【正文】 .......31 撰寫(xiě)新系統(tǒng)和系統(tǒng)改進(jìn)的文檔 ......................................................31 ................................32附錄 1 參考文獻(xiàn) .................................................................................333 / 47《《 應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則 》》 概述信息系統(tǒng)的許多的安全控制或者是安全性是通過(guò)系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)予以實(shí)現(xiàn)的。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。將不同階段下需要注意的安全問(wèn)題和相關(guān)的安全規(guī)范進(jìn)一步進(jìn)行描述和規(guī)定。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)和更改，保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全，確保開(kāi)發(fā)項(xiàng)目的順利正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。從而進(jìn)一步保障中國(guó)石油業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，保護(hù)中國(guó)石油信息資產(chǎn)安全，即保護(hù)軟件及信息的完整性，維護(hù)信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備，降低系統(tǒng)故障風(fēng)險(xiǎn)。 規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個(gè)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。主要規(guī)定了應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程的安全保密，軟件的質(zhì)量的要求，系統(tǒng)和業(yè)務(wù)需求的符合性，保證敏感信息的安全，系統(tǒng)本身的穩(wěn)定性和兼容性問(wèn)題。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。其中包括：a) 系統(tǒng)開(kāi)發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。b) 系統(tǒng)開(kāi)發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。c) 開(kāi)發(fā)的方法和管理必須規(guī)范化、合理化、制度化。d) 保證開(kāi)發(fā)的進(jìn)度和按時(shí)完成。e) 系統(tǒng)開(kāi)發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏到競(jìng)爭(zhēng)對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。 系統(tǒng)需求收集和分析階段安全規(guī)范 可行性研究分析對(duì)于應(yīng)用系統(tǒng)開(kāi)發(fā)項(xiàng)目需要進(jìn)行一定的可行性分析，確認(rèn)在開(kāi)發(fā)工作具備了的相當(dāng)資源和條件，并且有能力滿(mǎn)足業(yè)務(wù)上的需求的情況下才能開(kāi)展，切忌盲目開(kāi)發(fā)。可行性研究可以從技術(shù)方面，需求方面，投入方面和影響方面進(jìn)行考慮： 技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求，從技術(shù)開(kāi)發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達(dá)到業(yè)務(wù)上要求的系統(tǒng)功能。b) 計(jì)算機(jī)軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿(mǎn)足開(kāi)發(fā)相應(yīng)的系統(tǒng)的要求。 需求可行性分析系統(tǒng)的開(kāi)發(fā)來(lái)源于業(yè)務(wù)上的需求，因此需要對(duì)該需求進(jìn)行可行性分析，以判斷需求是否明確，是否符合實(shí)際而不是天馬行空式的空談，是否是在一定的時(shí)間范圍內(nèi)可實(shí)現(xiàn)的。 影響可行性分析所謂的影響是指社會(huì)影響，比如系統(tǒng)開(kāi)發(fā)是否符合法律法規(guī)上的要求，是否和相關(guān)的管理制度或行業(yè)標(biāo)準(zhǔn)相抵觸，是否不符合人文或道德上的約束等等。我們建議在系統(tǒng)開(kāi)發(fā)過(guò)程中具體分以下的三種角色：? 項(xiàng)目負(fù)責(zé)人員：確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施，同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。? 系統(tǒng)審核人員：對(duì)整個(gè)開(kāi)發(fā)的過(guò)程進(jìn)行審核和監(jiān)督，確保開(kāi)發(fā)的質(zhì)量和開(kāi)發(fā)的安全。b) 開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性，不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去，即使是家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。