DB21-T 2897.1-2017交通云環(huán)境 第1部分：WEB應(yīng)用安全技術(shù)規(guī)范

ICS35.240.01

L70/84

備案號：58581-2018

DBDB21/T2897.121—2017

遼寧省地方標(biāo)準(zhǔn)

DB21/T2897.1—2017

交通云環(huán)境

第1部分：WEB應(yīng)用安全技術(shù)規(guī)范

TrafficCloudPart1：WEBapplicationsecuritytechnology

DB21/T2897.1—2017

前言

《交通云環(huán)境》是遼寧省交通云信息安全保護(hù)技術(shù)規(guī)范相關(guān)系列標(biāo)準(zhǔn)之一。

《交通云環(huán)境》分為兩部分：

——第1部分：WEB應(yīng)用安全技術(shù)規(guī)范；

——第2部分：信息安全保護(hù)技術(shù)規(guī)范。

其中第1部分：WEB應(yīng)用安全技術(shù)規(guī)范包含應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)兩大方面內(nèi)容，第2部分：

信息安全保護(hù)技術(shù)規(guī)范包含物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、云主機(jī)安全四大方面內(nèi)容，兩部分內(nèi)容共

同對應(yīng)《GB/T22239.1信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》技術(shù)要求部分內(nèi)容。

本部分為《交通云環(huán)境》的第1部分。

本部分按照GB/T1.1—2009給出的規(guī)則起草。

本部分由遼寧省交通廳提出并歸口。

本部分主要起草單位：遼寧省交通廳通信信息總站，遼寧交通信息技術(shù)有限公司，遼寧北方實(shí)驗(yàn)室

有限公司。

本部分主要起草人：曲卓，李濤，王菁，劉春來，楊麗春，郎志海，姜鵬，韓曉娜，郭思媚，魏寶

忠，甄摯，程景敏，張鏖，段曉祥，徐陽，耿天華，孫碩詩，張醒飛，郭越，王洪川，石紹群。

II

DB21/T2897.1—2017

引言

近年來，現(xiàn)代新興信息技術(shù)發(fā)展越來越快，以云計(jì)算為代表的技術(shù)正逐步興起，并且廣泛地應(yīng)用在

交通運(yùn)輸行業(yè),而遼寧省交通信息化也步入了快速發(fā)展時期。為了貫徹國家信息安全相關(guān)法律法規(guī)，落

實(shí)信息安全等級保護(hù)相關(guān)技術(shù)要求，規(guī)范遼寧省交通云環(huán)境安全等級保護(hù)的工作，針對云環(huán)境的具體情

況，特制定本標(biāo)準(zhǔn)。

本標(biāo)準(zhǔn)所涵蓋的第一級等級保護(hù)技術(shù)要求、第二級等級保護(hù)技術(shù)要求、第三級等級保護(hù)技術(shù)要求內(nèi)

容分別對應(yīng)《信息系統(tǒng)安全等級保護(hù)基本要求第1部分：通用安全要求》（GB/T22239.1）相應(yīng)等級保

護(hù)基本要求，在部分安全項(xiàng)中根據(jù)云環(huán)境特點(diǎn)對其內(nèi)容進(jìn)行引用、深化及擴(kuò)展。

本部分與國標(biāo)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等

級保護(hù)基本要求第1部分：通用安全要求》（GB/T22239.1）等標(biāo)準(zhǔn)共同構(gòu)成了遼寧省交通云環(huán)境等級

保護(hù)的相關(guān)配套標(biāo)準(zhǔn)，主要針對遼寧省交通云環(huán)境應(yīng)用現(xiàn)狀、技術(shù)特點(diǎn)和安全防護(hù)要求作進(jìn)一步細(xì)化和

擴(kuò)展，本部分內(nèi)容基于應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)兩大方面分別提出滿足相應(yīng)安全保護(hù)等級系統(tǒng)的

安全防護(hù)需求，確認(rèn)相關(guān)技術(shù)參數(shù)，從而進(jìn)一步確保遼寧省交通行業(yè)云環(huán)境安全穩(wěn)定運(yùn)行。

