項(xiàng)目應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理規(guī)范（等保三級(jí)）-

1、文檔編號(hào):項(xiàng)目應(yīng)用開(kāi)發(fā)等級(jí)保護(hù)規(guī)范密級(jí):項(xiàng)目?jī)?nèi)部項(xiàng)目應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理規(guī)范(信息系統(tǒng)等級(jí)保護(hù)三級(jí)二一三年四月項(xiàng)目應(yīng)用開(kāi)發(fā)等級(jí)保護(hù)規(guī)范 目錄第1章概述 (11.1目標(biāo) (11.2適用范圍 (11.3規(guī)范引用的文件或標(biāo)準(zhǔn) (11.4術(shù)語(yǔ)和定義 (21.5應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則 (3第2章系統(tǒng)需求收集和分析階段 (52.1可行性研究分析 (52.2開(kāi)發(fā)人員安全管理 (62.3建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告 (7第3章系統(tǒng)設(shè)計(jì)階段的安全規(guī)范 (83.1單點(diǎn)訪問(wèn)控制且無(wú)后門(mén) (83.2人員職責(zé)和權(quán)限的定義 (83.3確保敏感系統(tǒng)的安全性 (83.4確保訪問(wèn)層的安全性 (83.5確保日志管理機(jī)制健全 (83

2、.6新系統(tǒng)的容量規(guī)劃 (9第4章系統(tǒng)開(kāi)發(fā)階段安全規(guī)范 (104.1系統(tǒng)開(kāi)發(fā)語(yǔ)言 (104.2系統(tǒng)開(kāi)發(fā)安全相關(guān)工具管理 (174.3控制軟件代碼程序庫(kù) (194.4在軟件開(kāi)發(fā)過(guò)程變更管理 (204.5開(kāi)發(fā)版本管理 (214.6開(kāi)發(fā)日志審核管理 (224.7防御后門(mén)代碼或隱藏通道 (22第5章系統(tǒng)測(cè)試階段安全規(guī)范 (245.1應(yīng)用系統(tǒng)的安全性檢測(cè) (245.2控制測(cè)試環(huán)境 (265.3為測(cè)試使用真實(shí)的數(shù)據(jù) (265.4在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測(cè)試 (275.5應(yīng)用系統(tǒng)安全質(zhì)量鑒定 (27第6章系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范 (286.1新系統(tǒng)的培訓(xùn) (286.2撰寫(xiě)新系統(tǒng)和系統(tǒng)改進(jìn)的文檔 (28第7

3、章應(yīng)用系統(tǒng)開(kāi)發(fā)外包安全控制 (29第8章附錄 (308.1參考文獻(xiàn) (308.2本規(guī)范用詞說(shuō)明 (32項(xiàng)目應(yīng)用開(kāi)發(fā)等級(jí)保護(hù)規(guī)范第1章概述信息系統(tǒng)的許多的安全控制或其他安全性保證是通過(guò)系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)予以實(shí)現(xiàn)的。因此如果在系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)階段沒(méi)有對(duì)系統(tǒng)的安全性給予充分的考慮,那么系統(tǒng)本身一定會(huì)存在許多先天不足,系統(tǒng)就會(huì)漏洞百出。為確保應(yīng)用系統(tǒng)的安全,在應(yīng)用系統(tǒng)開(kāi)發(fā)之前就應(yīng)確認(rèn)系統(tǒng)的安全需求,并以此作為開(kāi)發(fā)設(shè)計(jì)的階段的基礎(chǔ)。本規(guī)范主要規(guī)定了在系統(tǒng)開(kāi)發(fā)的各個(gè)階段所應(yīng)遵守的各種安全規(guī)范,從需求分析開(kāi)始,到設(shè)計(jì),再到開(kāi)發(fā)和維護(hù)以及最后的文檔等系統(tǒng)開(kāi)發(fā)的各個(gè)階段分別進(jìn)行闡述,并將在不同階段中所需要注意的安全問(wèn)

4、題和相關(guān)的安全規(guī)范進(jìn)行進(jìn)一步的描述和規(guī)定。1.1目標(biāo)保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程的安全。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程免受未經(jīng)授權(quán)的訪問(wèn)和更改,保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全,確保開(kāi)發(fā)項(xiàng)目順利正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。同時(shí)確保應(yīng)用系統(tǒng)開(kāi)發(fā)外包中的各項(xiàng)安全。1.2適用范圍本套規(guī)范適用的范圍包括了整個(gè)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的安全。包括了系統(tǒng)開(kāi)發(fā)可行性和需求分析階段的安全,系統(tǒng)設(shè)計(jì)階段的安全,系統(tǒng)開(kāi)發(fā)階段的安全,系統(tǒng)測(cè)試階段的安全,系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開(kāi)發(fā)外包的安全規(guī)范。主要規(guī)定了應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程的安全保密,軟件的質(zhì)量的要求,系統(tǒng)和業(yè)務(wù)需求的符合性,保證敏感信息的安全,系統(tǒng)本身的穩(wěn)

5、定性和兼容性問(wèn)題。1.3規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 9387-1995 信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型(ISO7498 :1989GA/T 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求ISO/IEC TR 13355 信息技術(shù)安全管理指南NIST信息安全系列美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)院英國(guó)國(guó)家信息安全標(biāo)準(zhǔn)BS7799信息安全基礎(chǔ)保護(hù)IT Baseline Protection Manual (GermanyBearingPoint

6、 Consulting 內(nèi)部信息安全標(biāo)準(zhǔn)RU Secure安全技術(shù)標(biāo)準(zhǔn)信息系統(tǒng)安全專家叢書(shū)Certificate Information Systems Security Professional1.4術(shù)語(yǔ)和定義訪問(wèn)控制access control 一種安全保證手段,即信息系統(tǒng)的資源只能由被授權(quán)實(shí)體按授權(quán)方式進(jìn)行訪問(wèn),防止對(duì)資源的未授權(quán)使用。應(yīng)用系統(tǒng)application system認(rèn)證authentication a. 驗(yàn)證用戶、設(shè)備和其他實(shí)體的身份;b. 驗(yàn)證數(shù)據(jù)的完整性。授權(quán)authorization 給予權(quán)利,包括信息資源訪問(wèn)權(quán)的授予?？捎眯詀vailability 數(shù)據(jù)或資源的特性

7、,被授權(quán)實(shí)體按要求能及時(shí)訪問(wèn)和使用數(shù)據(jù)或資源。緩沖器溢出buffer overflow指通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,以達(dá)到攻擊的目的。保密性confidentiality 數(shù)據(jù)所具有的特性,即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過(guò)程或其他實(shí)體的程度。隱藏通道covert channel 可用來(lái)按照違反安全策略的方式傳送!數(shù)據(jù)的傳輸信道。完整性integrity在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同,并未遭受偶然或惡意的修改或破壞時(shí)所具的性質(zhì)。

8、敏感信息sensitive information 由權(quán)威機(jī)構(gòu)確定的必須受保護(hù)的信息,因?yàn)樵撔畔⒌男孤?、修改、破壞或丟失都會(huì)對(duì)人或事產(chǎn)生可預(yù)知的損害。系統(tǒng)測(cè)試system testing用于確定系統(tǒng)的安全特征按設(shè)計(jì)要求實(shí)現(xiàn)的過(guò)程。這一過(guò)程包括現(xiàn)場(chǎng)功能測(cè)試、滲透測(cè)試和驗(yàn)證。后門(mén)代碼trapdoor 通常為測(cè)試或查找故障而設(shè)置的一種隱藏的軟件或硬件機(jī)制,它能避開(kāi)計(jì)算機(jī)安全。而且它能在非常規(guī)時(shí)間點(diǎn)或無(wú)需常規(guī)檢查的情況下進(jìn)入程序。特洛伊木馬Trojan horse 一種表面無(wú)害的程序,它包含惡性邏輯程序,導(dǎo)致未授權(quán)地收集、偽造或破壞數(shù)據(jù),以此破壞計(jì)算機(jī)安全與完整性的進(jìn)程。驗(yàn)證verification