c) 以書(shū)面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。d) 根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。f) 員工一旦離職或調(diào)動(dòng)崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。b) 在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。d) 應(yīng)該對(duì)重要的敏感信息進(jìn)行加密的保護(hù)。f) 應(yīng)該單獨(dú)編寫(xiě)安全性設(shè)計(jì)說(shuō)明概要 分離系統(tǒng)開(kāi)發(fā)和運(yùn)作維護(hù)管理層必須要確保應(yīng)用系統(tǒng)開(kāi)發(fā)和應(yīng)用系統(tǒng)運(yùn)作管理從組織人事和權(quán)限職責(zé)上必須分開(kāi)。職責(zé)的分開(kāi)對(duì)于大多數(shù)信息安全保護(hù)來(lái)說(shuō)至關(guān)重要。b) 測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。 建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告a) 安全需求計(jì)劃應(yīng)該能夠達(dá)到期望的安全安全水平。b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進(jìn)都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。應(yīng)用系統(tǒng)的任何一次改進(jìn)或更新都和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。d) 確保每一個(gè)應(yīng)用系統(tǒng)的用戶(hù)都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。f) 業(yè)務(wù)需求是系統(tǒng)更新和改動(dòng)的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對(duì)不允許在業(yè)務(wù)需求未經(jīng)過(guò)業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)和主要負(fù)責(zé)人員的認(rèn)可的情況下，盲目的進(jìn)行開(kāi)發(fā)工作。任何用戶(hù)如果希望訪(fǎng)問(wèn)應(yīng)用系統(tǒng)中的某一個(gè)部分，則必須通過(guò)統(tǒng)一的且唯一的認(rèn)證授權(quán)方式以及流程。同樣的，也要確保每個(gè)用戶(hù)無(wú)法訪(fǎng)問(wèn)其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。 確保訪(fǎng)問(wèn)層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時(shí)也要考慮模塊與模塊之間的通訊的安全性。服務(wù)器和服務(wù)器間通訊的安全性，本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。保留所有系統(tǒng)開(kāi)發(fā)相關(guān)的程序庫(kù)的更新審核紀(jì)錄。容量規(guī)劃的具體內(nèi)容可能有所不同，但一般需要考慮以下方面：a) 系統(tǒng)的預(yù)期存儲(chǔ)容量和在給定的周期里面獲取生成和存儲(chǔ)的數(shù)據(jù)量。f) 24x7 運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)（維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī)）規(guī)劃容量的時(shí)候關(guān)于系統(tǒng)使用的信息了解得越多越好。原因在于很難估計(jì)實(shí)際的負(fù)載。15 / 47 系統(tǒng)開(kāi)發(fā)階段安全規(guī)范 系統(tǒng)開(kāi)發(fā)語(yǔ)言安全規(guī)范程序員可以使用很多指導(dǎo)規(guī)范來(lái)防止應(yīng)用程序中的普通的安全問(wèn)題。特定語(yǔ)言的指導(dǎo)規(guī)范主要集中在Perl， Java 和 C/C++語(yǔ)言。這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。通過(guò)在客戶(hù)端和服務(wù)器之間放置一個(gè)代理服務(wù)器，可以很容易繞過(guò)客戶(hù)端驗(yàn)證。在實(shí)際的校驗(yàn)中，輸入校驗(yàn)首先定義一個(gè)有效（可接受）的字符集，然后檢查每個(gè)數(shù)據(jù)的字符是否在有效范圍內(nèi)。這樣進(jìn)行驗(yàn)證的原因是定義無(wú)效的字符集比較困難，并且一些不應(yīng)該有效的字符通常不會(huì)被指出。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。同時(shí)避免在環(huán)境變量中存放敏感數(shù)據(jù)（例如密碼）。 語(yǔ)句如果應(yīng)用程序需要連接后端數(shù)據(jù)庫(kù)，使用存儲(chǔ)過(guò)程而不要在代碼中使用 SQL 語(yǔ)句。難以防止攻擊者使用輸入域或者配置文件（由應(yīng)用程序載入）來(lái)執(zhí)行嵌入式的 SQL 攻擊。 (mented code)當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開(kāi)始應(yīng)用時(shí)，應(yīng)該刪除所有的注釋代碼。無(wú)論如何應(yīng)該在實(shí)際的環(huán)境中刪除它們來(lái)避免意外的執(zhí)行（一般注釋標(biāo)識(shí)被刪除后就無(wú)法激活休眠的代碼，但還是存在可能性的，所以強(qiáng)烈建議執(zhí)行這項(xiàng)工作）。