信息化應(yīng)用系統(tǒng)開(kāi)發(fā)安全系統(tǒng)要求規(guī)范

1、實(shí)用標(biāo)準(zhǔn)文案信息化應(yīng)用系統(tǒng)開(kāi)發(fā)安全規(guī)范1概述軟件不安全的因素主要來(lái)源于兩個(gè)方面，一是軟件自身存在錯(cuò)誤和缺陷引起的安全漏洞，二是來(lái)自外部的攻擊。良好的軟件開(kāi)發(fā)過(guò)程管理可以很好地減少軟件自身缺陷，并有效抵抗外部的攻擊。本規(guī)范主要規(guī)定了集團(tuán)信息化應(yīng)用系統(tǒng)在系統(tǒng)開(kāi)發(fā)的各個(gè)階段所應(yīng)遵守的各種安全規(guī)范，將在不同階段中所需要注意的安全問(wèn)題和相關(guān)的安全規(guī)范進(jìn)行進(jìn)一步的描述和規(guī)定，以提高集團(tuán)信息化應(yīng)用系統(tǒng)的安全性和抵抗外部攻擊的能力。2可行性計(jì)劃可行性計(jì)劃是對(duì)項(xiàng)目所要解決的問(wèn)題進(jìn)行總體定義和描述，包括了解用戶的要求及現(xiàn)實(shí)環(huán)境，從技術(shù)、經(jīng)濟(jì)和需求 3個(gè)方面研究并論證項(xiàng)目的可行性，編寫可行性研究報(bào)告，探討解決問(wèn)題的

2、方案，并 對(duì)可供使用的資源（如 硬件、軟件、人力等）成本，可取得的效益和 開(kāi)發(fā)進(jìn)度作出估計(jì)，制訂完成開(kāi)發(fā) 任務(wù)的實(shí)施計(jì)劃。2.1 階段性成果可行性研究報(bào)告。22 可行性研究報(bào)告重點(diǎn)如下4個(gè)方面：1、設(shè)計(jì)方案可行性研究報(bào)告的需對(duì)預(yù)先設(shè)計(jì)的方案進(jìn)行論證，設(shè)計(jì)研究方案，明確研究對(duì)象。2、內(nèi)容真實(shí)可行性研究報(bào)告涉及的內(nèi)容以及反映情況的數(shù)據(jù)，必須絕對(duì)真實(shí)可靠， 不許有任何偏差及失誤。 可行性研究報(bào)告中所運(yùn)用資料、數(shù)據(jù)，都要經(jīng)過(guò)反復(fù)核實(shí)，以確保內(nèi)容的真實(shí)性。3、預(yù)測(cè)準(zhǔn)確可行性研究是投資決策前的活動(dòng)，對(duì)可能遇到的問(wèn)題和結(jié)果的估計(jì)，具有預(yù)測(cè)性。因此，必須進(jìn)行深入地調(diào)查研究，充分地占有資料，運(yùn)用切合實(shí)際的預(yù)測(cè)方

3、法，科學(xué)地預(yù)測(cè)未來(lái)前景。4、論證嚴(yán)密論證性是可行性研究報(bào)告的一個(gè)顯著特點(diǎn)。要使其有論證性，必須做到運(yùn)用系統(tǒng)的分析方法，圍繞影響項(xiàng)目的各種因素進(jìn)行全面、系統(tǒng)的分析，既要作宏觀的分析，又要作微觀的分析。3需求分析軟件需求分析就是對(duì)開(kāi)發(fā)什么樣的軟件的一個(gè)系統(tǒng)的分析與設(shè)想，它是一個(gè)對(duì)用戶的需求進(jìn)行去粗取精、去偽存真、正確理解，然后把它用 軟件工程開(kāi)發(fā)語(yǔ)言表達(dá)出來(lái)的過(guò)程。需求分析階段主要工作是 完成需求對(duì)業(yè)務(wù)的表達(dá)，這體現(xiàn)在對(duì)需求規(guī)格說(shuō)明書(shū)中，包括業(yè)務(wù)流程，子系統(tǒng)劃分，狀態(tài)圖，數(shù)據(jù)流 圖等，最終通過(guò)用戶用例完成業(yè)務(wù)分析測(cè)試。需求分析階段最大的隱患即需求未能準(zhǔn)確地描述表達(dá)對(duì)用戶需求的真正正確理解，因此，需

