【正文】 de Analysis Tool(SCAT))來(lái)自動(dòng)進(jìn)行某些檢查過(guò)程很有幫助。 系統(tǒng)開(kāi)發(fā)安全相關(guān)工具管理規(guī)范有許多方法來(lái)確保代碼符合一定的安全級(jí)別。謹(jǐn)慎操縱零時(shí)文件，因?yàn)樗鶗?huì)導(dǎo)致競(jìng)爭(zhēng)條件。下面的建議有助于緩解競(jìng)爭(zhēng)條件(race condition)攻擊：在進(jìn)行文件操作時(shí)，利用那些使用文件描述符的函數(shù)而不要使用那些使用文件路徑的函數(shù)（例如使用 fdopen()而不要使用 fopen()）。進(jìn)程可能會(huì)被鎖定，或者一個(gè)進(jìn)程籍此獲得了另一個(gè)進(jìn)程的較大的權(quán)限而導(dǎo)致安全問(wèn)題。上面的例子保證文件名僅僅作為一個(gè)參數(shù)輸入 Emacs 工具。在以上的例子中，可以通過(guò)使用分號(hào)利用文件名變量在 sehll 中插入額外的命令（例如文件名可以是/etc/hosts。 執(zhí)行外部程序推薦使用 exec()函數(shù)而不是 system()函數(shù)來(lái)執(zhí)行外部程序。 更多關(guān)于這些攻擊的具體內(nèi)容請(qǐng)見(jiàn)資源章節(jié)。 格式化字符串攻擊（ Format String Attack）該類攻擊往往與緩沖區(qū)溢出相關(guān)，因?yàn)樗鼈兺饕昧四承┖瘮?shù)的假設(shè)，例如 sprintf()和 vsprintf()假設(shè)緩沖區(qū)的長(zhǎng)度是無(wú)限的。同時(shí)，也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。但是，由于其靈活性、快速和相對(duì)容易掌握，它是一個(gè)廣泛使用的編程語(yǔ)言。例如可以限制應(yīng)用程序只能修改名字是 foo 的文件。 政策文件Java 內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。另一個(gè)方法是使用 JAR 密封(sealing) 。為了保證一個(gè)包的安全性，必須修改${JAVA HOME}/jre/lib/security 文件夾中的 文件。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶控制時(shí)才起作用。它在設(shè)計(jì)時(shí)充分考慮了安全問(wèn)題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的“sandbox”安全模型，以及在特定主機(jī)上限制應(yīng)用程序的活動(dòng)的安全管理器。警告可以對(duì)以下情況產(chǎn)生：只使用了一次的變量或者完全沒(méi)有使用過(guò)得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。這與 chroot 在一個(gè)進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個(gè)子目錄中運(yùn)行類似。 安全模塊如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什么情況？例如用戶從網(wǎng)站上下載了一個(gè) ActiveX 控件，而它實(shí)際是一個(gè)特洛伊木馬(Trojan horse)。引用 tainted數(shù)據(jù)的變量也成為 tainted 數(shù)據(jù)。如果起用該功能，它就不允許通過(guò)用戶輸入（任何程序外的輸入）來(lái)操縱其他的外部程序（例如通過(guò)管道將數(shù)據(jù)導(dǎo)入另一個(gè)程序執(zhí)行））。但其擴(kuò)展應(yīng)用，即作為Inter 上 CGI 的開(kāi)發(fā)工具，使得它經(jīng)常成為 web 服務(wù)器上的攻擊目標(biāo)。file=/home/USER/ 設(shè)置 PATH 變量設(shè)置 PATH 為一個(gè)已知的值，而不是僅僅使用啟動(dòng)時(shí)的缺省值。一般的錯(cuò)誤信息的例子是“發(fā)生了錯(cuò)誤（代碼 1234） ，請(qǐng)您與系統(tǒng)維護(hù)部門聯(lián)系。注釋代碼是用來(lái)調(diào)試或者測(cè)試的，它們不是最終應(yīng)用程序的一部分。使用程序以外的嵌入在代碼中的 SQL 語(yǔ)句調(diào)用特別危險(xiǎn)。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。如果輸入中包含無(wú)效的字符，應(yīng)用程序應(yīng)該返回錯(cuò)誤頁(yè)面并說(shuō)明輸入中包含無(wú)效字符。 通用規(guī)范 輸入驗(yàn)證在客戶機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證（例如基于 Javascript 的驗(yàn)證）。其中許多可以應(yīng)用于任何一個(gè)編程語(yǔ)言，但某些是針對(duì)特定的語(yǔ)言的。近來(lái)，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長(zhǎng)，容量規(guī)劃變動(dòng)效果不是非常顯著，有時(shí)甚至毫無(wú)用處。 新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶端之間通訊的安全性。 人員職責(zé)和權(quán)限的定義由于不是所有的人員對(duì)于某一個(gè)應(yīng)用系統(tǒng)都具有同樣的訪問(wèn)或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個(gè)用戶可以訪問(wèn)到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。