【正文】 范 ............................................................................................................. 19 控制軟件代碼程序庫 .................................................................................................................................. 21 在軟件開發(fā)過程變更管理規(guī)范 ................................................................................................................. 23 開發(fā)版本管理規(guī)范 ...................................................................................................................................... 24 開發(fā)日志審核管理規(guī)范 ............................................................................................................................. 25 防御后門代碼或隱藏通道相關(guān)規(guī)范 .................................................................................................... 25 系統(tǒng)測試階段安全規(guī)范 .......................................................... 27 錯誤 !文檔中沒有指定樣式的文字。 IV 撥號線路。園區(qū)網(wǎng)是在一個園區(qū)（例如大學校園、管理局基地等）內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。 x 信息網(wǎng)是在 x 天然氣集團公司網(wǎng)絡(luò)的基礎(chǔ)上，進行擴充與提高所形成的連接 x 所屬各個單位計算機局域網(wǎng)和園區(qū)網(wǎng)。 II 本規(guī)范由 x 天然氣股份有限公司發(fā)布。圖中帶陰影的方框中帶書名號的為單獨成冊的部分，共有 13 本《規(guī)范》和 1 本《通用標準》。 2） 對于 13個 《規(guī)范》中具有一定共性的內(nèi)容 我們整理出了 7個《標準》橫向貫穿整個架構(gòu)，這7個《標準》的組合也依據(jù)了信息安全生命周期的理論模型。 本規(guī)范由 x 天然氣股份有限公司科技與信息管理部歸口管理解釋。 集團公司網(wǎng)絡(luò)（ CNPCNet） 指集團公司所屬范圍內(nèi)的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。這些遠程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺計算機。 II 應(yīng)用系統(tǒng)的安全性檢測規(guī)范 ..................................................................................................................... 27 控制測試環(huán)境 .............................................................................................................................................. 29 為測試使用真實的數(shù)據(jù) ............................................................................................................................. 29 在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進行測試 ......................................................................................................... 29 應(yīng)用系統(tǒng)安全質(zhì)量鑒定 ............................................................................................................................. 30 系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范 .....................................................31 新系統(tǒng)的培訓(xùn) .............................................................................................................................................. 31 撰寫新系統(tǒng)和系統(tǒng)改進的文檔 ................................................................................................................. 31 應(yīng)用系統(tǒng)開發(fā)外包安全控制 .......................................................32 附錄 1 參考文獻 ................................................................................................. 33 《《 應(yīng)應(yīng) 用用 系系 統(tǒng)統(tǒng) 開開 發(fā)發(fā) 安安 全全 管管 理理 通通 則則 》》 概述 信息系統(tǒng)的許多的安全控制或者是安全性是通過系統(tǒng)的開發(fā)設(shè)計予以實現(xiàn)的。 從而進一步保障 x 業(yè)務(wù)的持續(xù)運營，保護 x 信息資產(chǎn)安全，即保護軟件及信息的完整性，維護信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備 ，降低系統(tǒng)故障風險。 1. 《建筑設(shè)計防火規(guī)范》（ GBJ1687） 2. 《高層民用建筑設(shè)計防火規(guī)范》（ GB5004597） 3. 《建筑內(nèi)部裝修設(shè)計防火規(guī)范》（ GB50222_95） 4. 《建筑防雷設(shè)計規(guī)范》（ GB50057） 錯誤 !文檔中沒有指定樣式的文字。 