【正文】 出攻擊。但是，由于其靈活性、快速和相對(duì)容易掌握，它是一個(gè)廣泛使用的編程語(yǔ)言。 C/C++ 語(yǔ)言安全規(guī)范 C 本質(zhì)上是不安全的編程語(yǔ)言。例如可以限制應(yīng)用程序只能修改名字是foo 的文件。 這是通過(guò) Java 政策文件實(shí)現(xiàn)的。 政策文件 Java 內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。如果從一個(gè)密封 (sealing)的 JAR 文件中加載一個(gè)類時(shí)，隨后同一個(gè)包的類只能從該 JAR 文件加載。 另一個(gè)方法是使用 JAR 密封 (sealing) 。例如程序員在 文件中定義包的安全時(shí)必須十分小心。為了保證一個(gè)包的安全性，必須修改 ${JAVA HOME}/jre/lib/security 文件夾中的 文件。 Java 的政策文件支持兩種控制包訪問(wèn)權(quán)限的前綴。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶控制時(shí)才起作用。 而且它有可能將敏感信息透露給攻擊者。它在設(shè)計(jì)時(shí)充分考慮了安全問(wèn)題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的“ sandbox”安全模型，以及在特定主機(jī)上限制應(yīng)用程序的活動(dòng)的安全管理器。一般推薦總是使用 w 參數(shù)。警告可以對(duì)以下情況產(chǎn)生：只使用了一次的變量或者完全沒(méi)有使用過(guò)得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。如何使用安全模式超出了本文的范圍，但是程序員應(yīng)該在任何時(shí)候盡量使用這一功能。這與 chroot 在一個(gè)進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個(gè)子目錄中運(yùn)行類似。安全模塊讓程序員可以在 Perl 腳本中將不同的代碼模塊與安全對(duì)象聯(lián)系。 安全模塊 如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什么情況？例如用戶從網(wǎng)站上下載了一個(gè) ActiveX 控件，而它實(shí)際是一個(gè)特洛伊木馬 (Trojan horse)。 16 常是由于 Perl 解釋器要求所有腳本引用的外部程序的完全路徑必須在 PATH環(huán)境變量中列出，同時(shí) PATH 中包含的每個(gè)目錄除了目錄的所有者及相應(yīng)的所有者用戶組外無(wú)法修改。如果腳本試圖通過(guò)不安全的方式來(lái)使用 tainted 數(shù)據(jù)會(huì)產(chǎn)生一個(gè)致命錯(cuò)誤（對(duì)這種情況稱為“不安全的依賴” (Insecure dependency)或者其他的說(shuō)法）。例如你可以在 Perl 腳本的第一行這樣加入“ T”： !usr/bin/perl5 T Tainted 數(shù)據(jù)包括命令行參數(shù)、環(huán)境變量和來(lái)自文件的數(shù)據(jù)。一般而言，程序員不能信任輸入腳本和程序的數(shù)據(jù)（叫做 Tainted 數(shù)據(jù) ），因?yàn)闊o(wú)法保證它不會(huì)產(chǎn)生危害（有意或者無(wú)意的）。 Taint 驗(yàn)證 Perl 版本 包含一個(gè)叫做 Taint Checking 的數(shù)據(jù)驗(yàn)證措施。另外，大多數(shù) CGI腳本有著比一般用戶更高的權(quán)限，導(dǎo)致它更容易受攻擊。 Perl語(yǔ)言安 全規(guī)范 多年以來(lái)， Perl 已經(jīng)成為用于系統(tǒng)管理和 Web CGI 開(kāi)發(fā)的功能最強(qiáng)的編程語(yǔ)言之一（幾乎可以使用 Perl 做任何功能的程序）。攻擊者可以在攻擊應(yīng)用程序時(shí)使用 PATH 變量，例如試圖執(zhí)行一個(gè)任意的程序。例如下面就是一個(gè)不安全的 URL： PASSWORDamp?！? URL 內(nèi)容 對(duì)于 web 應(yīng)用，不要在 URL 上暴露任何重要信息，例如密碼、服務(wù)器名稱、 IP地址或者文件系統(tǒng)路徑（暴露了 web 服務(wù)器的目錄結(jié)構(gòu)）。如果可能的話，最好使用包含編號(hào)的一般的錯(cuò)誤信息，這種信息只有開(kāi)發(fā)者和 /或支持小組才能理解。無(wú)論如何應(yīng)該在實(shí)際的環(huán)境中刪除它們來(lái)避免意外的執(zhí)行（一般注釋標(biāo)識(shí)被刪除后就無(wú)法激活休眠的代碼，但還是存在可能性的，所以強(qiáng)烈建議執(zhí)行這項(xiàng)工作）。 注釋代碼 (mented code) 當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開(kāi)始應(yīng)用時(shí)，應(yīng)該刪除所有的注釋代碼。難以防止攻擊者使用輸入域或者配置文件（由應(yīng)用程序載入）來(lái)執(zhí)行嵌入式的 SQL 攻擊。 SQL 語(yǔ)句 如果應(yīng)用程序需要連接后端數(shù)據(jù)庫(kù)，使用存儲(chǔ)過(guò)程而不要在代碼中使用 SQL語(yǔ)句。同時(shí)避免在環(huán)境變量中存放敏感數(shù)據(jù)（例如密碼）。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。這樣進(jìn)行驗(yàn)證的原因是定義無(wú)效的字符集比較困難，并且一些不應(yīng)該有效的字符通常不會(huì)被指出。 在實(shí)際的校驗(yàn)中，輸入校驗(yàn)首先定義一個(gè)有效（可接受）的字符集，然后檢查每個(gè)數(shù)據(jù)的字符是否在有效范圍內(nèi)。通過(guò)在客戶端和服務(wù)器之間放置一個(gè)代理服務(wù)器，可以很容易繞過(guò)客戶端驗(yàn)證。這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞， 從而威脅信息的保密性、完整性和可用性。特定語(yǔ)言的指導(dǎo)規(guī)范主要集中在 Perl， Java 和 C/C++語(yǔ)言。 