有哪些信誉好的足球投注网站- 1、本文档共10页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
ICS35.240.90
23
CCSL67
黑龙江省地方标准
DB23/T3868.3—2024
教育新型基础设施建设
第3部分:业务应用安全规范
2024-08-30发布
2024-09-29实施
黑龙江省市场监督管理局
发布
前
言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是DB23/T3868《教育新型基础设施建设》的第3部分。DB23/T3868已经发布了以下部分:
──教育新型基础设施建设第1部分:高校数字校园建设规范
──教育新型基础设施建设第2部分:网络安全管理规范
──教育新型基础设施建设第3部分:业务应用安全规范
──教育新型基础设施建设第4部分:数据治理规范
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由黑龙江省教育厅提出并归口。
本文件起草单位:哈尔滨工业大学、哈尔滨安天系统安全技术有限公司、哈尔滨市网络安全应急指
挥保障中心、黑龙江省教育厅、东北林业大学、哈尔滨医科大学、哈尔滨工程大学、黑龙江科技大学。
本文件主要起草人:辛毅、李清锋、徐晓航、毛力伟、尹尚书、石笑朋、孙洪磊、朴杰、胡晓锋、
金旭东、胡全、周锋、张其梁、徐峰、邢丽刃、徐千。
教育新型基础设施建设
第3部分:业务应用安全规范
1
范围
本文件规定了教育新型基础设施业务应用安全规范的缩略语、总体原则、业务应用开发安全、供应
链安全、业务应用部署安全、业务应用运维安全等要求。
本文件适用于教育新型基础设施建设中的业务应用安全工作。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其必威体育精装版版本(包括所有的修改单)适用于本
文件。
GB/T25069—2022信息安全技术术语
GB/T38674信息安全技术应用软件安全编程指南
3
术语和定义
下列术语和定义适用于本文件。
网络安全
对网络环境下存储、传输和处理的信息的必威体育官网网址性、完整性和可用性的保持。
[来源:GB/T25069—2022,3.616]
供应链
将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立起连续供应关系的组织系列。
其中每一组织充当需方、供方或双重角色。
[来源:GB/T25069—2022,3.223]
安全审计
对信息系统记录与活动的独立评审和考察,以测试系统控制的充分程度,确保对于既定安全策略和
运行规程的符合性,发现安全违规,并在控制、安全策略和过程三方面提出改进建议。
[来源:GB/T25069—2022,3.24]
4
缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(ApplicationProgrammingInterface)
HTTP:超文本传输协议(HypertextTransferProtocol)
LDAP:轻型目录访问协议(LightweightDirectoryAccessProtocol)
SBOM:软件物料清单(SoftwareBillofMaterials)
SQL:结构化查询语言(StructuredQueryLanguage)
SSL:安全套接层(SecureSocketsLayer)
TLS:传输层安全(TransportLayerSecurity)
URL:统一资源定位系统(UniformResourceLocator)
VPN:虚拟专用网(VirtualPrivateNetwork)
XML:可扩展标记语言(ExtensibleMarkupLanguage)
5
总体原则
必威体育官网网址性
通过加密技术和访问控制保护业务应用敏感数据,不被未授权用户获取和使用。
完整性
实现业务应用数据在传输、存储和处理过程中不被修改或破坏。
可用性
实现业务应用可以持续稳定的为授权用户提供正常服务。
6
业务应用开发安全
输入与输出安全
应符合但不限于下列要求:
a)对输入的所有数据进行验证,不接受验证失败的数据;
b)验证输入数据的安全性,包括数据类型、数据长度、数据范围等。
c)在条件允许的情况下,采用白名单形式验证所有输入;
d)对所有输入和输出的字符进行适当编码;
e)对SQL、LDAP、XML等查询语句以及操作系统命令进行语义净化。
访问控制
应符合但不限于下列要求:
a)使用多因素身份鉴别方式验证身份,包括二维码、短信、令牌、生物特征、USBKey等其中任
意一种与口令的组合;
b)允许被授权用户访问资源,包括:
1)受保护URL;
2)受保护功能;
3)直接对象引用;
文档评论(0)