d) 保證開發(fā)的進度和按時完成。 既浪費了資源，又浪費了時間。 錯誤 !文檔中沒有指定樣式的文字。 c) 以書面的方式將員工的權(quán)限和相應(yīng)的責任提交給員工本人。 d) 應(yīng)該對重要的敏感信息進行加密的保護。 建立系統(tǒng)開發(fā)安全需求分析報告 a) 安全需求計劃應(yīng)該能夠達到期望的安全安全水平 。 f) 業(yè)務(wù)需求是系統(tǒng)更新和改動的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對不允許在業(yè)務(wù)需求未經(jīng)過業(yè)務(wù)部門領(lǐng)導(dǎo)和主要負責人員的認可的情況下，盲目的進行開發(fā)工作。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機和客戶端之間通訊的安全性。近來 ，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長，容量規(guī)劃變動效果不是非常顯著，有時甚至毫無用處。這些本可以避免的錯誤常常會導(dǎo)致很多安全漏洞， 從而威脅信息的保密性、完整性和可用性。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。 注釋代碼 (mented code) 當應(yīng)用程序在實際環(huán)境中開始應(yīng)用時，應(yīng)該刪除所有的注釋代碼。例如下面就是一個不安全的 URL： PASSWORDamp。 Taint 驗證 Perl 版本 包含一個叫做 Taint Checking 的數(shù)據(jù)驗證措施。 16 常是由于 Perl 解釋器要求所有腳本引用的外部程序的完全路徑必須在 PATH環(huán)境變量中列出，同時 PATH 中包含的每個目錄除了目錄的所有者及相應(yīng)的所有者用戶組外無法修改。如何使用安全模式超出了本文的范圍，但是程序員應(yīng)該在任何時候盡量使用這一功能。 而且它有可能將敏感信息透露給攻擊者。例如程序員在 文件中定義包的安全時必須十分小心。 這是通過 Java 政策文件實現(xiàn)的。 緩沖區(qū)溢出 避免使用不執(zhí)行邊界檢查的字符串函數(shù)，因為它們可能被用來進行緩沖區(qū)溢出攻擊。然而即使使用 snprintf()替換 sprintf()也無法完全保護程序不受格式 化字符串的攻擊。這是因為 system()接收整個命令行的隨機的緩沖區(qū)來執(zhí)行程序。同樣它在 Emacs命令中使用完全的路徑而不是使用可以被攻擊者利用的 PATH 環(huán)境變量。文件描述符使得惡意的用戶在文件打開時或是在原始的進程對文件進行操作前，無法使用文件連接（符號式的或是物理的）來改變文件。正如前面指出的，最好的方法之一是讓盡可能多的人來檢查代碼（而不是在 QA 環(huán)境中實際進行白箱或者黑箱測試）。 c) 容易使用 － 大多數(shù)情況下，程序員只需要將工具指定到特定的代碼上然后選擇“掃描”。 printf(buffer, variable)。和 Pscan 類似，該程序可以發(fā)現(xiàn)很多種類型的錯誤，除了 printf()和標準的字符串函數(shù)，它還可以發(fā)現(xiàn)競爭條件和系統(tǒng)調(diào)用。 b) 只有指定的人員如程序庫管理員經(jīng)過適當?shù)墓芾硎跈?quán)后才可以訪問運作程序庫，對運作程序庫的訪問必須結(jié)合進行嚴格的訪問控制技術(shù)手段和雙重訪問控制機制。 管理源程序庫 我們通常將直接由程序設(shè)計語言編制而成的程序稱之為源程序。 c) 各項應(yīng)用均應(yīng)當指定相應(yīng)的管理員。 b) 對于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進行檢查，為了有效的進行控制，組織應(yīng)當建立更改控制審批程序， 對更改的申請、評審、測試、批準、更改的計劃的提出和實施提出明確要求并嚴格的實施，確保安全性與控制程序不被損害，程序設(shè)計人員只能訪問他們工作所必需的部分，確保任何的改動都是經(jīng)過審批的。 ? 保證所有的應(yīng)用系統(tǒng)升級的版本的控制。 c) 源程序相關(guān)信息可以幫助我們確認系統(tǒng)問題的根源，并且一旦掌握了系統(tǒng)源程序相關(guān)信息可以清楚地了解系統(tǒng)的運行邏輯和可能的薄弱點。 b) 使用軟件加鎖技術(shù)防止不同版本的覆蓋的情況。 ? 惡意后門 — — 由設(shè)計者故意設(shè)置的機關(guān)，用來監(jiān)視用戶的秘密甚至與破壞應(yīng)用系統(tǒng)。 b) 檢驗和驗證源程序和源代碼。 對軟硬件的測試必須事先有正式的測試計劃。 從系統(tǒng)開發(fā)的角度而言，系統(tǒng)測試是指由系統(tǒng) 開發(fā)人員（程序員和其它技術(shù)人員）進行的旨在確保系統(tǒng)各個模塊能夠正常運行（模塊測試）以及系統(tǒng)整體能夠正常運行的測試過程。在現(xiàn)實中， UAT 需要有周密詳盡和準確的測試計劃，特別是驗收的標準必須非常詳細。 ? “致命問題” 如果該程度錯誤發(fā)生，則測試不能繼續(xù) ? “重大問題” 測試可以繼續(xù)，但是系統(tǒng)不能上線 ? “主要問題” 測試可以繼續(xù)，但是如果不解決該問題，則系統(tǒng)上線后，可能對業(yè)務(wù)流程有嚴重破壞。 如果當有不一致的時候有預(yù)先的準備。 ? 工作人員在兩個環(huán)境里面切換，則容易操作失誤，引起不必要的麻煩。 d) 紀錄下測試數(shù)據(jù)的復(fù)制、使用和刪除的情況，以便于審查追蹤。 撰寫新系統(tǒng)和系統(tǒng)改進的文檔 如果缺乏足夠的文檔，當系統(tǒng)發(fā)生問題的時候，只能憑經(jīng)驗解決，而有可能會錯上加錯。例如開發(fā)商應(yīng)該通過了 ISO9001 質(zhì)量管理體系認證或軟件成熟度 CMM 等級。 c) 應(yīng)該與外包的供應(yīng)商確定軟件開發(fā)后的使用許可、代碼的所有權(quán)和相關(guān)知識產(chǎn)權(quán)的歸屬問題。 a) 所有新 系統(tǒng)和系統(tǒng)改進都必須有充分的最新的文檔支持，如果文檔沒有具備則系統(tǒng)不能上線。否則就有可能導(dǎo)致非常嚴重的問題，甚至使企業(yè)的日常運營中止。 為測試使用真實的數(shù)據(jù) 測試的數(shù)據(jù)通常情況下是虛構(gòu)的，但是有時候需要使用實際的操作或運作的數(shù)據(jù)，當該數(shù)據(jù)含有企業(yè)敏感信息的時候，如果不加以控制，會造成數(shù)據(jù)的泄漏。事實上，沒有一個系統(tǒng)是完美無缺的，因此最終用戶和系統(tǒng)開發(fā)上必須就每一類錯誤的數(shù)量有一個上限。 ? “次要問題” 可以繼續(xù)測試和上線，但這些問題必須修正，同時這些問題對業(yè)務(wù)流程沒有或者很少有影響。 a) 盡管系統(tǒng)的用戶接受測試計劃可能隨著系統(tǒng)的不同而不同，但是一般而言，測試必須涵蓋所有今后實際運行中可能發(fā)生的事件。同時還測試系統(tǒng)的模塊和模塊之間，功能和功能之間的接口的正確性。并且測 試計劃還需要覆蓋除此之外的測試內(nèi)容和結(jié)果，使之更加全面。 e) 使用可靠的開發(fā)人員操作密鑰系統(tǒng)。特洛伊木馬可以放置在正常的文件或程序中，當用戶打開或執(zhí)行它的時候，它就會自動的安