【正文】 的版本的升級，此時需確認當前的版本為最新的版本，舊的版本需進行歸檔，不得隨意丟棄或刪除。d) 應(yīng)用系統(tǒng)軟件版本升級計劃，制定相關(guān)的升級計劃，確保將系統(tǒng)升級對業(yè)務(wù)的影響降至最低。e) 應(yīng)用系統(tǒng)軟件版本升級實施。 版本的控制管理規(guī)范a) 版本變更需提出申請，詳見 “在軟件開發(fā)過程變更管理規(guī)范”。b) 使用軟件加鎖技術(shù)防止不同版本的覆蓋的情況。c) 當版本變更時需要在更新的版本中記錄變更的詳細描述。d) 提供版本的合并功能。e) 版本的更改只允許指定的人員進行操作。f) 紀錄所有的版本變更的日志，記錄包括了更改日期，更改前版本號，更改后版本號，更改人，審批人等信息。25 / 39 開發(fā)日志審核管理規(guī)范 開發(fā)日志定期的審計和人員權(quán)限的定期審核 開發(fā)日志定期審計a) 系統(tǒng)開發(fā)中的相關(guān)日志文件根據(jù)開發(fā)周期定期審核 開發(fā)人員權(quán)限定期審計b) 開發(fā)人員權(quán)限每 3 個月審核一次； 防御后門代碼或隱藏通道相關(guān)規(guī)范? 后門代碼和隱藏通道介紹a) 后門代碼，主要指由攻擊者在未經(jīng)過許可的情況下，植入計算機系統(tǒng)的程序。利用調(diào)用環(huán)境的權(quán)利進行與其實際用途無關(guān)的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類型的后門程序：? 調(diào)試后門——為了方便調(diào)試而設(shè)置的機關(guān)，系統(tǒng)調(diào)試后未能及時消除。? 維護后門——為了方便遠程維護所設(shè)置的后門，被黑客惡意的利用。? 惡意后門——由設(shè)計者故意設(shè)置的機關(guān)，用來監(jiān)視用戶的秘密甚至與破壞應(yīng)用系統(tǒng)。? 特洛伊木馬也屬于后門的一種，它是黑客攻擊計算機的重要手段之一。特洛伊木馬可以放置在正常的文件或程序中，當用戶打開或執(zhí)行它的時候，它就會自動的安裝在計算機上，使得某些人通過 Inter 訪問該計算機成為可能，使計算機處于一種非常危險的狀態(tài)。b) 隱藏通道，主要指在計算機安全技術(shù)中，一種允許某個進程在違反安全規(guī)則的狀態(tài)下傳遞信息的通道。隱藏通道可以通過某些直接的或間接的方法暴露信息?，F(xiàn)在使用的應(yīng)用系統(tǒng)中大多數(shù)都包含一定程度的隱藏通道，他們當中許多是無害的，像特殊的組合健可以給出軟件制作者的信息，但也有些是有害的，因此必須進行相應(yīng)的防范。 防御后門代碼和隱藏通道的相關(guān)辦法a) 從信譽好的軟件供應(yīng)商那里購買相關(guān)的軟件或程序。b) 檢驗和驗證源程序和源代碼。c) 在系統(tǒng)正式投入使用之前進行評估，如一些行業(yè)的標準認證評估(產(chǎn)品安全認證、CMM 認證等)d) 在系統(tǒng)正式投入使用后，嚴格管理源代碼的訪問、升級和修改。e) 使用可靠的開發(fā)人員操作密鑰系統(tǒng)。f) 不要隨便從一些不知名的網(wǎng)站上下載軟件。g) 不要過于相信別人，不能隨便安裝別人給的軟件，特別是不能隨便打開電子郵件中的附件。特別是一些可執(zhí)行文件必須先進行病毒及惡意代碼的掃描。h) 安裝并正確的使用有關(guān)的特洛伊木馬的監(jiān)測和查殺程序，現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能，比較流程的專門用于查殺特洛伊木馬的程序主要有 Lockdown202The Cleaner、Trojian Defence Suit 等。27 / 39 系統(tǒng)測試階段安全規(guī)范 應(yīng)用系統(tǒng)的安全性檢測規(guī)范 設(shè)計詳細的測試計劃，測試范圍，測試方法和測試工具。