【正文】 ..................................................... 24 開發(fā)日志審核管理規(guī)范 ............................................................................................................................. 25 防御后門代碼或隱藏通道相關(guān)規(guī)范 .................................................................................................... 25 系統(tǒng)測試階段安全規(guī)范 .......................................................... 27 錯誤 !文檔中沒有指定樣式的文字。 II 應(yīng)用系統(tǒng)的安全性檢測規(guī)范 ..................................................................................................................... 27 控制測試環(huán)境 .............................................................................................................................................. 29 為測試使用真實的數(shù)據(jù) ............................................................................................................................. 29 在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進行測試 ......................................................................................................... 29 應(yīng)用系統(tǒng)安全質(zhì)量鑒定 ............................................................................................................................. 30 系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范 .....................................................31 新系統(tǒng)的培訓(xùn) .............................................................................................................................................. 31 撰寫新系統(tǒng)和系統(tǒng)改進的文檔 ................................................................................................................. 31 應(yīng)用系統(tǒng)開發(fā)外包安全控制 .......................................................32 附錄 1 參考文獻 ................................................................................................. 33 《《 應(yīng)應(yīng) 用用 系系 統(tǒng)統(tǒng) 開開 發(fā)發(fā) 安安 全全 管管 理理 通通 則則 》》 概述 信息系統(tǒng)的許多的安全控制或者是安全性是通過系統(tǒng)的開發(fā)設(shè)計予以實現(xiàn)的。因此如果在系統(tǒng)的開發(fā)設(shè)計階段沒有對系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會存在許多先天不足，系統(tǒng)就會漏洞百出。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開發(fā)之前就應(yīng)當(dāng)對系統(tǒng)的安全要求有所確認，并作為開發(fā)設(shè)計的階段的基礎(chǔ)予以落實。 本規(guī)范主要規(guī)定了在系統(tǒng)開發(fā)的各個階段需要的各種安全規(guī)范，從可行性分析需求分析階段開始，到設(shè)計階段，再到開發(fā)階段和維護階段以及最后的文檔階段的系統(tǒng)開發(fā)的各個階段進行闡述。 將不同階段下需要注意的安全問題和相關(guān)的安全規(guī)范進一步進行描述和規(guī)定。 目標(biāo) 本規(guī)范的目標(biāo)為： 保護應(yīng)用系統(tǒng)開發(fā)過程中的安全。具體地說就是保護應(yīng)用系統(tǒng)開發(fā)過程中免受未經(jīng)授權(quán)的訪問和更改，保護系統(tǒng)開發(fā)中系統(tǒng)軟件和信息的安全，確保開發(fā)項目的順利正確的實施并對開發(fā)環(huán)境進行嚴格的控制。