III

DB21/T2897.1—2017

交通云環(huán)境WEB應(yīng)用安全技術(shù)規(guī)范

1范圍

本文檔規(guī)定了遼寧省交通云應(yīng)用安全技術(shù)規(guī)范，結(jié)合遼寧省交通行業(yè)特點(diǎn)，從技術(shù)方面設(shè)計(jì)遼寧省

交通云應(yīng)用安全技術(shù)規(guī)范，主要包括應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)要求實(shí)施技術(shù)規(guī)范。

主要適用于云平臺下應(yīng)用系統(tǒng)的新建、升級、改造、部署及運(yùn)行維護(hù)，供各相關(guān)單位參照執(zhí)行。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB/T25069—2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

3.1

安全保護(hù)能力securityprotectionability

系統(tǒng)能夠抵御威脅、發(fā)生安全事件以及在系統(tǒng)遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。

3.2

抗抵賴non-repudiation

證明某一動作或事件已經(jīng)發(fā)生的能力，以使事后不能否認(rèn)這一動作或事件。

3.3

對象object

系統(tǒng)中可供訪問的實(shí)體。例如：數(shù)據(jù)、資源、進(jìn)程等。

3.4

授權(quán)authorization

賦予某一主體可實(shí)施某些動作的權(quán)力的過程。

3.5

數(shù)據(jù)完整性dataintegrity

數(shù)據(jù)沒有遭受以未授權(quán)方式所作的更改或破壞的特性。

3.6

1

DB21/T2897.1—2017

用戶標(biāo)識userID/useridentification

信息系統(tǒng)用于標(biāo)識用戶的一種字符串或模式。

3.7

安全審計(jì)securityaudit

對信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測、信息采集、分析，并針對特定事件及行為采取相應(yīng)的動作。

3.8

訪問控制accesscontrol

一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。

3.9

交通云環(huán)境trafficcloud

指能夠從動態(tài)虛擬化的資源池中向用戶或者各種應(yīng)用系統(tǒng)按需提供計(jì)算能力、存儲能力或者虛擬機(jī)

等服務(wù)的資源集合。

3.10

主體subject

信息系統(tǒng)訪問控制中所涵蓋的系統(tǒng)用戶和進(jìn)程等。

3.11

客體object

信息系統(tǒng)主體所訪問的系統(tǒng)資源，如文件、數(shù)據(jù)庫表等。

4第一級等級保護(hù)技術(shù)要求

第一級等級保護(hù)技術(shù)要求參照第二級等級保護(hù)技術(shù)要求執(zhí)行。

5第二級等級保護(hù)技術(shù)要求

5.1應(yīng)用安全

5.1.1身份鑒別（S2）

本項(xiàng)要求包括：

a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)具有專用的登錄控制模塊，對登錄用戶的賬號/口令及

其他身份信息進(jìn)行鑒別。

b)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)

識，身份鑒別信息不易被冒用；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)通過程序代碼限制口令符合以下條件：長度至少為8

位，且為數(shù)字、字母、符號混排的方式；

2)應(yīng)用系統(tǒng)應(yīng)通過程序代碼限制口令至少每半年更換1次，更新的口令至少2次內(nèi)不能重復(fù)；

2

DB21/T2897.1—2017

3)應(yīng)為云環(huán)境下的應(yīng)用系統(tǒng)中的不同用戶分配不同的用戶標(biāo)識即用戶名或用戶ID號，確保

身份鑒別信息不被冒用。

c)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)限制用戶的非法登錄次數(shù)不超過5次；

2)賬戶登錄失敗超過5次，至少鎖定30分鐘，或由系統(tǒng)管理員解鎖；

3)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗

處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

5.1.2訪問控制（S2）

本項(xiàng)要求包括：

a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)指定管理用戶對系統(tǒng)用戶進(jìn)行管理，配置用戶對文件、

