【正文】 行）。這些替換方程強(qiáng)制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類型。同時(shí)，也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。但是，由于其靈活性、快速和相對(duì)容易掌握，它是一個(gè)廣泛使用的編程語(yǔ)言。例如可以限制應(yīng)用程序只能修改名字是foo 的文件。 政策文件 Java 內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。 另一個(gè)方法是使用 JAR 密封 (sealing) 。為了保證一個(gè)包的安全性，必須修改 ${JAVA HOME}/jre/lib/security 文件夾中的 文件。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶控制時(shí)才起作用。它在設(shè)計(jì)時(shí)充分考慮了安全問(wèn)題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的“ sandbox”安全模型，以及在特定主機(jī)上限制應(yīng)用程序的活動(dòng)的安全管理器。警告可以對(duì)以下情況產(chǎn)生：只使用了一次的變量或者完全沒(méi)有使用過(guò)得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。這與 chroot 在一個(gè)進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個(gè)子目錄中運(yùn)行類似。 安全模塊 如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什么情況？例如用戶從網(wǎng)站上下載了一個(gè) ActiveX 控件，而它實(shí)際是一個(gè)特洛伊木馬 (Trojan horse)。如果腳本試圖通過(guò)不安全的方式來(lái)使用 tainted 數(shù)據(jù)會(huì)產(chǎn)生一個(gè)致命錯(cuò)誤（對(duì)這種情況稱為“不安全的依賴” (Insecure dependency)或者其他的說(shuō)法）。一般而言，程序員不能信任輸入腳本和程序的數(shù)據(jù)（叫做 Tainted 數(shù)據(jù) ），因?yàn)闊o(wú)法保證它不會(huì)產(chǎn)生危害（有意或者無(wú)意的）。另外，大多數(shù) CGI腳本有著比一般用戶更高的權(quán)限，導(dǎo)致它更容易受攻擊。攻擊者可以在攻擊應(yīng)用程序時(shí)使用 PATH 變量，例如試圖執(zhí)行一個(gè)任意的程序?！? URL 內(nèi)容 對(duì)于 web 應(yīng)用，不要在 URL 上暴露任何重要信息，例如密碼、服務(wù)器名稱、 IP地址或者文件系統(tǒng)路徑（暴露了 web 服務(wù)器的目錄結(jié)構(gòu)）。無(wú)論如何應(yīng)該在實(shí)際的環(huán)境中刪除它們來(lái)避免意外的執(zhí)行（一般注釋標(biāo)識(shí)被刪除后就無(wú)法激活休眠的代碼，但還是存在可能性的，所以強(qiáng)烈建議執(zhí)行這項(xiàng)工作）。難以防止攻擊者使用輸入域或者配置文件（由應(yīng)用程序載入）來(lái)執(zhí)行嵌入式的 SQL 攻擊。同時(shí)避免在環(huán)境變量中存放敏感數(shù)據(jù)（例如密碼）。這樣進(jìn)行驗(yàn)證的原因是定義無(wú)效的字符集比較困難，并且一些不應(yīng)該有效的字符通常不會(huì)被指出。通過(guò)在客戶端和服務(wù)器之間放置一個(gè)代理服務(wù)器，可以很容易繞過(guò)客戶端驗(yàn)證。特定語(yǔ)言的指導(dǎo)規(guī)范主要集中在 Perl， Java 和 C/C++語(yǔ)言。在容量估計(jì)的時(shí)候需要盡量將情況設(shè)想得復(fù)雜一些。 b) 在線進(jìn)程的數(shù)量和估計(jì)可能的占用資料 c) 對(duì)于系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時(shí)間和性能，即端對(duì)端系統(tǒng) d) 系統(tǒng)彈性要求和設(shè)計(jì)使用率 峰值，槽值和平均值等 e) 安全措施例如加密解密數(shù)據(jù)對(duì)系統(tǒng)的影響。 確保日志管理機(jī)制健全 要求建立可以根據(jù)情況自由設(shè)置的日志管理機(jī)制，也就是說(shuō)日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制，且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)使用過(guò)程中進(jìn)行日志的定制和記錄。 確保敏感系統(tǒng)的安全性 通過(guò)將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲(chǔ)任何信息敏感的數(shù)據(jù)。 12 系統(tǒng)設(shè)計(jì)階段的安全規(guī) 范 單點(diǎn)訪問(wèn)控制，無(wú)后門(mén)。 d) 確保每一個(gè)應(yīng)用系統(tǒng)的用戶都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。 b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進(jìn)都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。 b) 測(cè)試代碼中往往包 含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。 f) 應(yīng)該單獨(dú)編寫(xiě)安全性設(shè)計(jì)說(shuō)明概要 分離系統(tǒng)開(kāi)發(fā)和運(yùn)作維護(hù) 管理層必須要確保應(yīng)用系統(tǒng)開(kāi)發(fā)和應(yīng)用系統(tǒng)運(yùn)作管理從組織人事和權(quán)限職責(zé)上必須分開(kāi)。 b) 在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定 的流程。 d) 根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。 b) 開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性，不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去，即使是家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。 我們建議在系統(tǒng)開(kāi)發(fā)過(guò)程中具體分以下的三種角色： ? 項(xiàng)目負(fù)責(zé)人員：確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施，同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。 投資可行性 分析 根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。通?？梢詮娜齻€(gè)方面進(jìn)行分析： a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開(kāi)發(fā)隊(duì)伍是否有足夠的軟件開(kāi)發(fā)的技術(shù)能力來(lái)完成系統(tǒng)開(kāi)發(fā)的任務(wù)，或第三方外包的開(kāi)發(fā)公司是否具有開(kāi)發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。 e) 系統(tǒng)開(kāi)發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。 c) 開(kāi)發(fā)的方法和管理必須規(guī)范化、合理化、制度化。其中包括： a) 系統(tǒng)開(kāi)發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。 規(guī)范引用的文件或標(biāo)準(zhǔn) 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中免受未經(jīng)授權(quán)的訪問(wèn)和更改，保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全，確保開(kāi)發(fā)項(xiàng)目的順利正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。 