【正文】 ..................................................333 / 47《《 應(yīng)用系統(tǒng)開發(fā)安全管理通則應(yīng)用系統(tǒng)開發(fā)安全管理通則 》》 概述信息系統(tǒng)的許多的安全控制或者是安全性是通過系統(tǒng)的開發(fā)設(shè)計予以實現(xiàn)的。因此如果在系統(tǒng)的開發(fā)設(shè)計階段沒有對系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會存在許多先天不足，系統(tǒng)就會漏洞百出。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開發(fā)之前就應(yīng)當對系統(tǒng)的安全要求有所確認，并作為開發(fā)設(shè)計的階段的基礎(chǔ)予以落實。本規(guī)范主要規(guī)定了在系統(tǒng)開發(fā)的各個階段需要的各種安全規(guī)范，從可行性分析需求分析階段開始，到設(shè)計階段，再到開發(fā)階段和維護階段以及最后的文檔階段的系統(tǒng)開發(fā)的各個階段進行闡述。將不同階段下需要注意的安全問題和相關(guān)的安全規(guī)范進一步進行描述和規(guī)定。 目標本規(guī)范的目標為：保護應(yīng)用系統(tǒng)開發(fā)過程中的安全。具體地說就是保護應(yīng)用系統(tǒng)開發(fā)過程中免受未經(jīng)授權(quán)的訪問和更改，保護系統(tǒng)開發(fā)中系統(tǒng)軟件和信息的安全，確保開發(fā)項目的順利正確的實施并對開發(fā)環(huán)境進行嚴格的控制。同時確保應(yīng)用系統(tǒng)開發(fā)外包中的各項安全。從而進一步保障中國石油業(yè)務(wù)的持續(xù)運營，保護中國石油信息資產(chǎn)安全，即保護軟件及信息的完整性，維護信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備，降低系統(tǒng)故障風(fēng)險?？偠灾?，要防止對中國石油經(jīng)營環(huán)境及信息的未經(jīng)授權(quán)存取、破壞或干擾；防止中國信息資產(chǎn)受損及企業(yè)運營受影響；防止信息及信息處理設(shè)備泄露及被偷竊。 規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個應(yīng)用系統(tǒng)開發(fā)過程中的安全。包括了系統(tǒng)開發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計階段的安全，系統(tǒng)開發(fā)階段的安全，系統(tǒng)測試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開發(fā)外包的安全規(guī)范。主要規(guī)定了應(yīng)用系統(tǒng)開發(fā)過程的安全保密，軟件的質(zhì)量的要求，系統(tǒng)和業(yè)務(wù)需求的符合性，保證敏感信息的安全，系統(tǒng)本身的穩(wěn)定性和兼容性問題。5 / 47 規(guī)范引用的文件或標準下列文件中的條款通過本標準的引用而成為本標準的條款。凡是不注日期的引用文件，其最新版本適用于本標準。1. 《建筑設(shè)計防火規(guī)范》 （GBJ1687）2. 《高層民用建筑設(shè)計防火規(guī)范》 （GB5004597）3. 《建筑內(nèi)部裝修設(shè)計防火規(guī)范》 （GB50222_95）4. 《建筑防雷設(shè)計規(guī)范》 （GB50057） 術(shù)語和定義7 / 47 應(yīng)用系統(tǒng)開發(fā)總體原則應(yīng)用系統(tǒng)的開發(fā)應(yīng)當遵循一系列的總體原則，以確保開發(fā)過程中的安全。其中包括：a) 系統(tǒng)開發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。需要領(lǐng)導(dǎo)層組織開發(fā)力量，協(xié)調(diào)各方關(guān)系并在開發(fā)的過程中提供決策性的意見和建議。b) 系統(tǒng)開發(fā)應(yīng)當從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進性而忽略了系統(tǒng)的實用性。系統(tǒng)的開發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。c) 開發(fā)的方法和管理必須規(guī)范化、合理化、制度化。只有采用了規(guī)范化合理化制度化的開發(fā)管理方法，才能確保開發(fā)的質(zhì)量和進度。d) 保證開發(fā)的進度和按時完成。確保開發(fā)工作及時、有效且高質(zhì)量的完成。e) 系統(tǒng)開發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。f) 開發(fā)人員安全意識的提高和加強。確保機密信息和關(guān)鍵技術(shù)不會泄漏，特別是泄漏到競爭對手的手中，將會對公司的競爭力產(chǎn)生極大的影響。g) 充分利用現(xiàn)有的資源。 系統(tǒng)需求收集和分析階段安全規(guī)范 可行性研究分析對于應(yīng)用系統(tǒng)開發(fā)項目需要進行一定的可行性分析，確認在開發(fā)工作具備了的相當資源和條件，并且有能力滿足業(yè)務(wù)上的需求的情況下才能開展，切忌盲目開發(fā)。既浪費了資源，又浪費了時間?？