【正文】 e) 應(yīng)當(dāng)在系統(tǒng)正式投入使用之前仔細(xì)測試代碼中是否包含了特洛伊木馬程序或隱藏通道。 c) 應(yīng)該與外包的供應(yīng)商確定軟件開發(fā)后的使用許可、代碼的所有權(quán)和相關(guān)知識產(chǎn)權(quán)的歸屬問題。例如開發(fā)商應(yīng)該通過了 ISO9001 質(zhì)量管理體系認(rèn)證或軟件成熟度 CMM 等級。 32 應(yīng)用系統(tǒng)開發(fā)外包安全控制 如果對于外包 (Outsourcing)應(yīng)用系統(tǒng)開發(fā)過程缺乏有效的安全控制，組織就會面臨很多的風(fēng)險，例如應(yīng)用系統(tǒng)本身的質(zhì)量問題、應(yīng)用系統(tǒng)本身隱藏了特洛伊木馬或隱藏通道等。 由于資源和預(yù)算的限制，文檔不充分或者完全沒有是不允許發(fā)生的事情。 a) 所有新 系統(tǒng)和系統(tǒng)改進都必須有充分的最新的文檔支持，如果文檔沒有具備則系統(tǒng)不能上線。 撰寫新系統(tǒng)和系統(tǒng)改進的文檔 如果缺乏足夠的文檔，當(dāng)系統(tǒng)發(fā)生問題的時候，只能憑經(jīng)驗解決，而有可能會錯上加錯。 必須保證所有的技術(shù)和業(yè)務(wù)用戶接受足夠的關(guān)于新系統(tǒng)或者系統(tǒng)改進的培訓(xùn)。 錯誤 !文檔中沒有指定樣式的文字。否則就有可能導(dǎo)致非常嚴(yán)重的問題，甚至使企業(yè)的日常運營中止。 d) 紀(jì)錄下測試數(shù)據(jù)的復(fù)制、使用和刪除的情況，以便于審查追蹤。 b) 每一次將真 實的運作信息復(fù)制到測試系統(tǒng)時間均需要一個單獨的授權(quán)過程。只允許小部分的測試人員進行測試。 為測試使用真實的數(shù)據(jù) 測試的數(shù)據(jù)通常情況下是虛構(gòu)的，但是有時候需要使用實際的操作或運作的數(shù)據(jù)，當(dāng)該數(shù)據(jù)含有企業(yè)敏感信息的時候，如果不加以控制，會造成數(shù)據(jù)的泄漏。 ? 工作人員在兩個環(huán)境里面切換，則容易操作失誤，引起不必要的麻煩。 在測試的過程中詳細(xì)的描述每個和測試方案相關(guān)的測試步驟和測試數(shù)據(jù) 將所有的測試數(shù)據(jù)進行整理歸檔，將出錯的紀(jì)錄進行分析，確認(rèn)問題產(chǎn)生的原因并編寫問題報告。 這些條件可能增加了工作范圍。事實上，沒有一個系統(tǒng)是完美無缺的，因此最終用戶和系統(tǒng)開發(fā)上必須就每一類錯誤的數(shù)量有一個上限。 如果當(dāng)有不一致的時候有預(yù)先的準(zhǔn)備。 注意事項： 就算錯誤嚴(yán)重程度確定以后的問題已經(jīng)萬無一失了，但是怎樣確定錯誤嚴(yán)重程度還是一個頭疼的問題。 ? 系統(tǒng)的用戶在征得主辦項目的高層領(lǐng)導(dǎo)意見的前提下必須就每類錯誤需要采取的行動和各自需要承擔(dān)的責(zé)任等問題取得一致。 ? “次要問題” 可以繼續(xù)測試和上線，但這些問題必須修正，同時這些問題對業(yè)務(wù)流程沒有或者很少有影響。 ? “致命問題” 如果該程度錯誤發(fā)生，則測試不能繼續(xù) ? “重大問題” 測試可以繼續(xù)，但是系統(tǒng)不能上線 ? “主要問題” 測試可以繼續(xù)，但是如果不解決該問題，則系統(tǒng)上線后，可能對業(yè)務(wù)流程有嚴(yán)重破壞。它的取值范圍從 1 到 6，分別表示從業(yè)務(wù) /商業(yè)影響角度評估在系 統(tǒng)測試過程中發(fā)現(xiàn)問題。 b) 對任何系統(tǒng)而言，對于出現(xiàn)的問題必須要明確要對這些問題做出哪些應(yīng)對措施以及誰來做這些應(yīng)對措施，例如用戶，項目團隊，供應(yīng)商或者是咨詢顧問等所有可能的項目參與方。 