4、求分析階段的安全工作，應(yīng)主要在對(duì)用戶需求真正準(zhǔn)確的理解上。需求分析階段需深入描述軟件的功能和性能，確定軟件設(shè)計(jì)的約束和軟件同其他系統(tǒng)元素的接口細(xì)節(jié)，定義軟件的其他有效性需求， 借助于當(dāng)前系統(tǒng)的邏輯模型導(dǎo)出目標(biāo)系統(tǒng)邏輯模型，解決目標(biāo)系統(tǒng)“做什么”的問(wèn)題。需求分析階段需形成的文檔包括需求分析說(shuō)明書(shū)、業(yè)務(wù)分析測(cè)試報(bào)告、用戶使用手冊(cè)初稿。需求分析可分為需求提出、需求描述及需求評(píng)審三個(gè)階段。3.1 需求提出需求主要集中于描述系統(tǒng)目的。 開(kāi)發(fā)人員和用戶確定一個(gè)問(wèn)題領(lǐng)域，并定義一個(gè)描述該問(wèn)題的系統(tǒng), 形成系統(tǒng)規(guī)格說(shuō)明。3.2 需求描述在需求分析階段分析人員的主要任務(wù)是：對(duì)用戶的需求進(jìn)行鑒別、 綜合和建模，清

5、除用戶需求的模糊性、歧義性和不一致性，分析系統(tǒng)的數(shù)據(jù)要求，為原始問(wèn)題及目標(biāo)軟件建立邏輯模型。分析人員應(yīng)發(fā)現(xiàn)并提出哪些要求是由于用戶的片面性或短期行為所導(dǎo)致的不合理要求，哪些是用戶尚未提出但具有真正價(jià)值的潛在需求。3.3 需求評(píng)審在需求評(píng)審階段，分析人員要在用戶和軟件設(shè)計(jì)人員的配合下對(duì)自己生成的需求規(guī)格說(shuō)明和初步的 用戶手冊(cè)進(jìn)行復(fù)核，以確保 軟件需求的完整、準(zhǔn)確、清晰、具體，并使用戶和軟件設(shè)計(jì)人員對(duì)需求規(guī)格 說(shuō)明和初步的用戶手冊(cè)的理解達(dá)成一致。一旦發(fā)現(xiàn)遺漏或模糊點(diǎn)，必須盡快更正，再行檢查。需求評(píng)審內(nèi)容需至少包含以下內(nèi)容：1、需求分析進(jìn)度日程實(shí)施計(jì)劃進(jìn)行需求分析 時(shí)，應(yīng)注意一切信息與需求都是站在用

6、戶的角度上。要避免分析員的主觀想象，并 將分析進(jìn)度提交給用戶，以確保需求分析過(guò)程及時(shí)與用戶溝通交流，讓用戶進(jìn)行檢查與評(píng)價(jià)，從而達(dá)到需求分析的準(zhǔn)確性。2、描述軟件的功能和性能確定軟件設(shè)計(jì)的限制和軟件同其它系統(tǒng)元素的接口細(xì)節(jié)。3、需求評(píng)審的目的通過(guò)需求分析，逐步細(xì)化對(duì)軟件的要求，描述軟件要處理的數(shù)據(jù)域，并給軟件開(kāi)發(fā)提供一種可轉(zhuǎn)化為數(shù)據(jù)設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)和過(guò)程設(shè)計(jì)的數(shù)據(jù)和功能表示。在軟件開(kāi)發(fā)完成后，制定的需求分析說(shuō)明書(shū)還 要為評(píng)價(jià) 軟件質(zhì)量提供依據(jù)。3.4 需求分析的基本原則：1、開(kāi)發(fā)安全需求分析計(jì)劃應(yīng)由項(xiàng)目開(kāi)發(fā)單位、信息化主管部門、業(yè)務(wù)主管部門共同商議決定。2、應(yīng)用系統(tǒng)安全需求應(yīng)能夠達(dá)到業(yè)務(wù)所期望的安