數(shù)據(jù)庫表等客體的訪問控制策略，如查看、查詢、增加、刪除或修改等權(quán)限；

2)應(yīng)用系統(tǒng)采取編碼級措施，對SQL注入、跨站、文件上傳漏洞、越權(quán)訪問、敏感信息泄露

等攻擊進(jìn)行防護(hù)。

b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

1)訪問控制功能應(yīng)限制用戶或進(jìn)程對應(yīng)用系統(tǒng)的功能、文件或數(shù)據(jù)庫表的操作。

c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限；

1)交通云環(huán)境下應(yīng)用系統(tǒng)由授權(quán)管理員進(jìn)行用戶權(quán)限管理；

2)應(yīng)重命名應(yīng)用系統(tǒng)正在使用的默認(rèn)賬戶，如admin、manager、test等；

3)應(yīng)及時刪除應(yīng)用系統(tǒng)中不被使用的賬戶，一般指應(yīng)用系統(tǒng)的公共賬戶或測試賬戶。

d)應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)根據(jù)用戶的角色進(jìn)行詳細(xì)的權(quán)限劃分；

2)應(yīng)用系統(tǒng)應(yīng)根據(jù)最小原則進(jìn)行授權(quán)，并在各用戶間形成相互制約關(guān)系，如分配系統(tǒng)管理員、

安全管理員、安全審計(jì)員，錄入與審核分離，操作與監(jiān)督分離等。

5.1.3安全審計(jì)（G2）

本項(xiàng)要求包括：

a)應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)啟用安全審計(jì)功能，并能覆蓋到每個用戶；

2)安全審計(jì)范圍包括應(yīng)用系統(tǒng)定義的重要安全事件（如包括帳戶建立、用戶權(quán)限分配、重要

業(yè)務(wù)數(shù)據(jù)的增加修改刪除操作、用戶身份鑒別失敗、退出等行為）。

b)應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄；

1)審計(jì)進(jìn)程與系統(tǒng)主進(jìn)程為同一進(jìn)程，無法單獨(dú)中斷；

2)通過應(yīng)用系統(tǒng)無法刪除、修改或覆蓋審計(jì)記錄；

3)審計(jì)記錄每天定時備份至日志服務(wù)器。

c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。

1)審計(jì)記錄至少包括事件發(fā)生的日期和時間、觸發(fā)事件的主體（如用戶名、IP地址等）與

客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。

5.1.4通信完整性（S2）

本項(xiàng)要求包括：

3

DB21/T2897.1—2017

a)應(yīng)采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

1)應(yīng)用系統(tǒng)中通信雙方應(yīng)利用校驗(yàn)碼技術(shù)對數(shù)據(jù)進(jìn)行完整性校驗(yàn)。

5.1.5通信保密性（S2）

本項(xiàng)要求包括：

a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；

1)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證（SSL、SSH等）。

b)應(yīng)對通信過程中的敏感信息字段進(jìn)行加密。

1)對通信過程中的整個報文或會話過程進(jìn)行加密。

5.1.6軟件容錯（A2）

本項(xiàng)要求包括：

a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符

合系統(tǒng)設(shè)定要求；

1)交通云環(huán)境下的應(yīng)用系統(tǒng)在數(shù)據(jù)輸入界面提供數(shù)據(jù)有效性檢驗(yàn)功能（如：數(shù)據(jù)格式、數(shù)據(jù)

長度、是否為空等）。

b)在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

1)交通云環(huán)境下應(yīng)用系統(tǒng)采用雙機(jī)熱備、集群等高可用模式部署；

2)應(yīng)用系統(tǒng)提供自動保護(hù)功能（如守護(hù)進(jìn)程重啟故障中斷的服務(wù)進(jìn)程等），確保能夠自動保

護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。

5.1.7資源控制（A2）

本項(xiàng)要求包括：

a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

1)用戶在登錄應(yīng)用系統(tǒng)后在30分鐘內(nèi)未執(zhí)行任何操作，應(yīng)自動退出系統(tǒng)，超時時間可以手

工設(shè)置。

b)應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；

c)應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進(jìn)行限制。

1)交通云環(huán)境下應(yīng)用系統(tǒng)對單個帳戶的多重并發(fā)會話進(jìn)行限制，禁止同一用戶同時登錄系

統(tǒng)。

5.2數(shù)據(jù)安全及備份恢復(fù)

5.2.1數(shù)據(jù)完整性（S2）

本項(xiàng)要求包括：

a)應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。

1)數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中具有

數(shù)據(jù)完整性檢測功能；

2)在檢測到完整性錯誤時采取必要的恢復(fù)措施。

5.2.2數(shù)據(jù)保密性（S2）

本項(xiàng)要求包括：

a)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲保密性。

4

DB21/T2897.1—2017

1）交通云環(huán)境下應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采用加密、數(shù)字證書或