e) 系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真的對(duì)待，必須進(jìn)行詳細(xì)的需求定義、需求分析以及測(cè)試評(píng)估以保證不會(huì)對(duì)業(yè)務(wù)造成任何的影響。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開(kāi)發(fā)費(fèi)用、開(kāi)發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。c) 開(kāi)發(fā)人員常常具有很高的權(quán)限，這在運(yùn)行系統(tǒng)中會(huì)產(chǎn)生很大的風(fēng)險(xiǎn)，所以是不可接收的。盡管只有大型企業(yè)才有獨(dú)立的系統(tǒng)運(yùn)行和系統(tǒng)開(kāi)發(fā)部門，但是把這些功能分開(kāi)毫無(wú)疑問(wèn)是非常必要的。c) 錯(cuò)誤問(wèn)題報(bào)告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細(xì)節(jié)問(wèn)題。e) 在日常工作中記錄員工的開(kāi)發(fā)相關(guān)的日志信息。但開(kāi)發(fā)人員有責(zé)任將開(kāi)發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開(kāi)發(fā)小組的負(fù)責(zé)人員。? 系統(tǒng)開(kāi)發(fā)人員：根據(jù)業(yè)務(wù)需求確保開(kāi)發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求，同時(shí)滿足系統(tǒng)質(zhì)量上和進(jìn)度上的要求。 投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。通?？梢詮娜齻€(gè)方面進(jìn)行分析：a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開(kāi)發(fā)隊(duì)伍是否有足夠的軟件開(kāi)發(fā)的技術(shù)能力來(lái)完成系統(tǒng)開(kāi)發(fā)的任務(wù)，或第三方外包的開(kāi)發(fā)公司是否具有開(kāi)發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。g) 充分利用現(xiàn)有的資源。確保開(kāi)發(fā)工作及時(shí)、有效且高質(zhì)量的完成。系統(tǒng)的開(kāi)發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。1. 《建筑設(shè)計(jì)防火規(guī)范》 （GBJ1687）2. 《高層民用建筑設(shè)計(jì)防火規(guī)范》 （GB5004597 ）3. 《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》 （GB50222_95）4. 《建筑防雷設(shè)計(jì)規(guī)范》 （GB50057） 術(shù)語(yǔ)和定義7 / 39 應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則應(yīng)用系統(tǒng)的開(kāi)發(fā)應(yīng)當(dāng)遵循一系列的總體原則，以確保開(kāi)發(fā)過(guò)程中的安全。包括了系統(tǒng)開(kāi)發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安全，系統(tǒng)開(kāi)發(fā)階段的安全，系統(tǒng)測(cè)試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開(kāi)發(fā)外包的安全規(guī)范。同時(shí)確保應(yīng)用系統(tǒng)開(kāi)發(fā)外包中的各項(xiàng)安全。本規(guī)范主要規(guī)定了在系統(tǒng)開(kāi)發(fā)的各個(gè)階段需要的各種安全規(guī)范，從可行性分析需求分析階段開(kāi)始，到設(shè)計(jì)階段，再到開(kāi)發(fā)階段和維護(hù)階段以及最后的文檔階段的系統(tǒng)開(kāi)發(fā)的各個(gè)階段進(jìn)行闡述。目 錄 概述 .............................................................................3 目標(biāo) .............................................................................3 規(guī)范的使用范圍 ...................................................................4 規(guī)范引用的文件或標(biāo)準(zhǔn) .............................................................5 術(shù)語(yǔ)和定義 .......................................................................6 應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則 .............................................................7 系統(tǒng)需求收集和分析階段安全規(guī)范 ...................................................8 可行性研究分析 .......................................................................................................................................8 開(kāi)發(fā)人員安全管理機(jī)制 .........................................................................................................................10 建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告 .........................................................................................................11 系統(tǒng)設(shè)計(jì)階段的安全規(guī)范 ..........................................................12 單點(diǎn)訪問(wèn)控制，無(wú)后門。