DB21-T 2897.1-2017交通云環(huán)境 第1部分：WEB應(yīng)用安全技術(shù)規(guī)范

ICS35.240.01

L70/84

備案號：58581-2018

DBDB21/T2897.121—2017

遼寧省地方標準

DB21/T2897.1—2017

交通云環(huán)境

第1部分：WEB應(yīng)用安全技術(shù)規(guī)范

TrafficCloudPart1：WEBapplicationsecuritytechnology

DB21/T2897.1—2017

前言

《交通云環(huán)境》是遼寧省交通云信息安全保護技術(shù)規(guī)范相關(guān)系列標準之一。

《交通云環(huán)境》分為兩部分：

——第1部分：WEB應(yīng)用安全技術(shù)規(guī)范；

——第2部分：信息安全保護技術(shù)規(guī)范。

其中第1部分：WEB應(yīng)用安全技術(shù)規(guī)范包含應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)兩大方面內(nèi)容，第2部分：

信息安全保護技術(shù)規(guī)范包含物理安全、網(wǎng)絡(luò)安全、主機安全、云主機安全四大方面內(nèi)容，兩部分內(nèi)容共

同對應(yīng)《GB/T22239.1信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》技術(shù)要求部分內(nèi)容。

本部分為《交通云環(huán)境》的第1部分。

本部分按照GB/T1.1—2009給出的規(guī)則起草。

本部分由遼寧省交通廳提出并歸口。

本部分主要起草單位：遼寧省交通廳通信信息總站，遼寧交通信息技術(shù)有限公司，遼寧北方實驗室

有限公司。

本部分主要起草人：曲卓，李濤，王菁，劉春來，楊麗春，郎志海，姜鵬，韓曉娜，郭思媚，魏寶

忠，甄摯，程景敏，張鏖，段曉祥，徐陽，耿天華，孫碩詩，張醒飛，郭越，王洪川，石紹群。

II

DB21/T2897.1—2017

引言

近年來，現(xiàn)代新興信息技術(shù)發(fā)展越來越快，以云計算為代表的技術(shù)正逐步興起，并且廣泛地應(yīng)用在

交通運輸行業(yè),而遼寧省交通信息化也步入了快速發(fā)展時期。為了貫徹國家信息安全相關(guān)法律法規(guī)，落

實信息安全等級保護相關(guān)技術(shù)要求，規(guī)范遼寧省交通云環(huán)境安全等級保護的工作，針對云環(huán)境的具體情

況，特制定本標準。

本標準所涵蓋的第一級等級保護技術(shù)要求、第二級等級保護技術(shù)要求、第三級等級保護技術(shù)要求內(nèi)

容分別對應(yīng)《信息系統(tǒng)安全等級保護基本要求第1部分：通用安全要求》（GB/T22239.1）相應(yīng)等級保

護基本要求，在部分安全項中根據(jù)云環(huán)境特點對其內(nèi)容進行引用、深化及擴展。

本部分與國標《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等

級保護基本要求第1部分：通用安全要求》（GB/T22239.1）等標準共同構(gòu)成了遼寧省交通云環(huán)境等級

保護的相關(guān)配套標準，主要針對遼寧省交通云環(huán)境應(yīng)用現(xiàn)狀、技術(shù)特點和安全防護要求作進一步細化和

擴展，本部分內(nèi)容基于應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)兩大方面分別提出滿足相應(yīng)安全保護等級系統(tǒng)的

安全防護需求，確認相關(guān)技術(shù)參數(shù)，從而進一步確保遼寧省交通行業(yè)云環(huán)境安全穩(wěn)定運行。

III

DB21/T2897.1—2017

交通云環(huán)境WEB應(yīng)用安全技術(shù)規(guī)范

1范圍

本文檔規(guī)定了遼寧省交通云應(yīng)用安全技術(shù)規(guī)范，結(jié)合遼寧省交通行業(yè)特點，從技術(shù)方面設(shè)計遼寧省