7、全水平。3、所有關(guān)于應(yīng)用系統(tǒng)的業(yè)務(wù)更新或改進(jìn)原則上都必須基于業(yè)務(wù)需求，并有業(yè)務(wù)事件支持。4業(yè)務(wù)需求是系統(tǒng)更新和改動(dòng)的基礎(chǔ)，因此必須清晰明確地定義業(yè)務(wù)的需求，禁止在業(yè)務(wù)需求未經(jīng)業(yè)務(wù)部門和主要負(fù)責(zé)人員認(rèn)可的情況下，盲目地進(jìn)行開(kāi)發(fā)工作。5、系統(tǒng)的每一次更新或改進(jìn)都必須重新對(duì)安全需求進(jìn)行定義、分析和測(cè)試評(píng)估，以保證不會(huì)對(duì)業(yè) 務(wù)造成影響。6、系統(tǒng)設(shè)計(jì)前，需建立開(kāi)發(fā)安全需求分析報(bào)告，并通過(guò)信息化主管部門審核。7、應(yīng)用系統(tǒng)開(kāi)發(fā)需符合相關(guān)法律法規(guī)上的要求，符合相關(guān)的行業(yè)標(biāo)準(zhǔn)和管理制度。4設(shè)計(jì)軟件設(shè)計(jì)通常分為概要設(shè)計(jì)和詳細(xì)設(shè)計(jì)兩個(gè)階段，主要任務(wù)就是將軟件分解成模塊是指能實(shí)現(xiàn)某個(gè)功能的數(shù)據(jù)和程序說(shuō)明、 可執(zhí)行程序

8、的程序單元。概要設(shè)計(jì)就是結(jié)構(gòu)設(shè)計(jì)，其主要目標(biāo)就是給出 軟件的 模塊結(jié)構(gòu)，用軟件結(jié)構(gòu)圖表示。詳細(xì)設(shè)計(jì)的首要任務(wù)就是設(shè)計(jì)模塊的程序流程、算法和 數(shù)據(jù)結(jié)構(gòu)，以及 設(shè)計(jì)數(shù)據(jù)庫(kù)。系統(tǒng)的設(shè)計(jì)需達(dá)到一個(gè)從來(lái)沒(méi)有接觸過(guò)的人一看就能從各個(gè)方面都對(duì)系統(tǒng)的作用，功能，實(shí)現(xiàn)方面有一個(gè)大概了解，并為以后的各類詳細(xì)設(shè)計(jì)文檔提供一個(gè)指引和方向。設(shè)計(jì)析階段需形成的文檔包括概要設(shè)計(jì)說(shuō)明書(shū) 、詳細(xì)設(shè)計(jì)說(shuō)明書(shū) 。 設(shè)計(jì)階段的主要安全工作包括：4.1 功能劃分設(shè)計(jì)階段的功能劃分不合理， 難以發(fā)現(xiàn)， 且不好處理。 因此功能模塊設(shè)計(jì)需詳細(xì)描述系統(tǒng)有那些主 要功能，這些功能應(yīng)該用何種技術(shù)，大致是如何實(shí)現(xiàn)的，以便發(fā)現(xiàn)問(wèn)題。4.2 模塊協(xié)作描

9、述模塊間如何協(xié)同運(yùn)作的，以便發(fā)現(xiàn)問(wèn)題。4.3 系統(tǒng)定級(jí)安全設(shè)計(jì)描述系統(tǒng)應(yīng)該具有的安全級(jí)別，以及達(dá)到此安全等級(jí)的所采用的技術(shù)。4.4 隱通道本來(lái)受安全策略限制不能進(jìn)行通信的實(shí)體，利用可執(zhí)行的操作的副作用而實(shí)現(xiàn)通信。4.5 認(rèn)證不充分只有分配有足夠權(quán)限訪問(wèn)的操作進(jìn)程才可以訪問(wèn)和操作相應(yīng)的進(jìn)程， 攻擊者同城會(huì)采取一些攻擊獲 權(quán)限而執(zhí)行一些非法操作，使得系統(tǒng)不可靠。 在設(shè)計(jì)中， 需加強(qiáng)訪問(wèn)孔子， 確保操作都經(jīng)過(guò)相應(yīng)的授權(quán) 認(rèn)證允許。4.6 緩沖區(qū)溢出緩沖區(qū)是分配的一段大小確定的內(nèi)存空間， 是內(nèi)存中用來(lái)存放數(shù)據(jù)的地方。 發(fā)生緩沖區(qū)溢出時(shí)， 覆蓋相鄰內(nèi)存塊，從而引發(fā)程序安全問(wèn)題。因此在設(shè)計(jì)階段，就需做好緩