如果可能的話(huà)，最好使用包含編號(hào)的一般的錯(cuò)誤信息，這種信息只有開(kāi)發(fā)者和/或支持小組才能理解。 ” 內(nèi)容對(duì)于 web 應(yīng)用，不要在 URL 上暴露任何重要信息，例如密碼、服務(wù)器名稱(chēng)、IP 地址或者文件系統(tǒng)路徑（暴露了 web 服務(wù)器的目錄結(jié)構(gòu)） 。例如下面就是一個(gè)不安全的 URL：rname=USERamp。file=/home/USER/17 / 47 設(shè)置 PATH 變量設(shè)置 PATH 為一個(gè)已知的值，而不是僅僅使用啟動(dòng)時(shí)的缺省值。這些也可以應(yīng)用于大多數(shù)其他的語(yǔ)言。但其擴(kuò)展應(yīng)用，即作為 Inter 上 CGI 的開(kāi)發(fā)工具，使得它經(jīng)常成為 web 服務(wù)器上的攻擊目標(biāo)。下面列舉了一些開(kāi)發(fā)者（特別是 CGI程序員）可以使用的主動(dòng)的預(yù)防性的措施來(lái)增強(qiáng) Perl 代碼的整體安全性（請(qǐng)注意：這不是 web 服務(wù)器 CGI 腳本安全性的指導(dǎo)原則）。如果起用該功能，它就不允許通過(guò)用戶(hù)輸入（任何程序外的輸入）來(lái)操縱其他的外部程序（例如通過(guò)管道將數(shù)據(jù)導(dǎo)入另一個(gè)程序執(zhí)行））。Taint 驗(yàn)證可以通過(guò)在命令行參數(shù)加入“T”來(lái)開(kāi)啟。引用 tainted 數(shù)據(jù)的變量也成為 tainted 數(shù)據(jù)。啟用 tainted驗(yàn)證在有些情況下會(huì)導(dǎo)致腳本停止運(yùn)行，常常是由于Perl 解釋器要求所有腳本引用的外部程序的完全路徑必須在 PATH 環(huán)境變量中列出，同時(shí) PATH 中包含的每個(gè)目錄除了目錄的所有者及相應(yīng)的所有者用戶(hù)組外無(wú)法修改。如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什么情況？例如用戶(hù)從網(wǎng)站上下載了一個(gè)ActiveX 控件，而它實(shí)際是一個(gè)特洛伊木馬(Trojan horse)。安全模塊讓程序員可以在 Perl 腳本中將不同的代碼模塊與安全對(duì)象聯(lián)系。這與 chroot 在一個(gè)進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個(gè)子目錄中運(yùn)行類(lèi)似。如何使用安全模式超出了本文的范圍，但是程序員應(yīng)該在任何時(shí)候盡量使用這一功能。警告可以對(duì)以下情況產(chǎn)生：只使用了一次的變量或者完全沒(méi)有使用過(guò)得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。一般推薦總是使用w 參數(shù)。它在設(shè)計(jì)時(shí)充分考慮了安全問(wèn)題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的“sandbox”安全模型，以及在特定主機(jī)上限制應(yīng)用程序的活動(dòng)的安全管理器。而且它有可能將敏感信息透露給攻擊者。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶(hù)控制時(shí)才起作用。Java 的政策文件支持兩種控制包訪(fǎng)問(wèn)權(quán)限的前綴。為了保證一個(gè)包的安全性，必須修改${JAVA HOME}/jre/lib/security 文件夾中的 文件。例如程序員在 文件中定義包的安全時(shí)必須十分小心。另一個(gè)方法是使用 JAR 密封(sealing) 。如果從一個(gè)密封(sealing)的 JAR 文件中加載一個(gè)類(lèi)時(shí)，隨后同一個(gè)包的類(lèi)只能從該 JAR 文件加載。Java 內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。 這是通過(guò) Java 政策文件實(shí)現(xiàn)的。例如可以限制應(yīng)用程序只能修改名字是 foo的文件。 C/C++ 語(yǔ)言安全規(guī)范C 本質(zhì)上是不安全的編程語(yǔ)言。但是，由于其靈活性、快速和相對(duì)容易掌握，它是一個(gè)廣泛使用的編程語(yǔ)言。避免使用不執(zhí)行邊界檢查的字符串函數(shù)，因?yàn)樗鼈兛赡鼙挥脕?lái)進(jìn)行緩沖區(qū)溢出攻擊。同時(shí)，也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。最后一個(gè)函數(shù)的“f”，表示格式，它允許用戶(hù)指定期望的輸入的格式。（ Format String Attack）該類(lèi)攻擊往往與緩沖區(qū)溢出相關(guān)，因?yàn)樗鼈兺饕昧四承┖瘮?shù)的假設(shè)，例如 sprintf()和 vsprintf()假設(shè)緩沖區(qū)的長(zhǎng)度是無(wú)限的。這些攻擊通過(guò)直接將格式說(shuō)明符（format specifiers）21 / 47(%d， %s，%n 等)傳遞到輸出函數(shù)接收緩沖區(qū)來(lái)進(jìn)行。 更多關(guān)于這些攻擊的具體內(nèi)容請(qǐng)見(jiàn)資源章節(jié)。snprintf(buffer, sizeof(buffer), “%s”, string) 進(jìn)行格式字符串攻擊不太容易。 執(zhí)行外部程序推薦使用 exec()函數(shù)而不是 system()函數(shù)來(lái)執(zhí)行外部程序。snprintf(buffer, sizeof(buffer), emacs %s, filename)。在以上的例子中，可以通過(guò)使用分號(hào)利用文件名變量在 s