14 系統(tǒng)開(kāi)發(fā)階段安全規(guī)范 系統(tǒng)開(kāi)發(fā)語(yǔ)言安全規(guī)范 程序員可以使用很多指導(dǎo)規(guī)范來(lái)防止應(yīng)用程序中的普通的安全問(wèn)題。在容量估計(jì)的時(shí)候需要盡量將情況設(shè)想得復(fù)雜一些。近來(lái) ，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長(zhǎng)，容量規(guī)劃變動(dòng)效果不是非常顯著，有時(shí)甚至毫無(wú)用處。 b) 在線進(jìn)程的數(shù)量和估計(jì)可能的占用資料 c) 對(duì)于系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時(shí)間和性能，即端對(duì)端系統(tǒng) d) 系統(tǒng)彈性要求和設(shè)計(jì)使用率 峰值，槽值和平均值等 e) 安全措施例如加密解密數(shù)據(jù)對(duì)系統(tǒng)的影響。 新系統(tǒng)的容量規(guī)劃 容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。 確保日志管理機(jī)制健全 要求建立可以根據(jù)情況自由設(shè)置的日志管理機(jī)制，也就是說(shuō)日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制，且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)使用過(guò)程中進(jìn)行日志的定制和記錄。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶端之間通訊的安全性。 確保敏感系統(tǒng)的安全性 通過(guò)將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲(chǔ)任何信息敏感的數(shù)據(jù)。 人員職責(zé)和權(quán)限的定義 由于不是所有的人員對(duì)于某一個(gè)應(yīng)用系統(tǒng)都具有同樣的訪問(wèn)或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個(gè)用戶可以訪問(wèn)到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。 12 系統(tǒng)設(shè)計(jì)階段的安全規(guī) 范 單點(diǎn)訪問(wèn)控制，無(wú)后門。 f) 業(yè)務(wù)需求是系統(tǒng)更新和改動(dòng)的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對(duì)不允許在業(yè)務(wù)需求未經(jīng)過(guò)業(yè)務(wù)部門領(lǐng)導(dǎo)和主要負(fù)責(zé)人員的認(rèn)可的情況下，盲目的進(jìn)行開(kāi)發(fā)工作。 d) 確保每一個(gè)應(yīng)用系統(tǒng)的用戶都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。應(yīng)用系統(tǒng)的任何一次改進(jìn)或更新都和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。 b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進(jìn)都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。 建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告 a) 安全需求計(jì)劃應(yīng)該能夠達(dá)到期望的安全安全水平 。 b) 測(cè)試代碼中往往包 含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。職責(zé)的分開(kāi)對(duì)于大多數(shù)信息安全保護(hù)來(lái)說(shuō)至關(guān)重要。 f) 應(yīng)該單獨(dú)編寫安全性設(shè)計(jì)說(shuō)明概要 分離系統(tǒng)開(kāi)發(fā)和運(yùn)作維護(hù) 管理層必須要確保應(yīng)用系統(tǒng)開(kāi)發(fā)和應(yīng)用系統(tǒng)運(yùn)作管理從組織人事和權(quán)限職責(zé)上必須分開(kāi)。 d) 應(yīng)該對(duì)重要的敏感信息進(jìn)行加密的保護(hù)。 b) 在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定 的流程。 f) 員工一旦離職或調(diào)動(dòng)崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。 d) 根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。 c) 以書面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。 b) 開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性，不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去，即使是家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。 ? 系統(tǒng)審核人員：對(duì)整個(gè)開(kāi)發(fā)的過(guò)程進(jìn)行審核和監(jiān)督，確保開(kāi)發(fā)的質(zhì)量和開(kāi)發(fā)的安全。 我們建議在系統(tǒng)開(kāi)發(fā)過(guò)程中具體分以下的三種角色： ? 項(xiàng)目負(fù)責(zé)人員：確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施，同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。 投資可行性 分析 根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。 c) 管理能力分析，指現(xiàn)有的技術(shù)開(kāi)發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，是否足夠系統(tǒng)開(kāi)發(fā)的要求。