【正文】 與緩沖區(qū)溢出相關(guān)，因?yàn)樗鼈兺饕昧四承┖瘮?shù)的假設(shè)，例如 sprintf()和 vsprintf()假設(shè)緩沖區(qū)的長度是無限的。最后一個函數(shù)的“f”，表示格式，它允許用戶指定期望的輸入的格式。同時，也列出了每個函數(shù)相應(yīng)的比較安全的替換方式。17 / 39 緩沖區(qū)溢出避免使用不執(zhí)行邊界檢查的字符串函數(shù)，因?yàn)樗鼈兛赡鼙挥脕磉M(jìn)行緩沖區(qū)溢出攻擊。但是，由于其靈活性、快速和相對容易掌握，它是一個廣泛使用的編程語言。 C/C++ 語言安全規(guī)范C 本質(zhì)上是不安全的編程語言。例如可以限制應(yīng)用程序只能修改名字是 foo 的文件。 這是通過 Java 政策文件實(shí)現(xiàn)的。 政策文件Java 內(nèi)建的安全管理器是對應(yīng)用程序進(jìn)行限制的一個方便的工具。如果從一個密封(sealing)的 JAR 文件中加載一個類時，隨后同一個包的類只能從該 JAR 文件加載。另一個方法是使用 JAR 密封(sealing) 。例如程序員在 文件中定義包的安全時必須十分小心。為了保證一個包的安全性，必須修改${JAVA HOME}/jre/lib/security 文件夾中的 文件。Java 的政策文件支持兩種控制包訪問權(quán)限的前綴。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶控制時才起作用。而且它有可能將敏感信息透露給攻擊者。它在設(shè)計(jì)時充分考慮了安全問題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的“sandbox”安全模型，以及在特定主機(jī)上限制應(yīng)用程序的活動的安全管理器。一般推薦總是使用w 參數(shù)。警告可以對以下情況產(chǎn)生：只使用了一次的變量或者完全沒有使用過得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。如何使用安全模式超出了本文的范圍，但是程序員應(yīng)該在任何時候盡量使用這一功能。這與 chroot 在一個進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個子目錄中運(yùn)行類似。安全模塊讓程序員可以在 Perl 腳本中將不同的代碼模塊與安全對象聯(lián)系。 安全模塊如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會產(chǎn)生什么情況？例如用戶從網(wǎng)站上下載了一個 ActiveX 控件，而它實(shí)際是一個特洛伊木馬(Trojan horse)。啟用 tainted 驗(yàn)證在有些情況下會導(dǎo)致腳本停止運(yùn)行，常常是由于 Perl 解釋器要求所有腳本引用的外部程序的完全路徑必須在 PATH 環(huán)境變量中列出，同時 PATH 中包含的每個目錄除了目錄的所有者及相應(yīng)的所有者用戶組外無法修改。引用 tainted數(shù)據(jù)的變量也成為 tainted 數(shù)據(jù)。Taint 驗(yàn)證可以通過在命令行參數(shù)加入“T”來開啟。如果起用該功能，它就不允許通過用戶輸入（任何程序外的輸入）來操縱其他的外部程序（例如通過管道將數(shù)據(jù)導(dǎo)入另一個程序執(zhí)行））。下面列舉了一些開發(fā)者（特別是 CGI 程序員）可以使用的主動的預(yù)防性的措施來增強(qiáng) Perl 代碼的整體安全性（請注意：這不是 web 服務(wù)器 CGI 腳本安全性的指導(dǎo)原則）。但其擴(kuò)展應(yīng)用，即作為Inter 上 CGI 的開發(fā)工具，使得它經(jīng)常成為 web 服務(wù)器上的攻擊目標(biāo)。這些也可以應(yīng)用于大多數(shù)其他的語言。file=/home/USER/ 設(shè)置 PATH 變量設(shè)置 PATH 為一個已知的值，而不是僅僅使用啟動時的缺省值。這些信息可以在攻擊時使用。一般的錯誤信息的例子是“發(fā)生了錯誤（代碼 1234） ，請您與系統(tǒng)維護(hù)部門聯(lián)系。 錯誤消息所有為用戶顯示的錯誤信息都不應(yīng)該暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。注釋代碼是用來調(diào)試或者測試的，它們不是最終應(yīng)用程序的一部分。當(dāng)然，輸入驗(yàn)證有助于緩解這種風(fēng)險(xiǎn)。使用程序以外的嵌入在代碼中的 SQL 語句調(diào)用特別危險(xiǎn)。某些 Unix 系統(tǒng)（例如 FreeBSD）包含ps 命令，可以讓用戶看到任何當(dāng)前進(jìn)程的環(huán)境變量，這常常會暴露保密性信息。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。另外，邊界檢查（例如字符串的最大長度）應(yīng)該在字符有效性檢查以前進(jìn)行。如果輸入中包含無效的字符，應(yīng)用程序應(yīng)該返回錯誤頁面并說明輸入中包含無效字符。有了代理服務(wù)器，攻擊者可以在數(shù)據(jù)被客戶端“驗(yàn)證”后修改數(shù)據(jù)（與“maninthemiddle ”攻擊類似）。 通用規(guī)范 輸入驗(yàn)證在客戶機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證（例如基于 Javascript 的驗(yàn)證）。