其他有效措施實(shí)現(xiàn)存儲保密性。

5.2.3備份和恢復(fù)（A2）

本項(xiàng)要求包括：

a)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；

1)數(shù)據(jù)庫管理系統(tǒng)、主要應(yīng)用系統(tǒng)等業(yè)務(wù)數(shù)據(jù)提供本地數(shù)據(jù)備份和恢復(fù)的功能；

2)備份恢復(fù)策略配置正確，備份記錄與備份策略一致，重要業(yè)務(wù)數(shù)據(jù)，系統(tǒng)配置文件數(shù)據(jù)等

關(guān)鍵數(shù)據(jù)每半月完全備份，系統(tǒng)鏡像文件等其他數(shù)據(jù)每次變更時應(yīng)進(jìn)行差量備份；

3)備份介質(zhì)場外存放，備份數(shù)據(jù)至少存放6個月。

b)應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。

1)對關(guān)鍵的網(wǎng)絡(luò)設(shè)備、通信設(shè)備建立備份機(jī)制，有備機(jī)備件；

2)對關(guān)鍵的通信線路有冗余備份線路，主備通信線路應(yīng)采用不同運(yùn)營商；

3)關(guān)鍵的網(wǎng)絡(luò)設(shè)備、通信線路在發(fā)生故障時可以主備切換，不影響業(yè)務(wù)運(yùn)行。

6第三級等級保護(hù)技術(shù)要求

6.1應(yīng)用安全

6.1.1身份鑒別（S3）

本項(xiàng)要求包括：

a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；

1）部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)具有專用的登錄控制模塊，對登錄用戶的賬號/口令及

其他身份信息進(jìn)行鑒別。

b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；

1)應(yīng)用系統(tǒng)應(yīng)針對可控用戶及重要權(quán)限用戶，采用除賬號/口令以外的其他鑒別技術(shù)進(jìn)行身

份鑒別，如動態(tài)令牌、數(shù)字證書、生物特征識別等；

2)移動應(yīng)用系統(tǒng)應(yīng)針對可控重要終端，進(jìn)行手機(jī)號碼、終端串號或MAC地址等信息的綁定；

3)兩種或兩種以上鑒別技術(shù)應(yīng)組合使用，避免相互替代。

c)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)

識，身份鑒別信息不易被冒用；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)為不同用戶分配不同的身份標(biāo)識，避免多用戶共享使用

及身份冒用；

2)應(yīng)用系統(tǒng)應(yīng)通過程序進(jìn)行口令復(fù)雜度、口令更換限制；

3)當(dāng)應(yīng)用系統(tǒng)滿足雙因素身份鑒別條件時，相關(guān)密碼策略要求口令長度設(shè)置不少于4位，不

滿足雙因素身份鑒別條件的應(yīng)用系統(tǒng)口令應(yīng)符合以下條件：數(shù)字、大小寫字母、符號混排

的方式，長度至少為8位；

4)口令每個季度更換1次，更新的口令至少3次內(nèi)不能重復(fù)。

d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

1)應(yīng)用系統(tǒng)應(yīng)通過程序限制用戶的非法登錄次數(shù)，不超過3次；

2)賬戶登錄失敗超過3次，至少鎖定30分鐘，或由系統(tǒng)管理員解鎖。

5

DB21/T2897.1—2017

e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理

功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

6.1.2訪問控制（S3）

本項(xiàng)要求包括：

a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)指定管理用戶對系統(tǒng)用戶進(jìn)行管理，配置用戶對文件、

