DEV_IS 應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則_030114_v1_FD

1、中國(guó)石油信息安全標(biāo)準(zhǔn)編號(hào)：中國(guó)石油天然氣股份有限公司應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則（討論稿）中國(guó)石油天然股份有限公司前 言隨著中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱(chēng)“中國(guó)石油” ）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到中國(guó)石油的廣泛關(guān)注，本規(guī)范是依據(jù)中國(guó)石油信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國(guó)石油自身的應(yīng)用特點(diǎn)，制定的適合于中國(guó)石油信息安全的標(biāo)準(zhǔn)與規(guī)范。目標(biāo)在于通過(guò)在中國(guó)石油范圍內(nèi)建立信息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提高中國(guó)石油信息安全的技術(shù)和管理能力。信息技術(shù)安全總體框架如下： 區(qū)區(qū) 域域 安安 全全 管管 理理 規(guī)規(guī)范范 機(jī)機(jī) 房房 安安 全全 管管 理理 規(guī)規(guī)范范 硬硬 件件

2、 設(shè)設(shè) 備備 管管 理理 規(guī)規(guī)范范 網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全管管理理規(guī)規(guī)范范通通用用安安全全管管理理標(biāo)標(biāo)準(zhǔn)準(zhǔn) 數(shù)數(shù) 據(jù)據(jù) 和和 文文 檔檔 安安 全全管管 理理 規(guī)規(guī) 范范 應(yīng)應(yīng) 用用 系系 統(tǒng)統(tǒng) 使使 用用 安安全全 管管 理理 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 通通 則則 應(yīng)應(yīng) 用用 系系 統(tǒng)統(tǒng) 開(kāi)開(kāi) 發(fā)發(fā) 安安全全 管管 理理 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 通通 則則 商商 業(yè)業(yè) 軟軟 件件 購(gòu)購(gòu) 買(mǎi)買(mǎi) 管管理理 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 電電 子子 郵郵 件件 安安 全全 管管理理 規(guī)規(guī) 范范 W We eb b系系 統(tǒng)統(tǒng) 安安 全全 管管理理 規(guī)規(guī) 范范 電電 子子 商商 務(wù)務(wù) 安安 全全 規(guī)規(guī)范范 防防 御御 惡惡 意意 代代 碼碼 和和計(jì)計(jì)

3、 算算 機(jī)機(jī) 犯犯 罪罪 管管 理理 規(guī)規(guī)范范 信信息息安安全全技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)物理環(huán)境安全管理硬件設(shè)備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應(yīng)用系統(tǒng)安全管理網(wǎng) 絡(luò) 安 全 管 理 概 述通 用 網(wǎng) 絡(luò) 安 全 管 理規(guī) 范內(nèi) 部 網(wǎng) 絡(luò) 安 全 管 理規(guī) 范外 部 網(wǎng) 絡(luò) 安 全 管 理規(guī) 范認(rèn) 證 管 理 通 用 標(biāo) 準(zhǔn)通 用 安 全 管 理 標(biāo) 準(zhǔn)概 述授 權(quán) 管 理 通 用 標(biāo) 準(zhǔn)加 固 管 理 通 用 標(biāo) 準(zhǔn)加 密 管 理 通 用 標(biāo) 準(zhǔn)日 志 管 理 通 用 標(biāo) 準(zhǔn)系 統(tǒng) 登 陸 管 理 通 用標(biāo) 準(zhǔn) 操操 作作 系系 統(tǒng)統(tǒng) 安安 全全 管管理理 規(guī)規(guī) 范范 1） 整體信息技術(shù)

4、安全架構(gòu)從邏輯上共分為 7 個(gè)部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。圖中帶陰影的方框中帶書(shū)名號(hào)的為單獨(dú)成冊(cè)的部分，共有 13 本規(guī)范和 1 本通用標(biāo)準(zhǔn) 。2） 對(duì)于 13 個(gè)規(guī)范中具有一定共性的內(nèi)容我們整理出了 7 個(gè)標(biāo)準(zhǔn)橫向貫穿整個(gè)架構(gòu)，這7 個(gè)標(biāo)準(zhǔn)的組合也依據(jù)了信息安全生命周期的理論模型。每個(gè)標(biāo)準(zhǔn)都會(huì)對(duì)所有的規(guī)范中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個(gè)標(biāo)準(zhǔn)應(yīng)用在不同的規(guī)范中又會(huì)有相應(yīng)不同的具體的內(nèi)容。我們?cè)谛形纳蠈⑦@ 7 個(gè)標(biāo)準(zhǔn)組合成一本通用安全管理標(biāo)準(zhǔn)單獨(dú)成冊(cè)。3） 全文以信息安全生命周期的方法論作為基本指導(dǎo)， 規(guī)范和標(biāo)準(zhǔn)的內(nèi)容基本都根據(jù)

5、預(yù)防保護(hù)檢測(cè)跟蹤響應(yīng)恢復(fù)的理論基礎(chǔ)行文。本通則討論了在企業(yè)內(nèi)部自行開(kāi)發(fā)一套應(yīng)用系統(tǒng)或外包開(kāi)發(fā)所必須考慮到的幾個(gè)步驟，開(kāi)發(fā)應(yīng)用系統(tǒng)的安全性考慮就好像建設(shè)樓房一樣，擁有越堅(jiān)固的地基樓房越是穩(wěn)定，因此應(yīng)用系統(tǒng)在開(kāi)發(fā)階段打好堅(jiān)實(shí)的安全基礎(chǔ)，那么以后的日常維護(hù)工作就會(huì)很輕松。以下我們主要從系統(tǒng)開(kāi)發(fā)的各個(gè)階段入手，考慮在標(biāo)準(zhǔn)的開(kāi)發(fā)流程的各個(gè)階段中要注意的安全方面的考慮。本規(guī)范由中國(guó)石油天然氣股份有限公司發(fā)布。本規(guī)范由中國(guó)石油天然氣股份有限公司科技與信息管理部歸口管理解釋。起草部門(mén)：中國(guó)石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。說(shuō) 明在中國(guó)石油信息安全標(biāo)準(zhǔn)中涉及以下概念：組織機(jī)構(gòu)中國(guó)石油（PetroChina） 指

6、中國(guó)石油天然氣股份有限公司有時(shí)也稱(chēng)“股份公司” 。集團(tuán)公司（CNPC） 指中國(guó)石油天然氣集團(tuán)公司有時(shí)也稱(chēng)“存續(xù)公司” 。為區(qū)分中國(guó)石油的地區(qū)公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。計(jì)算機(jī)網(wǎng)絡(luò)中國(guó)石油信息網(wǎng)（PetroChinaNet） 指中國(guó)石油范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。中國(guó)石油信息網(wǎng)是在中國(guó)石油天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行擴(kuò)充與提高所形成的連接中國(guó)石油所屬各個(gè)單位計(jì)算機(jī)局域網(wǎng)和園區(qū)網(wǎng)。集團(tuán)公司網(wǎng)絡(luò)（CNPCNet） 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國(guó)石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，

7、當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。主干網(wǎng) 是從中國(guó)石油總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國(guó)石油總部局域網(wǎng)、各個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專(zhuān)線遠(yuǎn)程信道。有些單位通過(guò)撥號(hào)線路連接到中國(guó)石油總部，不是利用專(zhuān)線，這樣的單位和所使用的遠(yuǎn)程信道不屬于中國(guó)石油專(zhuān)用網(wǎng)主干網(wǎng)組成部分。地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可以是專(zhuān)線，也可以是撥號(hào)線路。局域網(wǎng)與園區(qū)網(wǎng) 局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個(gè)園區(qū)（例如大學(xué)校園、管理局基地等）內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道互相連接起來(lái)

8、所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門(mén)建設(shè)的。二級(jí)單位網(wǎng)絡(luò) 指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。專(zhuān)線與撥號(hào)線路 從連通性劃分的兩大類(lèi)網(wǎng)絡(luò)遠(yuǎn)程信道。專(zhuān)線，指數(shù)字電路、幀中繼、DDN 和ATM 等經(jīng)常保持連通狀態(tài)的信道；撥號(hào)線路，指只在傳送信息時(shí)才建立連接的信道，如電話撥號(hào)線路或 ISDN 撥號(hào)線路。這些遠(yuǎn)程信道可能用來(lái)連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用