9、將某一活動(dòng)、處理過(guò)程或產(chǎn)品與相應(yīng)的要求或規(guī)范相比較。例:將某一規(guī)范與安全策略模型相比較,或者將目標(biāo)代碼與源代碼相比較。壓力測(cè)試于確定系統(tǒng)的薄弱環(huán)節(jié),確定系統(tǒng)在非正常條件下能夠迅速恢復(fù)到正常的運(yùn)行狀態(tài)的能力。1.5應(yīng)用系統(tǒng)開(kāi)發(fā)總體原則應(yīng)用系統(tǒng)的開(kāi)發(fā)應(yīng)遵循一系列的總體原則,以確保開(kāi)發(fā)過(guò)程中的安全。其中包括:系統(tǒng)開(kāi)發(fā)應(yīng)從業(yè)務(wù)需求的角度出發(fā),不得盲目追求系統(tǒng)的先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。系統(tǒng)的開(kāi)發(fā)是為了更好地滿足業(yè)務(wù)上的需要,而不是技術(shù)上的需要。開(kāi)發(fā)的方法和管理必須規(guī)范化、合理化、制度化,從而確保開(kāi)發(fā)的質(zhì)量和進(jìn)度。應(yīng)保證開(kāi)發(fā)的進(jìn)度并按時(shí)完成。確保開(kāi)發(fā)工作及時(shí)、有效且高質(zhì)量的完成。系統(tǒng)開(kāi)發(fā)必須具有一定的

10、前瞻性,符合主流系統(tǒng)的發(fā)展方向。提高和加強(qiáng)開(kāi)發(fā)人員的安全意識(shí)。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏,特別是不可泄漏到競(jìng)爭(zhēng)對(duì)手的手中,否則將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。應(yīng)充分利用現(xiàn)有的資源。第2章系統(tǒng)需求收集和分析階段2.1可行性研究分析對(duì)于應(yīng)用系統(tǒng)開(kāi)發(fā)項(xiàng)目應(yīng)進(jìn)行一定的可行性分析,以保證只有在確認(rèn)具備了相當(dāng)?shù)馁Y源和條件,并且有能力滿足業(yè)務(wù)上的需求的情況下才能開(kāi)展開(kāi)發(fā)工作。切忌盲目開(kāi)發(fā),否則既浪費(fèi)資源,又浪費(fèi)時(shí)間?？尚行匝芯恳藦募夹g(shù)、需求面、投入和影響四個(gè)方面進(jìn)行考慮:根據(jù)業(yè)務(wù)上提出的需求,從技術(shù)開(kāi)發(fā)的角度分析現(xiàn)有的技術(shù)手段和技術(shù)能力是否能夠?qū)崿F(xiàn)業(yè)務(wù)上所要求的系統(tǒng)功能。通?？蓮囊韵氯齻€(gè)方面進(jìn)行分析:

11、 人員技術(shù)能力分析,指公司內(nèi)的系統(tǒng)開(kāi)發(fā)隊(duì)伍或外包的第三方開(kāi)發(fā)公司是否具有足夠技術(shù)和管理能力來(lái)完成系統(tǒng)開(kāi)發(fā)的任務(wù)。計(jì)算機(jī)軟件和硬件分析,指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開(kāi)發(fā)相應(yīng)的系統(tǒng)的要求。管理能力分析,指現(xiàn)有的技術(shù)開(kāi)發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化,是否滿足系統(tǒng)開(kāi)發(fā)的要求。系統(tǒng)的開(kāi)發(fā)來(lái)源于業(yè)務(wù)上的需求,因此需要對(duì)該需求進(jìn)行可行性分析,以判斷需求是否明確,是否符合實(shí)際,是否在一定的時(shí)間范圍內(nèi)可以實(shí)現(xiàn)。根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析,確認(rèn)實(shí)現(xiàn)系統(tǒng)開(kāi)發(fā)所需的投資,并確認(rèn)投資的數(shù)額是否在可控制和可承受的范圍內(nèi)。所謂的影響是指社會(huì)影響,比如系統(tǒng)開(kāi)發(fā)是否符合法律法規(guī)上的要求,是否和相關(guān)的管理制度

12、或行業(yè)標(biāo)準(zhǔn)相抵觸,是否符合人文或道德上的約束等。2.2開(kāi)發(fā)人員安全管理在系統(tǒng)開(kāi)發(fā)的過(guò)程中,應(yīng)明確不同人員的身份和職責(zé)。在系統(tǒng)開(kāi)發(fā)過(guò)程中具體可分以下三種角色:項(xiàng)目負(fù)責(zé)人員:確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施,同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。系統(tǒng)開(kāi)發(fā)人員:根據(jù)業(yè)務(wù)需求確保開(kāi)發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求,同時(shí)滿足系統(tǒng)質(zhì)量上和進(jìn)度上的要求。系統(tǒng)審核人員:對(duì)整個(gè)開(kāi)發(fā)的過(guò)程進(jìn)行審核和監(jiān)督,確保開(kāi)發(fā)的質(zhì)量和開(kāi)發(fā)的安全。應(yīng)根據(jù)該員工在整個(gè)開(kāi)發(fā)項(xiàng)目中所負(fù)責(zé)的開(kāi)發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和所應(yīng)承擔(dān)的責(zé)任。開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性,不得私自將開(kāi)發(fā)的相關(guān)

13、信息泄漏出去,即使對(duì)家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。但開(kāi)發(fā)人員有責(zé)任將開(kāi)發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開(kāi)發(fā)小組的負(fù)責(zé)人員。以書(shū)面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。必須嚴(yán)格規(guī)定在為企業(yè)工作期間,所有和工作相關(guān)的開(kāi)發(fā)成果的所屬權(quán)都?xì)w企業(yè)所有。應(yīng)根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。應(yīng)在日常工作中記錄員工與開(kāi)發(fā)相關(guān)的日志信息。員工一旦離職或調(diào)動(dòng)崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整持續(xù)地進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。錯(cuò)誤問(wèn)題報(bào)告應(yīng)力求通俗易懂,不應(yīng)在其中包含任何系統(tǒng)細(xì)節(jié)問(wèn)題。應(yīng)對(duì)重要的敏感信息進(jìn)行加密保護(hù)。應(yīng)使用一些相對(duì)復(fù)雜的加密和密鑰

14、生成機(jī)制。應(yīng)單獨(dú)編寫(xiě)安全性設(shè)計(jì)說(shuō)明概要管理層必須確保應(yīng)用系統(tǒng)的開(kāi)發(fā)和運(yùn)作管理從組織人事和權(quán)限職責(zé)上分開(kāi)。信息技術(shù)人員可以現(xiàn)場(chǎng)修復(fù)或更改偶然或惡意的數(shù)據(jù)和軟件問(wèn)題。測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼,大大增加了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。開(kāi)發(fā)人員不應(yīng)具有很高的權(quán)限,否則將在系統(tǒng)運(yùn)行中產(chǎn)生很大的風(fēng)險(xiǎn)。2.3建立系統(tǒng)開(kāi)發(fā)安全需求分析報(bào)告安全需求計(jì)劃應(yīng)能夠達(dá)到期望的安全水平。其中包括了成本的預(yù)估,完成各個(gè)安全相關(guān)流程所需的時(shí)間。所有關(guān)于應(yīng)用系統(tǒng)的更新或改進(jìn)都必須基于業(yè)務(wù)需求,并有業(yè)務(wù)事件支持。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開(kāi)發(fā)費(fèi)用、開(kāi)發(fā)周期等內(nèi)容,應(yīng)明確系統(tǒng)的安全要求。應(yīng)用系統(tǒng)的任何一次改進(jìn)或更

15、新都應(yīng)和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。開(kāi)發(fā)安全需求分析計(jì)劃應(yīng)由開(kāi)發(fā)項(xiàng)目經(jīng)理和公司內(nèi)部的安全小組共同商議決定。應(yīng)確保每一個(gè)應(yīng)用系統(tǒng)的用戶都意識(shí)到系統(tǒng)的更新或改進(jìn)都與其自身密切相關(guān),所有的更新或改動(dòng)建議都必須基于業(yè)務(wù)需求,而不是基于所謂的“信息技術(shù)的要求”。系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真對(duì)待,必須進(jìn)行詳細(xì)的需求定義、需求分析以及測(cè)試評(píng)估,以保證不會(huì)對(duì)業(yè)務(wù)造成任何不良影響。業(yè)務(wù)需求是系統(tǒng)更新和改動(dòng)的基礎(chǔ),因此必須清晰明確地定義業(yè)務(wù)的需求,禁止在業(yè)務(wù)需求未經(jīng)業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)和主要負(fù)責(zé)人員認(rèn)可的情況下,盲目地進(jìn)行開(kāi)發(fā)工作。第3章系統(tǒng)設(shè)計(jì)階段的安全規(guī)范3.1單點(diǎn)訪問(wèn)控制且無(wú)后門(mén)任何用戶如果希望訪問(wèn)應(yīng)用系統(tǒng)中的