交通云應(yīng)用安全技術(shù)規(guī)范，主要包括應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)要求實施技術(shù)規(guī)范。

主要適用于云平臺下應(yīng)用系統(tǒng)的新建、升級、改造、部署及運行維護，供各相關(guān)單位參照執(zhí)行。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859—1999計算機信息系統(tǒng)安全保護等級劃分準則

GB/T25069—2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

3.1

安全保護能力securityprotectionability

系統(tǒng)能夠抵御威脅、發(fā)生安全事件以及在系統(tǒng)遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。

3.2

抗抵賴non-repudiation

證明某一動作或事件已經(jīng)發(fā)生的能力，以使事后不能否認這一動作或事件。

3.3

對象object

系統(tǒng)中可供訪問的實體。例如：數(shù)據(jù)、資源、進程等。

3.4

授權(quán)authorization

賦予某一主體可實施某些動作的權(quán)力的過程。

3.5

數(shù)據(jù)完整性dataintegrity

數(shù)據(jù)沒有遭受以未授權(quán)方式所作的更改或破壞的特性。

3.6

1

DB21/T2897.1—2017

用戶標識userID/useridentification

信息系統(tǒng)用于標識用戶的一種字符串或模式。

3.7

安全審計securityaudit

對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析，并針對特定事件及行為采取相應(yīng)的動作。

3.8

訪問控制accesscontrol

一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進行訪問的手段。

3.9

交通云環(huán)境trafficcloud

指能夠從動態(tài)虛擬化的資源池中向用戶或者各種應(yīng)用系統(tǒng)按需提供計算能力、存儲能力或者虛擬機

等服務(wù)的資源集合。

3.10

主體subject

信息系統(tǒng)訪問控制中所涵蓋的系統(tǒng)用戶和進程等。

3.11

客體object

信息系統(tǒng)主體所訪問的系統(tǒng)資源，如文件、數(shù)據(jù)庫表等。

4第一級等級保護技術(shù)要求

第一級等級保護技術(shù)要求參照第二級等級保護技術(shù)要求執(zhí)行。

5第二級等級保護技術(shù)要求

5.1應(yīng)用安全

5.1.1身份鑒別（S2）

本項要求包括：

a)應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)具有專用的登錄控制模塊，對登錄用戶的賬號/口令及

其他身份信息進行鑒別。

b)應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標

識，身份鑒別信息不易被冒用；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)通過程序代碼限制口令符合以下條件：長度至少為8

位，且為數(shù)字、字母、符號混排的方式；

2)應(yīng)用系統(tǒng)應(yīng)通過程序代碼限制口令至少每半年更換1次，更新的口令至少2次內(nèi)不能重復(fù)；

2

DB21/T2897.1—2017

3)應(yīng)為云環(huán)境下的應(yīng)用系統(tǒng)中的不同用戶分配不同的用戶標識即用戶名或用戶ID號，確保

身份鑒別信息不被冒用。

c)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)限制用戶的非法登錄次數(shù)不超過5次；

2)賬戶登錄失敗超過5次，至少鎖定30分鐘，或由系統(tǒng)管理員解鎖；

3)應(yīng)啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗

處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

5.1.2訪問控制（S2）

本項要求包括：

a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)指定管理用戶對系統(tǒng)用戶進行管理，配置用戶對文件、

數(shù)據(jù)庫表等客體的訪問控制策略，如查看、查詢、增加、刪除或修改等權(quán)限；

2)應(yīng)用系統(tǒng)采取編碼級措施，對SQL注入、跨站、文件上傳漏洞、越權(quán)訪問、敏感信息泄露

等攻擊進行防護。

b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

1)訪問控制功能應(yīng)限制用戶或進程對應(yīng)用系統(tǒng)的功能、文件或數(shù)據(jù)庫表的操作。

c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認賬戶的訪問權(quán)限；

1)交通云環(huán)境下應(yīng)用系統(tǒng)由授權(quán)管理員進行用戶權(quán)限管理；

2)應(yīng)重命名應(yīng)用系統(tǒng)正在使用的默認賬戶，如admin、manager、test等；

3)應(yīng)及時刪除應(yīng)用系統(tǒng)中不被使用的賬戶，一般指應(yīng)用系統(tǒng)的公共賬戶或測試賬戶。

d)應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)根據(jù)用戶的角色進行詳細的權(quán)限劃分；