9、于連接單臺(tái)計(jì)算機(jī)。石油專(zhuān)網(wǎng)與公網(wǎng) 石油專(zhuān)業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱(chēng)。最后一公里問(wèn)題 建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門(mén)信道的最后一段距離的連接問(wèn)題。這段距離通常小于一公里，但也有大于一公里的情況。為簡(jiǎn)便，同稱(chēng)為最后一公里問(wèn)題。涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語(yǔ)和定義請(qǐng)參見(jiàn)中國(guó)石油局域網(wǎng)標(biāo)準(zhǔn) 。目目 錄錄1.1概述 .31.2目標(biāo) .31.3規(guī)范的使用范圍 .41.4規(guī)范引用的文件或標(biāo)準(zhǔn) .51.5術(shù)語(yǔ)和定義 .61.6應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則 .71.7系統(tǒng)需求收集和分析階段安全規(guī)范 .81.7.1可行性研究分析 .81.7.2開(kāi)發(fā)人員安全管理機(jī)制 .101.7.3建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告 .

10、111.8系統(tǒng)設(shè)計(jì)階段的安全規(guī)范 .121.8.1單點(diǎn)訪問(wèn)控制，無(wú)后門(mén)。 .121.8.2人員職責(zé)和權(quán)限的定義 .121.8.3確保敏感系統(tǒng)的安全性 .121.8.4確保訪問(wèn)層的安全性 .121.8.5確保日志管理機(jī)制健全 .121.8.6新系統(tǒng)的容量規(guī)劃 .131.9系統(tǒng)開(kāi)發(fā)階段安全規(guī)范 .141.9.1系統(tǒng)開(kāi)發(fā)語(yǔ)言安全規(guī)范 .141.9.2系統(tǒng)開(kāi)發(fā)安全相關(guān)工具管理規(guī)范 .191.9.3控制軟件代碼程序庫(kù) .211.9.4在軟件開(kāi)發(fā)過(guò)程變更管理規(guī)范 .231.9.5開(kāi)發(fā)版本管理規(guī)范 .241.9.6開(kāi)發(fā)日志審核管理規(guī)范 .251.9.7防御后門(mén)代碼或隱藏通道相關(guān)規(guī)范.251.10系統(tǒng)測(cè)試階段

11、安全規(guī)范 .271.10.1應(yīng)用系統(tǒng)的安全性檢測(cè)規(guī)范 .271.10.2控制測(cè)試環(huán)境 .291.10.3為測(cè)試使用真實(shí)的數(shù)據(jù) .291.10.4在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測(cè)試 .291.10.5應(yīng)用系統(tǒng)安全質(zhì)量鑒定 .301.11系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范 .311.11.1新系統(tǒng)的培訓(xùn) .311.11.2撰寫(xiě)新系統(tǒng)和系統(tǒng)改進(jìn)的文檔 .311.12應(yīng)用系統(tǒng)開(kāi)發(fā)外包安全控制 .32附錄附錄 1參考文獻(xiàn)參考文獻(xiàn) .33應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則1.1概述信息系統(tǒng)的許多的安全控制或者是安全性是通過(guò)系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)予以實(shí)現(xiàn)的。因此如果在系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)階段沒(méi)有

12、對(duì)系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會(huì)存在許多先天不足，系統(tǒng)就會(huì)漏洞百出。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。本規(guī)范主要規(guī)定了在系統(tǒng)開(kāi)發(fā)的各個(gè)階段需要的各種安全規(guī)范，從可行性分析需求分析階段開(kāi)始，到設(shè)計(jì)階段，再到開(kāi)發(fā)階段和維護(hù)階段以及最后的文檔階段的系統(tǒng)開(kāi)發(fā)的各個(gè)階段進(jìn)行闡述。將不同階段下需要注意的安全問(wèn)題和相關(guān)的安全規(guī)范進(jìn)一步進(jìn)行描述和規(guī)定。1.2目標(biāo)本規(guī)范的目標(biāo)為：保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中免受未經(jīng)授權(quán)的訪問(wèn)和更改，保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全，確保開(kāi)發(fā)項(xiàng)目的順利

13、正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。同時(shí)確保應(yīng)用系統(tǒng)開(kāi)發(fā)外包中的各項(xiàng)安全。從而進(jìn)一步保障中國(guó)石油業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，保護(hù)中國(guó)石油信息資產(chǎn)安全，即保護(hù)軟件及信息的完整性，維護(hù)信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備，降低系統(tǒng)故障風(fēng)險(xiǎn)?？偠灾?，要防止對(duì)中國(guó)石油經(jīng)營(yíng)環(huán)境及信息的未經(jīng)授權(quán)存取、破壞或干擾；防止中國(guó)信息資產(chǎn)受損及企業(yè)運(yùn)營(yíng)受影響；防止信息及信息處理設(shè)備泄露及被偷竊。1.3規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個(gè)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全整個(gè)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。包括了系統(tǒng)開(kāi)發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安

14、全，系統(tǒng)開(kāi)發(fā)階段的安全，系統(tǒng)測(cè)試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開(kāi)發(fā)外包的安全規(guī)范。主要規(guī)定了應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程的安全保密，軟件的質(zhì)量的要求，系統(tǒng)和業(yè)務(wù)需求的符合性，保證敏感信息的安全，系統(tǒng)本身的穩(wěn)定性和兼容性問(wèn)題。1.4規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。1.建筑設(shè)計(jì)防火規(guī)范 （GBJ16-87）2.高層民用建筑設(shè)計(jì)防火規(guī)范 （GB50045-97）3.建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范 （GB50222_95）4.建筑防雷設(shè)計(jì)規(guī)范 （GB50057）1.5術(shù)語(yǔ)和定義1.6應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則應(yīng)用系統(tǒng)的開(kāi)發(fā)應(yīng)

15、當(dāng)遵循一系列的總體原則，以確保開(kāi)發(fā)過(guò)程中的安全。其中包括：a)系統(tǒng)開(kāi)發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。需要領(lǐng)導(dǎo)層組織開(kāi)發(fā)力量，協(xié)調(diào)各方關(guān)系統(tǒng)開(kāi)發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。需要領(lǐng)導(dǎo)層組織開(kāi)發(fā)力量，協(xié)調(diào)各方關(guān)系并在開(kāi)發(fā)的過(guò)程中提供決策性的意見(jiàn)和建議。系并在開(kāi)發(fā)的過(guò)程中提供決策性的意見(jiàn)和建議。b) 系統(tǒng)開(kāi)發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)系統(tǒng)開(kāi)發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。用性。系統(tǒng)的開(kāi)發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。系統(tǒng)的開(kāi)發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。c)開(kāi)發(fā)的方法和管理必須規(guī)范

16、化、合理化、制度化。只有采用了規(guī)范化合理化制度化開(kāi)發(fā)的方法和管理必須規(guī)范化、合理化、制度化。只有采用了規(guī)范化合理化制度化的開(kāi)發(fā)管理方法，才能確保開(kāi)發(fā)的質(zhì)量和進(jìn)度。的開(kāi)發(fā)管理方法，才能確保開(kāi)發(fā)的質(zhì)量和進(jìn)度。d) 保證開(kāi)發(fā)的進(jìn)度和按時(shí)完成。確保開(kāi)發(fā)工作及時(shí)、有效且高質(zhì)量的完成。保證開(kāi)發(fā)的進(jìn)度和按時(shí)完成。確保開(kāi)發(fā)工作及時(shí)、有效且高質(zhì)量的完成。e)系統(tǒng)開(kāi)發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。系統(tǒng)開(kāi)發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。f)開(kāi)發(fā)人員安全意識(shí)的提高和加強(qiáng)。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏開(kāi)發(fā)人員安全意識(shí)的提高和加強(qiáng)。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏到

