DB14/T 2241-2020 《应急管理信息化应急管理业务软件系统安全设计规范》

ICS13.100

C78

DB14

山西省地方标准

DB14/T2241—2020

应急管理信息化应急管理业务软件系统

安全设计规范

2020-12-08发布2021-03-08实施

山西省市场监督管理局发布

DB14/T2241—2020

目  次

前  言.............................................................................................................................................................II

1范围.................................................................................................................................................................1

2规范性引用文件.............................................................................................................................................1

3术语和定义.....................................................................................................................................................1

4业务软件系统软件研发周期.........................................................................................................................3

5软件系统安全设计的基本内容.....................................................................................................................5

6通用要求.........................................................................................................................................................8

7软件开发管理.................................................................................................................................................9

8安全运维.......................................................................................................................................................10

附录A（资料性）参考表..............................................................................................................................12

附录B（资料性）业务软件系统验收大纲.................................................................................................14

I

DB14/T2241—2020

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由山西省应急管理厅提出并监督实施。

本文件由山西省安全生产标准化技术委员会归口。

本文件起草单位：山西省安全生产科学研究院。

本文件主要起草人：焦新华、陈泽宇、杨柯、王延辉、杨李根、刘艳、王刚、王洋、宋梅、张旭东、

王波。

II

DB14/T2241—2020

应急管理信息化应急管理业务软件系统安全设计规范

1范围

本文件规定了应急管理业务软件系统安全设计规范的术语和定义、基本内容、通用要求、研发管理

以及安全运维等，本规范主要针对B/S架构。

本文件适用于指导山西省应急管理业务软件系统安全设计。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T30998-2014信息技术软件安全保障规范

