【正文】 b) 應(yīng)該與外包的供應(yīng)商簽訂商務(wù)或技術(shù)合同或協(xié)議，明確軟件的質(zhì)量、知識(shí)產(chǎn)權(quán)與安全要求，包括了軟件本身的安全功能與開(kāi)發(fā)過(guò)程的安全控制要求。 撰寫(xiě)新系統(tǒng)和系統(tǒng)改進(jìn)的文檔如果缺乏足夠的文檔，當(dāng)系統(tǒng)發(fā)生問(wèn)題的時(shí)候，只能憑經(jīng)驗(yàn)解決，而有可能會(huì)錯(cuò)上加錯(cuò)。c) 測(cè)試完成后，應(yīng)當(dāng)立即將相關(guān)數(shù)據(jù)從測(cè)試的應(yīng)用系統(tǒng)中刪除。 控制測(cè)試環(huán)境控制系統(tǒng)測(cè)試環(huán)境和實(shí)際工作環(huán)境隔離的控制處理，否則? 未經(jīng)確認(rèn)的軟件修改會(huì)導(dǎo)致出現(xiàn)無(wú)法預(yù)料的問(wèn)題。為了避免類(lèi)似分級(jí)問(wèn)題的風(fēng)險(xiǎn)，我們建議在測(cè)試規(guī)劃中給出每一類(lèi)問(wèn)題的例子，以避免對(duì)問(wèn)題分級(jí)出現(xiàn)根本性的不一致。下文是一個(gè)成功應(yīng)用的例子，“1”表示最嚴(yán)重的錯(cuò)誤，而 6 則表示最輕微的影響。 用戶(hù)接受測(cè)試－ UAT用戶(hù)接受測(cè)試是用戶(hù)對(duì)新系統(tǒng)或者系統(tǒng)改動(dòng)正式驗(yàn)收測(cè)試的過(guò)程，是任何系統(tǒng)開(kāi)發(fā)項(xiàng)目都需要經(jīng)歷的重要階段并且它還需要終端用戶(hù)的大力參與。因此主要分為系統(tǒng)測(cè)試和用戶(hù)接受測(cè)試 系統(tǒng)測(cè)試系統(tǒng)測(cè)試有很多種定義。h) 安裝并正確的使用有關(guān)的特洛伊木馬的監(jiān)測(cè)和查殺程序，現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能，比較流程的專(zhuān)門(mén)用于查殺特洛伊木馬的程序主要有 Lockdown202The Cleaner、Trojian Defence Suit 等?，F(xiàn)在使用的應(yīng)用系統(tǒng)中大多數(shù)都包含一定程度的隱藏通道，他們當(dāng)中許多是無(wú)害的，像特殊的組合健可以給出軟件制作者的信息，但也有些是有害的，因此必須進(jìn)行相應(yīng)的防范。25 / 39 開(kāi)發(fā)日志審核管理規(guī)范 開(kāi)發(fā)日志定期的審計(jì)和人員權(quán)限的定期審核 開(kāi)發(fā)日志定期審計(jì)a) 系統(tǒng)開(kāi)發(fā)中的相關(guān)日志文件根據(jù)開(kāi)發(fā)周期定期審核 開(kāi)發(fā)人員權(quán)限定期審計(jì)b) 開(kāi)發(fā)人員權(quán)限每 3 個(gè)月審核一次； 防御后門(mén)代碼或隱藏通道相關(guān)規(guī)范? 后門(mén)代碼和隱藏通道介紹a) 后門(mén)代碼，主要指由攻擊者在未經(jīng)過(guò)許可的情況下，植入計(jì)算機(jī)系統(tǒng)的程序。d) 應(yīng)用系統(tǒng)軟件版本升級(jí)計(jì)劃，制定相關(guān)的升級(jí)計(jì)劃，確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。 開(kāi)發(fā)版本管理規(guī)范 控制程序清單a) 在任何時(shí)候?qū)τ诔绦蚯鍐伪仨氝M(jìn)行嚴(yán)格的控制并且及時(shí)地進(jìn)行更新。? 在正式的實(shí)施之前，更改的方案必須經(jīng)過(guò)評(píng)審并通過(guò)正式的批準(zhǔn)。g) 源程序庫(kù)的更新和向程序員發(fā)布的源程序應(yīng)當(dāng)由指定的管理員根據(jù)一定的授權(quán)進(jìn)行，不得私自自行更新或發(fā)放。且如果缺少源程序代碼會(huì)使得今后應(yīng)用系統(tǒng)的維護(hù)工作十分困難甚至無(wú)法完成。c) 嚴(yán)格管理開(kāi)發(fā)運(yùn)作系統(tǒng)的認(rèn)證管理，建立嚴(yán)格的基于人員職責(zé)的授權(quán)等級(jí)制度，用口令或其他身份識(shí)別技術(shù)確認(rèn)訪問(wèn)者身份。Flawfinder 甚至可以對(duì)程序中的弱點(diǎn)進(jìn)行分類(lèi)，例如 buffer 弱點(diǎn)、格式弱點(diǎn)、shell 弱點(diǎn)等。不過(guò) Pscan 對(duì)于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當(dāng)精準(zhǔn)和快速的。