2)應(yīng)用系統(tǒng)應(yīng)根據(jù)最小原則進行授權(quán)，并在各用戶間形成相互制約關(guān)系，如分配系統(tǒng)管理員、

安全管理員、安全審計員，錄入與審核分離，操作與監(jiān)督分離等。

5.1.3安全審計（G2）

本項要求包括：

a)應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)啟用安全審計功能，并能覆蓋到每個用戶；

2)安全審計范圍包括應(yīng)用系統(tǒng)定義的重要安全事件（如包括帳戶建立、用戶權(quán)限分配、重要

業(yè)務(wù)數(shù)據(jù)的增加修改刪除操作、用戶身份鑒別失敗、退出等行為）。

b)應(yīng)保證無法刪除、修改或覆蓋審計記錄；

1)審計進程與系統(tǒng)主進程為同一進程，無法單獨中斷；

2)通過應(yīng)用系統(tǒng)無法刪除、修改或覆蓋審計記錄；

3)審計記錄每天定時備份至日志服務(wù)器。

c)審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。

1)審計記錄至少包括事件發(fā)生的日期和時間、觸發(fā)事件的主體（如用戶名、IP地址等）與

客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。

5.1.4通信完整性（S2）

本項要求包括：

3

DB21/T2897.1—2017

a)應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

1)應(yīng)用系統(tǒng)中通信雙方應(yīng)利用校驗碼技術(shù)對數(shù)據(jù)進行完整性校驗。

5.1.5通信保密性（S2）

本項要求包括：

a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；

1)利用密碼技術(shù)進行會話初始化驗證（SSL、SSH等）。

b)應(yīng)對通信過程中的敏感信息字段進行加密。

1)對通信過程中的整個報文或會話過程進行加密。

5.1.6軟件容錯（A2）

本項要求包括：

a)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符

合系統(tǒng)設(shè)定要求；

1)交通云環(huán)境下的應(yīng)用系統(tǒng)在數(shù)據(jù)輸入界面提供數(shù)據(jù)有效性檢驗功能（如：數(shù)據(jù)格式、數(shù)據(jù)

長度、是否為空等）。

b)在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

1)交通云環(huán)境下應(yīng)用系統(tǒng)采用雙機熱備、集群等高可用模式部署；

2)應(yīng)用系統(tǒng)提供自動保護功能（如守護進程重啟故障中斷的服務(wù)進程等），確保能夠自動保

護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。

5.1.7資源控制（A2）

本項要求包括：

a)當應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

1)用戶在登錄應(yīng)用系統(tǒng)后在30分鐘內(nèi)未執(zhí)行任何操作，應(yīng)自動退出系統(tǒng)，超時時間可以手

工設(shè)置。

b)應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

c)應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進行限制。

1)交通云環(huán)境下應(yīng)用系統(tǒng)對單個帳戶的多重并發(fā)會話進行限制，禁止同一用戶同時登錄系

統(tǒng)。

5.2數(shù)據(jù)安全及備份恢復(fù)

5.2.1數(shù)據(jù)完整性（S2）

本項要求包括：

a)應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。

1)數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中具有

數(shù)據(jù)完整性檢測功能；

2)在檢測到完整性錯誤時采取必要的恢復(fù)措施。

5.2.2數(shù)據(jù)保密性（S2）

本項要求包括：

a)應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性。

4

DB21/T2897.1—2017

1）交通云環(huán)境下應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采用加密、數(shù)字證書或