10、沖區(qū)溢出防范工作。文檔實(shí)用標(biāo)準(zhǔn)文案4.7 并發(fā)控制策略并發(fā)作為一種提高計(jì)算機(jī)系統(tǒng)運(yùn)行效率的重要手段，在得到廣泛應(yīng)用的同時(shí)，其機(jī)制本身容易引起以下問(wèn)題（1）競(jìng)爭(zhēng)（2）活鎖（3）死鎖設(shè)計(jì)階段需考慮到并發(fā)帶來(lái)的上述問(wèn)題，并做處理。4.8 TOCTTOU 錯(cuò)誤是一種利用公用可寫文件， 攻擊者可以創(chuàng)建同名連接到其訪問(wèn)的文件， 來(lái)達(dá)到非法訪問(wèn)的目的。 因 此，系統(tǒng)設(shè)計(jì)時(shí)，需有相應(yīng)的防護(hù)策略。4.9 數(shù)據(jù)庫(kù)重要信息的保護(hù)數(shù)據(jù)庫(kù)中的重要信息需加密存儲(chǔ)，并有相應(yīng)的防控措施。4.10 配置管理：對(duì)管理界面進(jìn)行未經(jīng)授權(quán)的訪問(wèn)、 具有更新配置數(shù)據(jù)的能力以及對(duì)用戶帳戶和帳戶配置文件進(jìn)行未 經(jīng)授權(quán)的訪問(wèn)。4.11 身份驗(yàn)

11、證口令長(zhǎng)度不低于 8 位；口令至少需數(shù)字和字符串組合；口令需加密存儲(chǔ)；口令驗(yàn)證通信信道需加密， 以保護(hù)身份驗(yàn)證；使用強(qiáng)密碼，支持密碼有效期和帳戶禁用。4.12 訪問(wèn)控制 實(shí)用標(biāo)準(zhǔn)文案 任何用戶如果希望訪問(wèn)應(yīng)用系統(tǒng)中的某一部分，則必須通過(guò)唯一的認(rèn)證授權(quán)方式。4.13 授權(quán)使用最少超級(jí)管理帳戶， 每個(gè)系統(tǒng)不得多于 2 個(gè)；不得采用集中授權(quán)，凡是授權(quán)，均進(jìn)行單獨(dú)授權(quán)（初 始化授權(quán)可批量，但初始化權(quán)限分配必須經(jīng)過(guò)信息化主管部門審核） ；限制用戶訪問(wèn)最小權(quán)限資源。4.14 收權(quán)用戶離職或其它原因不需再訪問(wèn)系統(tǒng)，需要及時(shí)有關(guān)系統(tǒng)的權(quán)限4.15 敏感數(shù)據(jù) 對(duì)網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密；確保通信通道的安全；

12、對(duì)敏感數(shù)據(jù)存儲(chǔ)提供強(qiáng)訪問(wèn)控制。4.16 Cookie 管理不要在 cookie 中永久性存儲(chǔ)敏感數(shù)據(jù)； 不要使用 HTTP-GET 協(xié)議傳遞敏感數(shù)據(jù)； 不要通過(guò) HTTP 連接傳遞身份驗(yàn)證 cookie 。在授權(quán) cookie 內(nèi)設(shè)置安全的 cookie 屬性，以便指示瀏覽器只通過(guò) HTTPS 連接向服務(wù)器傳回 cookie 。4.17 遠(yuǎn)程維護(hù)管理在管理界面上使用身份驗(yàn)證后授權(quán)；遠(yuǎn)程管理時(shí)要確保通信通道的安全。4.18 會(huì)話管理限制會(huì)話時(shí)常，具體時(shí)長(zhǎng)由業(yè)務(wù)系統(tǒng)決定，閑置會(huì)話原則上不超過(guò) 15 分鐘。保護(hù)會(huì)話狀態(tài)，以 防止未經(jīng)授權(quán)的訪問(wèn)。4.19 加密文檔實(shí)用標(biāo)準(zhǔn)文案考慮到集團(tuán)公司會(huì)代表國(guó)家榮

13、譽(yù)，加密算法，需采用我國(guó)的算法或我國(guó)改造的算法。 SM1-SM9 算法， SSF33 算法，祖沖之對(duì)稱秘鑰算法等，密鑰最低不得低于 32 位。定期回收管理密鑰。4.20 異常管理設(shè)計(jì)好異常處理機(jī)制。4.21 審核和記錄在所有應(yīng)用中審核和記錄活動(dòng)，確保日志文件訪問(wèn)的安全，定期備份日志文件。4.22 5.1.12 后門預(yù)防控制系統(tǒng)須有機(jī)制，防止惡意攻擊繞過(guò)安全性控制而獲取對(duì)系統(tǒng)資源訪問(wèn)和控制。4.23 安全設(shè)計(jì)評(píng)審應(yīng)用系統(tǒng)設(shè)計(jì)方案需要由信息化主管部門進(jìn)行組織安全評(píng)審。4.24 確保日志管理機(jī)制健全建立可根據(jù)情況自由設(shè)置的日志管理機(jī)制， 日志記錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制， 且 可以實(shí)現(xiàn)在