16、某一部分,則必須通過(guò)統(tǒng)一且唯一的認(rèn)證授權(quán)方式及流程。3.2人員職責(zé)和權(quán)限的定義由于不是所有的人員對(duì)于某一個(gè)應(yīng)用系統(tǒng)都具有同樣的訪問(wèn)或使用權(quán)限,因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理,以確保每個(gè)用戶可以訪問(wèn)到其權(quán)限范圍內(nèi)的應(yīng)用系統(tǒng)部分。同時(shí)應(yīng)確保每個(gè)用戶無(wú)法訪問(wèn)其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。3.3確保敏感系統(tǒng)的安全性將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理,確?？蛻舳讼到y(tǒng)本身并不能存儲(chǔ)任何敏感的數(shù)據(jù)。3.4確保訪問(wèn)層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性,同時(shí)還應(yīng)考慮模塊與模塊之間通訊的安全性。這種模塊與模塊之間通訊的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間通訊

17、的安全,也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的通訊安全性,如主機(jī)和客戶端之間通訊的安全性、服務(wù)器和服務(wù)器間通訊的安全性,以及本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。3.5確保日志管理機(jī)制健全應(yīng)建立可根據(jù)情況自由設(shè)置的日志管理機(jī)制,也就是說(shuō)日志記錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制,且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)的使用過(guò)程中進(jìn)行日志的定制和記錄。保留所有與系統(tǒng)開(kāi)發(fā)相關(guān)的程序庫(kù)的更新審核記錄。3.6新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模、性能和系統(tǒng)彈性。容量規(guī)劃的具體內(nèi)容可能有所不同,但一般應(yīng)考慮以下方面:系統(tǒng)的預(yù)期存儲(chǔ)容量和在給定的周期中獲取生成和存儲(chǔ)的數(shù)據(jù)量。在線進(jìn)程的數(shù)量和估計(jì)可能的占用資料系

18、統(tǒng)和網(wǎng)絡(luò)的響應(yīng)時(shí)間和性能,即端對(duì)端系統(tǒng)系統(tǒng)彈性要求和設(shè)計(jì)使用率(峰值,槽值和平均值等安全措施如加密解密數(shù)據(jù)對(duì)系統(tǒng)的影響。24x7運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)(維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī)規(guī)劃容量的時(shí)候關(guān)于系統(tǒng)使用的信息了解的越多越好。近來(lái),由于互聯(lián)網(wǎng)站的使用以指數(shù)形式增長(zhǎng),容量規(guī)劃的變動(dòng)效果不是非常顯著,有時(shí)甚至毫無(wú)用處。原因在于很難估計(jì)實(shí)際的負(fù)載。在容量估計(jì)的時(shí)候應(yīng)盡量將情況設(shè)想得復(fù)雜一些。第4章系統(tǒng)開(kāi)發(fā)階段安全規(guī)范4.1系統(tǒng)開(kāi)發(fā)語(yǔ)言程序員可使用很多指導(dǎo)規(guī)范來(lái)防止應(yīng)用程序中的普通安全問(wèn)題。其中許多可以應(yīng)用于任何一種編程語(yǔ)言,但某些是針對(duì)特定的語(yǔ)言的。特定語(yǔ)言的指導(dǎo)規(guī)范主要集中在Perl

19、,Java和C/C+語(yǔ)言。大多數(shù)情況下,一般的錯(cuò)誤可以避免。而這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞,從而威脅信息的保密性、完整性和可用性。在客戶機(jī)/服務(wù)器環(huán)境下,進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證(例如基于Javascript的驗(yàn)證。通過(guò)在客戶端和服務(wù)器之間放置一個(gè)代理服務(wù)器,可以很容易繞過(guò)客戶端驗(yàn)證。有了代理服務(wù)器,攻擊者可以在數(shù)據(jù)被客戶端“驗(yàn)證”后修改數(shù)據(jù)(與“man-in-the-middle”攻擊類似。在實(shí)際的校驗(yàn)中,輸入校驗(yàn)首先定義一個(gè)有效(可接受的字符集,然后檢查每個(gè)數(shù)據(jù)的字符是否在有效范圍內(nèi)。如果輸入中包含無(wú)效的字符,應(yīng)用程序應(yīng)返回錯(cuò)誤頁(yè)面并說(shuō)明輸入中包含無(wú)效字符。這樣進(jìn)行

20、驗(yàn)證的原因是定義無(wú)效的字符集比較困難,并且一些不應(yīng)有效的字符通常不會(huì)被指出。邊界檢查(例如字符串的最大長(zhǎng)度應(yīng)在字符有效性檢查以前進(jìn)行。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。同時(shí)避免在環(huán)境變量中存放敏感數(shù)據(jù)(例如密碼。某些Unix系統(tǒng)(例如FreeBSD包含ps命令,可以讓用戶看到任何當(dāng)前進(jìn)程的環(huán)境變量,這常常會(huì)暴露保密性信息。如果應(yīng)用程序需要連接后端數(shù)據(jù)庫(kù),不得在代碼中使用SQL語(yǔ)句。使用程序以外的嵌入在代碼中的SQL語(yǔ)句調(diào)用特別危險(xiǎn),難以防止攻擊者使用輸入域或者配置文件(由應(yīng)用程序載入來(lái)執(zhí)行嵌入式的SQL攻擊。而輸入驗(yàn)證有助于緩解這種風(fēng)險(xiǎn)。當(dāng)應(yīng)用程序在實(shí)際

21、環(huán)境中開(kāi)始應(yīng)用時(shí),應(yīng)刪除所有的注釋代碼。注釋代碼是用來(lái)調(diào)試或者測(cè)試的,它們不是最終應(yīng)用程序的一部分。無(wú)論如何應(yīng)在實(shí)際的環(huán)境中刪除它們來(lái)避免意外的執(zhí)行(一般注釋標(biāo)識(shí)被刪除后就無(wú)法激活休眠的代碼,但還是存在可能性的,所以應(yīng)執(zhí)行這項(xiàng)工作。所有對(duì)用戶顯示的錯(cuò)誤信息都不應(yīng)暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。如果可能的話,應(yīng)使用包含編號(hào)的一般的錯(cuò)誤信息,這種信息只有開(kāi)發(fā)者和/或支持小組才能理解。一般的錯(cuò)誤信息的例子是“發(fā)生了錯(cuò)誤(代碼1234,請(qǐng)您與系統(tǒng)維護(hù)部門(mén)聯(lián)系?！睂?duì)于web應(yīng)用,不要在URL上暴露任何重要信息,例如密碼、服務(wù)器名稱、IP地址或者文件系統(tǒng)路徑(暴露了web服務(wù)器的目錄結(jié)構(gòu)。這些

22、信息可以在攻擊時(shí)使用。例如下面就是一個(gè)不安全的URL:設(shè)置PATH為一個(gè)已知的值,而不僅僅是使用啟動(dòng)時(shí)的缺省值。攻擊者可以在攻擊應(yīng)用程序時(shí)使用PATH變量,例如試圖執(zhí)行一個(gè)任意的程序。這些也可以應(yīng)用于大多數(shù)其他的語(yǔ)言。多年以來(lái),Perl已經(jīng)成為用于系統(tǒng)管理和Web CGI開(kāi)發(fā)的功能最強(qiáng)的編程語(yǔ)言之一(幾乎可以使用Perl實(shí)現(xiàn)任何功能。但其擴(kuò)展應(yīng)用,即作為Internet上CGI的開(kāi)發(fā)工具,使得它經(jīng)常成為web服務(wù)器上的攻擊目標(biāo)。另外,大多數(shù)CGI腳本有著比一般用戶更高的權(quán)限,導(dǎo)致它更容易受攻擊。下面列舉了一些開(kāi)發(fā)者(特別是CGI程序員可以使用的主動(dòng)的預(yù)防性的措施來(lái)增強(qiáng)Perl代碼的整體安全性(

23、請(qǐng)注意:這不是web服務(wù)器CGI腳本安全性的指導(dǎo)原則。Perl版本5.x包含一個(gè)叫做Taint Checking的數(shù)據(jù)驗(yàn)證措施。如果起用該功能,它就不允許通過(guò)用戶輸入(任何程序外的輸入來(lái)操縱其他的外部程序(例如通過(guò)管道將數(shù)據(jù)導(dǎo)入另一個(gè)程序執(zhí)行。一般而言,程序員不能信任輸入腳本和程序的數(shù)據(jù)(叫做Tainted數(shù)據(jù),因?yàn)闊o(wú)法保證它不會(huì)產(chǎn)生危害(有意或者無(wú)意的。Taint驗(yàn)證可以通過(guò)在命令行參數(shù)加入“-T”來(lái)開(kāi)啟。例如可以Perl腳本的第一行這樣加入“-T”:#!usr/bin/perl5 -TTainted數(shù)據(jù)包括命令行參數(shù)、環(huán)境變量和來(lái)自文件的數(shù)據(jù)。引用tainted數(shù)據(jù)的變量也成為tainte