數(shù)據(jù)庫表等客體的訪問控制策略，如查看、查詢、增加、刪除或修改等權(quán)限；

2)應(yīng)用系統(tǒng)采取編碼級措施，對SQL注入、跨站、文件上傳漏洞、越權(quán)訪問、敏感信息泄露

等攻擊進(jìn)行防護(hù)。

b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

1)訪問控制的粒度需達(dá)到主體為用戶和進(jìn)程級，客體為文件、數(shù)據(jù)庫表級；

2)訪問控制功能正常，覆蓋范圍包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

3)部署于交通云環(huán)境下應(yīng)用系統(tǒng)根據(jù)用戶權(quán)限進(jìn)行嚴(yán)格的訪問控制，不存在越權(quán)訪問現(xiàn)象。

c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限；

1)交通云環(huán)境下應(yīng)用系統(tǒng)由授權(quán)管理員進(jìn)行用戶權(quán)限管理；

2)應(yīng)用系統(tǒng)應(yīng)重命名正在使用的默認(rèn)賬戶，如admin、manager、test等；

3)應(yīng)用系統(tǒng)應(yīng)及時刪除不被使用的賬戶，一般指應(yīng)用系統(tǒng)的公共賬戶或測試賬戶。

d)應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)根據(jù)用戶的角色進(jìn)行詳細(xì)的權(quán)限劃分；

2)應(yīng)用系統(tǒng)應(yīng)根據(jù)最小原則進(jìn)行授權(quán)，并在各用戶間形成相互制約關(guān)系，如分配系統(tǒng)管理員、

安全管理員、安全審計(jì)員，錄入與審核分離，操作與監(jiān)督分離等。

6.1.3安全審計(jì)（G3）

本項(xiàng)要求包括：

a)應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能；

2)安全審計(jì)范圍包括應(yīng)用系統(tǒng)定義的重要安全事件（如包括帳戶建立、用戶權(quán)限分配、重要

業(yè)務(wù)數(shù)據(jù)的增加修改刪除操作、用戶身份鑒別失敗、退出等行為）。

b)應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；

1)審計(jì)進(jìn)程與系統(tǒng)主進(jìn)程為同一進(jìn)程，無法單獨(dú)中斷；

2)通過應(yīng)用系統(tǒng)無法刪除、修改或覆蓋審計(jì)記錄；

3)審計(jì)記錄每天定時備份至日志服務(wù)器。

c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；

1)審計(jì)記錄至少包括事件發(fā)生的日期和時間、觸發(fā)事件的主體（如用戶名、IP地址等）與

客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。

d)應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報表的功能。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)能夠?qū)徲?jì)記錄進(jìn)行統(tǒng)計(jì)、查詢等分析，能根據(jù)需要生成審計(jì)報

表；

2)通過審計(jì)平臺進(jìn)行審計(jì)記錄的統(tǒng)計(jì)、查詢、分析及生成審計(jì)報表。

6.1.4剩余信息保護(hù)（S3）

本項(xiàng)要求包括：

6

DB21/T2897.1—2017

a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信

息是存放在何種存儲介質(zhì)中；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)具有清除用戶鑒別信息的功能；

2)正常退出和非強(qiáng)制關(guān)閉后，應(yīng)用系統(tǒng)和操作系統(tǒng)臨時文件等均無殘留的用戶鑒別信息。

b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶

前得到完全清除。

1)正常退出和非強(qiáng)制關(guān)閉后，用戶無法訪問其他用戶已經(jīng)釋放的文件、目錄和數(shù)據(jù)庫記錄等

資源中存儲的其他用戶數(shù)據(jù)。

6.1.5通信完整性（S3）

本項(xiàng)要求包括：

a)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

1)交通云環(huán)境下應(yīng)用系統(tǒng)采用MD5、SHA-1等密碼算法進(jìn)行完整性保護(hù)或采用SSL等加密通

信方式。

6.1.6通信保密性（S3）

本項(xiàng)要求包括：

a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；

1)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證（SSL、SSH等）。

b)應(yīng)對通信過程中的整個報文或會話過程進(jìn)行加密。

1)對通信過程中的整個報文或會話過程進(jìn)行加密。

6.1.7抗抵賴（G3）

本項(xiàng)要求包括：

a)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)采用數(shù)字簽名等非對稱加密技術(shù)，保證傳輸?shù)臄?shù)據(jù)是由確定的用

戶發(fā)送。

b)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)采用數(shù)字簽名等非對稱加密技術(shù)，保證傳輸?shù)臄?shù)據(jù)是由指定的用

戶接收。

6.1.8軟件容錯（A3）

本項(xiàng)要求包括：

a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符

合系統(tǒng)設(shè)定要求；

1)交通云環(huán)境下應(yīng)用系統(tǒng)在數(shù)據(jù)輸入界面提供數(shù)據(jù)有效性檢驗(yàn)功能（如：數(shù)據(jù)格式、數(shù)據(jù)長