其他有效措施實現(xiàn)存儲保密性。

5.2.3備份和恢復(fù)（A2）

本項要求包括：

a)應(yīng)能夠?qū)χ匾畔⑦M行備份和恢復(fù)；

1)數(shù)據(jù)庫管理系統(tǒng)、主要應(yīng)用系統(tǒng)等業(yè)務(wù)數(shù)據(jù)提供本地數(shù)據(jù)備份和恢復(fù)的功能；

2)備份恢復(fù)策略配置正確，備份記錄與備份策略一致，重要業(yè)務(wù)數(shù)據(jù)，系統(tǒng)配置文件數(shù)據(jù)等

關(guān)鍵數(shù)據(jù)每半月完全備份，系統(tǒng)鏡像文件等其他數(shù)據(jù)每次變更時應(yīng)進行差量備份；

3)備份介質(zhì)場外存放，備份數(shù)據(jù)至少存放6個月。

b)應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。

1)對關(guān)鍵的網(wǎng)絡(luò)設(shè)備、通信設(shè)備建立備份機制，有備機備件；

2)對關(guān)鍵的通信線路有冗余備份線路，主備通信線路應(yīng)采用不同運營商；

3)關(guān)鍵的網(wǎng)絡(luò)設(shè)備、通信線路在發(fā)生故障時可以主備切換，不影響業(yè)務(wù)運行。

6第三級等級保護技術(shù)要求

6.1應(yīng)用安全

6.1.1身份鑒別（S3）

本項要求包括：

a)應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；

1）部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)具有專用的登錄控制模塊，對登錄用戶的賬號/口令及

其他身份信息進行鑒別。

b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；

1)應(yīng)用系統(tǒng)應(yīng)針對可控用戶及重要權(quán)限用戶，采用除賬號/口令以外的其他鑒別技術(shù)進行身

份鑒別，如動態(tài)令牌、數(shù)字證書、生物特征識別等；

2)移動應(yīng)用系統(tǒng)應(yīng)針對可控重要終端，進行手機號碼、終端串號或MAC地址等信息的綁定；

3)兩種或兩種以上鑒別技術(shù)應(yīng)組合使用，避免相互替代。

c)應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標

識，身份鑒別信息不易被冒用；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)為不同用戶分配不同的身份標識，避免多用戶共享使用

及身份冒用；

2)應(yīng)用系統(tǒng)應(yīng)通過程序進行口令復(fù)雜度、口令更換限制；

3)當應(yīng)用系統(tǒng)滿足雙因素身份鑒別條件時，相關(guān)密碼策略要求口令長度設(shè)置不少于4位，不

滿足雙因素身份鑒別條件的應(yīng)用系統(tǒng)口令應(yīng)符合以下條件：數(shù)字、大小寫字母、符號混排

的方式，長度至少為8位；

4)口令每個季度更換1次，更新的口令至少3次內(nèi)不能重復(fù)。

d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

1)應(yīng)用系統(tǒng)應(yīng)通過程序限制用戶的非法登錄次數(shù)，不超過3次；

2)賬戶登錄失敗超過3次，至少鎖定30分鐘，或由系統(tǒng)管理員解鎖。

5

DB21/T2897.1—2017

e)應(yīng)啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理

功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

6.1.2訪問控制（S3）

本項要求包括：

a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

1)部署于交通云環(huán)境下的應(yīng)用系統(tǒng)應(yīng)指定管理用戶對系統(tǒng)用戶進行管理，配置用戶對文件、

數(shù)據(jù)庫表等客體的訪問控制策略，如查看、查詢、增加、刪除或修改等權(quán)限；

2)應(yīng)用系統(tǒng)采取編碼級措施，對SQL注入、跨站、文件上傳漏洞、越權(quán)訪問、敏感信息泄露

等攻擊進行防護。

b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

1)訪問控制的粒度需達到主體為用戶和進程級，客體為文件、數(shù)據(jù)庫表級；

2)訪問控制功能正常，覆蓋范圍包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

3)部署于交通云環(huán)境下應(yīng)用系統(tǒng)根據(jù)用戶權(quán)限進行嚴格的訪問控制，不存在越權(quán)訪問現(xiàn)象。