24、d數(shù)據(jù)。如果腳本試圖通過(guò)不安全的方式來(lái)使用tainted數(shù)據(jù)會(huì)產(chǎn)生一個(gè)致命錯(cuò)誤(對(duì)這種情況稱為“不安全的依賴”(Insecure dependency或者其他的說(shuō)法。啟用tainted驗(yàn)證在有些情況下會(huì)導(dǎo)致腳本停止運(yùn)行,常常是由于Perl解釋器要求所有腳本引用的外部程序的完全路徑必須在PATH環(huán)境變量中列出,同時(shí)PATH中包含的每個(gè)目錄除了目錄的所有者及相應(yīng)的所有者用戶組外無(wú)法修改。Taint驗(yàn)證對(duì)于環(huán)境比較敏感,這就可能會(huì)導(dǎo)致大多數(shù)程序員不愿使用它,但是只要可能就應(yīng)使用taint驗(yàn)證,特別是代碼執(zhí)行其他程序功能時(shí)(例如在CGI腳本的情況下。如果不但輸入數(shù)據(jù)不可信而且實(shí)際的代碼也不可信會(huì)產(chǎn)生什

25、么情況?例如用戶從網(wǎng)站上下載了一個(gè)ActiveX控件,而它實(shí)際是一個(gè)特洛伊木馬(Trojan horse。這種情況下taint驗(yàn)證就不起作用。安全模塊讓程序員可以在Perl腳本中將不同的代碼模塊與安全對(duì)象相聯(lián)系。每個(gè)安全對(duì)象對(duì)于運(yùn)行的每塊代碼建立了一個(gè)限制的環(huán)境。這與chroot在一個(gè)進(jìn)程中只能在整體目錄結(jié)構(gòu)的一個(gè)子目錄中運(yùn)行類似。而saft對(duì)象限制perl代碼只能在perl包結(jié)構(gòu)的某些特定包中運(yùn)行。如何使用安全模式超出了本文的范圍,但程序員應(yīng)在任何時(shí)候使用這一功能。使用-w參數(shù)可以在Perl解釋腳本時(shí)顯示所有的警告信息。警告可以對(duì)以下情況產(chǎn)生:只使用了一次的變量或者完全沒(méi)有使用過(guò)的變量,未定

26、義的文件句柄,未關(guān)閉的文件句柄,或?qū)⒎菙?shù)值變量傳遞到數(shù)據(jù)變量。該功能不是針對(duì)安全處理的,但是有助于調(diào)試直接或者間接對(duì)安全有危害的錯(cuò)誤。一般推薦總是使用-w 參數(shù)?？稍趖aint驗(yàn)證時(shí)在第一行這樣使用-w參數(shù):#!usr/bin/perl5 Tw自從1995年發(fā)布以來(lái),Java成為簡(jiǎn)單或者復(fù)雜網(wǎng)絡(luò)應(yīng)用的有效編程語(yǔ)言。它在設(shè)計(jì)時(shí)充分考慮了安全問(wèn)題,因此它具有的限制特征有:收集不再使用的內(nèi)存碎片的垃圾收集器,嚴(yán)格的“sandbox”安全模型,以及在特定主機(jī)上限制應(yīng)用程序的活動(dòng)的安全管理器。以下為使用中的相關(guān)的規(guī)范:Java中,如果沒(méi)有使用訪問(wèn)標(biāo)識(shí)符(access modifier(private、p

27、rotected或public來(lái)聲明類、方法和屬性,那么它的默認(rèn)訪問(wèn)范圍是包,并且同一包中的所有類都能訪問(wèn)它。必須記住雖然包有封裝功能,但它只有在每部分加載到包的代碼都由授權(quán)用戶控制時(shí)才起作用。惡意的用戶可以加入他們自己的類,從而對(duì)于包中的所有類、方法和屬性都有完全的訪問(wèn)權(quán)限。Java的政策文件支持兩種控制包訪問(wèn)權(quán)限的前綴。accessClassInPackagedefineClassInPackage所有標(biāo)準(zhǔn)庫(kù)中的類都默認(rèn)是可以公共訪問(wèn)的(除了由“sun”開(kāi)頭的類。為了保證一個(gè)包的安全性,必須修改$JAVA HOME/jre/lib/security文件夾中的java.security文件。

28、該文件中的重要行是:package.access=sun.雖然該方法有作用,但仍存在問(wèn)題。例如程序員在java.security文件中定義包的安全時(shí)必須十分小心。在package.access中的值是字符型的,“sun.”將保護(hù)“sun.tools”等包,但是不會(huì)對(duì)“sun”或者“sunshine”等包進(jìn)行保護(hù)。另一個(gè)方法是使用JAR密封(sealing 。JAR(Java ARchive文件是一些類的打包壓縮格式的文件,與常用的ZIP格式類似。如果從一個(gè)密封(sealing的JAR文件中加載一個(gè)類,隨后同一個(gè)包的類只能從該JAR文件加載。為了起用密封(sealing,必須在建立JAR文件時(shí)這

29、樣設(shè)置密封(seal參數(shù): Sealed: true使用密封(sealing的JAR文件比權(quán)限 (permission 設(shè)置更好,因?yàn)樗恍枰惭b安全管理器(security manager。Java內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。很多情況下需要編制一個(gè)定制的安全管理器,JDK1.2及以后的版本提供了描述設(shè)置的方法而不是實(shí)施它們。這是通過(guò)Java政策文件實(shí)現(xiàn)的。可以用政策文件以相對(duì)模塊化的方式控制文件系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)。例如可以限制應(yīng)用程序只能修改名字是foo的文件。宜使用Java政策文件和安全管理器而不是重新創(chuàng)建一個(gè)類或者系統(tǒng)來(lái)限制對(duì)主機(jī)和網(wǎng)絡(luò)的訪問(wèn)。C本質(zhì)上是不安全的編

30、程語(yǔ)言。例如如果不謹(jǐn)慎使用的話,其大多數(shù)標(biāo)準(zhǔn)的字符串庫(kù)函數(shù)有可能被用來(lái)進(jìn)行緩沖區(qū)攻擊或者格式字符串攻擊。但是,由于其靈活性、快速和相對(duì)容易掌握,它是一個(gè)廣泛使用的編程語(yǔ)言。下面是針對(duì)開(kāi)發(fā)安全的C語(yǔ)言程序的一些規(guī)范。避免使用不執(zhí)行邊界檢查的字符串函數(shù),因?yàn)樗鼈兛赡鼙挥脕?lái)進(jìn)行緩沖區(qū)溢出攻擊。下面是應(yīng)避免使用的函數(shù)。同時(shí),也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。不使用strcpy(,使用strncpy(不使用strcat(,使用strncat(不使用sprintf(,使用snprintf(不使用gets(,使用fgets(在上面的前三個(gè)中函數(shù)中,每個(gè)替代函數(shù)的“n”表示了使用的緩沖區(qū)的大小。最后一

31、個(gè)函數(shù)的“f”,表示格式,它允許用戶指定期望的輸入的格式。這些替換方程強(qiáng)制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類型。該類攻擊往往與緩沖區(qū)溢出相關(guān),因?yàn)樗鼈兺饕昧四承┖瘮?shù)的假設(shè),例如sprintf(和vsprintf(假設(shè)緩沖區(qū)的長(zhǎng)度是無(wú)限的。然而即使使用snprintf(替換sprintf(也無(wú)法完全保護(hù)程序不受格式化字符串的攻擊。這些攻擊通過(guò)直接將格式說(shuō)明符(format specifiers(%d,%s,%n等傳遞到輸出函數(shù)接收緩沖區(qū)來(lái)進(jìn)行。例如,以下的代碼就是不安全的:snprintf(buffer, sizeof(buffer, string這種情況下,可以在字符串中插入

