【正文】 利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。集團(tuán)公司網(wǎng)絡(luò)（CNPCNet） 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。為區(qū)分中國石油的地區(qū)公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。本規(guī)范由中國石油天然氣股份有限公司科技與信息管理部歸口管理解釋。3） 全文以信息安全生命周期的方法論作為基本指導(dǎo)， 《規(guī)范》和《標(biāo)準(zhǔn)》的內(nèi)容基本都根據(jù)預(yù)防——〉保護(hù)——〉檢測跟蹤——〉響應(yīng)恢復(fù)的理論基礎(chǔ)行文。圖中帶陰影的方框中帶書名號(hào)的為單獨(dú)成冊的部分，共有 13 本《規(guī)范》和 1 本《通用標(biāo)準(zhǔn)》 。中國石油信息安全標(biāo)準(zhǔn)編號(hào)：中國石油天然氣股份有限公司應(yīng) 用 系 統(tǒng) 開 發(fā) 安 全 管 理 通 則中國石油天然股份有限公司前 言隨著中國石油天然氣股份有限公司（以下簡稱“中國石油” ）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到中國石油的廣泛關(guān)注，……………………本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參照國際、國內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國石油自身的應(yīng)用特點(diǎn)，制定的適合于中國石油信息安全的標(biāo)準(zhǔn)與規(guī)范。2） 對于 13 個(gè)《規(guī)范》中具有一定共性的內(nèi)容我們整理出了 7 個(gè)《標(biāo)準(zhǔn)》橫向貫穿整個(gè)架構(gòu)，這 7 個(gè)《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。本通則討論了在企業(yè)內(nèi)部自行開發(fā)一套應(yīng)用系統(tǒng)或外包開發(fā)所必須考慮到的幾個(gè)步驟，開發(fā)應(yīng)用系統(tǒng)的安全性考慮就好像建設(shè)樓房一樣，擁有越堅(jiān)固的地基樓房越是穩(wěn)定，因此應(yīng)用系統(tǒng)在開發(fā)階段打好堅(jiān)實(shí)的安全基礎(chǔ)，那么以后的日常維護(hù)工作就會(huì)很輕松。起草部門：中國石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。中國石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可以是專線，也可以是撥號(hào)線路。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。專線與撥號(hào)線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。V / 47最后一公里問題 建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連接問題。目 錄 概述 .....................................................3 目標(biāo) .....................................................3 規(guī)范的使用范圍 ...........................................4 規(guī)范引用的文件或標(biāo)準(zhǔn) .....................................5 術(shù)語和定義 ...............................................6 應(yīng)用系統(tǒng)開發(fā)總體原則 .....................................7 系統(tǒng)需求收集和分析階段安全規(guī)范 ...........................8 可行性研究分析 ................................................................................8 開發(fā)人員安全管理機(jī)制 ..................................................................10 建立系統(tǒng)開發(fā)安全需求分析報(bào)告 ..................................................11 系統(tǒng)設(shè)計(jì)階段的安全規(guī)范 ..................................12 單點(diǎn)訪問控制，無后門。本規(guī)范主要規(guī)定了在系統(tǒng)開發(fā)的各個(gè)階段需要的各種安全規(guī)范，從可行性分析需求分析階段開始，到設(shè)計(jì)階段，再到開發(fā)階段和維護(hù)階段以及最后的文檔階段的系統(tǒng)開發(fā)的各個(gè)階段進(jìn)行闡述。