14、應(yīng)用系統(tǒng)的使用過(guò)程中進(jìn)行日志的定制和記錄。 保留所有與系統(tǒng)開(kāi)發(fā)相關(guān)的程序庫(kù)的更新審 核記錄。日志信息不可刪除和修改，日志信息需是自動(dòng)記錄，不允許存在手工參與情況。4.25 審計(jì)安全規(guī)范（1）應(yīng)包括每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)的重要安全事件進(jìn)行審計(jì)。（2）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，審計(jì)記錄無(wú)法刪除、修改或覆蓋。文檔實(shí)用標(biāo)準(zhǔn)文案文檔（3 ）審計(jì)內(nèi)容應(yīng)包含事件主要信息：日期、時(shí)間、操作人、類型、事件信息和結(jié)果等。（4）應(yīng)提供審計(jì)記錄數(shù)據(jù)統(tǒng)計(jì)、查詢。4.26 數(shù)據(jù)及通信有效性管理規(guī)范（1）應(yīng)提供校驗(yàn)碼技術(shù)，保證通信過(guò)程的數(shù)據(jù)完整性。（2）應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)和接

15、收數(shù)據(jù)的功能。（3）提供有效性驗(yàn)證功能，保證人機(jī)接口或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。（4）提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前狀態(tài)，保證系統(tǒng)能夠恢復(fù)。（5）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話。（6）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制。（7）應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。（8）應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制。（9 ）應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額。（10 ）、應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。（11 ）應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安

16、裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根 據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。5編碼“源程軟件編碼 是指把軟件設(shè)計(jì)轉(zhuǎn)換成計(jì)算機(jī)可以接受的程序，即寫成以某一程序設(shè)計(jì)語(yǔ)言表示的 序清單”。5.1 編碼階段的主要工作:1、基于軟件產(chǎn)品開(kāi)發(fā)質(zhì)量要求，充分了解開(kāi)發(fā)語(yǔ)言、工具的特性和風(fēng)格，選取合適的編程語(yǔ)言。2 、編碼。3 、提供源程序清單。5.2 編碼階段需要考慮的安全問(wèn)題包括：1 、內(nèi)存安全的實(shí)現(xiàn) 編程過(guò)程中內(nèi)存數(shù)據(jù)出現(xiàn)的常見(jiàn)安全問(wèn)題，如緩沖區(qū)溢出、整數(shù)溢出、字符串格式化等。2、線程 / 進(jìn)程安全如線程同步、線程死鎖等3 、科學(xué)地處理異常 異常是程序設(shè)計(jì)中必須處理的，主要解決怎樣處理異常能夠保證系統(tǒng)的安全

17、性。4 、輸入輸出的安全保障 如對(duì)輸入的合法性檢測(cè)。5 、權(quán)限控制的處理 系統(tǒng)中涉及授權(quán)和限制訪問(wèn)，需要有完善的權(quán)限控制機(jī)制。6 、數(shù)據(jù)的保護(hù)數(shù)據(jù)篡改和抵賴的防護(hù)和檢驗(yàn) 除了加密解密外，還需要對(duì)對(duì)信息來(lái)源的鑒別、對(duì)信息的完整和不可否認(rèn)等功能進(jìn)行保障。7 、代碼的優(yōu)化處理也關(guān)系到系統(tǒng)的所有的程序， 都需經(jīng)過(guò)代碼優(yōu)化， 代碼性能的好壞有時(shí)候不僅關(guān)系到系統(tǒng)的運(yùn)行效率， 安全。8 、Web 編程安全。SQL 注入、 Web 認(rèn)證攻擊、 URL 操Web 編程中安全問(wèn)題多種多樣，但至少應(yīng)有應(yīng)付跨站腳本、 實(shí)用標(biāo)準(zhǔn)文案作攻擊等安全問(wèn)題。9 、參數(shù)變量處理如果需要設(shè)置變量， 不能使用缺失的默認(rèn)值， 如需設(shè)置