32、格式說(shuō)明符來(lái)操縱內(nèi)存的棧,來(lái)寫(xiě)入攻擊者的數(shù)據(jù)(這些數(shù)據(jù)中包含小的程序代碼,并可由處理器接著執(zhí)行。更多關(guān)于這些攻擊的具體內(nèi)容請(qǐng)見(jiàn)資源章節(jié)。對(duì)以上的例子建議使用下面的代碼。snprintf(buffer, sizeof(buffer, “%s”, string進(jìn)行格式字符串攻擊不太容易。首先攻擊者必須能獲得內(nèi)存棧的內(nèi)容情況(從應(yīng)用導(dǎo)出或者使用調(diào)試器,然后必須知道如何精確訪問(wèn)特定的內(nèi)存空間來(lái)操縱棧中的變量。推薦使用exec(函數(shù)而不是system(函數(shù)來(lái)執(zhí)行外部程序。這是因?yàn)閟ystem(接收整個(gè)命令行的隨機(jī)的緩沖區(qū)來(lái)執(zhí)行程序。snprintf(buffer, sizeof(buffer, &quo

33、t;emacs %s", filename;system(buffer;在以上的例子中,可以通過(guò)使用分號(hào)利用文件名變量在sehll中插入額外的命令(例如文件名可以是/etc/hosts; rm *,這將在顯示/etc/hosts目錄文件的同時(shí),刪除目錄中的所有文件。而exec(函數(shù)只保證第一個(gè)參數(shù)被執(zhí)行:execl("usr/bin/emacs", "usr/bin/emacs", filename, NULL;上面的例子保證文件名僅僅作為一個(gè)參數(shù)輸入Emacs工具,同樣它在Emacs 命令中使用完全的路徑而不是使用可以被攻擊者利用的PATH環(huán)

34、境變量。進(jìn)程需要訪問(wèn)資源時(shí)(無(wú)論是磁盤(pán)、內(nèi)存或是文件通常需要執(zhí)行兩個(gè)步驟: 首先測(cè)試資源是否空閑可用如果可用,就訪問(wèn)該資源,否則它等到資源不再使用為止再去訪問(wèn)它當(dāng)另一個(gè)進(jìn)程在步驟1和2之間想要訪問(wèn)同一個(gè)資源時(shí)將出現(xiàn)問(wèn)題,導(dǎo)致不可預(yù)測(cè)的結(jié)果。進(jìn)程可能會(huì)被鎖定,或者一個(gè)進(jìn)程籍此獲得了另一個(gè)進(jìn)程的較大的權(quán)限而導(dǎo)致安全問(wèn)題。攻擊主要集中在有較大權(quán)限的程序上(稱為setuid程序。競(jìng)爭(zhēng)條件攻擊通常利用程序執(zhí)行時(shí)可以訪問(wèn)到的資源。另外權(quán)限低的程序也存在安全風(fēng)險(xiǎn),因?yàn)楣粽呖赡軙?huì)等待有較高權(quán)限的用戶執(zhí)行那個(gè)程序(例如root,然后進(jìn)行攻擊。下面的建議有助于緩解競(jìng)爭(zhēng)條件(race condition攻擊:在進(jìn)

35、行文件操作時(shí),利用那些使用文件描述符的函數(shù)而不使用那些使用文件路徑的函數(shù)(例如使用fdopen(而不要使用fopen(。文件描述符使得惡意的用戶在文件打開(kāi)時(shí)或是在原始的進(jìn)程對(duì)文件進(jìn)行操作前,無(wú)法使用文件連接(符號(hào)式的或是物理的來(lái)改變文件。在寫(xiě)文件甚至在讀文件時(shí)宜使用fcntl(和flock(函數(shù)來(lái)對(duì)文件加鎖,這樣它們就不能被其他進(jìn)程訪問(wèn)。它幾乎可以建立原子級(jí)的操作。應(yīng)謹(jǐn)慎操縱臨時(shí)文件,因?yàn)樗鶗?huì)導(dǎo)致競(jìng)爭(zhēng)條件攻擊。檢驗(yàn)有效的返回值非常重要。一個(gè)例子是舊的/bin/login的實(shí)現(xiàn)中不檢驗(yàn)錯(cuò)誤的返回值,導(dǎo)致當(dāng)它找不到/etc/passwd文件時(shí)返回root的訪問(wèn)權(quán)限。如果該文件損壞了則這種情況是

36、合理的;但如果該文件存在只是無(wú)法訪問(wèn),那么這就是一個(gè)大問(wèn)題。4.2系統(tǒng)開(kāi)發(fā)安全相關(guān)工具管理有許多方法來(lái)確保代碼符合一定的安全級(jí)別。正如前面指出的,最好的方法之一是讓盡可能多的人來(lái)檢查代碼(而不是在QA環(huán)境中實(shí)際進(jìn)行白箱或者黑箱測(cè)試。然而,有時(shí)代碼在開(kāi)始實(shí)際環(huán)境的應(yīng)用前往往沒(méi)有足夠的時(shí)間,并且即使檢查代碼也會(huì)漏掉一些不易發(fā)現(xiàn)的錯(cuò)誤。這些錯(cuò)誤可能會(huì)對(duì)整個(gè)系統(tǒng)導(dǎo)致重大的安全問(wèn)題。因此(以及其他的原因,使用源碼分析工具(Source Code Analysis Tool(SCAT來(lái)自動(dòng)進(jìn)行某些檢查過(guò)程很有幫助。本文介紹了一些這方面的工具。每個(gè)工具都用同樣的測(cè)試工具來(lái)檢驗(yàn),這些測(cè)試工具包含C和Java的

37、代碼段,而這些代碼段存在潛在的安全錯(cuò)誤。我們比較了每個(gè)工具的測(cè)試結(jié)果,并且仔細(xì)檢查了以下的屬性:靈活性-有多種選項(xiàng)并能掃描多種類型的代碼的工具得分會(huì)較高。正確性-主要目標(biāo)是發(fā)現(xiàn)正確的安全問(wèn)題,并且不會(huì)出現(xiàn)大量的誤報(bào)信息,或者更糟的是沒(méi)有發(fā)現(xiàn)真正的錯(cuò)誤信息。容易使用-大多數(shù)情況下,程序員只需將工具指定到特定的代碼上然后選擇“掃描”。除非特別需要,程序員一般只做抽樣檢查,而無(wú)需開(kāi)發(fā)復(fù)雜的測(cè)試機(jī)制。報(bào)表-掃描結(jié)果應(yīng)以一種容易理解的格式來(lái)顯示,并且最好同時(shí)提示修改每個(gè)問(wèn)題的方法,并附加理由。每個(gè)工具在解析代碼上的速度可以忽略不計(jì),所以沒(méi)有進(jìn)行比較(雖然這并不包括配置掃描的時(shí)間,而MOPS在這方面相對(duì)于

38、其它工具需要更多的時(shí)間。另外,這些工具都可以免費(fèi)獲得,甚至可以獲得它們的源代碼,所以不需考慮它們的成本。Pscan是一個(gè)有針對(duì)性的掃描程序,主要用于發(fā)現(xiàn)C程序中的緩沖區(qū)溢出和格式化字符串攻擊。該程序檢查所有用到標(biāo)準(zhǔn)C程序庫(kù)中的printf(函數(shù)。sprintf(buffer, variable;printf(buffer, variable;關(guān)于這些語(yǔ)句在緩沖區(qū)溢出和格式化字符串攻擊中怎樣被利用可以查閱相關(guān)的C和C+文檔。Pscan的一個(gè)不足是不能發(fā)現(xiàn)由于越界檢查不充分而引起的常規(guī)性緩沖區(qū)溢出。但Pscan對(duì)于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當(dāng)精準(zhǔn)和快速的。Pscan程序相對(duì)簡(jiǎn)單,它只

39、將結(jié)果返回標(biāo)準(zhǔn)輸出,當(dāng)然也可以將其輸出到文件,并且除了說(shuō)明程序員應(yīng)怎樣修正錯(cuò)誤以外,不給出語(yǔ)句為什么出錯(cuò)等類似信息。該工具一個(gè)顯著的特點(diǎn)是可以同時(shí)掃描多個(gè)文件?？傮w而言Pscan程序相對(duì)簡(jiǎn)單,易于使用,同時(shí)針對(duì)性很強(qiáng),但是由于它能夠適用的范圍過(guò)于狹窄因此一般不推薦其在大型商業(yè)應(yīng)用中使用,而只是檢查一些相對(duì)簡(jiǎn)單的程序片斷。Flawfinder是一個(gè)分析C程序安全隱患的靜態(tài)分析工具。和Pscan類似,該程序可以發(fā)現(xiàn)很多種類型的錯(cuò)誤,除了printf(和標(biāo)準(zhǔn)的字符串函數(shù),它還可以發(fā)現(xiàn)競(jìng)爭(zhēng)條件和系統(tǒng)調(diào)用。Flawfinder相比較Pscan,它返回的錯(cuò)誤信息要豐富很多,并且也更加詳細(xì)。而這對(duì)于程序員來(lái)

