23I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定本文件是DB23/T3868《教育新型基礎設施建──教育新型基礎設施建設──教育新型基礎設施建設──教育新型基礎設施建設──教育新型基礎設施建設請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。揮保障中心、黑龍江省教育廳、東北林業大1教育新型基礎設施建設第3部分：業務應用安全規范GB/T25069—2022信息安全技術術語GB/T38674信息安全技術應用軟件安全編程運行規程的符合性，發現安全違規，并在控制、4縮略語API：應用程序編程接口（ApplicationProgrammingInterface）HTTP：超文本傳輸協議（HypertextTransferProtocLDAP：輕型目錄訪問協議（LightweightDirectoryAccessProto2SBOM：軟件物料清單（SoftwareBillofMaSQL：結構化查詢語言（StructuredQueryLSSL：安全套接層（SecureSocketsTLS：傳輸層安全（TransportLayerSecurURL：統一資源定位系統（UniformResourceLocaVPN：虛擬專用網（VirtualPrivateNetworXML：可擴展標記語言（ExtensibleMarkupLa實現業務應用數據在傳輸、存儲和處理過程中b)驗證輸入數據的安全性，包括數據類型、數據長d)對所有輸入和輸出的字符進行適當c)采取有效的技術手段防止垂直越權和水平越權；3e)不能單獨使用HTTP請求頭中的Referg)對身份鑒別的頻率進行限制，連續多次登錄失敗強制鎖定賬戶；j)禁用長期不使用的賬戶。b)不應使用可預測的字符或數字作為口令(例如：姓名拼音或縮寫、生日、郵箱、身份證、電話號碼、連續鍵盤字符、常見英文單詞，以及與單位和個人密切相關的字符);d)使用不可逆的加密算法對口令進行加密存儲，可在任意固定位置插入特定的字符進行混淆；2)包含大寫字母、小寫字母、數字、符號中的至少3種。j)定期更改口令，至少每3個月更換1次口令。f)驗證上傳文件的信息，包括文件類型、文件大小、文件名等。g)驗證文件類型，檢查文件擴展名和文件頭中文件類型標志信息；i)采用隨機變化的方式，重新命名上傳文件的名稱；4d)為應用程序僅授予任務所需的最小權限，不應將數據庫管理員權限分配給應用程序；g)不應在應用程序代碼和配置文件中存放數據庫帳號和口令。g)同一用戶ID不應并發登錄。a)建立API臺賬，關閉不必要的API,避免泄漏API功能列表；c)通過訪問令牌驗證調用者身份，設置令牌的時效性，僅允許令牌在有效時間內可以調用API;d)對API接口的調用頻率進行限e)通過白名單方式控制無需授權的API接口的訪問，對API的訪問應授權；f)對傳輸的數據進行加密處理g)正確處理API返回信息，避免將敏感信息、調試信息、錯誤信息等直接暴露給j)及時下線不再使用的API;k)系統交付前關閉并刪除API開發、調試等工具、框架及組件。d)業務應用發布前刪除所有與調試和測試相關的代碼、配置和文件；f)開發環境與實際運行環境物理隔離，僅提供給授權的開發g)不應在互聯網公共存儲空間(如代碼托管平臺、文庫、網盤等)存儲源代碼、技術文檔、運維5a)將日志文件獨立保存于應用程序目錄外，使用訪問權限來控制日志文件使用；b)完成行為記錄，包括：4)連接無效或者已過期的會話令牌；c)限制只有授權用戶才能訪問日志；e)使用哈希函數驗證日志記錄的完整a)核查供應商的公司背景、資質和相關證書；b)核查供應商的信息安全管理體系；c)評估供應商對軟件供應鏈的管理能力，a)SBOM應詳細記錄軟件使用的所有組件的版本、來源、許可證類型等信息，以及組件之間的依b)業務應用不應設置特權賬號、調試賬號、隱藏賬號；6d)根據配置要求，選擇適合的操作系統和數據庫系統，進行最小化安裝和安全配置；d)服務器全盤掃描查殺，檢測是否存在計算機b)識別需要定期備份的業務應用數據，規定備份方式、備份頻率、存儲介質、保存期等；d)指定部門或人員對業務應用日志和安全產品告警進行監測分析，及時發現可疑行為；處理、存儲要求，對IT基礎設施中斷服務的應急保障要求等；7a)定期開展業