a) 盡管系統(tǒng)的用戶接受測試計劃可能隨著系統(tǒng)的不同而不同，但是一般而言，測試必須涵蓋所有今后實際運行中可能發(fā)生的事件。在現(xiàn)實中， UAT 需要有周密詳盡和準(zhǔn)確的測試計劃，特別是驗收的標(biāo)準(zhǔn)必須非常詳細(xì)。 錯誤 !文檔中沒有指定樣式的文字。 a) 系統(tǒng)負(fù)載測試，負(fù)載表示對系統(tǒng)得要求，一般包括以下因素： ? 程序和數(shù)據(jù)的總體存儲容量 ? 并發(fā)運行的應(yīng)用程序數(shù)量 ? 并發(fā)用戶的數(shù)量，峰值，槽值和平均值 ? 外設(shè)數(shù)量 并且，確定硬件 的規(guī)模比較復(fù)雜，在確定了上述因素以后，還需要 確定其它類似響應(yīng)時間等因素。同時還測試系統(tǒng)的模塊和模塊之間，功能和功能之間的接口的正確性。 從系統(tǒng)開發(fā)的角度而言，系統(tǒng)測試是指由系統(tǒng) 開發(fā)人員（程序員和其它技術(shù)人員）進行的旨在確保系統(tǒng)各個模塊能夠正常運行（模塊測試）以及系統(tǒng)整體能夠正常運行的測試過程。因此主要分為系統(tǒng)測試和用戶接受測試 系統(tǒng)測試 系統(tǒng)測試有很多種定義。 如果不達到標(biāo)準(zhǔn)，則需要對測試結(jié)果劃分一個錯誤嚴(yán)重性等級，因為如果沒有該等級，則無法對結(jié)果有一個很客觀的結(jié)論。并且測 試計劃還需要覆蓋除此之外的測試內(nèi)容和結(jié)果，使之更加全面。 對軟硬件的測試必須事先有正式的測試計劃。 h) 安裝并正確的使用有關(guān)的特洛伊木馬的監(jiān)測和查殺程序，現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能，比較流程的專門用于查殺特洛伊木馬的程序主要有 Lockdown20 The Cleaner、 Trojian Defence Suit 等。 g) 不要過于相信別人，不能隨便安裝別人給的軟件，特別是不能隨便打開電子郵件中的附件。 e) 使用可靠的開發(fā)人員操作密鑰系統(tǒng)。 b) 檢驗和驗證源程序和源代碼。 錯誤 !文檔中沒有指定樣式的文字。隱藏通道可以通過某些直接的或間接的方法暴露信息。特洛伊木馬可以放置在正常的文件或程序中，當(dāng)用戶打開或執(zhí)行它的時候，它就會自動的安裝在計算機上，使得某些人通過 Inter 訪問該計算機成為可能，使計算機處于一種非常危險的狀態(tài)。 ? 惡意后門 — — 由設(shè)計者故意設(shè)置的機關(guān)，用來監(jiān)視用戶的秘密甚至與破壞應(yīng)用系統(tǒng)。利用調(diào)用環(huán)境的權(quán)利進行與其實際用途無關(guān)的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類型的后門程序： ? 調(diào)試后門 —— 為了方便調(diào)試而設(shè)置的機關(guān)，系統(tǒng)調(diào)試后未能及時消除。 f) 紀(jì)錄所有的版本變更的日志，記錄包括了更改日期，更改前版本號，更改后版本號，更改人，審批人等信息。 d) 提供版本的合并功能。 b) 使用軟件加鎖技術(shù)防止不同版本的覆蓋的情況。 e) 應(yīng)用系統(tǒng)軟件版本升級實施。 c) 應(yīng)用系統(tǒng)軟件版本審批，確認(rèn)對應(yīng)用系統(tǒng)的版本的升級，此時需確認(rèn)當(dāng)前的版本為最新的版本，舊的版本需進行歸 檔，不得隨意丟棄或刪除。 版本升級控制規(guī)范 a) 應(yīng)用系統(tǒng)軟件開發(fā)版本升級申請，當(dāng)軟件的版本由于更新，修改等操作需要升級時必須先向相關(guān)負(fù)責(zé)人員提交申請。 c) 源程序相關(guān)信息可以幫助我們確認(rèn)系統(tǒng)問題的根源，并且一旦掌握了系統(tǒng)源程序相關(guān)信息可以清楚地了解系統(tǒng)的運行邏輯和可能的薄弱點。 