同時確保應(yīng)用系統(tǒng)開發(fā)外包中的各項安全。 從而進一步保障 x 業(yè)務(wù)的持續(xù)運營，保護 x 信息資產(chǎn)安全，即保護軟件及信息的完整性，維護信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備 ，降低系統(tǒng)故障風(fēng)險。 總而言之，要防止 對 x 經(jīng)營環(huán)境及信息的未經(jīng)授權(quán)存取、破壞或干擾；防止中國信息資產(chǎn)受損及企業(yè)運營受影響；防止信息及信息處理設(shè)備泄露及被偷竊。 錯誤 !文檔中沒有指定樣式的文字。 4 規(guī)范的使用范圍 該套規(guī)范適用的范圍包括了 整個應(yīng)用系統(tǒng)開發(fā)過程中的安全 。包括了系統(tǒng)開發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計階段的安全，系統(tǒng)開發(fā)階段的安全，系統(tǒng)測試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開發(fā)外包的安全規(guī)范。 主要規(guī)定了應(yīng)用系統(tǒng)開發(fā)過程的安全保密，軟件的質(zhì)量的要求，系統(tǒng)和業(yè)務(wù)需求的符合性，保證敏感信息的安全，系統(tǒng)本身的穩(wěn)定性和兼容性 問題。 規(guī)范引用的文件或標(biāo)準(zhǔn) 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 1. 《建筑設(shè)計防火規(guī)范》（ GBJ1687） 2. 《高層民用建筑設(shè)計防火規(guī)范》（ GB5004597） 3. 《建筑內(nèi)部裝修設(shè)計防火規(guī)范》（ GB50222_95） 4. 《建筑防雷設(shè)計規(guī)范》（ GB50057） 錯誤 !文檔中沒有指定樣式的文字。 6 術(shù)語和定義 應(yīng)用系統(tǒng)開發(fā)總體原則 應(yīng)用系統(tǒng)的開發(fā)應(yīng)當(dāng)遵循一系列的總體原則，以確保開發(fā)過程中的安全。其中包括： a) 系統(tǒng)開發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。需要領(lǐng)導(dǎo)層組織開發(fā)力量 ，協(xié)調(diào)各方關(guān)系并在開發(fā)的過程中提供決策性的意見和建議。 b) 系統(tǒng)開發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進性而忽略了系統(tǒng)的實用性。 系統(tǒng)的開發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。 c) 開發(fā)的方法和管理必須規(guī)范化、合理化、制度化。只有采用了規(guī)范化合理化制度化的開發(fā)管理方法，才能確保開發(fā)的質(zhì)量和進度。 d) 保證開發(fā)的進度和按時完成。確保開發(fā)工作及時、有效且高質(zhì)量的完成。 e) 系統(tǒng)開發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。 f) 開發(fā)人員安全意識的提高和加強。確保機密信息和關(guān)鍵技術(shù)不會泄漏，特別是泄漏到競爭 對手的手中，將會對公司的競爭力產(chǎn)生極大的影響。 g) 充分利用現(xiàn)有的資源。 錯誤 !文檔中沒有指定樣式的文字。 8 系統(tǒng)需求收集和分析階段安全規(guī)范 可行性研究分析 對于應(yīng)用系統(tǒng)開發(fā)項目需要進行一定的可行性分析，確認在開發(fā)工作具備了的相當(dāng)資源和條件，并且有能力滿足業(yè)務(wù)上的需求的情況下才能開展，切忌盲目開發(fā)。 既浪費了資源，又浪費了時間。 可行性研究可以從技術(shù)方面，需求方面，投入方面和影響方面進行考慮： 技術(shù)可行性分析 根據(jù)業(yè)務(wù)上提出的需求，從技術(shù)開發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達到業(yè)務(wù)上要求的系統(tǒng)功能。通?？梢詮娜齻€方面進行分析： a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開發(fā)隊伍是否有足夠的軟件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù)，或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。 b) 計算機軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)相應(yīng)的系統(tǒng)的要求。 c) 管理能力分析，指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，是否足夠系統(tǒng)開發(fā)的要求。 需求可行性分析 系統(tǒng)的開發(fā)來源于業(yè)務(wù)上的需求，因此需要對該需求進行可行性分析，以判斷需求是否明確，是否符合實際而不是天馬行空式的空談，是否是在一定的時間范圍內(nèi)可實現(xiàn)的。 投資可行性 分析 根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實現(xiàn)，確認投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。 