40、說(shuō)非常重要。Flawfinder甚至可以對(duì)程序中的弱點(diǎn)進(jìn)行分類,例如buffer弱點(diǎn)、格式弱點(diǎn)、shell弱點(diǎn)等。Flawofinder是一個(gè)相當(dāng)出色的C程序檢查工具,速度會(huì),界面友好,返回信息豐富,安裝使用相對(duì)簡(jiǎn)單。該工具是檢查不同規(guī)模的應(yīng)用程序的首選,唯一不足的是它只能用于C程序的檢查。4.3控制軟件代碼程序庫(kù)我們通常將用于系統(tǒng)開(kāi)發(fā)的軟件工具和開(kāi)發(fā)平臺(tái)稱之為運(yùn)作程序,因此為了降低計(jì)算機(jī)程序被破壞的可能性,應(yīng)對(duì)運(yùn)作程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的控制: 嚴(yán)格的管理在開(kāi)發(fā)設(shè)備上的存放開(kāi)發(fā)運(yùn)作程序的目錄。如果開(kāi)發(fā)運(yùn)作程序沒(méi)有很好的保護(hù),則系統(tǒng)及其設(shè)置可能遭到未經(jīng)授權(quán)的訪問(wèn),并造成系統(tǒng)的安全性可靠性大大下降

41、。只有指定的人員如程序庫(kù)管理員經(jīng)過(guò)適當(dāng)?shù)墓芾硎跈?quán)后,才可以訪問(wèn)運(yùn)作程序庫(kù),對(duì)運(yùn)作程序庫(kù)的訪問(wèn)必須結(jié)合嚴(yán)格的訪問(wèn)控制技術(shù)手段和雙重訪問(wèn)控制機(jī)制。嚴(yán)格管理開(kāi)發(fā)部門(mén)所在區(qū)域的保安管理,防止未經(jīng)授權(quán)的人進(jìn)入開(kāi)發(fā)區(qū)域。嚴(yán)格管理開(kāi)發(fā)用途的計(jì)算機(jī)使用,只有指定的人員才可以訪問(wèn)開(kāi)發(fā)用的計(jì)算機(jī)設(shè)備。嚴(yán)格管理開(kāi)發(fā)運(yùn)作系統(tǒng)的認(rèn)證管理,建立嚴(yán)格的基于人員職責(zé)的授權(quán)等級(jí)制度,用口令或其它身份識(shí)別技術(shù)確認(rèn)訪問(wèn)者身份。雙重訪問(wèn)控制機(jī)制就是對(duì)運(yùn)作程序庫(kù)的管理需經(jīng)兩個(gè)人同時(shí)進(jìn)行認(rèn)證后才可通過(guò)的方式。比如對(duì)運(yùn)作程序庫(kù)進(jìn)行更改或刪除需要兩個(gè)人進(jìn)行口令認(rèn)證,系統(tǒng)才允許進(jìn)行以上操作。需要進(jìn)行認(rèn)證的兩個(gè)人彼此不知道對(duì)方的認(rèn)證口令或步驟。

42、因此該認(rèn)證過(guò)程必須兩個(gè)人同時(shí)在場(chǎng)才可進(jìn)行操作。源程序包含了系統(tǒng)及其控制如何實(shí)現(xiàn)的細(xì)節(jié),為修改系統(tǒng)提供了很好的切入點(diǎn),例如設(shè)置邏輯炸彈。且如果缺少源程序代碼會(huì)使得今后應(yīng)用系統(tǒng)的維護(hù)工作十分困難甚至無(wú)法完成。因此為了降低計(jì)算機(jī)程序被破壞的可能性,應(yīng)對(duì)源程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的控制:嚴(yán)格管理在開(kāi)發(fā)設(shè)備上的存放源程序的目錄。如果源程序沒(méi)有很好的保護(hù),則系統(tǒng)及其設(shè)置可能會(huì)遭到未經(jīng)授權(quán)的訪問(wèn),并造成系統(tǒng)的安全性可靠性大大下降。只有指定的人員如程序庫(kù)管理員經(jīng)過(guò)適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問(wèn)源程序庫(kù),對(duì)源程序庫(kù)的訪問(wèn)必須結(jié)合進(jìn)行嚴(yán)格的訪問(wèn)控制技術(shù)手段和雙重訪問(wèn)控制機(jī)制。各項(xiàng)應(yīng)用均應(yīng)指定相應(yīng)的管理員。信息技術(shù)支持人員

43、(非開(kāi)發(fā)人員不應(yīng)自由訪問(wèn)源程序庫(kù)。源程序庫(kù)和運(yùn)作程序庫(kù)宜分開(kāi)存放并且分開(kāi)管理。源程序庫(kù)和運(yùn)行的應(yīng)用系統(tǒng)宜分開(kāi)存放且分開(kāi)管理。源程序庫(kù)的更新和向程序員發(fā)布的源程序應(yīng)由指定的管理員根據(jù)一定的授權(quán)進(jìn)行,不得私自進(jìn)行更新或發(fā)放。應(yīng)保存所有對(duì)源程序庫(kù)進(jìn)行訪問(wèn)讀取或修改的日志記錄,以便日后審核。4.4在軟件開(kāi)發(fā)過(guò)程變更管理a 系統(tǒng)容易受到未經(jīng)授權(quán)的變更的影響,即使是完全授權(quán)的更改也可能存在破壞性的影響,存在數(shù)據(jù)完整性的損失、應(yīng)用系統(tǒng)的不可用以及機(jī)密信息的泄漏的風(fēng)險(xiǎn)。為了使信息系統(tǒng)的損失降至最小,組織應(yīng)對(duì)更改進(jìn)行嚴(yán)格的控制,即在系統(tǒng)開(kāi)發(fā)的每一個(gè)階段(可行性研究、需求分析、設(shè)計(jì)、編碼、測(cè)試、培訓(xùn)等的每一個(gè)更改

44、實(shí)施前必須經(jīng)過(guò)組織的評(píng)審與授權(quán)。b 對(duì)于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進(jìn)行檢查,為了有效的進(jìn)行控制,組織應(yīng)建立更改控制審批程序,對(duì)更改的申請(qǐng)、評(píng)審、測(cè)試、批準(zhǔn)、更改的計(jì)劃的提出和實(shí)施提出明確要求并嚴(yán)格的實(shí)施,確保安全性與控制程序不被損害,程序設(shè)計(jì)人員應(yīng)只能訪問(wèn)他們工作所必需的部分,確保任何的改動(dòng)都應(yīng)經(jīng)過(guò)審批的。c 更改的程序宜如下:清晰確認(rèn)所有需要更改的應(yīng)用系統(tǒng)、信息、數(shù)據(jù)庫(kù)和相關(guān)的硬件設(shè)備。清晰確認(rèn)更改的原因(業(yè)務(wù)上的具體流程和具體的需求或開(kāi)發(fā)上的需求。由授權(quán)的用戶提交更改申請(qǐng)。保留相關(guān)的授權(quán)登記記錄。在正式實(shí)施之前,更改的方案必須經(jīng)過(guò)評(píng)審并通過(guò)正式的批準(zhǔn)。確保授權(quán)的用戶在實(shí)施之前確認(rèn)并接

45、受更改的內(nèi)容。確保在實(shí)施的過(guò)程中,盡量減少對(duì)現(xiàn)行的業(yè)務(wù)運(yùn)作系統(tǒng)的影響。確保建立的文件系統(tǒng)在完成各項(xiàng)更改時(shí)得到修改,舊文件被很好的歸檔或處置。保證所有的應(yīng)用系統(tǒng)升級(jí)的版本控制。確保對(duì)所有的更改請(qǐng)求進(jìn)行審核跟蹤。確保用戶使用手冊(cè)作相應(yīng)的必要的更改。確保更改的實(shí)施選擇了適當(dāng)?shù)臅r(shí)機(jī),以確保更改的實(shí)施不會(huì)干擾正常的業(yè)務(wù)運(yùn)作。4.5開(kāi)發(fā)版本管理源程序相關(guān)信息可以幫助確認(rèn)系統(tǒng)問(wèn)題的根源,并且一旦掌握了系統(tǒng)源程序相關(guān)信息可以清楚地了解系統(tǒng)的運(yùn)行邏輯和可能的薄弱點(diǎn),對(duì)系統(tǒng)的安全有很大的影響。在任何時(shí)候?qū)τ诔绦蚯鍐伪仨氝M(jìn)行嚴(yán)格的控制并且及時(shí)地進(jìn)行更新。對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)源程序的打印資料、電子版本或者是相關(guān)的報(bào)告都必須