17、競(jìng)爭(zhēng)對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。到競(jìng)爭(zhēng)對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。g)充分利用現(xiàn)有的資源。充分利用現(xiàn)有的資源。1.7系統(tǒng)需求收集和分析階段安全規(guī)范1.7.1可行性研究分析對(duì)于應(yīng)用系統(tǒng)開(kāi)發(fā)項(xiàng)目需要進(jìn)行一定的可行性分析，確認(rèn)在開(kāi)發(fā)工作具備了的相當(dāng)資源和條件，并且有能力滿足業(yè)務(wù)上的需求的情況下才能開(kāi)展，切忌盲目開(kāi)發(fā)。既浪費(fèi)了資源，又浪費(fèi)了時(shí)間。可行性研究可以從技術(shù)方面，需求方面，投入方面和影響方面進(jìn)行考慮：技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求，從技術(shù)開(kāi)發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達(dá)到業(yè)務(wù)上要求的系統(tǒng)功能。通?？梢詮娜齻€(gè)方面進(jìn)行分析：

18、a)人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開(kāi)發(fā)隊(duì)伍是否有足夠的軟件開(kāi)發(fā)的技術(shù)能力來(lái)完成系統(tǒng)開(kāi)發(fā)的任務(wù)，或第三方外包的開(kāi)發(fā)公司是否具有開(kāi)發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。b)計(jì)算機(jī)軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開(kāi)發(fā)相應(yīng)的系統(tǒng)的要求。c)管理能力分析，指現(xiàn)有的技術(shù)開(kāi)發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，是否足夠系統(tǒng)開(kāi)發(fā)的要求。需求可行性分析系統(tǒng)的開(kāi)發(fā)來(lái)源于業(yè)務(wù)上的需求，因此需要對(duì)該需求進(jìn)行可行性分析，以判斷需求是否明確，是否符合實(shí)際而不是天馬行空式的空談，是否是在一定的時(shí)間范圍內(nèi)可實(shí)現(xiàn)的。投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要

19、多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。影響可行性分析所謂的影響是指社會(huì)影響，比如系統(tǒng)開(kāi)發(fā)是否符合法律法規(guī)上的要求，是否和相關(guān)的管理制度或行業(yè)標(biāo)準(zhǔn)相抵觸，是否不符合人文或道德上的約束等等。1.7.2開(kāi)發(fā)人員安全管理機(jī)制系統(tǒng)開(kāi)發(fā)人員職責(zé)分配管理規(guī)范在系統(tǒng)開(kāi)發(fā)的過(guò)程中，應(yīng)當(dāng)明確不同的人員的身份、職責(zé)。我們建議在系統(tǒng)開(kāi)發(fā)過(guò)程中具體分以下的三種角色：項(xiàng)目負(fù)責(zé)人員：確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施，同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。系統(tǒng)開(kāi)發(fā)人員：根據(jù)業(yè)務(wù)需求確保開(kāi)發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求

20、，同時(shí)滿足系統(tǒng)質(zhì)量上和進(jìn)度上的要求。系統(tǒng)審核人員：對(duì)整個(gè)開(kāi)發(fā)的過(guò)程進(jìn)行審核和監(jiān)督，確保開(kāi)發(fā)的質(zhì)量和開(kāi)發(fā)的安全。開(kāi)發(fā)人員授權(quán)管理規(guī)范a)根據(jù)該員工在整個(gè)開(kāi)發(fā)項(xiàng)目中所負(fù)責(zé)的開(kāi)發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和承擔(dān)的責(zé)任。b)開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性，不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去，即使是家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。但開(kāi)發(fā)人員有責(zé)任將開(kāi)發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開(kāi)發(fā)小組的負(fù)責(zé)人員。c)以書(shū)面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。必須嚴(yán)格規(guī)定在為企業(yè)工作期間的所有和工作相關(guān)的開(kāi)發(fā)成果的所屬權(quán)都?xì)w企業(yè)所有。d)根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密

21、協(xié)議。e)在日常工作中記錄員工的開(kāi)發(fā)相關(guān)的日志信息。f)員工一旦離職或調(diào)動(dòng)崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。開(kāi)發(fā)人員必須訓(xùn)練開(kāi)發(fā)安全代碼的能力a)開(kāi)發(fā)人員應(yīng)該有能力防止開(kāi)發(fā)過(guò)程中的緩沖器溢出錯(cuò)誤“buffer over flow attacks” 。b)在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。c)錯(cuò)誤問(wèn)題報(bào)告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細(xì)節(jié)問(wèn)題。d)應(yīng)該對(duì)重要的敏感信息進(jìn)行加密的保護(hù)。e)應(yīng)該使用一些相對(duì)復(fù)雜的加密和密鑰生成機(jī)制。f)應(yīng)該單獨(dú)編寫(xiě)安全性設(shè)計(jì)說(shuō)明概要分離系統(tǒng)開(kāi)發(fā)和運(yùn)作維護(hù)管理層必須要確保應(yīng)用系統(tǒng)開(kāi)發(fā)和應(yīng)用系統(tǒng)運(yùn)作管理

22、從組織人事和權(quán)限職責(zé)上必須分開(kāi)。盡管只有大型企業(yè)才有獨(dú)立的系統(tǒng)運(yùn)行和系統(tǒng)開(kāi)發(fā)部門(mén)，但是把這些功能分開(kāi)毫無(wú)疑問(wèn)是非常必要的。職責(zé)的分開(kāi)對(duì)于大多數(shù)信息安全保護(hù)來(lái)說(shuō)至關(guān)重要。a)IT 人員可以現(xiàn)場(chǎng)修復(fù)或者更改偶然的或者是惡意的數(shù)據(jù)和軟件的問(wèn)題。b)測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。c)開(kāi)發(fā)人員常常具有很高的權(quán)限，這在運(yùn)行系統(tǒng)中會(huì)產(chǎn)生很大的風(fēng)險(xiǎn)，所以是不可接收的。1.7.3建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告a)安全需求計(jì)劃應(yīng)該能夠達(dá)到期望的安全安全水平。其中包括了成本的預(yù)估，完成各個(gè)安全相關(guān)流程所需的時(shí)間。b) 所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進(jìn)都必須是基于業(yè)務(wù)需求的，并且是有業(yè)

23、務(wù)事件支持的。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開(kāi)發(fā)費(fèi)用、開(kāi)發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。應(yīng)用系統(tǒng)的任何一次改進(jìn)或更新都和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。c)一個(gè)安全開(kāi)發(fā)需求分析計(jì)劃應(yīng)該由開(kāi)發(fā)項(xiàng)目經(jīng)理和公司內(nèi)部安全小組共同商議決定。d) 確保每一個(gè)應(yīng)用系統(tǒng)的用戶都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。e) 系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真的對(duì)待，必須進(jìn)行詳細(xì)的需求定義、需求分析以及測(cè)試評(píng)估以保證不會(huì)對(duì)業(yè)務(wù)造成任何的影響。f)業(yè)務(wù)需求是系統(tǒng)更新和改動(dòng)的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對(duì)不

24、允許在業(yè)務(wù)需求未經(jīng)過(guò)業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)和主要負(fù)責(zé)人員的認(rèn)可的情況下，盲目的進(jìn)行開(kāi)發(fā)工作。1.8系統(tǒng)設(shè)計(jì)階段的安全規(guī)范1.8.1單點(diǎn)訪問(wèn)控制，無(wú)后門(mén)。任何用戶如果希望訪問(wèn)應(yīng)用系統(tǒng)中的某一個(gè)部分，則必須通過(guò)統(tǒng)一的且唯一的認(rèn)證授權(quán)方式以及流程。1.8.2人員職責(zé)和權(quán)限的定義由于不是所有的人員對(duì)于某一個(gè)應(yīng)用系統(tǒng)都具有同樣的訪問(wèn)或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個(gè)用戶可以訪問(wèn)到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。同樣的，也要確保每個(gè)用戶無(wú)法訪問(wèn)其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。1.8.3確保敏感系統(tǒng)的安全性通過(guò)將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身

