【正文】 開(kāi)發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達(dá)到業(yè)務(wù)上要求的系統(tǒng)功能。 需求可行性分析系統(tǒng)的開(kāi)發(fā)來(lái)源于業(yè)務(wù)上的需求，因此需要對(duì)該需求進(jìn)行可行性分析，以判斷需求是否明確，是否符合實(shí)際而不是天馬行空式的空談，是否是在一定的時(shí)間范圍內(nèi)可實(shí)現(xiàn)的。我們建議在系統(tǒng)開(kāi)發(fā)過(guò)程中具體分以下的三種角色：? 項(xiàng)目負(fù)責(zé)人員：確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施，同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。b) 開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性，不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去，即使是家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。d) 根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。b) 在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。f) 應(yīng)該單獨(dú)編寫(xiě)安全性設(shè)計(jì)說(shuō)明概要 分離系統(tǒng)開(kāi)發(fā)和運(yùn)作維護(hù)管理層必須要確保應(yīng)用系統(tǒng)開(kāi)發(fā)和應(yīng)用系統(tǒng)運(yùn)作管理從組織人事和權(quán)限職責(zé)上必須分開(kāi)。b) 測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進(jìn)都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。d) 確保每一個(gè)應(yīng)用系統(tǒng)的用戶(hù)都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。任何用戶(hù)如果希望訪(fǎng)問(wèn)應(yīng)用系統(tǒng)中的某一個(gè)部分，則必須通過(guò)統(tǒng)一的且唯一的認(rèn)證授權(quán)方式以及流程。 確保訪(fǎng)問(wèn)層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時(shí)也要考慮模塊與模塊之間的通訊的安全性。保留所有系統(tǒng)開(kāi)發(fā)相關(guān)的程序庫(kù)的更新審核紀(jì)錄。f) 24x7 運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)（維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī)）規(guī)劃容量的時(shí)候關(guān)于系統(tǒng)使用的信息了解得越多越好。13 / 39 系統(tǒng)開(kāi)發(fā)階段安全規(guī)范 系統(tǒng)開(kāi)發(fā)語(yǔ)言安全規(guī)范程序員可以使用很多指導(dǎo)規(guī)范來(lái)防止應(yīng)用程序中的普通的安全問(wèn)題。這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。在實(shí)際的校驗(yàn)中，輸入校驗(yàn)首先定義一個(gè)有效（可接受）的字符集，然后檢查每個(gè)數(shù)據(jù)的字符是否在有效范圍內(nèi)。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。 SQL 語(yǔ)句如果應(yīng)用程序需要連接后端數(shù)據(jù)庫(kù)，使用存儲(chǔ)過(guò)程而不要在代碼中使用SQL 語(yǔ)句。 注釋代碼 (mented code)當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開(kāi)始應(yīng)用時(shí)，應(yīng)該刪除所有的注釋代碼。如果可能的話(huà)，最好使用包含編號(hào)的一般的錯(cuò)誤信息，這種信息只有開(kāi)發(fā)者和/或支持小組才能理解。例如下面就是一個(gè)不安全的 URL：=PASSWORDamp。 Perl 語(yǔ)言安全規(guī)范多年以來(lái)，Perl 已經(jīng)成為用于系統(tǒng)管理和 Web CGI 開(kāi)發(fā)的功能最強(qiáng)的編程語(yǔ)言之一（幾乎可以使用 Perl 做任何功能的程序）。 