最后一公里問(wèn)題 建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連接問(wèn)題。專線與撥號(hào)線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可以是專線，也可以是撥號(hào)線路。中國(guó)石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。起草部門：中國(guó)石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。本通則討論了在企業(yè)內(nèi)部自行開(kāi)發(fā)一套應(yīng)用系統(tǒng)或外包開(kāi)發(fā)所必須考慮到的幾個(gè)步驟，開(kāi)發(fā)應(yīng)用系統(tǒng)的安全性考慮就好像建設(shè)樓房一樣，擁有越堅(jiān)固的地基樓房越是穩(wěn)定，因此應(yīng)用系統(tǒng)在開(kāi)發(fā)階段打好堅(jiān)實(shí)的安全基礎(chǔ)，那么以后的日常維護(hù)工作就會(huì)很輕松。2） 對(duì)于 13 個(gè)《規(guī)范》中具有一定共性的內(nèi)容我們整理出了 7 個(gè)《標(biāo)準(zhǔn)》橫向貫穿整個(gè)架構(gòu)，這7 個(gè)《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。中國(guó)石油信息安全標(biāo)準(zhǔn)編號(hào)：中國(guó)石油天然氣股份有限公司應(yīng) 用 系 統(tǒng) 開(kāi) 發(fā) 安 全 管 理 通 則中國(guó)石油天然股份有限公司前 言隨著中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱“中國(guó)石油” ）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到中國(guó)石油的廣泛關(guān)注，……………………本規(guī)范是依據(jù)中國(guó)石油信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國(guó)石油自身的應(yīng)用特點(diǎn)，制定的適合于中國(guó)石油信息安全的標(biāo)準(zhǔn)與規(guī)范。圖中帶陰影的方框中帶書(shū)名號(hào)的為單獨(dú)成冊(cè)的部分，共有 13 本《規(guī)范》和 1 本《通用標(biāo)準(zhǔn)》 。3） 全文以信息安全生命周期的方法論作為基本指導(dǎo)， 《規(guī)范》和《標(biāo)準(zhǔn)》的內(nèi)容基本都根據(jù)預(yù)防——〉保護(hù)——〉檢測(cè)跟蹤——〉響應(yīng)恢復(fù)的理論基礎(chǔ)行文。本規(guī)范由中國(guó)石油天然氣股份有限公司科技與信息管理部歸口管理解釋。為區(qū)分中國(guó)石油的地區(qū)公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。集團(tuán)公司網(wǎng)絡(luò)（CNPCNet） 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。二級(jí)單位網(wǎng)絡(luò) 指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱。涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語(yǔ)和定義請(qǐng)參見(jiàn)《中國(guó)石油局域網(wǎng)標(biāo)準(zhǔn)》 。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中免受未經(jīng)授權(quán)的訪問(wèn)和更改，保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全，確保開(kāi)發(fā)項(xiàng)目的順利正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。 規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個(gè)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。b) 系統(tǒng)開(kāi)發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。d) 保證開(kāi)發(fā)的進(jìn)度和按時(shí)完成。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏到競(jìng)爭(zhēng)對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響?？尚行匝芯靠梢詮募夹g(shù)方面，需求方面，投入方面和影響方面進(jìn)行考慮： 技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求，從技術(shù)