25、并不能存儲(chǔ)任何信息敏感的數(shù)據(jù)。1.8.4確保訪問(wèn)層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時(shí)也要考慮模塊與模塊之間的通訊的安全性。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶端之間通訊的安全性。服務(wù)器和服務(wù)器間通訊的安全性，本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。1.8.5確保日志管理機(jī)制健全要求建立可以根據(jù)情況自由設(shè)置的日志管理機(jī)制，也就是說(shuō)日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制，且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)使用過(guò)程中進(jìn)行日志的定制和記錄。保留所有系統(tǒng)開(kāi)發(fā)相關(guān)的程序庫(kù)的更新審核紀(jì)錄。1.8.6新系統(tǒng)的容量

26、規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。容量規(guī)劃的具體內(nèi)容可能有所不同，但一般需要考慮以下方面：a)系統(tǒng)的預(yù)期存儲(chǔ)容量和在給定的周期里面獲取生成和存儲(chǔ)的數(shù)據(jù)量。b)在線進(jìn)程的數(shù)量和估計(jì)可能的占用資料c)對(duì)于系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時(shí)間和性能，即端對(duì)端系統(tǒng)d)系統(tǒng)彈性要求和設(shè)計(jì)使用率-峰值，槽值和平均值等e)安全措施例如加密解密數(shù)據(jù)對(duì)系統(tǒng)的影響。f)24x7 運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)（維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī)）規(guī)劃容量的時(shí)候關(guān)于系統(tǒng)使用的信息了解得越多越好。近來(lái)，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長(zhǎng)，容量規(guī)劃變動(dòng)效果不是非常顯著，有時(shí)甚至毫無(wú)用處。原因在于很難估計(jì)實(shí)際的負(fù)載。在容量

27、估計(jì)的時(shí)候需要盡量將情況設(shè)想得復(fù)雜一些。1.9系統(tǒng)開(kāi)發(fā)階段安全規(guī)范1.9.1系統(tǒng)開(kāi)發(fā)語(yǔ)言安全規(guī)范程序員可以使用很多指導(dǎo)規(guī)范來(lái)防止應(yīng)用程序中的普通的安全問(wèn)題。其中許多可以應(yīng)用于任何一個(gè)編程語(yǔ)言，但某些是針對(duì)特定的語(yǔ)言的。特定語(yǔ)言的指導(dǎo)規(guī)范主要集中在 Perl，Java 和 C/C+語(yǔ)言。大多數(shù)情況下，一般的錯(cuò)誤可以通過(guò)下功夫或者對(duì)基本的問(wèn)題有很好的理解來(lái)避免。這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。通用規(guī)范.1輸入驗(yàn)證在客戶機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證（例如基于Javascript 的驗(yàn)證）。通過(guò)在客戶

28、端和服務(wù)器之間放置一個(gè)代理服務(wù)器，可以很容易繞過(guò)客戶端驗(yàn)證。有了代理服務(wù)器，攻擊者可以在數(shù)據(jù)被客戶端“驗(yàn)證”后修改數(shù)據(jù)（與“man-in-the-middle”攻擊類(lèi)似）。在實(shí)際的校驗(yàn)中，輸入校驗(yàn)首先定義一個(gè)有效（可接受）的字符集，然后檢查每個(gè)數(shù)據(jù)的字符是否在有效范圍內(nèi)。如果輸入中包含無(wú)效的字符，應(yīng)用程序應(yīng)該返回錯(cuò)誤頁(yè)面并說(shuō)明輸入中包含無(wú)效字符。這樣進(jìn)行驗(yàn)證的原因是定義無(wú)效的字符集比較困難，并且一些不應(yīng)該有效的字符通常不會(huì)被指出。另外，邊界檢查（例如字符串的最大長(zhǎng)度）應(yīng)該在字符有效性檢查以前進(jìn)行。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。同時(shí)避免在環(huán)

29、境變量中存放敏感數(shù)據(jù)（例如密碼）。某些 Unix 系統(tǒng)（例如 FreeBSD）包含 ps 命令，可以讓用戶看到任何當(dāng)前進(jìn)程的環(huán)境變量，這常常會(huì)暴露保密性信息。.2SQL語(yǔ)句如果應(yīng)用程序需要連接后端數(shù)據(jù)庫(kù)，使用存儲(chǔ)過(guò)程而不要在代碼中使用 SQL語(yǔ)句。使用程序以外的嵌入在代碼中的 SQL 語(yǔ)句調(diào)用特別危險(xiǎn)。難以防止攻擊者使用輸入域或者配置文件（由應(yīng)用程序載入）來(lái)執(zhí)行嵌入式的 SQL 攻擊。當(dāng)然，輸入驗(yàn)證有助于緩解這種風(fēng)險(xiǎn)。 .3注釋代碼(commented code)當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開(kāi)始應(yīng)用時(shí)，應(yīng)該刪除所有的注釋代碼。注釋代碼是用來(lái)調(diào)試或者測(cè)試的，它們不是最終應(yīng)用

30、程序的一部分。無(wú)論如何應(yīng)該在實(shí)際的環(huán)境中刪除它們來(lái)避免意外的執(zhí)行（一般注釋標(biāo)識(shí)被刪除后就無(wú)法激活休眠的代碼，但還是存在可能性的，所以強(qiáng)烈建議執(zhí)行這項(xiàng)工作）。.4錯(cuò)誤消息所有為用戶顯示的錯(cuò)誤信息都不應(yīng)該暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。如果可能的話，最好使用包含編號(hào)的一般的錯(cuò)誤信息，這種信息只有開(kāi)發(fā)者和/或支持小組才能理解。一般的錯(cuò)誤信息的例子是“發(fā)生了錯(cuò)誤（代碼 1234） ，請(qǐng)您與系統(tǒng)維護(hù)部門(mén)聯(lián)系。 ”.5URL內(nèi)容對(duì)于 web 應(yīng)用，不要在 URL 上暴露任何重要信息，例如密碼、服務(wù)器名稱(chēng)、IP地址或者文件系統(tǒng)路徑（暴露了 web 服務(wù)器的目錄結(jié)構(gòu)）

31、。這些信息可以在攻擊時(shí)使用。例如下面就是一個(gè)不安全的 URL：http:/ PATH 變量設(shè)置 PATH 為一個(gè)已知的值，而不是僅僅使用啟動(dòng)時(shí)的缺省值。攻擊者可以在攻擊應(yīng)用程序時(shí)使用 PATH 變量，例如試圖執(zhí)行一個(gè)任意的程序。這些也可以應(yīng)用于大多數(shù)其他的語(yǔ)言。Perl 語(yǔ)言安全規(guī)范多年以來(lái)，Perl 已經(jīng)成為用于系統(tǒng)管理和 Web CGI 開(kāi)發(fā)的功能最強(qiáng)的編程語(yǔ)言之一（幾乎可以使用 Perl 做任何功能的程序）。但其擴(kuò)展應(yīng)用，即作為 Internet 上CGI 的開(kāi)發(fā)工具，使得它經(jīng)常成為 web 服務(wù)器上的攻擊目標(biāo)。另外，大多數(shù) CGI腳本有著比一般用戶更高的權(quán)限，導(dǎo)致它更容易

32、受攻擊。下面列舉了一些開(kāi)發(fā)者（特別是 CGI 程序員）可以使用的主動(dòng)的預(yù)防性的措施來(lái)增強(qiáng) Perl 代碼的整體安全性（請(qǐng)注意：這不是 web 服務(wù)器 CGI 腳本安全性的指導(dǎo)原則）。.1Taint驗(yàn)證Perl 版本 5.x 包含一個(gè)叫做 Taint Checking 的數(shù)據(jù)驗(yàn)證措施。如果起用該功能，它就不允許通過(guò)用戶輸入（任何程序外的輸入）來(lái)操縱其他的外部程序（例如通過(guò)管道將數(shù)據(jù)導(dǎo)入另一個(gè)程序執(zhí)行）。一般而言，程序員不能信任輸入腳本和程序的數(shù)據(jù)（叫做 Tainted數(shù)據(jù)），因?yàn)闊o(wú)法保證它不會(huì)產(chǎn)生危害（有意或者無(wú)意的）。Taint 驗(yàn)證可以通過(guò)在命令行參數(shù)加入“-T”來(lái)開(kāi)啟。例如你