Taint 驗(yàn)證Perl 版本 包含一個(gè)叫做 Taint Checking 的數(shù)據(jù)驗(yàn)證措施。例如你可以在 Perl 腳本的第一行這樣加入“T”：!usr/bin/perl5 T Tainted 數(shù)據(jù)包括命令行參數(shù)、環(huán)境變量和來(lái)自文件的數(shù)據(jù)。Taint 驗(yàn)證對(duì)于環(huán)境比較敏感，這就可能會(huì)導(dǎo)致大多數(shù)程序員不愿使用它，但是只要可能的話(huà)，應(yīng)該使用 taint 驗(yàn)證，特別是代碼執(zhí)行其他程序功能時(shí)（例如在CGI 腳本的情況下）。每個(gè)安全對(duì)象對(duì)于運(yùn)行的每塊代碼建立了一個(gè)限制的環(huán)境。 警告參數(shù) (w)使用w 參數(shù)可以在 Perl 解釋腳本時(shí)顯示所有的警告信息。可以在 taint 驗(yàn)證時(shí)在第一行這樣使用w 參數(shù)：!usr/bin/perl5 Tw Java 語(yǔ)言安全規(guī)范自從 1995 年發(fā)布以來(lái)，Java 成為簡(jiǎn)單或者復(fù)雜網(wǎng)絡(luò)應(yīng)用的有效編程語(yǔ)言。 封裝Java 中，如果沒(méi)有使用訪(fǎng)問(wèn)標(biāo)識(shí)符(access modifier(private、protected 或者public))來(lái)聲明類(lèi)、方法和屬性，那么它的默認(rèn)訪(fǎng)問(wèn)范圍是包，并且同一包中的所有類(lèi)都能訪(fǎng)問(wèn)它。accessClassInPackage defineClassInPackage 所有標(biāo)準(zhǔn)庫(kù)中的類(lèi)都默認(rèn)是可以公共訪(fǎng)問(wèn)的（除了由“sun”開(kāi)頭的類(lèi)）。在 中的值是字符型的，“sun.”將保護(hù)“ ”等包，但是不會(huì)對(duì) “sun”或者“sunshine ”等包進(jìn)行保護(hù)。為了起用密封(sealing)，必須在建立 JAR 文件時(shí)這樣設(shè)置密封 (seal)參數(shù)：Sealed: true 使用密封(sealing)的 JAR 文件比權(quán)限 (permission) 設(shè)置更好，因?yàn)樗恍枰惭b安全管理器(security manager)?？梢杂谜呶募韵鄬?duì)模塊化的方式控制文件系統(tǒng)和網(wǎng)絡(luò)的訪(fǎng)問(wèn)。例如如果不謹(jǐn)慎使用的話(huà)，其大多數(shù)標(biāo)準(zhǔn)的字符串庫(kù)函數(shù)有可能被用來(lái)進(jìn)行緩沖區(qū)攻擊或者格式字符串攻擊。下面是應(yīng)該避免使用的函數(shù)。這些替換方程強(qiáng)制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類(lèi)型。例如，以下的代碼就是不安全的：snprintf(buffer, sizeof(buffer), string) 這種情況下，可以在字符串中插入格式說(shuō)明符來(lái)操縱內(nèi)存的棧，來(lái)寫(xiě)入攻擊者的數(shù)據(jù)（這些數(shù)據(jù)中包含小的程序代碼，并可由處理器接著執(zhí)行）。首先攻擊者必須能獲得內(nèi)存棧的內(nèi)容情況（或者從應(yīng)用導(dǎo)出或者使用調(diào)試器），然好必須知道如何精確訪(fǎng)問(wèn)特定的內(nèi)存空間來(lái)操縱棧中的變量。 system(buffer)。而 exec()函數(shù)只保證第一個(gè)參數(shù)被執(zhí)行：execl(usr/bin/emacs, usr/bin/emacs, filename, NULL)。這會(huì)導(dǎo)致不可預(yù)測(cè)的結(jié)果。另外權(quán)限低的程序也存在安全風(fēng)險(xiǎn)，因?yàn)楣粽呖赡軙?huì)等待有較高權(quán)限的用戶(hù)執(zhí)行那個(gè)程序(例如 root)，然后進(jìn)行攻擊。它幾乎可以建立原子級(jí)的操作。如果該文件損壞了，那么這種情況是合理的，但如果該文件存在只是無(wú)法訪(fǎng)問(wèn)，那么這就是一個(gè)大問(wèn)題。這些錯(cuò)誤可能會(huì)對(duì)整個(gè)系統(tǒng)導(dǎo)致重大的安19 / 39全問(wèn)題。我們比較了每個(gè)工具的測(cè)試結(jié)果，并且仔細(xì)檢查了以下的屬性：a) 靈活性 － 有多種選項(xiàng)并能掃描多種類(lèi)型的代碼的工具得分會(huì)較高b) 正確性 － 主要目標(biāo)是發(fā)現(xiàn)正確的安全問(wèn)題，并且不會(huì)出現(xiàn)大量的誤報(bào)信息，或者更糟的是沒(méi)有發(fā)現(xiàn)真正的錯(cuò)誤信息。