同時(shí)確保應(yīng)用系統(tǒng)開發(fā)外包中的各項(xiàng)安全。包括了系統(tǒng)開發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安全，系統(tǒng)開發(fā)階段的安全，系統(tǒng)測試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開發(fā)外包的安全規(guī)范。1. 《建筑設(shè)計(jì)防火規(guī)范》 （GBJ1687）2. 《高層民用建筑設(shè)計(jì)防火規(guī)范》 （GB5004597）3. 《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》 （GB50222_95）4. 《建筑防雷設(shè)計(jì)規(guī)范》 （GB50057） 術(shù)語和定義7 / 47 應(yīng)用系統(tǒng)開發(fā)總體原則應(yīng)用系統(tǒng)的開發(fā)應(yīng)當(dāng)遵循一系列的總體原則，以確保開發(fā)過程中的安全。系統(tǒng)的開發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。確保開發(fā)工作及時(shí)、有效且高質(zhì)量的完成。g) 充分利用現(xiàn)有的資源。通?？梢詮娜齻€(gè)方面進(jìn)行分析：a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開發(fā)隊(duì)伍是否有足夠的軟件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù)，或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。9 / 47 投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。? 系統(tǒng)開發(fā)人員：根據(jù)業(yè)務(wù)需求確保開發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求，同時(shí)滿足系統(tǒng)質(zhì)量上和進(jìn)度上的要求。但開發(fā)人員有責(zé)任將開發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開發(fā)小組的負(fù)責(zé)人員。e) 在日常工作中記錄員工的開發(fā)相關(guān)的日志信息。c) 錯(cuò)誤問題報(bào)告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細(xì)節(jié)問題。盡管只有大型企業(yè)才有獨(dú)立的系統(tǒng)運(yùn)行和系統(tǒng)開發(fā)部門，但是把這些功能分開毫無疑問是非常必要的。c) 開發(fā)人員常常具有很高的權(quán)限，這在運(yùn)行系統(tǒng)中會(huì)產(chǎn)生很大的風(fēng)險(xiǎn)，所以是不可接收的。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開發(fā)費(fèi)用、開發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。e) 系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真的對待，必須進(jìn)行詳細(xì)的需求定義、需求分析以及測試評估以保證不會(huì)對業(yè)務(wù)造成任何的影響。 人員職責(zé)和權(quán)限的定義由于不是所有的人員對于某一個(gè)應(yīng)用系統(tǒng)都具有同樣的訪問或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個(gè)用戶可以訪問到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶端之間通訊的安全性。 新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。近來，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長，容量規(guī)劃變動(dòng)效果不是非常顯著，有時(shí)甚至毫無用處。其中許多可以應(yīng)用于任何一個(gè)編程語言，但某些是針對特定的語言的。 通用規(guī)范在客戶機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證（例如基于 Javascript 的驗(yàn)證）。如果輸入中包含無效的字符，應(yīng)用程序應(yīng)該返回錯(cuò)誤頁面并說明輸入中包含無效字符。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。使用程序以外的嵌入在代碼中的 SQL 語句調(diào)用特別危險(xiǎn)。注釋代碼是用來調(diào)試或者測試的，它們不是最終應(yīng)用程序的一部分。