33、可以在 Perl 腳本的第一行這樣加入“-T”：#!usr/bin/perl5 -T Tainted 數(shù)據(jù)包括命令行參數(shù)、環(huán)境變量和來(lái)自文件的數(shù)據(jù)。引用 tainted 數(shù)據(jù)的變量也成為 tainted 數(shù)據(jù)。如果腳本試圖通過(guò)不安全的方式來(lái)使用 tainted數(shù)據(jù)會(huì)產(chǎn)生一個(gè)致命錯(cuò)誤（對(duì)這種情況稱(chēng)為“不安全的依賴(lài)”(Insecure dependency)或者其他的說(shuō)法）。啟用 tainted 驗(yàn)證在有些情況下會(huì)導(dǎo)致腳本停止運(yùn)行，常常是由于 Perl 解釋器要求所有腳本引用的外部程序的完全路徑必須在 PATH 環(huán)境變量中列出，同時(shí) PATH 中包含的每個(gè)目錄除了目錄的所有者及相應(yīng)的所有者用戶組外

34、無(wú)法修改。Taint 驗(yàn)證對(duì)于環(huán)境比較敏感，這就可能會(huì)導(dǎo)致大多數(shù)程序員不愿使用它，但是只要可能的話，應(yīng)該使用 taint 驗(yàn)證，特別是代碼執(zhí)行其他程序功能時(shí)（例如在 CGI 腳本的情況下）。.2安全模塊如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什么情況？例如用戶從網(wǎng)站上下載了一個(gè) ActiveX 控件，而它實(shí)際是一個(gè)特洛伊木馬(Trojan horse)。這種情況下 taint 驗(yàn)證就不起作用。安全模塊讓程序員可以在 Perl 腳本中將不同的代碼模塊與安全對(duì)象聯(lián)系。每個(gè)安全對(duì)象對(duì)于運(yùn)行的每塊代碼建立了一個(gè)限制的環(huán)境。這與 chroot 在一個(gè)進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個(gè)

35、子目錄中運(yùn)行類(lèi)似。而 saft 對(duì)象限制 perl 代碼只能在 perl 包結(jié)構(gòu)的某些特定包中運(yùn)行。如何使用安全模式超出了本文的范圍，但是程序員應(yīng)該在任何時(shí)候盡量使用這一功能。.3警告參數(shù)(-w)使用-w 參數(shù)可以在 Perl 解釋腳本時(shí)顯示所有的警告信息。警告可以對(duì)以下情況產(chǎn)生：只使用了一次的變量或者完全沒(méi)有使用過(guò)得變量，未定義的文件句柄，未關(guān)閉的文件句柄，或者將非數(shù)值變量傳遞到數(shù)據(jù)變量。該功能不是針對(duì)安全處理的，但是可以有助于調(diào)試直接或者間接對(duì)安全有危害的錯(cuò)誤。一般推薦總是使用-w 參數(shù)?？梢栽?taint 驗(yàn)證時(shí)在第一行這樣使用-w 參數(shù)：#!usr/bin/perl5 -

36、Tw Java 語(yǔ)言安全規(guī)范自從 1995 年發(fā)布以來(lái)，Java 成為簡(jiǎn)單或者復(fù)雜網(wǎng)絡(luò)應(yīng)用的有效編程語(yǔ)言。它在設(shè)計(jì)時(shí)充分考慮了安全問(wèn)題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的“sandbox”安全模型，以及在特定主機(jī)上限制應(yīng)用程序的活動(dòng)的安全管理器。下面的使用中相關(guān)的規(guī)范：.1不要在標(biāo)準(zhǔn)輸出上打印消息在實(shí)際的 Internet 系統(tǒng)中避免使用 System.out.println()或者 System.err.println()打印日志和錯(cuò)誤消息，原因是當(dāng)消息打印到標(biāo)準(zhǔn)輸出時(shí)，無(wú)法立即確定消息發(fā)生的地點(diǎn)。而且它有可能將敏感信息透露給攻擊者

37、。.2封裝Java 中，如果沒(méi)有使用訪問(wèn)標(biāo)識(shí)符(access modifier(private、protected 或者public)來(lái)聲明類(lèi)、方法和屬性，那么它的默認(rèn)訪問(wèn)范圍是包，并且同一包中的所有類(lèi)都能訪問(wèn)它。必須記住雖然包有封裝功能，但它只有在每部分加載到包的代碼都由授權(quán)用戶控制時(shí)才起作用。惡意的用戶可以加入他們自己的類(lèi)，從而對(duì)于包中的所有類(lèi)、方法和屬性都有完全的訪問(wèn)權(quán)限。Java 的政策文件支持兩種控制包訪問(wèn)權(quán)限的前綴。accessClassInPackage defineClassInPackage 所有標(biāo)準(zhǔn)庫(kù)中的類(lèi)都默認(rèn)是可以公共訪問(wèn)的（除了由“sun”開(kāi)頭的類(lèi)）。為

38、了保證一個(gè)包的安全性，必須修改$JAVA HOME/jre/lib/security文件夾中的 java.security 文件。該文件中的重要行是：package.access=sun.雖然該方法有作用，但是也有問(wèn)題。例如程序員在 java.security 文件中定義包的安全時(shí)必須十分小心。在 package.access 中的值是字符型的，“sun.”將保護(hù)“sun.tools”等包，但是不會(huì)對(duì)“sun”或者“sunshine”等包進(jìn)行保護(hù)。另一個(gè)方法是使用 JAR 密封(sealing) 。JAR(Java ARchive)文件是一些類(lèi)的打包壓縮格式的文件，與常用的 ZIP 格式類(lèi)似。

39、如果從一個(gè)密封(sealing)的 JAR文件中加載一個(gè)類(lèi)時(shí)，隨后同一個(gè)包的類(lèi)只能從該 JAR 文件加載。為了起用密封(sealing)，必須在建立 JAR 文件時(shí)這樣設(shè)置密封(seal)參數(shù)：Sealed: true 使用密封(sealing)的 JAR 文件比權(quán)限 (permission) 設(shè)置更好，因?yàn)樗恍枰惭b安全管理器(security manager)。.3政策文件Java 內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。很多情況下需要編制一個(gè)定制的安全管理器，JDK1.2 及以后的版本提供了描述設(shè)置的方法而不是實(shí)施它們。這是通過(guò) Java 政策文件實(shí)現(xiàn)的?？?/p>

40、以用政策文件以相對(duì)模塊化的方式控制文件系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)。例如可以限制應(yīng)用程序只能修改名字是 foo 的文件。推薦使用 Java 政策文件和安全管理器而不是重新創(chuàng)建一個(gè)類(lèi)或者系統(tǒng)來(lái)限制對(duì)主機(jī)和網(wǎng)絡(luò)的訪問(wèn)。C/C+ 語(yǔ)言安全規(guī)范C 本質(zhì)上是不安全的編程語(yǔ)言。例如如果不謹(jǐn)慎使用的話，其大多數(shù)標(biāo)準(zhǔn)的字符串庫(kù)函數(shù)有可能被用來(lái)進(jìn)行緩沖區(qū)攻擊或者格式字符串攻擊。但是，由于其靈活性、快速和相對(duì)容易掌握，它是一個(gè)廣泛使用的編程語(yǔ)言。下面是針對(duì)開(kāi)發(fā)安全的 C 語(yǔ)言程序的一些規(guī)范。.1緩沖區(qū)溢出避免使用不執(zhí)行邊界檢查的字符串函數(shù)，因?yàn)樗鼈兛赡鼙挥脕?lái)進(jìn)行緩沖區(qū)溢出攻擊。下面是應(yīng)該避免使用的