每個(gè)工具在解析代碼上的速度可以忽略不計(jì)，所以沒(méi)有進(jìn)行比較（雖然這并不包括配置掃描的時(shí)間，而 MOPS 在這方面相對(duì)于其他工具需要更多的時(shí)間）。sprintf(buffer, variable)。不過(guò) Pscan 對(duì)于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當(dāng)精準(zhǔn)和快速的。 工具二：Flawfinder Flawfinder 是一個(gè)分析 C 程序安全隱患的靜態(tài)分析工具。Flawfinder 甚至可以對(duì)程序中的弱點(diǎn)進(jìn)行分類(lèi)，例如 buffer 弱點(diǎn)、格式弱點(diǎn)、shell 弱點(diǎn)等。如果開(kāi)發(fā)運(yùn)作程序沒(méi)有很好的保護(hù)，會(huì)造成系統(tǒng)及其設(shè)置會(huì)遭到未經(jīng)授權(quán)的訪(fǎng)問(wèn)并造成系統(tǒng)的安全性可靠性大大下降。c) 嚴(yán)格管理開(kāi)發(fā)運(yùn)作系統(tǒng)的認(rèn)證管理，建立嚴(yán)格的基于人員職責(zé)的授權(quán)等級(jí)制度，用口令或其他身份識(shí)別技術(shù)確認(rèn)訪(fǎng)問(wèn)者身份。因此該認(rèn)證過(guò)程必須兩個(gè)人同時(shí)在場(chǎng)進(jìn)行操作才可以。且如果缺少源程序代碼會(huì)使得今后應(yīng)用系統(tǒng)的維護(hù)工作十分困難甚至無(wú)法完成。c) 各項(xiàng)應(yīng)用均應(yīng)當(dāng)指定相應(yīng)的管理員。g) 源程序庫(kù)的更新和向程序員發(fā)布的源程序應(yīng)當(dāng)由指定的管理員根據(jù)一定的授權(quán)進(jìn)行，不得私自自行更新或發(fā)放。b) 對(duì)于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進(jìn)行檢查，為了有效的進(jìn)行控制，組織應(yīng)當(dāng)建立更改控制審批程序，對(duì)更改的申請(qǐng)、評(píng)審、測(cè)試、批準(zhǔn)、更改的計(jì)劃的提出和實(shí)施提出明確要求并嚴(yán)格的實(shí)施，確保安全性與控制程序不被損害，程序設(shè)計(jì)人員只能訪(fǎng)問(wèn)他們工作所必需的部分，確保任何的改動(dòng)都是經(jīng)過(guò)審批的。? 在正式的實(shí)施之前，更改的方案必須經(jīng)過(guò)評(píng)審并通過(guò)正式的批準(zhǔn)。? 保證所有的應(yīng)用系統(tǒng)升級(jí)的版本的控制。 開(kāi)發(fā)版本管理規(guī)范 控制程序清單a) 在任何時(shí)候?qū)τ诔绦蚯鍐伪仨氝M(jìn)行嚴(yán)格的控制并且及時(shí)地進(jìn)行更新。對(duì)系統(tǒng)的安全有很大的影響。d) 應(yīng)用系統(tǒng)軟件版本升級(jí)計(jì)劃，制定相關(guān)的升級(jí)計(jì)劃，確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。c) 當(dāng)版本變更時(shí)需要在更新的版本中記錄變更的詳細(xì)描述。25 / 39 開(kāi)發(fā)日志審核管理規(guī)范 開(kāi)發(fā)日志定期的審計(jì)和人員權(quán)限的定期審核 開(kāi)發(fā)日志定期審計(jì)a) 系統(tǒng)開(kāi)發(fā)中的相關(guān)日志文件根據(jù)開(kāi)發(fā)周期定期審核 開(kāi)發(fā)人員權(quán)限定期審計(jì)b) 開(kāi)發(fā)人員權(quán)限每 3 個(gè)月審核一次； 防御后門(mén)代碼或隱藏通道相關(guān)規(guī)范? 后門(mén)代碼和隱藏通道介紹a) 后門(mén)代碼，主要指由攻擊者在未經(jīng)過(guò)許可的情況下，植入計(jì)算機(jī)系統(tǒng)的程序。? 特洛伊木馬也屬于后門(mén)的一種，它是黑客攻擊計(jì)算機(jī)的重要手段之一?，F(xiàn)在使用的應(yīng)用系統(tǒng)中大多數(shù)都包含一定程度的隱藏通道，他們當(dāng)中許多是無(wú)害的，像特殊的組合健可以給出軟件制作者的信息，但也有些是有害的，因此必須進(jìn)行相應(yīng)的防范。e) 使用可靠的開(kāi)發(fā)人員操作密鑰系統(tǒng)。h) 安裝并正確的使用有關(guān)的特洛伊木馬的監(jiān)測(cè)和查殺程序，現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能，比較流程的專(zhuān)門(mén)用于查殺特洛伊木馬的程序主要有 Lockdown202The Cleaner、Trojian Defence Suit 等。