尚行匝芯靠梢詮募夹g(shù)方面，需求方面，投入方面和影響方面進行考慮： 技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求，從技術(shù)開發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達到業(yè)務(wù)上要求的系統(tǒng)功能。通?？梢詮娜齻€方面進行分析：a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開發(fā)隊伍是否有足夠的軟件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù)，或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。b) 計算機軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)相應(yīng)的系統(tǒng)的要求。c) 管理能力分析，指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標準化，是否足夠系統(tǒng)開發(fā)的要求。 需求可行性分析系統(tǒng)的開發(fā)來源于業(yè)務(wù)上的需求，因此需要對該需求進行可行性分析，以判斷需求是否明確，是否符合實際而不是天馬行空式的空談，是否是在一定的時間范圍內(nèi)可實現(xiàn)的。9 / 47 投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實現(xiàn)，確認投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。 影響可行性分析所謂的影響是指社會影響，比如系統(tǒng)開發(fā)是否符合法律法規(guī)上的要求，是否和相關(guān)的管理制度或行業(yè)標準相抵觸，是否不符合人文或道德上的約束等等。 開發(fā)人員安全管理機制 系統(tǒng)開發(fā)人員職責分配管理規(guī)范在系統(tǒng)開發(fā)的過程中，應(yīng)當明確不同的人員的身份、職責。我們建議在系統(tǒng)開發(fā)過程中具體分以下的三種角色：? 項目負責人員：確保在整個系統(tǒng)開發(fā)的各個階段都實施了相關(guān)的安全措施，同時在整個系統(tǒng)開發(fā)的過程中負責整個項目的開發(fā)安全管理。? 系統(tǒng)開發(fā)人員：根據(jù)業(yè)務(wù)需求確保開發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求，同時滿足系統(tǒng)質(zhì)量上和進度上的要求。? 系統(tǒng)審核人員：對整個開發(fā)的過程進行審核和監(jiān)督，確保開發(fā)的質(zhì)量和開發(fā)的安全。 開發(fā)人員授權(quán)管理規(guī)范a) 根據(jù)該員工在整個開發(fā)項目中所負責的開發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和承擔的責任。b) 開發(fā)人員必須負責其開發(fā)內(nèi)容的保密性，不得私自將開發(fā)的相關(guān)信息泄漏出去，即使是家人或開發(fā)團隊中的其他開發(fā)人員也不得泄漏。但開發(fā)人員有責任將開發(fā)的相關(guān)信息告訴項目的負責人員或開發(fā)小組的負責人員。c) 以書面的方式將員工的權(quán)限和相應(yīng)的責任提交給員工本人。必須嚴格規(guī)定在為企業(yè)工作期間的所有和工作相關(guān)的開發(fā)成果的所屬權(quán)都歸企業(yè)所有。d) 根據(jù)員工權(quán)限和責任的大小確認是否需要簽署相關(guān)的保密協(xié)議。e) 在日常工作中記錄員工的開發(fā)相關(guān)的日志信息。f) 員工一旦離職或調(diào)動崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。11 / 47 開發(fā)人員必須訓(xùn)練開發(fā)安全代碼的能力a) 開發(fā)人員應(yīng)該有能力防止開發(fā)過程中的緩沖器溢出錯誤“buffer over flow attacks” 。b) 在整個開發(fā)的過程中必須完整的持續(xù)的進行代碼錯誤處理所規(guī)定的流程。c) 錯誤問題報告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細節(jié)問題。d) 應(yīng)該對重要的敏感信息進行加密的保護。e) 應(yīng)該使用一些相對復(fù)雜的加密和密鑰生成機制。f) 應(yīng)該單獨編寫安全性設(shè)計說明概要 分離系統(tǒng)開發(fā)和運作維護管理層必須要確保應(yīng)用系統(tǒng)開發(fā)和應(yīng)用系統(tǒng)運作管理從組織人事和權(quán)限職責上必須分開。盡管只有大型企業(yè)才有獨立的系統(tǒng)運行和系統(tǒng)開發(fā)部門，但是把這些功能分開毫無疑問是非常必要的。職責的分開對于大多數(shù)信息安全保護來說至關(guān)重要。a) IT 人員可以現(xiàn)場修復(fù)或者更改偶然的或者是惡意的數(shù)據(jù)和軟件的問題。b) 測試代碼中往往包含調(diào)試或者查錯代碼，大大加大了主機系統(tǒng)的性能負擔。c) 開發(fā)人員常常具有很高的權(quán)限，這在運行系統(tǒng)中會產(chǎn)生很大的風(fēng)險，所以是不可接收的。 