41、函數(shù)。同時(shí)，也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。不使用 strcpy()，使用 strncpy()不使用 strcat()，使用 strncat()不使用 sprintf()，使用 snprintf()不使用 gets()，使用 fgets()在上面的前三個(gè)中函數(shù)中，每個(gè)替代函數(shù)的“n”表示了使用的緩沖區(qū)的大小。最后一個(gè)函數(shù)的“f”，表示格式，它允許用戶指定期望的輸入的格式。這些替換方程強(qiáng)制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類(lèi)型。.2格式化字符串攻擊（Format String Attack）該類(lèi)攻擊往往與緩沖區(qū)溢出相關(guān)，因?yàn)樗鼈兺饕昧四承┖瘮?shù)的假設(shè)，例如

42、sprintf()和 vsprintf()假設(shè)緩沖區(qū)的長(zhǎng)度是無(wú)限的。然而即使使用 snprintf()替換 sprintf()也無(wú)法完全保護(hù)程序不受格式化字符串的攻擊。這些攻擊通過(guò)直接將格式說(shuō)明符（format specifiers）(%d，%s，%n 等)傳遞到輸出函數(shù)接收緩沖區(qū)來(lái)進(jìn)行。例如，以下的代碼就是不安全的：snprintf(buffer, sizeof(buffer), string) 這種情況下，可以在字符串中插入格式說(shuō)明符來(lái)操縱內(nèi)存的棧，來(lái)寫(xiě)入攻擊者的數(shù)據(jù)（這些數(shù)據(jù)中包含小的程序代碼，并可由處理器接著執(zhí)行）。 更多關(guān)于這些攻擊的具體內(nèi)容請(qǐng)見(jiàn)資源章節(jié)。對(duì)以上的例子建議使用下面的代

43、碼。snprintf(buffer, sizeof(buffer), “%s”, string) 進(jìn)行格式字符串攻擊不太容易。首先攻擊者必須能獲得內(nèi)存棧的內(nèi)容情況（或者從應(yīng)用導(dǎo)出或者使用調(diào)試器），然好必須知道如何精確訪問(wèn)特定的內(nèi)存空間來(lái)操縱棧中的變量。.3執(zhí)行外部程序推薦使用 exec()函數(shù)而不是 system()函數(shù)來(lái)執(zhí)行外部程序。這是因?yàn)?system()接收整個(gè)命令行的隨機(jī)的緩沖區(qū)來(lái)執(zhí)行程序。snprintf(buffer, sizeof(buffer), emacs %s, filename); system(buffer);在以上的例子中，可以通過(guò)使用分號(hào)利用文件名變

44、量在 sehll 中插入額外的命令（例如文件名可以是/etc/hosts; rm *，這將在顯示/etc/hosts 目錄文件的同時(shí)，刪除目錄中的所有文件。）。而 exec()函數(shù)只保證第一個(gè)參數(shù)被執(zhí)行：execl(usr/bin/emacs, usr/bin/emacs, filename, NULL);上面的例子保證文件名僅僅作為一個(gè)參數(shù)輸入 Emacs 工具，。同樣它在Emacs 命令中使用完全的路徑而不是使用可以被攻擊者利用的 PATH 環(huán)境變量。.4競(jìng)爭(zhēng)條件（race condition）進(jìn)程需要訪問(wèn)資源時(shí)（無(wú)論是磁盤(pán)、內(nèi)存或是文件）通常需要執(zhí)行兩個(gè)步驟：(1) 首先測(cè)

45、試資源是否空閑可用(2) 如果可用，就訪問(wèn)該資源，否則它等到資源不再使用為止再去訪問(wèn)它當(dāng)另一個(gè)進(jìn)程在步驟 1 和 2 之間想要訪問(wèn)同一個(gè)資源時(shí)就出現(xiàn)問(wèn)題了。這會(huì)導(dǎo)致不可預(yù)測(cè)的結(jié)果。進(jìn)程可能會(huì)被鎖定，或者一個(gè)進(jìn)程籍此獲得了另一個(gè)進(jìn)程的較大的權(quán)限而導(dǎo)致安全問(wèn)題。攻擊主要集中在有較大權(quán)限的程序上（稱(chēng)為 setuid 程序）。競(jìng)爭(zhēng)條件攻擊通常利用程序執(zhí)行時(shí)可以訪問(wèn)到的資源。另外權(quán)限低的程序也存在安全風(fēng)險(xiǎn)，因?yàn)楣粽呖赡軙?huì)等待有較高權(quán)限的用戶執(zhí)行那個(gè)程序(例如 root)，然后進(jìn)行攻擊。下面的建議有助于緩解競(jìng)爭(zhēng)條件(race condition)攻擊：在進(jìn)行文件操作時(shí)，利用那些使用文件描述符的函數(shù)而不要

46、使用那些使用文件路徑的函數(shù)（例如使用 fdopen()而不要使用 fopen()）。文件描述符使得惡意的用戶在文件打開(kāi)時(shí)或是在原始的進(jìn)程對(duì)文件進(jìn)行操作前，無(wú)法使用文件連接（符號(hào)式的或是物理的）來(lái)改變文件。在寫(xiě)文件甚至在讀文件時(shí)使用 fcntl()和 flock()函數(shù)來(lái)對(duì)文件加鎖，這樣它們就不能被其他進(jìn)程訪問(wèn)。它幾乎可以建立原子級(jí)的操作。謹(jǐn)慎操縱零時(shí)文件，因?yàn)樗鶗?huì)導(dǎo)致競(jìng)爭(zhēng)條件。.5檢驗(yàn)有效的返回值 檢驗(yàn)有效的返回值非常重要。一個(gè)例子是舊的/bin/login 的實(shí)現(xiàn)中不檢驗(yàn)錯(cuò)誤的返回值，導(dǎo)致當(dāng)它找不到/etc/passwd 文件時(shí)返回 root 的訪問(wèn)權(quán)限。如果該文件損壞了，

47、那么這種情況是合理的，但如果該文件存在只是無(wú)法訪問(wèn)，那么這就是一個(gè)大問(wèn)題。1.9.2系統(tǒng)開(kāi)發(fā)安全相關(guān)工具管理規(guī)范有許多方法來(lái)確保代碼符合一定的安全級(jí)別。正如前面指出的，最好的方法之一是讓盡可能多的人來(lái)檢查代碼（而不是在 QA 環(huán)境中實(shí)際進(jìn)行白箱或者黑箱測(cè)試）。然而，有時(shí)代碼在開(kāi)始實(shí)際環(huán)境的應(yīng)用前往往沒(méi)有足夠的時(shí)間，并且即使檢查代碼也會(huì)漏掉一些不容易發(fā)現(xiàn)的錯(cuò)誤。這些錯(cuò)誤可能會(huì)對(duì)整個(gè)系統(tǒng)導(dǎo)致重大的安全問(wèn)題。因此（以及其他的原因），使用源碼分析工具(Source Code Analysis Tool(SCAT)來(lái)自動(dòng)進(jìn)行某些檢查過(guò)程很有幫助。本文介紹了一些這方面的工具。每個(gè)工具都用同樣的測(cè)試工具來(lái)檢

48、驗(yàn)，這些測(cè)試工具包含 C 和 Java 的代碼段，而這些代碼段存在潛在的安全錯(cuò)誤。我們比較了每個(gè)工具的測(cè)試結(jié)果，并且仔細(xì)檢查了以下的屬性：a)靈活性 有多種選項(xiàng)并能掃描多種類(lèi)型的代碼的工具得分會(huì)較高b)正確性 主要目標(biāo)是發(fā)現(xiàn)正確的安全問(wèn)題，并且不會(huì)出現(xiàn)大量的誤報(bào)信息，或者更糟的是沒(méi)有發(fā)現(xiàn)真正的錯(cuò)誤信息。c)容易使用 大多數(shù)情況下，程序員只需要將工具指定到特定的代碼上然后選擇“掃描”。除非特別需要，程序員一般只做抽樣檢查，而無(wú)需開(kāi)發(fā)復(fù)雜的測(cè)試機(jī)制。d)報(bào)表 掃描結(jié)果應(yīng)該以一種容易理解的格式來(lái)顯示，并且最好同時(shí)提示修改每個(gè)問(wèn)題的方法，并附加理由。每個(gè)工具在解析代碼上的速度可以忽略不計(jì)，所以沒(méi)有進(jìn)行