對軟硬件的測試必須事先有正式的測試計劃。測試計劃的一個關(guān)鍵點是測試計劃文檔不僅要包含測試的內(nèi)容同時還需要包含測試預(yù)期的結(jié)果。并且測試計劃還需要覆蓋除此之外的測試內(nèi)容和結(jié)果，使之更加全面。測試完成以后，則需要對測試結(jié)果進行評估，確定其結(jié)果是否達到了預(yù)定的標準。如果不達到標準，則需要對測試結(jié)果劃分一個錯誤嚴重性等級，因為如果沒有該等級，則無法對結(jié)果有一個很客觀的結(jié)論。 測試種類測試的過程需要用戶的參與以確保系統(tǒng)達到了業(yè)務(wù)上的需求和用戶使用的需求。因此主要分為系統(tǒng)測試和用戶接受測試 系統(tǒng)測試系統(tǒng)測試有很多種定義。一般而言系統(tǒng)測試可以定義為：在人工環(huán)境下，測試系統(tǒng)是否能夠達到預(yù)期的要求的測試方法。從系統(tǒng)開發(fā)的角度而言，系統(tǒng)測試是指由系統(tǒng)開發(fā)人員（程序員和其它技術(shù)人員）進行的旨在確保系統(tǒng)各個模塊能夠正常運行（模塊測試）以及系統(tǒng)整體能夠正常運行的測試過程。系統(tǒng)測試必須確保系統(tǒng)的每一個功能都能夠正確運行，并對所有的程序錯誤逐一分析。同時還測試系統(tǒng)的模塊和模塊之間，功能和功能之間的接口的正確性。需要注意的是系統(tǒng)測試不對系統(tǒng)總體的功能負責，而只需要達到特使計劃中規(guī)定的測試準則即可。a) 系統(tǒng)負載測試，負載表示對系統(tǒng)得要求，一般包括以下因素：? 程序和數(shù)據(jù)的總體存儲容量? ?并發(fā)運行的應(yīng)用程序數(shù)量? 并發(fā)用戶的數(shù)量，峰值，槽值和平均值? 外設(shè)數(shù)量并且，確定硬件的規(guī)模比較復(fù)雜，在確定了上述因素以后，還需要確定其它類似響應(yīng)時間等因素。b) 壓力測試壓力測試用于確定系統(tǒng)的薄弱環(huán)節(jié)，確定系統(tǒng)在非正常條件下能夠迅速回復(fù)到正常的運行狀態(tài)的能力，類似的非正常條件可能是在系統(tǒng)宕機、網(wǎng)絡(luò)故障或者高峰載荷下的數(shù)據(jù)處理。 用戶接受測試－ UAT用戶接受測試是用戶對新系統(tǒng)或者系統(tǒng)改動正式驗收測試的過程，是任何系統(tǒng)開發(fā)項目都需要經(jīng)歷的重要階段并且它還需要終端用戶的大力參與。在現(xiàn)實中，UAT 需要有周密詳盡和準確的測試計劃，特別是驗收的標準必須非常詳細。UAT 的最后部分往往包括并行運行，以比較開放系統(tǒng)和原有系統(tǒng)。a) 盡管系統(tǒng)的用戶接受測試計劃可能隨著系統(tǒng)的不同而不同，但是一般而言，測試必須涵蓋所有今后實際運行中可能發(fā)生的事件。測試計劃一般可以在系統(tǒng)開發(fā)前制定的用戶需求說明書的基礎(chǔ)上制訂。b) 對任何系統(tǒng)而言，對于出現(xiàn)的問題必須要明確要對這些問題做出哪些應(yīng)對措施以及誰來做這些應(yīng)對措施，例如用戶，項目團隊，供應(yīng)商或者是咨詢顧問等所有可能的項目參與方。c) 為了更好地應(yīng)對測試過程中可能出現(xiàn)地問題，最終用戶和項目團隊必需要協(xié)商制定“錯誤嚴重程度”的范圍。它的取值范圍從 1 到 6，分別表示從業(yè)務(wù)/商業(yè)影響角度評估在系統(tǒng)測試過程中發(fā)現(xiàn)問題。