大多數(shù)情況下，一般的錯誤可以通過下功夫或者對基本的問題有很好的理解來避免。其中許多可以應(yīng)用于任何一個編程語言，但某些是針對特定的語言的。在容量估計(jì)的時候需要盡量將情況設(shè)想得復(fù)雜一些。近來，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長，容量規(guī)劃變動效果不是非常顯著，有時甚至毫無用處。b) 在線進(jìn)程的數(shù)量和估計(jì)可能的占用資料c) 對于系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時間和性能，即端對端系統(tǒng)d) 系統(tǒng)彈性要求和設(shè)計(jì)使用率峰值，槽值和平均值等e) 安全措施例如加密解密數(shù)據(jù)對系統(tǒng)的影響。 新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。 確保日志管理機(jī)制健全要求建立可以根據(jù)情況自由設(shè)置的日志管理機(jī)制，也就是說日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制，且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)使用過程中進(jìn)行日志的定制和記錄。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶端之間通訊的安全性。 確保敏感系統(tǒng)的安全性通過將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲任何信息敏感的數(shù)據(jù)。 人員職責(zé)和權(quán)限的定義由于不是所有的人員對于某一個應(yīng)用系統(tǒng)都具有同樣的訪問或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個用戶可以訪問到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。11 / 39 系統(tǒng)設(shè)計(jì)階段的安全規(guī)范 單點(diǎn)訪問控制，無后門。e) 系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真的對待，必須進(jìn)行詳細(xì)的需求定義、需求分析以及測試評估以保證不會對業(yè)務(wù)造成任何的影響。c) 一個安全開發(fā)需求分析計(jì)劃應(yīng)該由開發(fā)項(xiàng)目經(jīng)理和公司內(nèi)部安全小組共同商議決定。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開發(fā)費(fèi)用、開發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。其中包括了成本的預(yù)估，完成各個安全相關(guān)流程所需的時間。c) 開發(fā)人員常常具有很高的權(quán)限，這在運(yùn)行系統(tǒng)中會產(chǎn)生很大的風(fēng)險(xiǎn)，所以是不可接收的。a) IT 人員可以現(xiàn)場修復(fù)或者更改偶然的或者是惡意的數(shù)據(jù)和軟件的問題。盡管只有大型企業(yè)才有獨(dú)立的系統(tǒng)運(yùn)行和系統(tǒng)開發(fā)部門，但是把這些功能分開毫無疑問是非常必要的。e) 應(yīng)該使用一些相對復(fù)雜的加密和密鑰生成機(jī)制。c) 錯誤問題報(bào)告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細(xì)節(jié)問題。 開發(fā)人員必須訓(xùn)練開發(fā)安全代碼的能力a) 開發(fā)人員應(yīng)該有能力防止開發(fā)過程中的緩沖器溢出錯誤“buffer over flow attacks” 。e) 在日常工作中記錄員工的開發(fā)相關(guān)的日志信息。必須嚴(yán)格規(guī)定在為企業(yè)工作期間的所有和工作相關(guān)的開發(fā)成果的所屬權(quán)都?xì)w企業(yè)所有。但開發(fā)人員有責(zé)任將開發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開發(fā)小組的負(fù)責(zé)人員。 開發(fā)人員授權(quán)管理規(guī)范a) 根據(jù)該員工在整個開發(fā)項(xiàng)目中所負(fù)責(zé)的開發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和承擔(dān)的責(zé)任。? 系統(tǒng)開發(fā)人員：根據(jù)業(yè)務(wù)需求確保開發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求，同時滿足系統(tǒng)質(zhì)量上和進(jìn)度上的要求。9 / 39 開發(fā)人員安全管理機(jī)制 系統(tǒng)開發(fā)人員職責(zé)分配管理規(guī)范在系統(tǒng)開發(fā)的過程中，應(yīng)當(dāng)明確不同的人員的身份、職責(zé)。 投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。c) 管理能力分析，指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，是否足夠系統(tǒng)開發(fā)的要求。