49、比較（雖然這并不包括配置掃描的時(shí)間，而 MOPS 在這方面相對(duì)于其他工具需要更多的時(shí)間）。另外，這些工具都可以免費(fèi)獲得，甚至可以獲得它們的源代碼，所以不需考慮它們的成本。工具一：PScan Pscan 是一個(gè)有針對(duì)性的掃描程序，主要用于發(fā)現(xiàn) C 程序中的緩沖區(qū)溢出和格式化字符串攻擊。該程序檢查所有用到標(biāo)準(zhǔn) C 程序庫(kù)中的 printf()函數(shù)。sprintf(buffer, variable); printf(buffer, variable); 關(guān)于這些語(yǔ)句在緩沖區(qū)溢出和格式化字符串攻擊中怎樣被利用可以查閱相關(guān)的 C和 C+文檔。Pscan 的一個(gè)不足是不能發(fā)現(xiàn)由于越界檢查不充

50、分而引起的常規(guī)性緩沖區(qū)溢出。不過(guò) Pscan 對(duì)于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當(dāng)精準(zhǔn)和快速的。Pscan 程序相對(duì)簡(jiǎn)單，它只將結(jié)果返回都標(biāo)準(zhǔn)輸出，當(dāng)然也可以將其輸出到文件，并且除了說(shuō)明程序員應(yīng)該怎樣修正錯(cuò)誤以外不給出語(yǔ)句為什么出錯(cuò)等類(lèi)似的信息。該工具一個(gè)顯著的特點(diǎn)是可以同時(shí)掃描多個(gè)文件。總體而言 Pscan 程序相對(duì)簡(jiǎn)單，易于使用，同時(shí)針對(duì)性很強(qiáng)，但是由于它能夠適用的范圍過(guò)于狹窄因此一般不推薦其在大型商業(yè)應(yīng)用中使用，而只是檢查一些相對(duì)簡(jiǎn)單的程序片斷。 工具二：Flawfinder Flawfinder 是一個(gè)分析 C 程序安全隱患的靜態(tài)分析工具。和 Pscan 類(lèi)似，

51、該程序可以發(fā)現(xiàn)很多種類(lèi)型的錯(cuò)誤，除了 printf()和標(biāo)準(zhǔn)的字符串函數(shù)，它還可以發(fā)現(xiàn)競(jìng)爭(zhēng)條件和系統(tǒng)調(diào)用。Flawfinder 相比較 Pscan，它返回的錯(cuò)誤信息要豐富很多，并且也更加詳細(xì)。而這對(duì)于程序員來(lái)說(shuō)非常重要。Flawfinder 甚至可以對(duì)程序中的弱點(diǎn)進(jìn)行分類(lèi)，例如 buffer 弱點(diǎn)、格式弱點(diǎn)、shell 弱點(diǎn)等。 總之，F(xiàn)lawofinder 是一個(gè)相當(dāng)出色的 C 程序檢查工具，速度會(huì)，界面友好，返回信息豐富，安裝使用相對(duì)簡(jiǎn)單。該工具是檢查不同規(guī)模的應(yīng)用程序的首選，唯一不足的是它只能用于 C 程序的檢查。1.9.3控制軟件代碼程序庫(kù)管理運(yùn)作程序庫(kù)我們通常將用于系統(tǒng)

52、開(kāi)發(fā)的開(kāi)發(fā)軟件工具和開(kāi)發(fā)平臺(tái)稱(chēng)之為運(yùn)作程序，因此為了降低計(jì)算機(jī)程序被破壞的可能性，應(yīng)對(duì)運(yùn)作程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的控制：a)嚴(yán)格的管理在開(kāi)發(fā)設(shè)備上的存放開(kāi)發(fā)運(yùn)作程序的目錄。如果開(kāi)發(fā)運(yùn)作程序沒(méi)有很好的保護(hù)，會(huì)造成系統(tǒng)及其設(shè)置會(huì)遭到未經(jīng)授權(quán)的訪問(wèn)并造成系統(tǒng)的安全性可靠性大大下降。b)只有指定的人員如程序庫(kù)管理員經(jīng)過(guò)適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問(wèn)運(yùn)作程序庫(kù)，對(duì)運(yùn)作程序庫(kù)的訪問(wèn)必須結(jié)合進(jìn)行嚴(yán)格的訪問(wèn)控制技術(shù)手段和雙重訪問(wèn)控制機(jī)制。.1嚴(yán)格的訪問(wèn)控制可以通過(guò)以下規(guī)定實(shí)現(xiàn)：a)嚴(yán)格管理開(kāi)發(fā)部門(mén)所在區(qū)域的安全保安管理，防止未經(jīng)授權(quán)的人進(jìn)入開(kāi)發(fā)區(qū)域。b)嚴(yán)格管理開(kāi)發(fā)用途的計(jì)算機(jī)使用，只有指定的人員才可

53、以訪問(wèn)開(kāi)發(fā)用的計(jì)算機(jī)設(shè)備。c)嚴(yán)格管理開(kāi)發(fā)運(yùn)作系統(tǒng)的認(rèn)證管理，建立嚴(yán)格的基于人員職責(zé)的授權(quán)等級(jí)制度，用口令或其他身份識(shí)別技術(shù)確認(rèn)訪問(wèn)者身份。.2建立雙重訪問(wèn)控制機(jī)制雙重訪問(wèn)控制機(jī)制就是對(duì)運(yùn)作程序庫(kù)的管理需要兩個(gè)人同時(shí)進(jìn)行認(rèn)證才可以通過(guò)的方式。比如對(duì)運(yùn)作程序庫(kù)進(jìn)行更改或刪除需要兩個(gè)人進(jìn)行口令認(rèn)證系統(tǒng)才允許進(jìn)行以上操作。其總需要進(jìn)行認(rèn)證的兩個(gè)人彼此不知道對(duì)方的認(rèn)證口令或步驟。因此該認(rèn)證過(guò)程必須兩個(gè)人同時(shí)在場(chǎng)進(jìn)行操作才可以。管理源程序庫(kù)我們通常將直接由程序設(shè)計(jì)語(yǔ)言編制而成的程序稱(chēng)之為源程序。源程序的語(yǔ)言需要通過(guò)相應(yīng)的語(yǔ)言處理程序翻譯成機(jī)器語(yǔ)言程序后才可以在計(jì)算機(jī)上運(yùn)行。因

54、此源程序包含了系統(tǒng)及其控制如何實(shí)現(xiàn)的細(xì)節(jié)，為未授修改系統(tǒng)提供了很好的切入點(diǎn)，例如設(shè)置邏輯炸彈。且如果缺少源程序代碼會(huì)使得今后應(yīng)用系統(tǒng)的維護(hù)工作十分困難甚至無(wú)法完成。因此為了降低計(jì)算機(jī)程序被破壞的可能性，應(yīng)對(duì)源程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的控制：a)嚴(yán)格的管理在開(kāi)發(fā)設(shè)備上的存放源程序的目錄。如果源程序沒(méi)有很好的保護(hù)，會(huì)造成系統(tǒng)及其設(shè)置會(huì)遭到未經(jīng)授權(quán)的訪問(wèn)并造成系統(tǒng)的安全性可靠性大大下降。b)只有指定的人員如程序庫(kù)管理員經(jīng)過(guò)適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問(wèn)源程序庫(kù)，對(duì)源程序庫(kù)的訪問(wèn)必須結(jié)合進(jìn)行嚴(yán)格的訪問(wèn)控制技術(shù)手段和雙重訪問(wèn)控制機(jī)制。c)各項(xiàng)應(yīng)用均應(yīng)當(dāng)指定相應(yīng)的管理員。d)信息技術(shù)支持人員(非開(kāi)發(fā)人員)不應(yīng)當(dāng)自