46、進(jìn)行控制,紙質(zhì)的文件應(yīng)保存在一個(gè)安全的環(huán)境下,如保險(xiǎn)柜等。電子文檔則應(yīng)進(jìn)行一定的加密。應(yīng)用系統(tǒng)軟件開(kāi)發(fā)版本升級(jí)申請(qǐng)。當(dāng)軟件的版本由于更新、修改等操作需要升級(jí)時(shí)必須先向相關(guān)負(fù)責(zé)人員提交申請(qǐng)。應(yīng)用系統(tǒng)軟件版本升級(jí)測(cè)試。對(duì)升級(jí)的應(yīng)用系統(tǒng)進(jìn)行測(cè)試,確認(rèn)系統(tǒng)的各種安全特性。應(yīng)用系統(tǒng)軟件版本審批。對(duì)應(yīng)用系統(tǒng)的版本的升級(jí),應(yīng)確認(rèn)當(dāng)前的版本為最新的版本,舊的版本應(yīng)進(jìn)行歸檔,不得隨意丟棄或刪除。應(yīng)用系統(tǒng)軟件版本升級(jí)計(jì)劃。制定相關(guān)的升級(jí)計(jì)劃,確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。應(yīng)用系統(tǒng)軟件版本升級(jí)實(shí)施。版本變更應(yīng)提出申請(qǐng),詳見(jiàn)4.4“軟件開(kāi)發(fā)過(guò)程變更管理規(guī)范”。應(yīng)使用軟件加鎖技術(shù)防止不同版本相互覆蓋的情況。當(dāng)版本

47、變更時(shí)應(yīng)在更新的版本中記錄變更的詳細(xì)描述。應(yīng)提供版本的合并功能。版本的更改應(yīng)只允許指定的人員進(jìn)行操作。應(yīng)記錄所有的版本變更的日志,其中包括更改日期、更改前版本號(hào)、更改后版本號(hào)、更改人、審批人等信息。4.6開(kāi)發(fā)日志審核管理系統(tǒng)開(kāi)發(fā)中的相關(guān)日志文件應(yīng)根據(jù)開(kāi)發(fā)周期定期審核。開(kāi)發(fā)人員權(quán)限定期(3個(gè)月審核一次。4.7防御后門(mén)代碼或隱藏通道a 后門(mén)代碼,主要指由攻擊者在未經(jīng)許可的情況下,植入計(jì)算機(jī)系統(tǒng)的程序。利用調(diào)用環(huán)境的權(quán)利進(jìn)行與其實(shí)際用途無(wú)關(guān)的拷貝、濫用或破壞數(shù)據(jù),主要有三種類型的后門(mén)程序:調(diào)試后門(mén)為了方便調(diào)試而設(shè)置的機(jī)關(guān),系統(tǒng)調(diào)試后未能及時(shí)消除。維護(hù)后門(mén)為了方便遠(yuǎn)程維護(hù)所設(shè)置的后門(mén),被黑客惡意利用。

48、惡意后門(mén)由設(shè)計(jì)者故意設(shè)置的機(jī)關(guān),用來(lái)監(jiān)視用戶的秘密甚至與破壞應(yīng)用系統(tǒng)。特洛伊木馬也屬于后門(mén)的一種,它是黑客攻擊計(jì)算機(jī)的重要手段之一。特洛伊木馬可以放置在正常的文件或程序中,當(dāng)用戶打開(kāi)或執(zhí)行它的時(shí)候,它就會(huì)自動(dòng)安裝在計(jì)算機(jī)上,使得某些人通過(guò)Internet訪問(wèn)該計(jì)算機(jī)成為可能,使計(jì)算機(jī)處于一種非常危險(xiǎn)的狀態(tài)。b 隱藏通道,主要指在計(jì)算機(jī)安全技術(shù)中,一種允許某個(gè)進(jìn)程在違反安全規(guī)則的狀態(tài)下傳遞信息的通道。隱藏通道可以通過(guò)某些直接的或間接的方法暴露信息。現(xiàn)在使用的應(yīng)用系統(tǒng)中大多數(shù)都包含一定程度的隱藏通道,他們當(dāng)中許多是無(wú)害的,像特殊的組合健可以給出軟件制作者的信息,但也有些是有害的,因此必須進(jìn)行相應(yīng)的

49、防范。應(yīng)從信譽(yù)好的軟件供應(yīng)商那里購(gòu)買相關(guān)的軟件或程序。應(yīng)檢驗(yàn)和驗(yàn)證源程序和源代碼。在系統(tǒng)正式投入使用之前應(yīng)進(jìn)行評(píng)估,如一些行業(yè)的標(biāo)準(zhǔn)認(rèn)證評(píng)估(產(chǎn)品安全認(rèn)證、CMM認(rèn)證等。在系統(tǒng)正式投入使用后,應(yīng)嚴(yán)格管理源代碼的訪問(wèn)、升級(jí)和修改。應(yīng)使用可靠的開(kāi)發(fā)人員操作密鑰系統(tǒng)。不應(yīng)隨便從一些不知名的網(wǎng)站上下載軟件。不應(yīng)過(guò)于相信別人,不得隨便安裝別人給的軟件,特別是不得隨便打開(kāi)電子郵件中的附件,一些可執(zhí)行文件必須先進(jìn)行病毒及惡意代碼的掃描。安裝并正確地使用有關(guān)的特洛伊木馬的監(jiān)測(cè)和查殺程序,現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能,目前比較流行的專門(mén)用于查殺特洛伊木馬的程序主要有Lockdown2000、The C

50、leaner、Trojian Defence Suit等。第5章系統(tǒng)測(cè)試階段安全規(guī)范5.1應(yīng)用系統(tǒng)的安全性檢測(cè)對(duì)軟硬件的測(cè)試必須事先有正式的測(cè)試計(jì)劃。測(cè)試計(jì)劃的一個(gè)關(guān)鍵點(diǎn)是測(cè)試計(jì)劃文檔不僅要包含測(cè)試的內(nèi)容同時(shí)還需要包含測(cè)試預(yù)期的結(jié)果。并且測(cè)試計(jì)劃還需要覆蓋除此之外的測(cè)試內(nèi)容和結(jié)果,使之更加全面。測(cè)試完成以后,需要對(duì)測(cè)試結(jié)果進(jìn)行評(píng)估,確定其結(jié)果是否達(dá)到了預(yù)定的標(biāo)準(zhǔn)。如果達(dá)不到標(biāo)準(zhǔn),則應(yīng)對(duì)測(cè)試結(jié)果劃分一個(gè)錯(cuò)誤嚴(yán)重性等級(jí),否則無(wú)法對(duì)結(jié)果進(jìn)行客觀評(píng)論。測(cè)試的過(guò)程需要用戶的參與以確保系統(tǒng)達(dá)到了業(yè)務(wù)上的需求和用戶使用的需求。因此主要分為系統(tǒng)測(cè)試和用戶接受測(cè)試。系統(tǒng)測(cè)試有很多種定義。一般而言系統(tǒng)測(cè)試可以定義

51、為:在人工環(huán)境下,測(cè)試系統(tǒng)是否能夠達(dá)到預(yù)期的要求的測(cè)試方法。從系統(tǒng)開(kāi)發(fā)的角度而言,系統(tǒng)測(cè)試是指由系統(tǒng)開(kāi)發(fā)人員(程序員和其它技術(shù)人員進(jìn)行的,旨在確保系統(tǒng)各個(gè)模塊能夠正常運(yùn)行(模塊測(cè)試以及系統(tǒng)整體能夠正常運(yùn)行的測(cè)試過(guò)程。系統(tǒng)測(cè)試必須確保系統(tǒng)的每一個(gè)功能都能夠正確運(yùn)行,并對(duì)所有的程序錯(cuò)誤逐一分析。同時(shí)還測(cè)試系統(tǒng)的模塊和模塊之間、功能和功能之間的接口的正確性。需要注意的是系統(tǒng)測(cè)試不對(duì)系統(tǒng)總體的功能負(fù)責(zé),而只需要達(dá)到測(cè)試計(jì)劃中規(guī)定的測(cè)試準(zhǔn)則即可。a系統(tǒng)負(fù)載測(cè)試,負(fù)載表示對(duì)系統(tǒng)的要求,一般包括以下因素:程序和數(shù)據(jù)的總體存儲(chǔ)容量并發(fā)運(yùn)行的應(yīng)用程序數(shù)量并發(fā)用戶的數(shù)量,峰值,槽值和平均值外設(shè)數(shù)量確定硬件的規(guī)模比