度、是否為空等）。

b)應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。

1)交通云環(huán)境下應(yīng)用系統(tǒng)采用雙機(jī)熱備、集群等高可用模式部署；

2)應(yīng)用系統(tǒng)提供自動保護(hù)功能（如守護(hù)進(jìn)程重啟故障中斷的服務(wù)進(jìn)程等），確保能夠自動保

護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。

6.1.9資源控制（A3）

7

DB21/T2897.1—2017

本項(xiàng)要求包括：

a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

1)用戶在登錄應(yīng)用系統(tǒng)后在30分鐘內(nèi)未執(zhí)行任何操作，應(yīng)自動退出系統(tǒng)，超時時間可以手

工設(shè)置。

b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；

c)應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進(jìn)行限制；

1)交通云環(huán)境下應(yīng)用系統(tǒng)對單個帳戶的多重并發(fā)會話進(jìn)行限制，禁止同一用戶同時登錄系

統(tǒng)。

d)應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制；

e)應(yīng)能夠?qū)σ粋€訪問賬戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額；

f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；

1)能夠?qū)ο到y(tǒng)服務(wù)水平進(jìn)行檢測；

2)達(dá)到設(shè)置閾值時能夠進(jìn)行報警。

g)應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問賬戶或請求進(jìn)程的優(yōu)先級，根

據(jù)優(yōu)先級分配系統(tǒng)資源。

6.2數(shù)據(jù)安全及備份恢復(fù)

6.2.1數(shù)據(jù)完整性（S3）

本項(xiàng)要求包括：

a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢

測到完整性錯誤時采取必要的恢復(fù)措施；

1)數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中具有

數(shù)據(jù)完整性檢測功能；

2)在檢測到完整性錯誤時采取必要的恢復(fù)措施。

b)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢

測到完整性錯誤時采取必要的恢復(fù)措施。

1)數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中具有

數(shù)據(jù)完整性檢測功能；

2）在檢測到完整性錯誤時采取必要的恢復(fù)措施。

6.2.2數(shù)據(jù)保密性（S3）

本項(xiàng)要求包括：

a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

1)交通云環(huán)境下應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采用加密、數(shù)字證書或

其他有效措施實(shí)現(xiàn)傳輸保密性。

b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。

1)交通云環(huán)境下應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采用加密、數(shù)字證書或

其他有效措施實(shí)現(xiàn)存儲保密性。

6.2.3備份和恢復(fù)（A3）

本項(xiàng)要求包括：

a)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天1次，備份介質(zhì)場外存放；

1)數(shù)據(jù)庫管理系統(tǒng)、主要應(yīng)用系統(tǒng)等業(yè)務(wù)數(shù)據(jù)提供本地數(shù)據(jù)備份和恢復(fù)的功能；

8

DB21/T2897.1—2017

2)備份恢復(fù)策略配置正確，備份記錄與備份策略一致，重要業(yè)務(wù)數(shù)據(jù)，系統(tǒng)配置文件數(shù)據(jù)等

關(guān)鍵數(shù)據(jù)，每天1次完全備份，系統(tǒng)鏡像文件等其他數(shù)據(jù)每次變更時應(yīng)進(jìn)行差量備份；

3)備份介質(zhì)場外存放，備份數(shù)據(jù)至少存放6個月。

b)應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；

1)提供數(shù)據(jù)異地備份的場地；

2)定義與應(yīng)用系統(tǒng)相關(guān)的關(guān)鍵數(shù)據(jù)；

3)利用通信網(wǎng)絡(luò)定時批量傳送至備用場地，備份數(shù)據(jù)至少存放6個月。

c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；

d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

1)交通云環(huán)境下主要的服務(wù)器和數(shù)據(jù)庫系統(tǒng)采取雙機(jī)熱備、集群的模式部署，在發(fā)生硬件、

軟件等故障時，可以實(shí)現(xiàn)自動或快速的手動切換。

9

DB21/T2897.1—2017

參考文獻(xiàn)

GB/T22239.1信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求第1部分：通用安全要求

_________________________________

10

DB21/T2897.1—2017

目次

前言.........................................................