55、由的訪問(wèn)源程序庫(kù)。e)源程序庫(kù)和運(yùn)作程序庫(kù)盡量分開(kāi)存放并且分開(kāi)管理。f)源程序庫(kù)和運(yùn)行的應(yīng)用系統(tǒng)盡量分開(kāi)存放且分開(kāi)管理。g)源程序庫(kù)的更新和向程序員發(fā)布的源程序應(yīng)當(dāng)由指定的管理員根據(jù)一定的授權(quán)進(jìn)行，不得私自自行更新或發(fā)放。h)應(yīng)當(dāng)保存所有對(duì)源程序庫(kù)進(jìn)行訪問(wèn)讀取或修改的日志紀(jì)錄，以便于日后審核。1.9.4在軟件開(kāi)發(fā)過(guò)程變更管理規(guī)范a)系統(tǒng)容易受到更改的攻擊，即使是完全授權(quán)的更改也可能存在破壞性的影響，存在數(shù)據(jù)完整性的損失、應(yīng)用系統(tǒng)的不可用以及機(jī)密信息的泄漏的風(fēng)險(xiǎn)。為了使信息系統(tǒng)的損失降至最小，組織應(yīng)對(duì)更改進(jìn)行嚴(yán)格的控制，就是在系統(tǒng)開(kāi)發(fā)的每一個(gè)階段（可行性研究、需求分析、設(shè)計(jì)、編碼、測(cè)試、培訓(xùn)等）

56、的每一個(gè)更改實(shí)施前經(jīng)過(guò)組織的評(píng)審與授權(quán)。b)對(duì)于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進(jìn)行檢查，為了有效的進(jìn)行控制，組織應(yīng)當(dāng)建立更改控制審批程序，對(duì)更改的申請(qǐng)、評(píng)審、測(cè)試、批準(zhǔn)、更改的計(jì)劃的提出和實(shí)施提出明確要求并嚴(yán)格的實(shí)施，確保安全性與控制程序不被損害，程序設(shè)計(jì)人員只能訪問(wèn)他們工作所必需的部分，確保任何的改動(dòng)都是經(jīng)過(guò)審批的。c)更改的程序建議如下：清晰確認(rèn)所有的需要更改的應(yīng)用系統(tǒng)、信息、數(shù)據(jù)庫(kù)和相關(guān)的硬件設(shè)備。清晰的確認(rèn)更改的原因(業(yè)務(wù)上的具體流程和具體的需求或開(kāi)發(fā)上的需求)由授權(quán)的用戶提交更改的申請(qǐng)。保留相關(guān)的授權(quán)登記記錄。在正式的實(shí)施之前，更改的方案必須經(jīng)過(guò)評(píng)審并通過(guò)正式的批準(zhǔn)。評(píng)審的確保授權(quán)

57、的用戶在實(shí)施之前確認(rèn)并接受更改的內(nèi)容。確保在實(shí)施的過(guò)程中，盡量的減少對(duì)現(xiàn)行的商務(wù)運(yùn)作系統(tǒng)的影響。確保建立的文件系統(tǒng)在完成各項(xiàng)更改時(shí)得到修改，舊文件被很好的歸檔或處置。保證所有的應(yīng)用系統(tǒng)升級(jí)的版本的控制。確保所有的更改情求的審核跟蹤。確保用戶使用手冊(cè)作相應(yīng)的必要的更改。確保更改的實(shí)施選擇了適當(dāng)?shù)臅r(shí)機(jī)以確保更改的實(shí)施不會(huì)干擾正常的商務(wù)運(yùn)作。1.9.5開(kāi)發(fā)版本管理規(guī)范控制程序清單a)在任何時(shí)候?qū)τ诔绦蚯鍐伪仨氝M(jìn)行嚴(yán)格的控制并且及時(shí)地進(jìn)行更新。b)對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)源程序的打印的資料、電子版本或者是相關(guān)的報(bào)告都必須進(jìn)行控制，紙質(zhì)的文件應(yīng)當(dāng)保存在一個(gè)安全的環(huán)境下，如保險(xiǎn)柜等。電子文檔則應(yīng)當(dāng)進(jìn)行

58、一定的加密。c)源程序相關(guān)信息可以幫助我們確認(rèn)系統(tǒng)問(wèn)題的根源，并且一旦掌握了系統(tǒng)源程序相關(guān)信息可以清楚地了解系統(tǒng)的運(yùn)行邏輯和可能的薄弱點(diǎn)。對(duì)系統(tǒng)的安全有很大的影響。版本升級(jí)控制規(guī)范a)應(yīng)用系統(tǒng)軟件開(kāi)發(fā)版本升級(jí)申請(qǐng)，當(dāng)軟件的版本由于更新，修改等操作需要升級(jí)時(shí)必須先向相關(guān)負(fù)責(zé)人員提交申請(qǐng)。b)應(yīng)用系統(tǒng)軟件版本升級(jí)測(cè)試，對(duì)升級(jí)的應(yīng)用系統(tǒng)進(jìn)行測(cè)試，確認(rèn)系統(tǒng)的各種安全特性。c)應(yīng)用系統(tǒng)軟件版本審批，確認(rèn)對(duì)應(yīng)用系統(tǒng)的版本的升級(jí)，此時(shí)需確認(rèn)當(dāng)前的版本為最新的版本，舊的版本需進(jìn)行歸檔，不得隨意丟棄或刪除。d)應(yīng)用系統(tǒng)軟件版本升級(jí)計(jì)劃，制定相關(guān)的升級(jí)計(jì)劃，確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。e)應(yīng)

59、用系統(tǒng)軟件版本升級(jí)實(shí)施。版本的控制管理規(guī)范a)版本變更需提出申請(qǐng)，詳見(jiàn) 1.9.4“在軟件開(kāi)發(fā)過(guò)程變更管理規(guī)范”。b)使用軟件加鎖技術(shù)防止不同版本的覆蓋的情況。c)當(dāng)版本變更時(shí)需要在更新的版本中記錄變更的詳細(xì)描述。d)提供版本的合并功能。e)版本的更改只允許指定的人員進(jìn)行操作。f)紀(jì)錄所有的版本變更的日志，記錄包括了更改日期，更改前版本號(hào)，更改后版本號(hào)，更改人，審批人等信息。1.9.6開(kāi)發(fā)日志審核管理規(guī)范開(kāi)發(fā)日志定期的審計(jì)和人員權(quán)限的定期審核.1開(kāi)發(fā)日志定期審計(jì)a)系統(tǒng)開(kāi)發(fā)中的相關(guān)日志文件根據(jù)開(kāi)發(fā)周期定期審核.2開(kāi)發(fā)人員權(quán)限定期審計(jì)b)開(kāi)

60、發(fā)人員權(quán)限每 3 個(gè)月審核一次；1.9.7防御后門(mén)代碼或隱藏通道相關(guān)規(guī)范后門(mén)代碼和隱藏通道介紹a)后門(mén)代碼，主要指由攻擊者在未經(jīng)過(guò)許可的情況下，植入計(jì)算機(jī)系統(tǒng)的程序。利用調(diào)用環(huán)境的權(quán)利進(jìn)行與其實(shí)際用途無(wú)關(guān)的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類(lèi)型的后門(mén)程序：調(diào)試后門(mén)為了方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試后未能及時(shí)消除。維護(hù)后門(mén)為了方便遠(yuǎn)程維護(hù)所設(shè)置的后門(mén)，被黑客惡意的利用。惡意后門(mén)由設(shè)計(jì)者故意設(shè)置的機(jī)關(guān)，用來(lái)監(jiān)視用戶的秘密甚至與破壞應(yīng)用系統(tǒng)。特洛伊木馬也屬于后門(mén)的一種，它是黑客攻擊計(jì)算機(jī)的重要手段之一。特洛伊木馬可以放置在正常的文件或程序中，當(dāng)用戶打開(kāi)或執(zhí)行它的時(shí)候，它就會(huì)自動(dòng)的安裝在計(jì)