通?？梢詮娜齻€方面進(jìn)行分析：a) 人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開發(fā)隊(duì)伍是否有足夠的軟件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù)，或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。既浪費(fèi)了資源，又浪費(fèi)了時間。g) 充分利用現(xiàn)有的資源。f) 開發(fā)人員安全意識的提高和加強(qiáng)。確保開發(fā)工作及時、有效且高質(zhì)量的完成。只有采用了規(guī)范化合理化制度化的開發(fā)管理方法，才能確保開發(fā)的質(zhì)量和進(jìn)度。系統(tǒng)的開發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。需要領(lǐng)導(dǎo)層組織開發(fā)力量，協(xié)調(diào)各方關(guān)系并在開發(fā)的過程中提供決策性的意見和建議。1. 《建筑設(shè)計(jì)防火規(guī)范》 （GBJ1687）2. 《高層民用建筑設(shè)計(jì)防火規(guī)范》 （GB5004597 ）3. 《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》 （GB50222_95）4. 《建筑防雷設(shè)計(jì)規(guī)范》 （GB50057） 術(shù)語和定義7 / 39 應(yīng)用系統(tǒng)開發(fā)總體原則應(yīng)用系統(tǒng)的開發(fā)應(yīng)當(dāng)遵循一系列的總體原則，以確保開發(fā)過程中的安全。5 / 39 規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。包括了系統(tǒng)開發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安全，系統(tǒng)開發(fā)階段的安全，系統(tǒng)測試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開發(fā)外包的安全規(guī)范?？偠灾?，要防止對中國石油經(jīng)營環(huán)境及信息的未經(jīng)授權(quán)存取、破壞或干擾；防止中國信息資產(chǎn)受損及企業(yè)運(yùn)營受影響；防止信息及信息處理設(shè)備泄露及被偷竊。同時確保應(yīng)用系統(tǒng)開發(fā)外包中的各項(xiàng)安全。 目標(biāo)本規(guī)范的目標(biāo)為：保護(hù)應(yīng)用系統(tǒng)開發(fā)過程中的安全。本規(guī)范主要規(guī)定了在系統(tǒng)開發(fā)的各個階段需要的各種安全規(guī)范，從可行性分析需求分析階段開始，到設(shè)計(jì)階段，再到開發(fā)階段和維護(hù)階段以及最后的文檔階段的系統(tǒng)開發(fā)的各個階段進(jìn)行闡述。因此如果在系統(tǒng)的開發(fā)設(shè)計(jì)階段沒有對系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會存在許多先天不足，系統(tǒng)就會漏洞百出。目 錄 概述 .............................................................................3 目標(biāo) .............................................................................3 規(guī)范的使用范圍 ...................................................................4 規(guī)范引用的文件或標(biāo)準(zhǔn) .............................................................5 術(shù)語和定義 .......................................................................6 應(yīng)用系統(tǒng)開發(fā)總體原則 .............................................................7 系統(tǒng)需求收集和分析階段安全規(guī)范 ...................................................8 可行性研究分析 .......................................................................................................................................8 開發(fā)人員安全管理機(jī)制 .........................................................................................................................10 建立系統(tǒng)開發(fā)安全需求分析報(bào)告 .....................................................................................................