建立系統(tǒng)開發(fā)安全需求分析報告a) 安全需求計劃應(yīng)該能夠達到期望的安全安全水平。其中包括了成本的預(yù)估，完成各個安全相關(guān)流程所需的時間。b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開發(fā)費用、開發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。應(yīng)用系統(tǒng)的任何一次改進或更新都和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。c) 一個安全開發(fā)需求分析計劃應(yīng)該由開發(fā)項目經(jīng)理和公司內(nèi)部安全小組共同商議決定。d) 確保每一個應(yīng)用系統(tǒng)的用戶都意識到系統(tǒng)的更新或改進都和他們本身密切相關(guān)，所有的更新或改動的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。e) 系統(tǒng)的每一次更新或改進都必須認真的對待，必須進行詳細的需求定義、需求分析以及測試評估以保證不會對業(yè)務(wù)造成任何的影響。f) 業(yè)務(wù)需求是系統(tǒng)更新和改動的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對不允許在業(yè)務(wù)需求未經(jīng)過業(yè)務(wù)部門領(lǐng)導(dǎo)和主要負責人員的認可的情況下，盲目的進行開發(fā)工作。13 / 47 系統(tǒng)設(shè)計階段的安全規(guī)范 單點訪問控制，無后門。任何用戶如果希望訪問應(yīng)用系統(tǒng)中的某一個部分，則必須通過統(tǒng)一的且唯一的認證授權(quán)方式以及流程。 人員職責和權(quán)限的定義由于不是所有的人員對于某一個應(yīng)用系統(tǒng)都具有同樣的訪問或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責的用戶授權(quán)管理以確保每個用戶可以訪問到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。同樣的，也要確保每個用戶無法訪問其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。 確保敏感系統(tǒng)的安全性通過將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲任何信息敏感的數(shù)據(jù)。 確保訪問層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時也要考慮模塊與模塊之間的通訊的安全性。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機和客戶端之間通訊的安全性。服務(wù)器和服務(wù)器間通訊的安全性，本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。 確保日志管理機制健全要求建立可以根據(jù)情況自由設(shè)置的日志管理機制，也就是說日志紀錄的范圍和詳細程度可以根據(jù)需求自行定制，且可以實現(xiàn)在應(yīng)用系統(tǒng)使用過程中進行日志的定制和記錄。保留所有系統(tǒng)開發(fā)相關(guān)的程序庫的更新審核紀錄。 新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。容量規(guī)劃的具體內(nèi)容可能有所不同，但一般需要考慮以下方面：a) 系統(tǒng)的預(yù)期存儲容量和在給定的周期里面獲取生成和存儲的數(shù)據(jù)量。b) 在線進程的數(shù)量和估計可能的占用資料c) 對于系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時間和性能，即端對端系統(tǒng)d) 系統(tǒng)彈性要求和設(shè)計使用率峰值，槽值和平均值等e) 安全措施例如加密解密數(shù)據(jù)對系統(tǒng)的影響。f) 24x7 運作要求和可接受的系統(tǒng)宕機次數(shù)（維護或者設(shè)備更新導(dǎo)致的必須性宕機）規(guī)劃容量的時候關(guān)于系統(tǒng)使用的信息了解得越多越好。近來，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長，容量規(guī)劃變動效果不是非常顯著，有時甚至毫無用處。原因在于很難估計實際的負載。在容量估計的時候需要盡量將情況設(shè)想得復(fù)雜一些。15 / 47 系統(tǒng)開發(fā)階段安全規(guī)范 系統(tǒng)開發(fā)語言安全規(guī)范程序員可以使用很多指導(dǎo)規(guī)范來防止應(yīng)用程序中的普通的安全問題。其中許多可以應(yīng)用于任何一個編程語言，但某些是針對特定的語言的。特定語言的指導(dǎo)規(guī)范主要集中在Perl， Java 和 C/C++語言。大多數(shù)情況下，一般的錯誤可以通過下功夫或者對基本的問題有很好的理解來避免。這些本可以避免的錯誤常常會導(dǎo)致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。 通用規(guī)范在客戶機/服務(wù)器環(huán)境下，進行服務(wù)端的驗證而不是客戶端的驗證（例如基于 Javascript 的驗證）。通過在客戶端和服務(wù)器之間放置一個代理服務(wù)器，可以很容易