c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認賬戶的訪問權(quán)限；

1)交通云環(huán)境下應(yīng)用系統(tǒng)由授權(quán)管理員進行用戶權(quán)限管理；

2)應(yīng)用系統(tǒng)應(yīng)重命名正在使用的默認賬戶，如admin、manager、test等；

3)應(yīng)用系統(tǒng)應(yīng)及時刪除不被使用的賬戶，一般指應(yīng)用系統(tǒng)的公共賬戶或測試賬戶。

d)應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)根據(jù)用戶的角色進行詳細的權(quán)限劃分；

2)應(yīng)用系統(tǒng)應(yīng)根據(jù)最小原則進行授權(quán)，并在各用戶間形成相互制約關(guān)系，如分配系統(tǒng)管理員、

安全管理員、安全審計員，錄入與審核分離，操作與監(jiān)督分離等。

6.1.3安全審計（G3）

本項要求包括：

a)應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)提供覆蓋到每個用戶的安全審計功能；

2)安全審計范圍包括應(yīng)用系統(tǒng)定義的重要安全事件（如包括帳戶建立、用戶權(quán)限分配、重要

業(yè)務(wù)數(shù)據(jù)的增加修改刪除操作、用戶身份鑒別失敗、退出等行為）。

b)應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；

1)審計進程與系統(tǒng)主進程為同一進程，無法單獨中斷；

2)通過應(yīng)用系統(tǒng)無法刪除、修改或覆蓋審計記錄；

3)審計記錄每天定時備份至日志服務(wù)器。

c)審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；

1)審計記錄至少包括事件發(fā)生的日期和時間、觸發(fā)事件的主體（如用戶名、IP地址等）與

客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。

d)應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)能夠?qū)徲嬘涗涍M行統(tǒng)計、查詢等分析，能根據(jù)需要生成審計報

表；

2)通過審計平臺進行審計記錄的統(tǒng)計、查詢、分析及生成審計報表。

6.1.4剩余信息保護（S3）

本項要求包括：

6

DB21/T2897.1—2017

a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信

息是存放在何種存儲介質(zhì)中；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)具有清除用戶鑒別信息的功能；

2)正常退出和非強制關(guān)閉后，應(yīng)用系統(tǒng)和操作系統(tǒng)臨時文件等均無殘留的用戶鑒別信息。

b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶

前得到完全清除。

1)正常退出和非強制關(guān)閉后，用戶無法訪問其他用戶已經(jīng)釋放的文件、目錄和數(shù)據(jù)庫記錄等

資源中存儲的其他用戶數(shù)據(jù)。

6.1.5通信完整性（S3）

本項要求包括：

a)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

1)交通云環(huán)境下應(yīng)用系統(tǒng)采用MD5、SHA-1等密碼算法進行完整性保護或采用SSL等加密通

信方式。

6.1.6通信保密性（S3）

本項要求包括：

a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；

1)利用密碼技術(shù)進行會話初始化驗證（SSL、SSH等）。

b)應(yīng)對通信過程中的整個報文或會話過程進行加密。

1)對通信過程中的整個報文或會話過程進行加密。

6.1.7抗抵賴（G3）

本項要求包括：

a)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)采用數(shù)字簽名等非對稱加密技術(shù)，保證傳輸?shù)臄?shù)據(jù)是由確定的用

戶發(fā)送。

b)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。

1)交通云環(huán)境下應(yīng)用系統(tǒng)應(yīng)采用數(shù)字簽名等非對稱加密技術(shù)，保證傳輸?shù)臄?shù)據(jù)是由指定的用

戶接收。

6.1.8軟件容錯（A3）

本項要求包括：

a)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符

合系統(tǒng)設(shè)定要求；

1)交通云環(huán)境下應(yīng)用系統(tǒng)在數(shù)據(jù)輸入界面提供數(shù)據(jù)有效性檢驗功能（如：數(shù)據(jù)格式、數(shù)據(jù)長

