信息系統(tǒng)開發(fā)安全管控辦法

1、 XXXX單位或公司 發(fā)布2014-11-01實施2014-10-25發(fā)布信息系統(tǒng)開發(fā)安全管控辦法Q/JYGXXXX單位或公司企業(yè)標(biāo)準(zhǔn)Q/JYG/GL-XX-21-2013a 1Q/JYGGL-XX-21-2013a前 言本標(biāo)準(zhǔn)由XXXX單位或公司標(biāo)準(zhǔn)化管理委員會提出。本標(biāo)準(zhǔn)由XXXX單位或公司XXXX部門起草并歸口管理。本標(biāo)準(zhǔn)主要起草人： 本標(biāo)準(zhǔn)由批準(zhǔn)。本標(biāo)準(zhǔn)首次發(fā)布于2013年8月25號，本次修訂為第一次修訂。信息系統(tǒng)開發(fā)安全管控辦法1 范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)開發(fā)階段、測試階段、試運行階段和上線階段的管理內(nèi)容與要求。本標(biāo)準(zhǔn)適用于公司自主開發(fā)及委外開發(fā)信息系統(tǒng)的管理。2 規(guī)范性引用文件下列

2、文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。國務(wù)院令（第339號）計算機軟件保護條例國務(wù)院令 （第147號）中華人民共和國計算機信息系統(tǒng)安全保護條例Q/JYG/GL-SB -16-2013.a 投資項目管理辦法3 術(shù)語和定義信息系統(tǒng)：是指由計算機及其相關(guān)的配套設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。信息系統(tǒng)一般由三部分組成：硬件系統(tǒng)（計算機硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）、系統(tǒng)軟件（計算機系統(tǒng)軟

3、件和網(wǎng)絡(luò)系統(tǒng)軟件）、應(yīng)用軟件（包括由其處理、存儲的信息）。4 職責(zé)4.1 XXXX部門4.1.1 負(fù)責(zé)公司信息系統(tǒng)開發(fā)各階段文檔的審批工作；4.1.2 負(fù)責(zé)組織公司新開發(fā)信息系統(tǒng)的測試工作；4.1.3 負(fù)責(zé)公司信息系統(tǒng)上線與終止的驗收工作。4.2 卷煙廠計算機中心4.2.1 負(fù)責(zé)本廠信息系統(tǒng)開發(fā)各階段文檔的審批工作；4.2.2 負(fù)責(zé)組織本廠新開發(fā)信息系統(tǒng)的測試工作；4.2.3 負(fù)責(zé)本廠信息系統(tǒng)上線與終止的驗收工作。4.3 各實施部門或單位4.3.1 負(fù)責(zé)本單位信息系統(tǒng)開發(fā)過程中的需求提出、測試及驗收等工作。5 管理內(nèi)容與要求5.1 總體要求5.1.1 信息系統(tǒng)開發(fā)須遵循計算機軟件保護條例、中華

4、人民共和國計算機信息系統(tǒng)安全保護條例。5.1.2 信息系統(tǒng)開發(fā)過程中項目單位（承接信息系統(tǒng)開發(fā)的單位）須提交相應(yīng)的安全需求、安全設(shè)計、安全測試等資料并經(jīng)過XXXX部門審批，否則不予立項或驗收。5.1.3 信息系統(tǒng)開發(fā)范圍的變更（增加或縮減）、新技術(shù)的使用、新產(chǎn)品或新版本的采用、新的開發(fā)工具和環(huán)境須經(jīng)過XXXX部門審批。5.2 信息系統(tǒng)開發(fā)生命周期管理要求5.2.1 系統(tǒng)需求收集和分析階段a) 技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求，信息系統(tǒng)歸口管理部門應(yīng)從技術(shù)開發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達到業(yè)務(wù)上要求的系統(tǒng)功能，主要包括：人員技術(shù)能力分析（指公司內(nèi)的系統(tǒng)開發(fā)隊伍是否有足夠的軟

5、件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù)，或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力）、計算機軟件和硬件分析（指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)相應(yīng)的系統(tǒng)的要求）、管理能力分析（指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，是否足夠系統(tǒng)開發(fā)的要求）。b) 需求可行性分析：信息系統(tǒng)歸口管理部門應(yīng)對該申請部門所提需求進行可行性分析，以判斷需求是否明確，是否符合實際，是否能在一定的時間范圍實現(xiàn)。c) 經(jīng)濟可行性分析：信息系統(tǒng)歸口管理部門應(yīng)根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)投資的數(shù)額在可控制和可承受的范圍內(nèi)。d) 安全可行性分析：信息系統(tǒng)歸口管理部門應(yīng)明確該系統(tǒng)的安全建設(shè)范圍和內(nèi)