下文是一個成功應(yīng)用的例子，“1”表示最嚴重的錯誤，而 6 則表示最輕微的影響。? “致命問題”如果該程度錯誤發(fā)生，則測試不能繼續(xù)? “重大問題”測試可以繼續(xù)，但是系統(tǒng)不能上線? “主要問題”測試可以繼續(xù)，但是如果不解決該問題，則系統(tǒng)上線后，可能對業(yè)務(wù)流程有嚴重破壞。? “一般性問題”除了這些問題會對既定的業(yè)務(wù)流程有一些輕微偏離外，測試可以繼續(xù)，并且系統(tǒng)也可以上線。? “次要問題”可以繼續(xù)測試和上線，但這些問題必須修正，同時這些問題對業(yè)務(wù)流程沒有或者很少有影響。? “粉飾性問題” 類似顏色，字體等問題，如果這些問題對于業(yè)務(wù)需求而言特別重要，則需要將這些問題提高到較高層次。? 系統(tǒng)的用戶在征得主辦項目的高層領(lǐng)導(dǎo)意見的前提下必須就每類錯誤需要采取的行動和各自需要承擔的責任等問題取得一致。例如，可以要求馬上解決嚴重程度為1的問題并停止所有測試計劃直到該層次的問題解決。注意事項：就算錯誤嚴重程度確定以后的問題已經(jīng)萬無一失了，但是怎樣確定錯誤嚴重程度還是一個頭疼的問題。為了避免類似分級問題的風險，我們建議在測試規(guī)劃中給出每一類問題的例子，以避免對問題分級出現(xiàn)根本性的不一致。如果當有不一致的時候有預(yù)先的準備。最后，非常關(guān)鍵的一點是確定用戶接受的準則。事實上，沒有一個系統(tǒng)是完美無缺的，因此最終用戶和系統(tǒng)開發(fā)上必須就每一類錯誤的數(shù)量有一個上限。注意：有些情況下用戶可能會有條件接受。這些條件可能增加了工作范圍。在這種情況下以及所有對系統(tǒng)的修正都需要非常嚴格的用戶接受測試和必要的回歸測試。29 / 39 在測試的過程中詳細的描述每個和測試方案相關(guān)的測試步驟和測試數(shù)據(jù)將所有的測試數(shù)據(jù)進行整理歸檔，將出錯的紀錄進行分析，確認問題產(chǎn)生的原因并編寫問題報告。 控制測試環(huán)境控制系統(tǒng)測試環(huán)境和實際工作環(huán)境隔離的控制處理，否則? 未經(jīng)確認的軟件修改會導(dǎo)致出現(xiàn)無法預(yù)料的問題。? 工作人員在兩個環(huán)境里面切換，則容易操作失誤，引起不必要的麻煩。? 一邊做開發(fā)以便做系統(tǒng)測試，容易導(dǎo)致對系統(tǒng)狀態(tài)的錯誤估計。 為測試使用真實的數(shù)據(jù)測試的數(shù)據(jù)通常情況下是虛構(gòu)的，但是有時候需要使用實際的操作或運作的數(shù)據(jù)，當該數(shù)據(jù)含有企業(yè)敏感信息的時候，如果不加以控制，會造成數(shù)據(jù)的泄漏。當處于測試目的而使用真實的敏感的數(shù)據(jù)時，可以采用以下措施保護測試數(shù)據(jù)的安全：a) 對測試的系統(tǒng)進行嚴格的訪問控制。只允許小部分的測試人員進行測試。且對于測試的人員按需要簽訂安全保密協(xié)議。b) 每一次將真實的運作信息復(fù)制到測試系統(tǒng)時間均需要一個單獨的授權(quán)過程。c) 測試完成后，應(yīng)當立即將相關(guān)數(shù)據(jù)從測試的應(yīng)用系統(tǒng)中刪除。d) 紀錄下測試數(shù)據(jù)的復(fù)制、使用和刪除的情況，以便于審查追蹤。 在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進行測試在軟件程序上線投入使用之間，必須采取切實的措施保證這些軟件接受了足夠的測試和記錄。否則就有可能導(dǎo)致非常嚴重的問題，甚至使企業(yè)的日常運營中止。必須牢固樹立類似的觀點。 應(yīng)用系統(tǒng)安全質(zhì)量鑒定目前國際上公認的開發(fā)質(zhì)量驗證標準主要有兩種，可以根據(jù)這兩種標準確認系統(tǒng)是否已經(jīng)達到了這兩種標準的要求：a) ISO 9000 認證體系b) 軟件開發(fā)能力成熟度模型(CMM)31 / 39 系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范 新系統(tǒng)的培訓(xùn)a) 對所有的用戶和技術(shù)人員提供關(guān)于新系統(tǒng)功能和操作方面的培訓(xùn)。