目 錄 概述 ........................................................................... 3 目標(biāo) ........................................................................... 3 規(guī)范的使用范圍 ................................................................. 4 規(guī)范引用的文件或標(biāo)準(zhǔn) ........................................................... 5 術(shù)語(yǔ)和定義 ..................................................................... 6 應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則 ........................................................... 7 系統(tǒng)需求收集和分析階段安全規(guī)范 ................................................. 8 可行性研究分析 .............................................................................................................................................8 開(kāi)發(fā)人員安全管理機(jī)制 ............................................................................................................................. 10 建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告 ..............................................................................................................11 系統(tǒng)設(shè)計(jì)階段的安全規(guī)范 ........................................................ 12 單點(diǎn)訪問(wèn)控制，無(wú)后門(mén)。 最后一 公里問(wèn)題 建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門(mén)信道的最后一段距離的連接問(wèn)題。專線，指數(shù)字電路、幀中繼、 DDN 和 ATM等經(jīng)常保持連通狀態(tài)的信道；撥號(hào)線路，指只在傳送信息時(shí)才建立連接的信道，如電話撥號(hào)線路或 ISDN 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣， 所利用的設(shè)備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。 局域網(wǎng)與園區(qū)網(wǎng) 局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。 主干網(wǎng) 是從 x 總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括 x 總部局域網(wǎng)、各個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。 計(jì)算機(jī)網(wǎng)絡(luò) x 信息網(wǎng)（ PetroChinaNet） 指 x 范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。 說(shuō) 明 在 x 信息安全標(biāo)準(zhǔn)中涉及以下概念： 組織機(jī)構(gòu) x（ PetroChina） 指 x 天然氣股份有限公司有時(shí)也稱“股份公司”。 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。我們?cè)谛形纳蠈⑦@ 7個(gè)標(biāo)準(zhǔn)組合成 一本《通用安全管理標(biāo)準(zhǔn)》單獨(dú)成冊(cè)。 信息技術(shù)安全總體框架如下： 《區(qū)域安全管理規(guī)范》《機(jī)房安全管理規(guī)范》《硬件設(shè)備管理規(guī)范》《網(wǎng)絡(luò)安全管理規(guī)范》《通用安全管理標(biāo)準(zhǔn)》《數(shù)據(jù)和文檔安全管理規(guī)范》《應(yīng)用系統(tǒng)使用安全管理標(biāo)準(zhǔn)通則》《應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理標(biāo)準(zhǔn)通則》《商業(yè)軟件購(gòu)買(mǎi)管理標(biāo)準(zhǔn)》《電子郵件安全管理規(guī)范》《Web系統(tǒng)安全管理規(guī)范》《電子商務(wù)安全規(guī)范》《防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范》《信息安全技術(shù)標(biāo)準(zhǔn)》物理環(huán)境安全管理硬件設(shè)備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應(yīng)用系統(tǒng)安全管理網(wǎng)絡(luò)安全管理概述通用網(wǎng)絡(luò)安全管理規(guī)范內(nèi)部網(wǎng)絡(luò)安全管理規(guī)范外部網(wǎng)絡(luò)安全管理規(guī)范認(rèn)證管理通用標(biāo)準(zhǔn)通用安全管理標(biāo)準(zhǔn)概述授權(quán)管理通用標(biāo)準(zhǔn)加固管理通用標(biāo)準(zhǔn)加密管理通用標(biāo)準(zhǔn)日志管理通用標(biāo)準(zhǔn)系統(tǒng)登陸管理通用標(biāo)準(zhǔn)《操作系統(tǒng)安全管理規(guī)范》 1） 整體信息技術(shù)安全架構(gòu)從邏輯上共分為 7 個(gè)部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。目標(biāo)在于通過(guò)在 x 范圍內(nèi)建立信息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提高 x 信息安全的技術(shù)和管理能力。每個(gè)《標(biāo)準(zhǔn)》都會(huì)對(duì)所有的《規(guī)范》中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個(gè)《標(biāo)準(zhǔn)》應(yīng)用在不同的《規(guī)范》中又會(huì)有相應(yīng)不同的具體的內(nèi)容。以下我們主要從系統(tǒng)開(kāi)發(fā)的各個(gè)階段入手，考慮在標(biāo)準(zhǔn)的開(kāi)發(fā)流程的各個(gè)階段中要注意的安全方面的考慮。 起草部門(mén)： x 制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。 x 的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可以是專線，也可以是撥號(hào)線路。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。 專線與撥號(hào)線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。 石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱。 涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語(yǔ)和定義請(qǐng)參見(jiàn)《 x 局域網(wǎng)標(biāo)準(zhǔn)》。因此如果在系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)階段沒(méi)有對(duì)系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會(huì)存在許多先天不足，系統(tǒng)就會(huì)漏洞百出。 目標(biāo) 本規(guī)范的目標(biāo)為： 保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。 總而言之，要防止 對(duì) x 經(jīng)營(yíng)環(huán)境及信息的未經(jīng)授權(quán)存取、破壞或干