6、容，設(shè)定安全性指標(biāo)要求，合理判定該信息系統(tǒng)是否符合公司的網(wǎng)絡(luò)及信息安全要求。5.2.2 設(shè)計階段安全管理a) 單點訪問：任何用戶如果希望訪問應(yīng)用系統(tǒng)中的某一個部分，則必須通過統(tǒng)一且唯一的認(rèn)證授權(quán)方式以及流程。b) 人員職責(zé)和權(quán)限的劃分：系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個用戶可以訪問到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分，也要確保每個用戶無法訪問其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。c) 保護敏感系統(tǒng)的安全性：通過將應(yīng)用系統(tǒng)中敏感信息保存在服務(wù)器端以進行集中的加密安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲任何信息敏感的數(shù)據(jù)。d) 確保訪問層的安全性：系統(tǒng)在要確保系統(tǒng)模塊本身安全性的同時，還需考慮模塊與模

7、塊之間的通訊的安全性。模塊與模塊之間的安全性包括：應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全、應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機和客戶端之間通訊的安全性，服務(wù)器和服務(wù)器間通訊的安全性，本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。e) 確保日志管理機制健全：要求建立可以根據(jù)情況自由設(shè)置的日志管理機制，即日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制，且可實現(xiàn)在應(yīng)用系統(tǒng)使用過程中進行日志的定制和記錄，并保留所有系統(tǒng)開發(fā)相關(guān)程序庫的更新審核紀(jì)錄。f) 新系統(tǒng)的容量規(guī)劃:容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。容量規(guī)劃應(yīng)充分考慮：系統(tǒng)的預(yù)期存儲容量和在給定的周期里面獲取生成和存儲的數(shù)據(jù)量；在線進程的數(shù)量和估

8、計可能的占用資料；系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時間和性能，即端對端系統(tǒng)；系統(tǒng)彈性要求和設(shè)計使用率、峰值、槽值和平均值等；安全措施如加密解密數(shù)據(jù)對系統(tǒng)的影響等；7*24小時運作要求和可接受的系統(tǒng)宕機次數(shù)（維護或者設(shè)備更新導(dǎo)致的必須性宕機）。5.2.3 開發(fā)階段安全管理a) 通用要求 1) 輸入驗證：在客戶機/服務(wù)器環(huán)境下，系統(tǒng)需進行服務(wù)端的驗證而禁止客戶端的驗證（如基于Javascript的驗證），并在字符有效性檢查之前設(shè)置邊界檢查驗證以及環(huán)境變量提取數(shù)據(jù)驗證。2) 命名規(guī)范：規(guī)范變量、函數(shù)的命名；規(guī)范程序的書寫格式等。3) SQL語句：如果應(yīng)用程序需要連接后端數(shù)據(jù)庫，使用存儲過程而不能在代碼中使用SQL語

9、句。4) 注釋代碼：當(dāng)應(yīng)用程序在實際環(huán)境中開始應(yīng)用時，應(yīng)該刪除所有的注釋代碼。5) 錯誤信息：所有為用戶顯示的錯誤信息不應(yīng)暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。6) URL內(nèi)容：對于web應(yīng)用，不能在URL上暴露任何重要信息，如密碼、服務(wù)器名稱、IP地址或者文件系統(tǒng)路徑等。b) 變更要求1) 信息系統(tǒng)歸口管理部門應(yīng)對更改進行嚴(yán)格的控制，在系統(tǒng)開發(fā)的每一個階段（可行性研究、需求分析、設(shè)計、編碼、測試、培訓(xùn)等）的每一個更改實施前經(jīng)過評審與授權(quán)。2) 信息系統(tǒng)歸口管理部門應(yīng)當(dāng)建立更改控制審批程序，對更改的申請、評審、測試、批準(zhǔn)、更改的計劃的提出和實施提出明確要求并嚴(yán)格的實施，確保安全性與控制程

10、序不被損害，確保任何的改動都是經(jīng)過審批的。3) 更改的程序應(yīng)考慮以下方面：清晰確認(rèn)所有的需要更改的應(yīng)用系統(tǒng)、信息、數(shù)據(jù)庫和相關(guān)的硬件設(shè)備；清晰的確認(rèn)更改的原因(業(yè)務(wù)上的具體流程和具體的需求或開發(fā)上的需求) ；由授權(quán)的用戶提交更改的申請；保留相關(guān)的授權(quán)登記記錄；在正式的實施之前，更改的方案必須經(jīng)過評審并通過正式的批準(zhǔn)；確保授權(quán)的用戶在實施之前確認(rèn)并接受更改的內(nèi)容；確保在實施的過程中，盡量的減少對現(xiàn)行的商務(wù)運作系統(tǒng)的影響；確保建立的文件系統(tǒng)在完成各項更改時得到修改，舊文件被很好的歸檔或處置；保證所有的應(yīng)用系統(tǒng)升級的版本的控制；確保所有的更改情求的審核跟蹤；確保用戶使用手冊作相應(yīng)的必要的更改；確保更