b) 對應(yīng)用系統(tǒng)開發(fā)源程序的打印的資料、電子版本或者是相關(guān)的報告都必須進行控制，紙質(zhì)的文件應(yīng)當(dāng)保存在一個 安全的環(huán)境下，如保險柜等。 錯誤 !文檔中沒有指定樣式的文字。 ? 確保用戶使用手冊作相應(yīng)的必要的更改。 ? 保證所有的應(yīng)用系統(tǒng)升級的版本的控制。 ? 確 保在實施的過程中，盡量的減少對現(xiàn)行的商務(wù)運作系統(tǒng)的影響。 ? 在正式的實施之前，更改的方案必須經(jīng)過評審并通過正式的批準(zhǔn)。 ? 清晰的確認(rèn)更改的原因 (業(yè)務(wù)上的具體流程和具體的需求或開發(fā)上的需求 ) ? 由授權(quán)的用戶提交更改的申請。 b) 對于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進行檢查，為了有效的進行控制，組織應(yīng)當(dāng)建立更改控制審批程序， 對更改的申請、評審、測試、批準(zhǔn)、更改的計劃的提出和實施提出明確要求并嚴(yán)格的實施，確保安全性與控制程序不被損害，程序設(shè)計人員只能訪問他們工作所必需的部分，確保任何的改動都是經(jīng)過審批的。 在軟件開發(fā)過程變更管理規(guī)范 a) 系統(tǒng)容易受到更改的攻擊，即使是完全授權(quán)的更改也可能存在破壞性的影響，存在數(shù)據(jù)完整性的損失、應(yīng)用系統(tǒng)的不可用以及機密信息的泄漏的風(fēng)險。 g) 源程序庫的更新和向程序員發(fā)布的源程序應(yīng)當(dāng)由指定的管理員根據(jù)一定的授權(quán)進行，不得私自自行更新或發(fā)放 。 e) 源程序庫和運作程序庫盡量分開存放并且分開管理。 c) 各項應(yīng)用均應(yīng)當(dāng)指定相應(yīng)的管理員。如果源程序沒有 很好的保護，會造成系統(tǒng)及其設(shè)置會遭到未經(jīng)授權(quán)的訪問并造成系統(tǒng)的安全性可靠性大大下降。因此為了降低計算機程序被破壞的可能性，應(yīng)對源程序庫的訪問進行嚴(yán)格的控制： 錯誤 !文檔中沒有指定樣式的文字。因此源程序包含了系統(tǒng)及其控制如何實現(xiàn)的細(xì)節(jié)，為未授修改系統(tǒng)提供了很好的切入點，例如設(shè)置邏輯炸彈。 管理源程序庫 我們通常將直接由程序設(shè)計語言編制而成的程序稱之為源程序。其總需要進行認(rèn)證的兩個人彼此不知道對方的認(rèn)證 口令或步驟。 建立雙重訪問控制機制 雙重訪問控制機制就是對運作程序庫的管理需要兩個人同時進行認(rèn)證才可以通過的方式。 b) 嚴(yán)格管理開發(fā)用途的計算機使用，只有指定的人員才可以訪問開發(fā)用的計算機設(shè)備。 b) 只有指定的人員如程序庫管理員經(jīng)過適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問運作程序庫，對運作程序庫的訪問必須結(jié)合進行嚴(yán)格的訪問控制技術(shù)手段和雙重訪問控制機制。 控制軟件代碼程序庫 管理運作程序庫 我們通常將用于系統(tǒng)開發(fā)的開發(fā)軟件工具和開發(fā)平臺稱之為運作程序，因此為了降低計算機程序被破壞的可能性，應(yīng)對運作程序庫的訪問進行嚴(yán)格的控制： a) 嚴(yán)格的管理在開發(fā)設(shè)備上的存放開發(fā)運作程序的目錄。 總之， Flawofinder 是一個相當(dāng)出色的 C 程序檢查工具，速度會，界面友好，返回信息豐富，安裝使用相對簡單。而這對于程序員來說非常重要。和 Pscan 類似，該程序可以發(fā)現(xiàn)很多種類型的錯誤，除了 printf()和標(biāo)準(zhǔn)的字符串函數(shù)，它還可以發(fā)現(xiàn)競爭條件和系統(tǒng)調(diào)用。 