一般的錯(cuò)誤信息的例子是“發(fā)生了錯(cuò)誤（代碼 1234） ，請您與系統(tǒng)維護(hù)部門聯(lián)系。password=PASSWORDamp。 Perl 語言安全規(guī)范多年以來，Perl 已經(jīng)成為用于系統(tǒng)管理和 Web CGI 開發(fā)的功能最強(qiáng)的編程語言之一（幾乎可以使用 Perl 做任何功能的程序）。 驗(yàn)證Perl 版本 包含一個(gè)叫做 Taint Checking 的數(shù)據(jù)驗(yàn)證措施。例如你可以在 Perl 腳本的第一行這樣加入“T”：!usr/bin/perl5 T Tainted 數(shù)據(jù)包括命令行參數(shù)、環(huán)境變量和來自文件的數(shù)據(jù)。Taint 驗(yàn)證對于環(huán)境比較敏感，這就可能會(huì)導(dǎo)致大多數(shù)程序員不愿使用它，但是只要可能的話，應(yīng)該使用 taint 驗(yàn)證，特別是代碼執(zhí)行其他程序功能時(shí)（例如在 CGI 腳本的情況下）。每個(gè)安全對象對于運(yùn)行的每塊代碼建立了一個(gè)限制的環(huán)境。 (w)使用w 參數(shù)可以在 Perl 解釋腳本時(shí)顯示所有的警告信息?？梢栽?taint 驗(yàn)證時(shí)在第一行這樣使用 w 參數(shù)：!usr/bin/perl5 Tw Java 語言安全規(guī)范自從 1995 年發(fā)布以來，Java 成為簡單或者復(fù)雜網(wǎng)絡(luò)應(yīng)用的有效編程語言。 封裝Java 中，如果沒有使用訪問標(biāo)識(shí)符(access modifier(private、protected 或者 public))來聲明類、方法和屬性，那么它的默認(rèn)訪問范圍是包，并且同一包中的所有類都能訪問它。accessClassInPackage defineClassInPackage 所有標(biāo)準(zhǔn)庫中的類都默認(rèn)是可以公共訪問的（除了由“sun”開頭的類）。在 中的值是字符型的，“sun.”將保護(hù)“”等包，但是不會(huì)對 “sun”或者“sunshine”等包進(jìn)行保護(hù)。為了起用密封(sealing)，必須在建立 JAR 文件時(shí)這樣設(shè)置密封(seal)參數(shù)：Sealed: true 使用密封(sealing)的 JAR 文件比權(quán)限 (permission) 設(shè)置更好，因?yàn)樗恍枰惭b安全管理器(security manager)?？梢杂谜呶募韵鄬δK化的方式控制文件系統(tǒng)和網(wǎng)絡(luò)的訪問。例如如果不謹(jǐn)慎使用的話，其大多數(shù)標(biāo)準(zhǔn)的字符串庫函數(shù)有可能被用來進(jìn)行緩沖區(qū)攻擊或者格式字符串攻擊。下面是應(yīng)該避免使用的函數(shù)。這些替換方程強(qiáng)制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類型。例如，以下的代碼就是不安全的：snprintf(buffer, sizeof(buffer), string) 這種情況下，可以在字符串中插入格式說明符來操縱內(nèi)存的棧，來寫入攻擊者的數(shù)據(jù)（這些數(shù)據(jù)中包含小的程序代碼，并可由處理器接著執(zhí)行）。首先攻擊者必須能獲得內(nèi)存棧的內(nèi)容情況（或者從應(yīng)用導(dǎo)出或者使用調(diào)試器），然好必須知道如何精確訪問特定的內(nèi)存空間來操縱棧中的變量。 system(buffer)。而 exec()函數(shù)只保證第一個(gè)參數(shù)被執(zhí)行：execl(usr/bin/emacs, usr/bin/emacs, filename, NULL)。這會(huì)導(dǎo)致不可預(yù)測的結(jié)果。另外權(quán)限低的程序也存在安全風(fēng)險(xiǎn)，因?yàn)楣粽呖赡軙?huì)等待有較高權(quán)限的用戶執(zhí)行那個(gè)程序(例如 root)，然后進(jìn)行攻擊。它幾乎可以建立原子級的操作。如果該文件損壞了，那么這種情況是合理的，但如果該文件存在只是無法訪問，那么這就是一個(gè)大問題。這些錯(cuò)誤可能會(huì)對整個(gè)系統(tǒng)導(dǎo)致重大的安全問題。我們比較了每個(gè)工具的測試結(jié)果，并且仔細(xì)檢查了以下的屬性：a) 靈活性 － 有多種選項(xiàng)并能掃描多種類型的代碼的工具得分會(huì)較高b) 正確性 － 主要目標(biāo)是發(fā)現(xiàn)正確的安全問題，并且不會(huì)出現(xiàn)大量的誤報(bào)信息，或者更糟的是沒有發(fā)現(xiàn)真正的錯(cuò)誤信息。每個(gè)工具在解析代碼上的速度可以忽略不計(jì)，所以沒有進(jìn)行比較（雖然這并不包括配置掃描的時(shí)間，而 MOPS在這方面相對于其他工具需要更多的時(shí)間）。sprintf(buffer, variable)。不過 Pscan 對于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當(dāng)精準(zhǔn)和快速的。 工具二：Flawfinder Flawfinde