11、改的實施選擇了適當(dāng)?shù)臅r機以確保更改的實施不會干擾正常的商務(wù)運作。c) 版本控制要求1) 程序清單：信息系統(tǒng)歸口管理部門應(yīng)在任何時候?qū)τ诔绦蚯鍐伪仨氝M行嚴(yán)格的控制并且及時地進行更新；對應(yīng)用系統(tǒng)開發(fā)源程序的打印的資料、電子版本或者是相關(guān)的報告都必須進行控制，紙質(zhì)的文件應(yīng)當(dāng)保存在一個安全的環(huán)境下，如保險柜等，電子文檔則應(yīng)進行一定的加密；2) 版本升級控制：當(dāng)軟件的版本由于更新，修改等操作需要升級時，必須先向相關(guān)負(fù)責(zé)人員提交申請；信息系統(tǒng)歸口管理部門應(yīng)對升級的應(yīng)用系統(tǒng)進行測試，確認(rèn)系統(tǒng)的各種安全特性；信息系統(tǒng)歸口管理部門應(yīng)確認(rèn)對應(yīng)用系統(tǒng)的版本升級，即確認(rèn)當(dāng)前的版本為最新版本，舊的版本需進行歸檔，不得隨

12、意丟棄或刪除；信息系統(tǒng)歸口管理部門應(yīng)制定相關(guān)的升級計劃，確保將系統(tǒng)升級對業(yè)務(wù)的影響降至最低。d) 開發(fā)審計：信息系統(tǒng)歸口管理部門應(yīng)對開發(fā)日志及開發(fā)人員權(quán)限進行每月審核。5.2.4 測試階段安全管理a) 測試前安全檢測：信息系統(tǒng)歸口管理部門應(yīng)組織開發(fā)人員進行代碼審核，檢查、消除程序代碼潛在的安全漏洞。b) 信息系統(tǒng)歸口管理部門應(yīng)設(shè)計詳細(xì)的測試計劃，測試范圍，測試方法和測試工具，應(yīng)充分考慮與其他系統(tǒng)的互操作性測試中對其他系統(tǒng)的影響，選擇適當(dāng)?shù)臅r間、方法。并對應(yīng)用系統(tǒng)存在的弱點威脅進行安全檢查，如：假冒身份、惡意篡改、信息泄露、拒絕服務(wù)、特權(quán)提升等。c) 信息系統(tǒng)歸口管理部門應(yīng)在測試系統(tǒng)功能正常運行

13、的基礎(chǔ)上，還需測試系統(tǒng)的模塊和模塊之間、功能和功能之間的接口的正確性、負(fù)載能力及水平、系統(tǒng)承受壓力及峰值、測試環(huán)境等。5.3 開發(fā)、測試及驗收過程安全指導(dǎo)規(guī)范5.3.1 開發(fā)環(huán)境安全a) 信息系統(tǒng)歸口管理部門應(yīng)對項目文檔、代碼的存儲進行備份，以確保在發(fā)生意外時，可有效恢復(fù)；b) 信息系統(tǒng)歸口管理部門應(yīng)對項目文檔和代碼版本管理和訪問控制；c) 信息系統(tǒng)歸口管理部門應(yīng)對用于開發(fā)的服務(wù)器、個人電腦的配置做好嚴(yán)格的安全防護措施。5.3.2 文檔安全a) 文檔內(nèi)容的安全：信息系統(tǒng)歸口管理部門應(yīng)對文檔內(nèi)容進行以下幾個的規(guī)范：需求說明書中應(yīng)明確描述應(yīng)用系統(tǒng)的安全需求；設(shè)計說明書中應(yīng)有針對安全需求的設(shè)計，并進