并且測(cè)試計(jì)劃還需要覆蓋除此之外的測(cè)試內(nèi)容和結(jié)果，使之更加全面。因此主要分為系統(tǒng)測(cè)試和用戶(hù)接受測(cè)試 系統(tǒng)測(cè)試系統(tǒng)測(cè)試有很多種定義。同時(shí)還測(cè)試系統(tǒng)的模塊和模塊之間，功能和功能之間的接口的正確性。 用戶(hù)接受測(cè)試－ UAT用戶(hù)接受測(cè)試是用戶(hù)對(duì)新系統(tǒng)或者系統(tǒng)改動(dòng)正式驗(yàn)收測(cè)試的過(guò)程，是任何系統(tǒng)開(kāi)發(fā)項(xiàng)目都需要經(jīng)歷的重要階段并且它還需要終端用戶(hù)的大力參與。測(cè)試計(jì)劃一般可以在系統(tǒng)開(kāi)發(fā)前制定的用戶(hù)需求說(shuō)明書(shū)的基礎(chǔ)上制訂。下文是一個(gè)成功應(yīng)用的例子，“1”表示最嚴(yán)重的錯(cuò)誤，而 6 則表示最輕微的影響。? “粉飾性問(wèn)題” 類(lèi)似顏色，字體等問(wèn)題，如果這些問(wèn)題對(duì)于業(yè)務(wù)需求而言特別重要，則需要將這些問(wèn)題提高到較高層次。為了避免類(lèi)似分級(jí)問(wèn)題的風(fēng)險(xiǎn)，我們建議在測(cè)試規(guī)劃中給出每一類(lèi)問(wèn)題的例子，以避免對(duì)問(wèn)題分級(jí)出現(xiàn)根本性的不一致。注意：有些情況下用戶(hù)可能會(huì)有條件接受。 控制測(cè)試環(huán)境控制系統(tǒng)測(cè)試環(huán)境和實(shí)際工作環(huán)境隔離的控制處理，否則? 未經(jīng)確認(rèn)的軟件修改會(huì)導(dǎo)致出現(xiàn)無(wú)法預(yù)料的問(wèn)題。當(dāng)處于測(cè)試目的而使用真實(shí)的敏感的數(shù)據(jù)時(shí)，可以采用以下措施保護(hù)測(cè)試數(shù)據(jù)的安全：a) 對(duì)測(cè)試的系統(tǒng)進(jìn)行嚴(yán)格的訪(fǎng)問(wèn)控制。c) 測(cè)試完成后，應(yīng)當(dāng)立即將相關(guān)數(shù)據(jù)從測(cè)試的應(yīng)用系統(tǒng)中刪除。必須牢固樹(shù)立類(lèi)似的觀(guān)點(diǎn)。 撰寫(xiě)新系統(tǒng)和系統(tǒng)改進(jìn)的文檔如果缺乏足夠的文檔，當(dāng)系統(tǒng)發(fā)生問(wèn)題的時(shí)候，只能憑經(jīng)驗(yàn)解決，而有可能會(huì)錯(cuò)上加錯(cuò)。由于資源和預(yù)算的限制，文檔不充分或者完全沒(méi)有是不允許發(fā)生的事情。b) 應(yīng)該與外包的供應(yīng)商簽訂商務(wù)或技術(shù)合同或協(xié)議，明確軟件的質(zhì)量、知識(shí)產(chǎn)權(quán)與安全要求，包括了軟件本身的安全功能與開(kāi)發(fā)過(guò)程的安全控制要求。33 / 39附錄附錄 1 參考文獻(xiàn)參考文獻(xiàn) 《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》 (GB5017493) 《電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范》 (SJ/T3000393) 《計(jì)算站場(chǎng)地安全要求》 (GB936188) 《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》 (GB28872022) 《計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件》 （GB665086） 《高層民用建筑設(shè)計(jì)防火規(guī)范》 （GB5004595） 《建筑設(shè)計(jì)防火規(guī)范》 （GBJ1687） 《氣體滅火系統(tǒng)施工及驗(yàn)收規(guī)范》 （GB50376－97） 《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》 （GB5022295） 《建筑物防雷設(shè)計(jì)規(guī)范》GB50057_941 《火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范》GBJ116_881 《處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法》BMB319991 《信息設(shè)備電磁泄漏發(fā)射限值》GGBB119991 《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求》BMB520221 《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》BMB120