针对业务应用程序代码缺陷、 中间件漏洞（如：Apache、Tomcat、 IIS、Nginx、Weblogic、JBoss 等）、W