通?？梢詮娜齻€(gè)方面進(jìn)行分析： a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開(kāi)發(fā)隊(duì)伍是否有足夠的軟件開(kāi)發(fā)的技術(shù)能力來(lái)完成系統(tǒng)開(kāi)發(fā)的任務(wù)，或第三方外包的開(kāi)發(fā)公司是否具有開(kāi)發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。 既浪費(fèi)了資源，又浪費(fèi)了時(shí)間。 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏到競(jìng)爭(zhēng) 對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。 e) 系統(tǒng)開(kāi)發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。 d) 保證開(kāi)發(fā)的進(jìn)度和按時(shí)完成。 c) 開(kāi)發(fā)的方法和管理必須規(guī)范化、合理化、制度化。 b) 系統(tǒng)開(kāi)發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。其中包括： a) 系統(tǒng)開(kāi)發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。 1. 《建筑設(shè)計(jì)防火規(guī)范》（ GBJ1687） 2. 《高層民用建筑設(shè)計(jì)防火規(guī)范》（ GB5004597） 3. 《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》（ GB50222_95） 4. 《建筑防雷設(shè)計(jì)規(guī)范》（ GB50057） 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。 規(guī)范引用的文件或標(biāo)準(zhǔn) 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。包括了系統(tǒng)開(kāi)發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安全，系統(tǒng)開(kāi)發(fā)階段的安全，系統(tǒng)測(cè)試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開(kāi)發(fā)外包的安全規(guī)范。 錯(cuò)誤 !文檔中沒(méi)有指定樣式的文字。 從而進(jìn)一步保障 x 業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，保護(hù) x 信息資產(chǎn)安全，即保護(hù)軟件及信息的完整性，維護(hù)信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備 ，降低系統(tǒng)故障風(fēng)險(xiǎn)。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中免受未經(jīng)授權(quán)的訪問(wèn)和更改，保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全，確保開(kāi)發(fā)項(xiàng)目的順利正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。 將不同階段下需要注意的安全問(wèn)題和相關(guān)的安全規(guī)范進(jìn)一步進(jìn)行描述和規(guī)定。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。 II 應(yīng)用系統(tǒng)的安全性檢測(cè)規(guī)范 ..................................................................................................................... 27 控制測(cè)試環(huán)境 .............................................................................................................................................. 29 為測(cè)試使用真實(shí)的數(shù)據(jù) ............................................................................................................................. 29 在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測(cè)試 ......................................................................................................... 29 應(yīng)用系統(tǒng)安全質(zhì)量鑒定 ............................................................................................................................. 30 系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范 .....................................................31 新系統(tǒng)的培訓(xùn) .............................................................................................................................................. 31 撰寫新系統(tǒng)和系統(tǒng)改進(jìn)的文檔 ....................................