14、行評審；在測試大綱或者測試方案中應(yīng)有安全性測試方案，并以此進行安全性測試；開發(fā)各階段輸出的文檔應(yīng)對安全要求的執(zhí)行情況進行描述。b) 文檔自身的安全：信息系統(tǒng)歸口管理部門應(yīng)對文檔設(shè)定密級及讀者范圍，以限定其訪問范圍，文檔的訪問控制應(yīng)有相應(yīng)的授權(quán)機制。5.3.3 源代碼管理a) 信息系統(tǒng)歸口管理部門應(yīng)根據(jù)協(xié)議執(zhí)行源代碼的管理，源代碼管理應(yīng)保存所有的歷史版本，以便查閱。b) 信息系統(tǒng)歸口管理部門應(yīng)對所有的程序源代碼及設(shè)置支持文件等打包進行安全檢查并存檔。c) 對于委托第三方開發(fā)的應(yīng)用系統(tǒng)（或功能、模塊等）的代碼文件或設(shè)置文件，在需要對其進行修改時，必須經(jīng)過投資裝備部批準(zhǔn)后，才能交給修改人進行修改。修

15、改完畢需通過安全檢查才可以提交，通過檢查后的源代碼（或設(shè)置文件）提交至XXXX部門，由專人進行更新和歸檔。d) 其他源代碼規(guī)范：應(yīng)用系統(tǒng)需對函數(shù)入口參數(shù)的合法性和準(zhǔn)確性進行檢查；應(yīng)嚴(yán)格遵循Fail-Safe原則，即當(dāng)發(fā)生意外事故時，必須能自動切換到安全的保護模式。（當(dāng)應(yīng)用系統(tǒng)的登錄驗證機制不能正常運行時，系統(tǒng)必須自動拒絕所有登錄請求，而非接受所有登錄請求）；應(yīng)禁止接受不安全的登錄密碼，并允許系統(tǒng)管理員強制密碼設(shè)定規(guī)則；所有缺省安全設(shè)置必須能同時滿足系統(tǒng)正常運行和系統(tǒng)安全兩方面的要求；在所有警告或提示對話窗口中應(yīng)使用準(zhǔn)確、明了的描述性語言，并提供有關(guān)幫助鏈接；在接受用戶輸入時，必須有數(shù)據(jù)合法性檢

16、查，并嚴(yán)格規(guī)定輸入數(shù)據(jù)的字符長度；在輸入密碼等敏感信息時，使用特殊符號來代替輸入的字符；應(yīng)禁止使用未經(jīng)授權(quán)和驗證的代碼，在使用第三方代碼時，應(yīng)對代碼安全性進行評估和測試；如密碼由應(yīng)用系統(tǒng)生成，則必須保證有足夠的長度和隨機性，如密碼由用戶生成，則應(yīng)用系統(tǒng)應(yīng)有密碼安全策略來拒絕接受“不安全的”密碼；應(yīng)禁止以明文方式傳遞用戶密碼；應(yīng)測試用的“后門”，應(yīng)在發(fā)布版中去除；應(yīng)注釋代碼中無用的代碼；應(yīng)規(guī)范代碼的格式，并對代碼進行版本控制，確保代碼的可用性；應(yīng)禁止在程序中添加隱藏“惡意”的代碼，防止與應(yīng)用系統(tǒng)相關(guān)的程序員對系統(tǒng)的非授權(quán)修改。5.3.4 需求分析a) 信息系統(tǒng)歸口管理部門應(yīng)在需求分析階段確定應(yīng)用

17、系統(tǒng)的安全要求，并對其進行詳細(xì)描述，制定項目安全需求說明書，并指導(dǎo)整個項目設(shè)計、實現(xiàn)、測試環(huán)節(jié)。 b) 在需求分析階段應(yīng)明確以下與安全相關(guān)的需求：用戶數(shù)、終端數(shù)、在線并發(fā)數(shù)；用戶角色的劃分和權(quán)限的分配；應(yīng)用系統(tǒng)性能要求；應(yīng)用系統(tǒng)可用性要求；現(xiàn)有網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)性能要求；數(shù)據(jù)量估計、數(shù)據(jù)存儲方式和周期；系統(tǒng)安全級別和數(shù)據(jù)保密性要求；其他對網(wǎng)絡(luò)、存儲、服務(wù)器、終端、操作系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)等方面的安全需求。5.3.5 應(yīng)用安全功能設(shè)計a) 認(rèn)證失敗處理：連續(xù)失敗登錄后鎖定該帳號，帳號鎖定后可由系統(tǒng)管理員解鎖，也可以在一段時間后自動解鎖，并通知用戶認(rèn)證失敗。b) 授權(quán)：應(yīng)用系統(tǒng)應(yīng)包含用戶權(quán)限分配和管理功