總體而言 Pscan 程序相對簡單，易于使用，同時針對性很強，但是由于它能夠適用的范圍過于狹窄因此一般不推薦其在大型商業(yè)應(yīng)用中使用，而只是檢查一些相對簡單的程序片斷。 Pscan 程序相對簡單，它只將結(jié)果返回都標(biāo)準(zhǔn)輸出，當(dāng)然也可以將其輸出到文件，并且除了說明程序員應(yīng)該怎樣修正錯誤以外不給出語句為什么出錯等類似的信息。 Pscan 的一個不足是不能發(fā)現(xiàn)由于越界檢查不充分而引起的常規(guī)性緩沖區(qū)溢出。 printf(buffer, variable)。該程序檢查所有用到標(biāo)準(zhǔn) C 程序庫中的 printf()函數(shù)。另外，這 些工具都可以免費獲得，甚至可以獲得它們的源代碼，所以不需考慮它們的成本。 d) 報表 － 掃描結(jié)果應(yīng)該以一種容易理解的格式來顯示，并且最好同時提示修改每個問題的方法，并附加理由。 c) 容易使用 － 大多數(shù)情況下，程序員只需要將工具指定到特定的代碼上然后選擇“掃描”。我們比較了每個工具的測試結(jié)果，并且仔細(xì)檢查了以下的屬性： a) 靈活性 － 有多種選項并能掃描多種類型的代碼的工具得 分會較高 錯誤 !文檔中沒有指定樣式的文字。本文介紹了一些這方面的工具。這些錯誤可能會對整個系統(tǒng)導(dǎo)致重大的安全問題。正如前面指出的，最好的方法之一是讓盡可能多的人來檢查代碼（而不是在 QA 環(huán)境中實際進行白箱或者黑箱測試）。如果該文件損壞了，那么這種情況是合理的，但如果該文件存在只是無法訪問，那么這就是一個大問題。 檢驗有效的返回值 檢驗有效的返回值非常重要。它幾乎可以建立原子級的 操作。文件描述符使得惡意的用戶在文件打開時或是在原始的進程對文件進行操作前，無法使用文件連接（符號式的或是物理的）來改變文件。另外權(quán)限低的程序也存在安全風(fēng)險，因為攻擊者可能會等 待有較高權(quán)限的用戶執(zhí)行那個程序 (例如 root)，然后進行攻擊。攻擊主要集中在有較大權(quán)限的程序上（稱為 setuid 程序）。這會導(dǎo)致不可預(yù)測的結(jié)果。同樣它在 Emacs命令中使用完全的路徑而不是使用可以被攻擊者利用的 PATH 環(huán)境變量。 而 exec()函數(shù)只保證第一個參數(shù)被執(zhí)行： execl(usr/bin/emacs, usr/bin/emacs, filename, NULL)。 rm *，這將在顯示 /etc/hosts 目錄文件的同時，刪除目錄中的所有文件。 system(buffer)。這是因為 system()接收整個命令行的隨機的緩沖區(qū)來執(zhí)行程序。首先攻擊者必須能獲得內(nèi)存棧的內(nèi)容情況（或者從應(yīng)用導(dǎo)出或者使用調(diào)試器），然好必須知道如何精確訪問特定的內(nèi)存空間來操縱棧中的變量。對以上的例子建議使用下面的代碼。例如，以下的代碼就是不安全的： snprintf(buffer, sizeof(buffer), string) 這種情況下，可以在字符串中插入格式說明符來操縱內(nèi)存的棧，來寫入攻擊者的數(shù)據(jù)（這些數(shù)據(jù)中包含小的程序代碼，并可由處理器接著執(zhí)行）。然而即使使用 snprintf()替換 sprintf()也無法完全保護程序不受格式 化字符串的攻擊。這些替換方程強制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類型。 18 ? 不使用 strcat()，使用 strncat() ? 不使用 sprintf()，使用 snprintf() ? 不使用 gets()，使用 fgets() 在上面的前三個中函數(shù)中，每個替代函數(shù)的“ n”表示了使用的緩沖區(qū)的大小。同時，也列出了每個函數(shù)相應(yīng)的比較安全的替換方式。 緩沖區(qū)溢出 避免使用不執(zhí)行邊界檢查的字符串函數(shù)，因為它們可能被用來進行緩沖區(qū)溢