每個(gè)工具在解析代碼上的速度可以忽略不計(jì)，所以沒(méi)有進(jìn)行比較（雖然這并不包括配置掃描的時(shí)間，而 MOPS 在這方面相對(duì)于其他工具需要更多的時(shí)間）。這些錯(cuò)誤可能會(huì)對(duì)整個(gè)系統(tǒng)導(dǎo)致重大的安19 / 39全問(wèn)題。它幾乎可以建立原子級(jí)的操作。這會(huì)導(dǎo)致不可預(yù)測(cè)的結(jié)果。 system(buffer)。例如，以下的代碼就是不安全的：snprintf(buffer, sizeof(buffer), string) 這種情況下，可以在字符串中插入格式說(shuō)明符來(lái)操縱內(nèi)存的棧，來(lái)寫(xiě)入攻擊者的數(shù)據(jù)（這些數(shù)據(jù)中包含小的程序代碼，并可由處理器接著執(zhí)行）。下面是應(yīng)該避免使用的函數(shù)。可以用政策文件以相對(duì)模塊化的方式控制文件系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)。在 中的值是字符型的，“sun.”將保護(hù)“ ”等包，但是不會(huì)對(duì) “sun”或者“sunshine ”等包進(jìn)行保護(hù)。 封裝Java 中，如果沒(méi)有使用訪問(wèn)標(biāo)識(shí)符(access modifier(private、protected 或者public))來(lái)聲明類(lèi)、方法和屬性，那么它的默認(rèn)訪問(wèn)范圍是包，并且同一包中的所有類(lèi)都能訪問(wèn)它。 警告參數(shù) (w)使用w 參數(shù)可以在 Perl 解釋腳本時(shí)顯示所有的警告信息。Taint 驗(yàn)證對(duì)于環(huán)境比較敏感，這就可能會(huì)導(dǎo)致大多數(shù)程序員不愿使用它，但是只要可能的話，應(yīng)該使用 taint 驗(yàn)證，特別是代碼執(zhí)行其他程序功能時(shí)（例如在CGI 腳本的情況下）。 Taint 驗(yàn)證Perl 版本 包含一個(gè)叫做 Taint Checking 的數(shù)據(jù)驗(yàn)證措施。例如下面就是一個(gè)不安全的 URL：=PASSWORDamp。 注釋代碼 (mented code)當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開(kāi)始應(yīng)用時(shí)，應(yīng)該刪除所有的注釋代碼。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。f) 24x7 運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)（維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī)）規(guī)劃容量的時(shí)候關(guān)于系統(tǒng)使用的信息了解得越多越好。 確保訪問(wèn)層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時(shí)也要考慮模塊與模塊之間的通訊的安全性。d) 確保每一個(gè)應(yīng)用系統(tǒng)的用戶(hù)都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。b) 測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。b) 在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。b) 開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性，不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去，即使是家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。 需求可行性分析系統(tǒng)的開(kāi)發(fā)來(lái)源于業(yè)務(wù)上的需求，因此需要對(duì)該需求進(jìn)行可行性分析，以判斷需求是否明確，是否符合實(shí)際而不是天馬行空式的空談，是否是在一定的時(shí)間范圍內(nèi)可實(shí)現(xiàn)的。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏到競(jìng)爭(zhēng)對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。b) 系統(tǒng)開(kāi)發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。 規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個(gè)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。