52、較復(fù)雜,在確定了上述因素以后,還應(yīng)確定其它類似響應(yīng)時(shí)間等因素。b壓力測(cè)試壓力測(cè)試用于確定系統(tǒng)的薄弱環(huán)節(jié),確定系統(tǒng)在非正常條件下能夠迅速恢復(fù)到正常的運(yùn)行狀態(tài)的能力,類似的非正常條件可能是在系統(tǒng)宕機(jī)、網(wǎng)絡(luò)故障或者高峰載荷下的數(shù)據(jù)處理等。用戶接受測(cè)試是用戶對(duì)新系統(tǒng)或者系統(tǒng)改動(dòng)正式驗(yàn)收測(cè)試的過(guò)程,是任何系統(tǒng)開(kāi)發(fā)項(xiàng)目都需要經(jīng)歷的重要階段,并且需要終端用戶的大力參與。在現(xiàn)實(shí)中, UAT需要有周密詳盡和準(zhǔn)確的測(cè)試計(jì)劃,特別是驗(yàn)收的標(biāo)準(zhǔn)必須非常詳細(xì)。UAT 的最后部分往往包括并行運(yùn)行,以比較開(kāi)放系統(tǒng)和原有系統(tǒng)。a 盡管系統(tǒng)的用戶接受測(cè)試計(jì)劃可能隨著系統(tǒng)的不同而不同,測(cè)試必須涵蓋所有今后實(shí)際運(yùn)行中可能發(fā)生的事件

53、。測(cè)試計(jì)劃一般可以在系統(tǒng)開(kāi)發(fā)前制定的用戶需求說(shuō)明書(shū)的基礎(chǔ)上制訂。b 對(duì)任何系統(tǒng)而言,對(duì)于出現(xiàn)的問(wèn)題必須要明確要對(duì)這些問(wèn)題做出哪些應(yīng)對(duì)措施以及誰(shuí)來(lái)做這些應(yīng)對(duì)措施,例如用戶、項(xiàng)目團(tuán)隊(duì)、供應(yīng)商或者是咨詢顧問(wèn)等所有可能的項(xiàng)目參與方。c 為了更好地應(yīng)對(duì)測(cè)試過(guò)程中可能出現(xiàn)問(wèn)題,最終用戶和項(xiàng)目團(tuán)隊(duì)必須協(xié)商制定“錯(cuò)誤嚴(yán)重程度”的范圍。它的取值范圍從1到6,分別表示從業(yè)務(wù)/商業(yè)影響角度評(píng)估在系統(tǒng)測(cè)試過(guò)程中發(fā)現(xiàn)問(wèn)題。下文是一個(gè)成功應(yīng)用的例子,“1”表示最嚴(yán)重的錯(cuò)誤,而6則表示最輕微的影響?！爸旅鼏?wèn)題”如果該程度錯(cuò)誤發(fā)生,則測(cè)試不能繼續(xù)?！爸卮髥?wèn)題”測(cè)試可以繼續(xù),但是系統(tǒng)不能上線?！爸饕獑?wèn)題”測(cè)試可以繼續(xù),但是如果

54、不解決該問(wèn)題,則系統(tǒng)上線后,可能對(duì)業(yè)務(wù)流程有嚴(yán)重破壞。“一般性問(wèn)題”除了這些問(wèn)題會(huì)對(duì)既定的業(yè)務(wù)流程有一些輕微偏離外,測(cè)試可以繼續(xù),并且系統(tǒng)也可以上線?！按我獑?wèn)題”可以繼續(xù)測(cè)試和上線,但這些問(wèn)題必須修正,同時(shí)這些問(wèn)題對(duì)業(yè)務(wù)流程沒(méi)有或者很少有影響?！胺埏椥詥?wèn)題”類似顏色,字體等問(wèn)題,如果這些問(wèn)題對(duì)于業(yè)務(wù)需求而言特別重要,則需要將這些問(wèn)題提高到較高層次。系統(tǒng)的用戶在征得主管項(xiàng)目的高層領(lǐng)導(dǎo)意見(jiàn)的前提下,必須就每類錯(cuò)誤需要采取的行動(dòng)和各自需要承擔(dān)的責(zé)任等問(wèn)題取得一致。例如,可以要求馬上解決嚴(yán)重程度為1的問(wèn)題,并停止所有測(cè)試計(jì)劃直到該層次的問(wèn)題解決。注意事項(xiàng):為避免類似分級(jí)問(wèn)題的風(fēng)險(xiǎn),在測(cè)試規(guī)劃中宜給出每

55、一類問(wèn)題的例子,以避免對(duì)問(wèn)題分級(jí)出現(xiàn)根本性的不一致。當(dāng)有不一致的時(shí)候應(yīng)預(yù)先的準(zhǔn)備。d 最終用戶和系統(tǒng)開(kāi)發(fā)上必須就每一類錯(cuò)誤的數(shù)量有一個(gè)上限。注意:有些情況下用戶可能會(huì)有條件接受。這些條件可能增加了工作范圍。在這種情況下以及所有對(duì)系統(tǒng)的修正都需要非常嚴(yán)格的用戶接受測(cè)試和必要的回歸測(cè)試。測(cè)試數(shù)據(jù)將所有的測(cè)試數(shù)據(jù)進(jìn)行整理歸檔,將出錯(cuò)的記錄進(jìn)行分析,確認(rèn)問(wèn)題產(chǎn)生的原因并編寫(xiě)問(wèn)題報(bào)告。5.2控制測(cè)試環(huán)境控制系統(tǒng)測(cè)試環(huán)境和實(shí)際工作環(huán)境應(yīng)隔離的進(jìn)行控制處理,否則未經(jīng)確認(rèn)的軟件修改會(huì)導(dǎo)致出現(xiàn)無(wú)法預(yù)料的問(wèn)題。工作人員在兩個(gè)環(huán)境里切換,容易操作失誤,引起不必要的麻煩。開(kāi)發(fā)與系統(tǒng)測(cè)試同時(shí)進(jìn)行容易導(dǎo)致對(duì)系統(tǒng)狀態(tài)的錯(cuò)誤

56、估計(jì)。5.3為測(cè)試使用真實(shí)的數(shù)據(jù)測(cè)試的數(shù)據(jù)通常情況下是虛構(gòu)的,但是有時(shí)候需要使用實(shí)際的操作或運(yùn)作的數(shù)據(jù),當(dāng)該數(shù)據(jù)含有企業(yè)敏感信息的時(shí)候,如果不加以控制,會(huì)造成數(shù)據(jù)的泄漏。當(dāng)處于測(cè)試目的而使用真實(shí)的敏感的數(shù)據(jù)時(shí),可以采用以下措施保護(hù)測(cè)試數(shù)據(jù)的安全:對(duì)測(cè)試的系統(tǒng)進(jìn)行嚴(yán)格的訪問(wèn)控制。只允許小部分的測(cè)試人員進(jìn)行測(cè)試。且測(cè)試的人員應(yīng)簽訂安全保密協(xié)議。每一次將真實(shí)的運(yùn)作信息復(fù)制到測(cè)試系統(tǒng)時(shí)均需要一個(gè)單獨(dú)的授權(quán)過(guò)程。測(cè)試完成后,應(yīng)立即將相關(guān)數(shù)據(jù)從測(cè)試的應(yīng)用系統(tǒng)中刪除。記錄下測(cè)試數(shù)據(jù)的復(fù)制、使用和刪除的情況,以便于審查追蹤。5.4在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測(cè)試在軟件程序上線投入使用之前,必須采取切實(shí)的措施保證這些軟件接受了足夠的測(cè)試和記錄。否則就有可能導(dǎo)致非常嚴(yán)重的問(wèn)題,甚至導(dǎo)致企業(yè)的日常運(yùn)營(yíng)中止。必須牢固樹(shù)立類似的觀點(diǎn)。5.5應(yīng)用系統(tǒng)安全質(zhì)量鑒定目前國(guó)際上公認(rèn)的開(kāi)發(fā)質(zhì)量驗(yàn)證標(biāo)準(zhǔn)主要有兩種,可以根據(jù)這兩種標(biāo)準(zhǔn)確認(rèn)系統(tǒng)是否已經(jīng)達(dá)到了這兩種標(biāo)準(zhǔn)的要求:ISO 9000認(rèn)證體系軟件開(kāi)發(fā)能力成熟度模型(CMMI第6章系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范6.1新系統(tǒng)的培訓(xùn)對(duì)所有的用戶和技術(shù)人員提供關(guān)于新系統(tǒng)功能和操作方面的培訓(xùn)。必須保證所有的技術(shù)和業(yè)務(wù)用戶接受足夠的關(guān)于新系統(tǒng)或者