度、是否為空等）。

b)應(yīng)提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。

1)交通云環(huán)境下應(yīng)用系統(tǒng)采用雙機熱備、集群等高可用模式部署；

2)應(yīng)用系統(tǒng)提供自動保護功能（如守護進程重啟故障中斷的服務(wù)進程等），確保能夠自動保

護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。

6.1.9資源控制（A3）

7

DB21/T2897.1—2017

本項要求包括：

a)當應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

1)用戶在登錄應(yīng)用系統(tǒng)后在30分鐘內(nèi)未執(zhí)行任何操作，應(yīng)自動退出系統(tǒng)，超時時間可以手

工設(shè)置。

b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

c)應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進行限制；

1)交通云環(huán)境下應(yīng)用系統(tǒng)對單個帳戶的多重并發(fā)會話進行限制，禁止同一用戶同時登錄系

統(tǒng)。

d)應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；

e)應(yīng)能夠?qū)σ粋€訪問賬戶或一個請求進程占用的資源分配最大限額和最小限額；

f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；

1)能夠?qū)ο到y(tǒng)服務(wù)水平進行檢測；

2)達到設(shè)置閾值時能夠進行報警。

g)應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問賬戶或請求進程的優(yōu)先級，根

據(jù)優(yōu)先級分配系統(tǒng)資源。

6.2數(shù)據(jù)安全及備份恢復(fù)

6.2.1數(shù)據(jù)完整性（S3）

本項要求包括：

a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢

測到完整性錯誤時采取必要的恢復(fù)措施；

1)數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中具有

數(shù)據(jù)完整性檢測功能；

2)在檢測到完整性錯誤時采取必要的恢復(fù)措施。

b)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢

測到完整性錯誤時采取必要的恢復(fù)措施。

1)數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中具有

數(shù)據(jù)完整性檢測功能；

2）在檢測到完整性錯誤時采取必要的恢復(fù)措施。

6.2.2數(shù)據(jù)保密性（S3）

本項要求包括：

a)應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

1)交通云環(huán)境下應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采用加密、數(shù)字證書或

其他有效措施實現(xiàn)傳輸保密性。

b)應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。

1)交通云環(huán)境下應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采用加密、數(shù)字證書或

其他有效措施實現(xiàn)存儲保密性。

6.2.3備份和恢復(fù)（A3）

本項要求包括：

a)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天1次，備份介質(zhì)場外存放；

1)數(shù)據(jù)庫管理系統(tǒng)、主要應(yīng)用系統(tǒng)等業(yè)務(wù)數(shù)據(jù)提供本地數(shù)據(jù)備份和恢復(fù)的功能；

8

DB21/T2897.1—2017

2)備份恢復(fù)策略配置正確，備份記錄與備份策略一致，重要業(yè)務(wù)數(shù)據(jù)，系統(tǒng)配置文件數(shù)據(jù)等

關(guān)鍵數(shù)據(jù)，每天1次完全備份，系統(tǒng)鏡像文件等其他數(shù)據(jù)每次變更時應(yīng)進行差量備份；

3)備份介質(zhì)場外存放，備份數(shù)據(jù)至少存放6個月。

b)應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；

1)提供數(shù)據(jù)異地備份的場地；

2)定義與應(yīng)用系統(tǒng)相關(guān)的關(guān)鍵數(shù)據(jù)；

3)利用通信網(wǎng)絡(luò)定時批量傳送至備用場地，備份數(shù)據(jù)至少存放6個月。

c)應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；

d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

1)交通云環(huán)境下主要的服務(wù)器和數(shù)據(jù)庫系統(tǒng)采取雙機熱備、集群的模式部署，在發(fā)生硬件、

軟件等故障時，可以實現(xiàn)自動或快速的手動切換。

9

DB21/T2897.1—2017

參考文獻

GB/T22239.1信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求第1部分：通用安全要求

_________________________________

10

DB21/T2897.1—2017

目次

前言.........................................................