石油專(zhuān)網(wǎng)與公網(wǎng) 石油專(zhuān)業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱(chēng)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。集團(tuán)公司網(wǎng)絡(luò)（CNPCNet） 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。本規(guī)范由中國(guó)石油天然氣股份有限公司科技與信息管理部歸口管理解釋。圖中帶陰影的方框中帶書(shū)名號(hào)的為單獨(dú)成冊(cè)的部分，共有 13 本《規(guī)范》和 1 本《通用標(biāo)準(zhǔn)》 。2） 對(duì)于 13 個(gè)《規(guī)范》中具有一定共性的內(nèi)容我們整理出了 7 個(gè)《標(biāo)準(zhǔn)》橫向貫穿整個(gè)架構(gòu)，這7 個(gè)《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。起草部門(mén)：中國(guó)石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。中國(guó)石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶(hù)自己建設(shè)的。最后一公里問(wèn)題 建設(shè)廣域網(wǎng)時(shí)，用戶(hù)局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門(mén)信道的最后一段距離的連接問(wèn)題。本規(guī)范主要規(guī)定了在系統(tǒng)開(kāi)發(fā)的各個(gè)階段需要的各種安全規(guī)范，從可行性分析需求分析階段開(kāi)始，到設(shè)計(jì)階段，再到開(kāi)發(fā)階段和維護(hù)階段以及最后的文檔階段的系統(tǒng)開(kāi)發(fā)的各個(gè)階段進(jìn)行闡述。包括了系統(tǒng)開(kāi)發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安全，系統(tǒng)開(kāi)發(fā)階段的安全，系統(tǒng)測(cè)試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開(kāi)發(fā)外包的安全規(guī)范。系統(tǒng)的開(kāi)發(fā)是為了更高的滿(mǎn)足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。g) 充分利用現(xiàn)有的資源。 投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。但開(kāi)發(fā)人員有責(zé)任將開(kāi)發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開(kāi)發(fā)小組的負(fù)責(zé)人員。c) 錯(cuò)誤問(wèn)題報(bào)告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細(xì)節(jié)問(wèn)題。c) 開(kāi)發(fā)人員常常具有很高的權(quán)限，這在運(yùn)行系統(tǒng)中會(huì)產(chǎn)生很大的風(fēng)險(xiǎn)，所以是不可接收的。e) 系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真的對(duì)待，必須進(jìn)行詳細(xì)的需求定義、需求分析以及測(cè)試評(píng)估以保證不會(huì)對(duì)業(yè)務(wù)造成任何的影響。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶(hù)端之間通訊的安全性。近來(lái)，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長(zhǎng)，容量規(guī)劃變動(dòng)效果不是非常顯著，有時(shí)甚至毫無(wú)用處。 通用規(guī)范 輸入驗(yàn)證在客戶(hù)機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗(yàn)證而不是客戶(hù)端的驗(yàn)證（例如基于 Javascript 的驗(yàn)證）。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。注釋代碼是用來(lái)調(diào)試或者測(cè)試的，它們不是最終應(yīng)用程序的一部分。file=/home/USER/ 設(shè)置 PATH 變量設(shè)置 PATH 為一個(gè)已知的值，而不是僅僅使用啟動(dòng)時(shí)的缺省值。如果起用該功能，它就不允許通過(guò)用戶(hù)輸入（任何程序外的輸入）來(lái)操縱其他的外部程序（例如通過(guò)管道將數(shù)據(jù)導(dǎo)入另一個(gè)程序執(zhí)行））。 