影響可行性分析 所謂的影響是指社會影響，比如系統(tǒng)開發(fā)是否符合法律法規(guī)上的要求，是否和相關(guān)的管理制度或行業(yè)標(biāo)準(zhǔn)相抵觸，是否不符合人文或道德上的約束等等。 錯誤 !文檔中沒有指定樣式的文字。 10 開發(fā)人員安全管理機制 系統(tǒng)開發(fā)人員職責(zé)分配管理規(guī)范 在系統(tǒng)開發(fā)的過程中，應(yīng)當(dāng)明確不同的人員的身份、職責(zé)。 我們建議在系統(tǒng)開發(fā)過程中具體分以下的三種角色： ? 項目負責(zé)人員：確保在整個系統(tǒng)開發(fā)的各個階段都實施了相關(guān)的安全措施，同時在整個系統(tǒng)開發(fā)的過程中負責(zé)整個項目的開發(fā)安全管理。 ? 系統(tǒng)開發(fā)人員：根據(jù)業(yè)務(wù)需求確保開發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求，同時滿足系統(tǒng)質(zhì)量上和進度上的要求。 ? 系統(tǒng)審核人員：對整個開發(fā)的過程進行審核和監(jiān)督，確保開發(fā)的質(zhì)量和開發(fā)的安全。 開發(fā)人員授權(quán)管理規(guī)范 a) 根據(jù)該員工在整個開發(fā)項目中所負責(zé)的開發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和承擔(dān)的責(zé)任。 b) 開發(fā)人員必須負責(zé)其開發(fā)內(nèi)容的保密性，不得私自將開發(fā)的相關(guān)信息泄漏出去，即使是家人或開發(fā)團隊中的其他開發(fā)人員也不得泄漏。但開發(fā)人員有責(zé)任將開發(fā)的相關(guān)信息告訴項目的負責(zé)人 員或開發(fā)小組的負責(zé)人員。 c) 以書面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。必須嚴格規(guī)定在為企業(yè)工作期間的所有和工作相關(guān)的開發(fā)成果的所屬權(quán)都歸企業(yè)所有。 d) 根據(jù)員工權(quán)限和責(zé)任的大小確認是否需要簽署相關(guān)的保密協(xié)議。 e) 在日常工作中記錄員工的開發(fā)相關(guān)的日志信息。 f) 員工一旦離職或調(diào)動崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。 開發(fā)人員必須訓(xùn)練開發(fā)安全代碼的能力 a) 開發(fā)人員應(yīng)該有能力防止開發(fā)過程中的緩沖器溢出錯誤 “buffer over flow attacks” 。 b) 在整個開發(fā)的過程中必須完整的持續(xù)的進行代碼錯誤處理所規(guī)定 的流程。 c) 錯誤問題報告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細節(jié)問題。 d) 應(yīng)該對重要的敏感信息進行加密的保護。 e) 應(yīng)該使用一些相對復(fù)雜的加密和密鑰生成機制。 f) 應(yīng)該單獨編寫安全性設(shè)計說明概要 分離系統(tǒng)開發(fā)和運作維護 管理層必須要確保應(yīng)用系統(tǒng)開發(fā)和應(yīng)用系統(tǒng)運作管理從組織人事和權(quán)限職責(zé)上必須分開。 盡管只有大型企業(yè)才有獨立的系統(tǒng)運行和系統(tǒng)開發(fā)部門，但是把這些功能分開毫無疑問是非常必要的。職責(zé)的分開對于大多數(shù)信息安全保護來說至關(guān)重要。 ?a) IT 人員可以現(xiàn)場修復(fù)或者更改偶然的或者是惡意的數(shù)據(jù)和軟件的問題。 b) 測試代碼中往往包 含調(diào)試或者查錯代碼，大大加大了主機系統(tǒng)的性能負擔(dān)。 c) 開發(fā)人員常常具有很高的權(quán)限，這在運行系統(tǒng)中會產(chǎn)生很大的風(fēng)險，所以是不可接收的。 建立系統(tǒng)開發(fā)安全需求分析報告 a) 安全需求計劃應(yīng)該能夠達到期望的安全安全水平 。其中包括了成本的預(yù)估，完成各個安全相關(guān)流程所需的時間。 b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開發(fā)費用、開發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。應(yīng)用系統(tǒng)的任何一次改進或更新都和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。 c) 一個安全開發(fā)需 求分析計劃應(yīng)該由開發(fā)項目經(jīng)理和公司內(nèi)部安全小組共同商議決定。 d) 確保每一個應(yīng)用系統(tǒng)的用戶都意識到系統(tǒng)的更新或改進都和他們本身密切相關(guān)，所有的更新或改動的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。 e) 系統(tǒng)的每一次更新或改進都必須認真的對待，必須進行詳細的需求定義、需求分析以及測試評估以保證不會對業(yè)務(wù)造成任何的影響。 f) 業(yè)務(wù)需求是系統(tǒng)更新和改動的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對不允許在業(yè)務(wù)需求未經(jīng)過業(yè)務(wù)部門領(lǐng)導(dǎo)和主要負責(zé)人員的認可的情況下，盲目的進行開發(fā)工作。 錯誤 !文檔中沒有指定樣式的文字。 12 系統(tǒng)設(shè)計階段的安全規(guī) 范 單點訪問控制，無后門。 任