必須保證所有的技術(shù)和業(yè)務(wù)用戶接受足夠的關(guān)于新系統(tǒng)或者系統(tǒng)改進的培訓(xùn)。b) 培訓(xùn)需要有側(cè)重，而不是面面俱到，人人俱到c) 關(guān)于理解和應(yīng)用系統(tǒng)的安全性方面的培訓(xùn)必須擺在十分重要的位置。 撰寫新系統(tǒng)和系統(tǒng)改進的文檔如果缺乏足夠的文檔，當系統(tǒng)發(fā)生問題的時候，只能憑經(jīng)驗解決，而有可能會錯上加錯。同樣文檔的不完整，不及時更新也會對系統(tǒng)的維護能力造成致命的影響。a) 所有新系統(tǒng)和系統(tǒng)改進都必須有充分的最新的文檔支持，如果文檔沒有具備則系統(tǒng)不能上線。b) 必須保證新系統(tǒng)和系統(tǒng)改進有詳實的文檔。由于資源和預(yù)算的限制，文檔不充分或者完全沒有是不允許發(fā)生的事情。 應(yīng)用系統(tǒng)開發(fā)外包安全控制如果對于外包(Outsourcing)應(yīng)用系統(tǒng)開發(fā)過程缺乏有效的安全控制，組織就會面臨很多的風險，例如應(yīng)用系統(tǒng)本身的質(zhì)量問題、應(yīng)用系統(tǒng)本身隱藏了特洛伊木馬或隱藏通道等。因此組織必須對開發(fā)外包進行一定的管理確保外包的安全，建議采取以下的控制措施：a) 應(yīng)該選擇一個信譽與質(zhì)量保證能力卓著的軟件開發(fā)商來為自己開發(fā)軟件。例如開發(fā)商應(yīng)該通過了 ISO9001 質(zhì)量管理體系認證或軟件成熟度 CMM等級。b) 應(yīng)該與外包的供應(yīng)商簽訂商務(wù)或技術(shù)合同或協(xié)議，明確軟件的質(zhì)量、知識產(chǎn)權(quán)與安全要求，包括了軟件本身的安全功能與開發(fā)過程的安全控制要求。c) 應(yīng)該與外包的供應(yīng)商確定軟件開發(fā)后的使用許可、代碼的所有權(quán)和相關(guān)知識產(chǎn)權(quán)的歸屬問題。d) 開放商應(yīng)該出具開發(fā)出的應(yīng)用系統(tǒng)的質(zhì)量證明和完成工作的精確性。e) 應(yīng)當在系統(tǒng)正式投入使用之前仔細測試代碼中是否包含了特洛伊木馬程序或隱藏通道。33 / 39附錄附錄 1 參考文獻參考文獻 《電子計算機機房設(shè)計規(guī)范》 (GB5017493) 《電子計算機機房施工及驗收規(guī)范》 (SJ/T3000393) 《計算站場地安全要求》 (GB936188) 《電子計算機場地通用規(guī)范》 (GB28872022) 《計算機機房用活動地板技術(shù)條件》 （GB665086） 《高層民用建筑設(shè)計防火規(guī)范》 （GB5004595） 《建筑設(shè)計防火規(guī)范》 （GBJ1687） 《氣體滅火系統(tǒng)施工及驗收規(guī)范》 （GB50376－97） 《建筑內(nèi)部裝修設(shè)計防火規(guī)范》 （GB5022295） 《建筑物防雷設(shè)計規(guī)范》GB50057_941 《火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范》GBJ116_881 《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》BMB319991 《信息設(shè)備電磁泄漏發(fā)射限值》GGBB119991 《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護要求》BMB520221 《涉及國家秘密的計算機信息系統(tǒng)保密技術(shù)要求》BMB1202