安全模塊如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什么情況？例如用戶(hù)從網(wǎng)站上下載了一個(gè) ActiveX 控件，而它實(shí)際是一個(gè)特洛伊木馬(Trojan horse)。警告可以對(duì)以下情況產(chǎn)生：只使用了一次的變量或者完全沒(méi)有使用過(guò)得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶(hù)控制時(shí)才起作用。另一個(gè)方法是使用 JAR 密封(sealing) 。例如可以限制應(yīng)用程序只能修改名字是 foo 的文件。同時(shí)，也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。 更多關(guān)于這些攻擊的具體內(nèi)容請(qǐng)見(jiàn)資源章節(jié)。在以上的例子中，可以通過(guò)使用分號(hào)利用文件名變量在 sehll 中插入額外的命令（例如文件名可以是/etc/hosts。進(jìn)程可能會(huì)被鎖定，或者一個(gè)進(jìn)程籍此獲得了另一個(gè)進(jìn)程的較大的權(quán)限而導(dǎo)致安全問(wèn)題。謹(jǐn)慎操縱零時(shí)文件，因?yàn)樗鶗?huì)導(dǎo)致競(jìng)爭(zhēng)條件。因此（以及其他的原因），使用源碼分析工具(Source Code Analysis Tool(SCAT))來(lái)自動(dòng)進(jìn)行某些檢查過(guò)程很有幫助。另外，這些工具都可以免費(fèi)獲得，甚至可以獲得它們的源代碼，所以不需考慮它們的成本。Pscan 程序相對(duì)簡(jiǎn)單，它只將結(jié)果返回都標(biāo)準(zhǔn)輸出，當(dāng)然也可以將其輸出到文件，并且除了說(shuō)明程序員應(yīng)該怎樣修正錯(cuò)誤以外不給出語(yǔ)句為什么出錯(cuò)等類(lèi)似的信息。 總之，F(xiàn)lawofinder 是一個(gè)相當(dāng)出色的 C 程序檢查工具，速度會(huì)，界面友好，返回信息豐富，安裝使用相對(duì)簡(jiǎn)單。 建立雙重訪問(wèn)控制機(jī)制雙重訪問(wèn)控制機(jī)制就是對(duì)運(yùn)作程序庫(kù)的管理需要兩個(gè)人同時(shí)進(jìn)行認(rèn)證才可以通過(guò)的方式。因此為了降低計(jì)算機(jī)程序被破壞的可能性，應(yīng)對(duì)源程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的控制：a) 嚴(yán)格的管理在開(kāi)發(fā)設(shè)備上的存放源程序的目錄。h) 應(yīng)當(dāng)保存所有對(duì)源程序庫(kù)進(jìn)行訪問(wèn)讀取或修改的日志紀(jì)錄，以便于日后審核。評(píng)審的? 確保授權(quán)的用戶(hù)在實(shí)施之前確認(rèn)并接受更改的內(nèi)容。b) 對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)源程序的打印的資料、電子版本或者是相關(guān)的報(bào)告都必須進(jìn)行控制，紙質(zhì)的文件應(yīng)當(dāng)保存在一個(gè)安全的環(huán)境下，如保險(xiǎn)柜等。e) 應(yīng)用系統(tǒng)軟件版本升級(jí)實(shí)施。利用調(diào)用環(huán)境的權(quán)利進(jìn)行與其實(shí)際用途無(wú)關(guān)的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類(lèi)型的后門(mén)程序：? 調(diào)試后門(mén)——為了方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試后未能及時(shí)消除。 防御后門(mén)代碼和隱藏通道的相關(guān)辦法a) 從信譽(yù)好的軟件供應(yīng)商那里購(gòu)買(mǎi)相關(guān)的軟件或程序。27 / 39 系統(tǒng)測(cè)試階段安全規(guī)范 應(yīng)用系統(tǒng)的安全性檢測(cè)規(guī)范 設(shè)計(jì)詳細(xì)的測(cè)試計(jì)劃，測(cè)試范圍，測(cè)試方法和測(cè)試工具。一般而言系統(tǒng)測(cè)試可以定義為：在人工環(huán)境下，測(cè)試系統(tǒng)是否能夠達(dá)到預(yù)期的要求的測(cè)試方法。在現(xiàn)實(shí)中，UAT 需要有周密詳盡和準(zhǔn)確的測(cè)試計(jì)劃，特別是驗(yàn)收的標(biāo)準(zhǔn)必須非常詳細(xì)。? “致命問(wèn)題”如果該程度錯(cuò)誤發(fā)生，則測(cè)試不能繼續(xù)? “重大問(wèn)題”測(cè)試可以繼續(xù)，但是系統(tǒng)不能上線? “主要問(wèn)題”測(cè)試