3术语和定义

下列术语和定义适用于本文件。

3.1

安全设计

系统在设计阶段开展的结构分析、专项防护及方案评审等一系列活动的总称。

3.2

安全策略

业务系统中制定一系列规则，实现安全目标的总称。

3.3

系统级资源

系统级资源包括：文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件日志等。

3.4

前端

前端即网站前台部分，在浏览器上展现给用户浏览的网页。

3.5

后端

后端是负责与数据库的交互，实现相应的业务逻辑。

1

DB14/T2241—2020

3.6

双因子认证

密码以及实物(SMS手机、令牌等生物标志)两种或多种条件对用户进行认证的方法。

3.7

单向散列

是根据输入消息计算后，输出固定长度数值的算法，输出数值也称为“散列值”或“消息摘要”，

其长度通常在128～256位之间。

3.8

反向代理

是指内部网络对Internert发出连接请求，需要制定代理服务将原本直接传输至Web服务器的HTTP

发送至代理服务器中。

3.9

结构化异常处理

是可以使程序中异常处理代码和正常业务代码分离，保证程序代码更加优雅，并提高程序健壮性。

3.10

微服务架构

是一种将一个单一应用程序开发为一组小型服务的方法，每个服务运行在自己的进程中，服务间通

信采用轻量级通信机制。

3.11

应用容器引擎

是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然

后发布到任何流行的机器上，也可以实现虚拟化。

3.12

渗透测试

是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。

3.13

SQL注入

是攻击者构造恶意的字符串，欺骗业务系统用构造数据库语句并执行，从而达到盗取或修改数据

库中存储的数据的目的。

3.14

跨站脚本攻击

是入侵者在Web页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但

是当浏览器下载该页面，嵌入其中的脚本将被解释执行，从而威胁用户浏览过程的安全。

3.15

2

DB14/T2241—2020

回滚操作

是程序或数据处理错误，将程序或数据恢复到上一次正确状态的行为。

3.16

CA认证

CA认证，即电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。

数字证书的机构是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，

承担公钥体系中公钥的合法性检验的责任。

3.17

RA认证

RA（RegistrationAuthority），是数字证书认证中心的证书发放、管理的延伸。主要负责证书申请

者的信息录入、审核以及证书发放等工作，同时，对发放的证书完成相应的管理功能。发放的数字证书

可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心正常运营不可缺少的一部分。

4业务软件系统软件研发周期

软件安全开发涵盖了软件的整个生命周期。软件安全周期是软件从产生到发布的生命周期，参考图

1，包括项目启动、需求分析、原型设计、需求设计、研发设计、开发阶段、测试阶段、系统发布八个

阶段，相关阶段产物参见附录A。业务软件系统研发单位同时也应按照GB/T30998-2014，对研发过程

进行规范管理，并记录相关过程和结果。

3

DB14/T2241—2020

图1业务软件系统软件研发周期

4

DB14/T2241—2020

5软件系统安全设计的基本内容

5.1设计要求

软件系统安全设计应按照GB/T22239-2019，根据业务软件设计要求，进行网络安全等级保护。

5.2身份鉴别

在身份认证方面，要求如下：

a)可接入到统一认证中心（部级CA认证，省级RA认证）；

b)应采用合适的身份认证方式，应采用双因子认证方式，认证方式如下：

1)用户名、口令认证；

2)动态口令认证、GA认证；

3)证书认证，证书必须有载体，比如USBKEY（注：生产环境中，应使用USBKEY，不能

私自导出证书）；

4)短信认证。

c)应设计密码的存储和传输安全策略：

1)禁止在数据库中明文存储用户密码；

2)禁止在基于HTML5中SessionStorage、LocalStorage、Cookie中保存明文密码；

3)应采用单向散列加密技术在数据库中存储用户密码；

4)用户若忘记密码，应通过邮件验证，并使用手机号码及短信验证，找回密码；

5)用户若忘记密码，且邮件地址及手机号发生变更，应通过管理员进行密码找回。

d)应设计密码使用安全策略，包括密码长度、复杂度、更换周期等，输入字符应可见；

1)弱密码：复杂度单一，长度小于8位，满足两项；

中密码：复杂度三种类型，长度大于8位，满足其中一项；

强密码：复杂度三种类型，长度大于8位，满足两项；

2)更换周期具体要求见附录A；

e)应设计图形验证码，增强身份认证安全，随机生成且包含字母、数字、字母数字组合或中文验

证码的组合,具体详情见附录A；

f)应设计账号锁定功能限制连续失败登录，具体详情见附录A；

g)应根据系统设计限制重复登陆账号；

h)对提供单点登录的分布式业务软件系统的用户应提供单点标识，且单点标识应具有与常规标识

相同的安全性。

5.3访问控制

在授权方面，要求如下：

a)应设计资源访问控制方案，验证用户访问权限；

b)电子政务外网等线上业务应设计后台管理控制方案：后台管理应采用白名单方式对访问的来源

IP地址进行限制；

c)应设计在后端实现访问控制，禁止仅在前端实现访问控制；

d)授权粒度应根据业务软件系统的角色和功能分类进行限制。

5.4安全审计

5

DB14/T2241—2020

用户访问业务软件系统时，应对登录行为、业务操作以及系统运行状态进行记录与保存，保证操作

过程可溯源、可审计，确保业务日志数据的安全。要求如下：

a)日志记录事件应包含以下事件：

1)访问控制信息，比如：由于登陆失败超出尝试次数的限制而引起的账号锁定信息；

2)用户权限的变更；

3)用户密码的变更；

4)用户试图执行角色中没有明确授权的功能；

5)用户账户的创建、注销、锁定、解锁；

b)审计日志应包含如下内容：

1)事件的日期、时间（时间戳）；

2)事件类型；

3)事件内容；

4)事件是否成功；

5)请求的来源（例如请求的IP地址）；

c)审计日志应禁止包括如下内容（如必须包含，应做模糊处理）：

1)敏感信息（如密码信息等）；

2)隐私信息（如身份信息等）；

d)应保证业务日志安全存储与访问：

1)日志应存储在数据库中；

2)日志保存期限可进行配置；

3)应支持与省部级独立的日志系统进行日志传输。

5.5通信安全

5.5.1接口方式安全设计

接口方式安全设计要求如下：

a)与其他系统连接，禁止侵入式使用数据库；

b)本系统前后端数据传输，可通过Json进行传输；

c)本系统与其他系统连接进行身份认证，可通过token认证；

d)本系统信息传输过程中，应注意防止中间人攻击，保障数据的可靠性和稳定性；

e)对外接口设计必须有接口版本号，每次变更应考虑向下兼容性，基本原则：轻易不删除旧接口，

新增接口要有版本号。

注：版本格式：主版本号.次版本号.修订号（例，1.0.0），版本号递增规则如下：

1)主版本号：全盘重构时增加；重大功能或方向改变时增加；大范围不兼容之前的接口时增加；

2)次版本号：增加新的业务功能时增加；

3)修订号：增加新的接口时增加；在接口不变的情况下，增加接口的非必填属性时增加；增强和扩展接口

功能时增加。

5.5.2数据安全设计

数据安全设计要求如下：

a)应使用加密技术对传输的敏感信息进行保护,敏感度信息判别见附录A表A.4，加密方式选择

见附录A；

6

DB14/T2241—2020

b)应使用安全的传输协议（如:HTTPS、SFTP、SCP等加密传输协议）来传输敏感度中度级别以

上的文件；

c)临时数据使用后需进行存储或销毁处理。

5.5.3会话安全

在会话管理方面，要求如下：

a)登录成功后应建立新得会话：

1)在用户认证成功后，应为用户创建新的会话并释放原有会话，创建的会话凭证应满足随机

性和长度要求，避免被攻击者猜测；

b)应确保会话数据的存储安全：

1)用户登录成功后所生成的会话数据应存储在后端，并确保会话数据不能被非法访问；

2)更新会话数据时，应对数据进行严格的输入验证，避免会话数据被非法篡改；

c)应及时终止会话：

1)当用户登录成功并成功创建会话后，应在系统的各个页面提供用户退出功能；

2)退出时应及时注销服务器端的会话数据；

d)本系统消息会话类数据传输，可通过ws、wss进行连接；

e)应设计合理的会话存活时间，超时后应销毁会话，并清除会话的信息；

f)应能够对系统的最大并发会话连接数进行限制。

5.5.4其他要求

除上述要求之外还应：

a)应确保采用的安全协议不包含已公开漏洞；

b)云端业务软件系统的外链业务应使用反向代理进行访问，Web和数据库服务器建立连接访问，

应使用内网域名进行访问，避免使用IP地址访问；

c)通过互联网域名访问业务软件系统应考虑联通、电信、移动负载线路及IPV4、IPV6双站兼容。

5.6容错设计

5.6.1异常消息

异常消息一般包含了针对开发和维护人员调试使用的系统信息，这些信息将增加攻击者发现潜在缺

陷并进行攻击的机会。要求如下：

a)应使用异常处理机制；

b)应使用通用错误信息：

1)程序发生异常时，应重定向到特定网页；

2)应向前端返回一般性错误消息；

a)程序发生异常时，应终止当前业务，并对当前业务进行回滚操作。

5.6.2其他要求

除上述要求之外还应：

a)业务软件系统应分为调试和生产环境两个状态，在生产状态下产生的逻辑错误不应反馈给用

户；

b)业务软件系统对高并发接口，应采用微服务架构、Docker容器技术等技术；