DB14/T 2241-2020 应急管理信息化应急管理业务软件系统安全设计规范

ICS 13.100

C 78

DB14

山西省地方标准

DB 14/T 2241——2020

应急管理信息化 应急管理业务软件系统安全设计规范

2020-12-08发布2021-03-08实施

山西省市场监督管理局发 布

内容摘抄：

DB14/T 2241—2020
前 言
本文件按照GB/T1.1-2020 《标准化工作导则 第1部分∶标准化文件的结构和起草规则》的规则起草。
请注意本文件的某些内容可能涉及专利。

本文件的发布机构不承担识别专利的责任。

本文件由山西省应急管理厅提出并监督实施。

本文件由山西省安全生产标准化技术委员会归口。

本文件起草单位∶山西省安全生产科学研究院。
本文件主要起草人焦新华、陈泽宇、杨柯、王延辉、杨李根、刘艳、王刚、王洋、宋梅、张旭东、王波。

应急管理信息化 应急管理业务软件系统安全设计规范
1 范围
本文件规定了应急管理业务软件系统安全设计规范的术语和定义、基本内容、通用要求、研发管理以及安全运维等，本规范主要针对B/S架构。
本文件适用于指导山西省应急管理业务软件系统安全设计。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 30998-2014 信息技术 软件安全保障规范
3 术语和定义
下列术语和定义适用于本文件。

3.1
安全设计
系统在设计阶段开展的结构分析、专项防护及方案评审等一系列活动的总称。

3.2
安全策略
业务系统中制定一系列规则，实现安全目标的总称。

3.3
系统级资源
系统级资源包括∶文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件日志等。

3.4
前端
前端即网站前台部分，在浏览器上展现给用户浏览的网页。

3.5
后端
后端是负责与数据库的交互，实现相应的业务逻辑。

（略）

回滚操作
是程序或数据处理错误，将程序或数据恢复到上一次正确状态的行为。

3.16
CA认证
CA认证，即电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。数字证书的机构是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

3.17
RA认证
RA（Registration Authority ），是数字证书认证中心的证书发放、管理的延伸。主要负责证书申请者的信息录入、审核以及证书发放等工作，同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心正常运营不可缺少的一部分。
4 业务软件系统软件研发周期
软件安全开发涵盖了软件的整个生命周期。软件安全周期是软件从产生到发布的生命周期，参考图1，包括项目启动、需求分析、原型设计、需求设计、研发设计、开发阶段、测试阶段、系统发布八个阶段，相关阶段产物参见附录A。业务软件系统研发单位同时也应按照GB/T 30998-2014，对研发过程进行规范管理，并记录相关过程和结果。

投稿会员：怪难瘦