18、能設(shè)計。如： 系統(tǒng)讀、寫、執(zhí)行權(quán)限設(shè)計； 系統(tǒng)查看、配置、修改、刪除、登錄、運行等權(quán)限設(shè)計；數(shù)據(jù)訪問范圍的角色設(shè)計；應(yīng)用功能模塊使用權(quán)限的設(shè)計；限制用戶對系統(tǒng)級資源的訪問，系統(tǒng)級的資源包括：文件、文件夾、注冊表項、Active Directory 對象、數(shù)據(jù)庫對象、事件日志的系統(tǒng)資源；程序應(yīng)使用盡可能小的權(quán)限； 數(shù)據(jù)庫訪問應(yīng)該使用低權(quán)限數(shù)據(jù)庫賬號（如選擇，刪除，更新，插入等）通過參數(shù)化的存儲過程來訪問；應(yīng)用啟動進程的權(quán)限盡可能小； 應(yīng)用使用的系統(tǒng)賬號（運行環(huán)境中的）應(yīng)該有盡可能低的權(quán)限。應(yīng)避免“Administrator”, “root”, “sa”, “sysman”, “Superviso

19、r”或其它所有的特權(quán)用戶被用來運行應(yīng)用系統(tǒng)或連接到網(wǎng)站服務(wù)器，數(shù)據(jù)庫或中間件。c) 輸入輸出驗證：為了防止攻擊者繞過客戶端直接驗證，在服務(wù)器端進行驗證時，必須使用服務(wù)器端代碼執(zhí)行驗證；按照已知的有效類型、模式和范圍驗證數(shù)據(jù)；應(yīng)限制用戶輸入并驗證數(shù)據(jù)的類型、長度、格式和范圍。d) 數(shù)據(jù)加密：應(yīng)用系統(tǒng)應(yīng)使用公開并且經(jīng)過驗證和測試的加密方法；應(yīng)避免向算法傳遞明文數(shù)據(jù)，并避免修改存儲該數(shù)據(jù)；應(yīng)確保所使用的密鑰長度和密鑰空間能提供足夠的安全級別；對于大量數(shù)據(jù)加密，應(yīng)使用對稱的加密，提高加密的速度并減少資源消耗；對于少量存儲的敏感數(shù)據(jù)使用非對稱加密，確保數(shù)據(jù)的安全性；應(yīng)對密鑰的存儲進行嚴(yán)格保護。5.3.6

20、 測試安全a) 信息系統(tǒng)測試人員需明確記錄測試目的、安全要點、測試參與人員、測試流程，并編寫測試大綱，包括對應(yīng)用系統(tǒng)的帳號、口令的安全測試；b) 信息系統(tǒng)測試人員需對應(yīng)用系統(tǒng)的安全功能點進行測試，確保安全功能的有效性、正確性；c) 信息系統(tǒng)測試人員需對對應(yīng)用系統(tǒng)抵抗攻擊的能力進行測試；d) 信息系統(tǒng)測試人員需對數(shù)據(jù)傳輸?shù)陌踩?、物理環(huán)境等進行測試，測試數(shù)據(jù)如選擇真實數(shù)據(jù)，應(yīng)限定測試的人員，并在測試完成后全部刪除和詳細(xì)記錄測試過程中發(fā)現(xiàn)的問題。5.3.7 系統(tǒng)部署安全a) 信息系統(tǒng)歸口管理部門應(yīng)規(guī)劃應(yīng)用系統(tǒng)部署需要的資源需求：應(yīng)用系統(tǒng)部署的軟件、硬件的資源要求；應(yīng)用系統(tǒng)部署的網(wǎng)絡(luò)要求；物理鏈路（光纖、五類線）資源；網(wǎng)絡(luò)設(shè)備資源（HUB、Switch）、上聯(lián)網(wǎng)絡(luò)節(jié)點端口；IP地址；上聯(lián)網(wǎng)絡(luò)帶寬；應(yīng)用系統(tǒng)部署的有關(guān)部門、人員要求；其它資源的詳細(xì)清單。b) 信息系統(tǒng)歸口管理部門應(yīng)確保應(yīng)用系統(tǒng)部署的環(huán)境安全：確保應(yīng)用系統(tǒng)部署的硬件安全、操作系統(tǒng)安全；確保應(yīng)用系統(tǒng)部署的帳號、口令安全；確保符合應(yīng)用系統(tǒng)部署的安全策略要求（如訪問控制）；確保應(yīng)用系統(tǒng)部署的物理環(huán)境安全（如電力）；應(yīng)了解脆弱的網(wǎng)絡(luò)或者主機的配置缺陷。c) 信息系統(tǒng)歸口管理部門應(yīng)確保應(yīng)用系統(tǒng)部署的過程安全：確保應(yīng)用系統(tǒng)部署過程的操作安全；對應(yīng)用系