18、 PATH 為一個(gè)已知的值， 而不能使用啟動(dòng)時(shí)的缺 省值。10 、SQL 規(guī)范（1 ）系統(tǒng)須有完善的防止 sql 注入處理機(jī)制。（2 ）SQL 語(yǔ)句的參數(shù)應(yīng)以變量形式傳入。11 、頁(yè)面請(qǐng)求處理應(yīng)校驗(yàn)參數(shù)的長(zhǎng)度WEB 服務(wù)器在接受頁(yè)面請(qǐng)求時(shí)，應(yīng)校驗(yàn)參數(shù)的最大長(zhǎng)度，截?cái)喑鲎畲箝L(zhǎng)度的范圍。12 、登錄失敗信息錯(cuò)誤提示W(wǎng)EB 服務(wù)器在接受用戶登錄請(qǐng)求時(shí)，不應(yīng)區(qū)分登錄失敗的提示信息（如：用戶名不存在、密碼錯(cuò) 誤、密碼已過(guò)期等） ，應(yīng)采用統(tǒng)一的失敗提示信息（如：錯(cuò)誤的用戶名或密碼） 。13 、錯(cuò)誤提示信息規(guī)范 所有對(duì)用戶顯示的錯(cuò)誤信息都不應(yīng)暴露任何關(guān)于系統(tǒng)、 網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。 如果需要的話，

19、應(yīng)使用包含編號(hào)的一般的錯(cuò)誤信息，這種信息只有開(kāi)發(fā)者或支持小組才能理解。14 、開(kāi)源軟件管理（1）開(kāi)源的產(chǎn)品、平臺(tái)及實(shí)現(xiàn)的功能應(yīng)符合項(xiàng)目的需求。（ 2）開(kāi)源 License 需適用于產(chǎn)品，若無(wú) License 或 License 不友好的，需進(jìn)行開(kāi)源產(chǎn)品使用的 風(fēng)險(xiǎn)評(píng)估。（3）開(kāi)源軟件的代碼需整潔、注釋完善。（4）選取的開(kāi)源產(chǎn)品的文檔說(shuō)明需齊全。（ 1）在應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中使用配置及版本管理工具管理開(kāi)發(fā)過(guò)程中的權(quán)限控制、源代碼和相關(guān) 文檔的版本控制、變更管理。（ 2）保證開(kāi)發(fā)、測(cè)試、正式運(yùn)營(yíng)環(huán)境的隔離，控制開(kāi)發(fā)代碼的安全傳輸。（ 3）不能使用正式運(yùn)營(yíng)環(huán)境的數(shù)據(jù)作為測(cè)試數(shù)據(jù)，如必須使用，需要進(jìn)行數(shù)

20、據(jù)處理。（ 4）應(yīng)用系統(tǒng)軟件版本審批。對(duì)應(yīng)用系統(tǒng)的版本的升級(jí)，應(yīng)確認(rèn)當(dāng)前的版本為最新的版本，舊的 版本應(yīng)進(jìn)行歸檔，不得隨意丟棄或刪除。16 、應(yīng)用系統(tǒng)版本升級(jí)計(jì)劃（ 1）制定相關(guān)的升級(jí)計(jì)劃，確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。（ 2）應(yīng)用系統(tǒng)軟件版本升級(jí)后需進(jìn)行測(cè)試，確認(rèn)系統(tǒng)的各種安全特性。（ 3 ）應(yīng)使用軟件加鎖技術(shù)防止不同版本相互覆蓋的情況。（ 4 ）當(dāng)版本變更時(shí)應(yīng)在更新的版本中記錄變更的詳細(xì)描述。（ 5）應(yīng)提供版本的合并功能。（ 6）版本的更改應(yīng)只允許指定的人員進(jìn)行操作。（ 7）應(yīng)記錄所有的版本變更的日志，其中包括更改日期、更改前版本號(hào)、更改后版本號(hào)、 更改人、 審批人等信息。17 、開(kāi)

21、發(fā)日志管規(guī)范（ 1）系統(tǒng)開(kāi)發(fā)中的相關(guān)日志文件應(yīng)根據(jù)開(kāi)發(fā)周期定期審核。（ 2）開(kāi)發(fā)人員權(quán)限定期（ 3 個(gè)月）審核一次。18 、外包的管理規(guī)范應(yīng)對(duì)外包開(kāi)發(fā)進(jìn)行管理， 保證軟件代碼的準(zhǔn)確性、 控制惡意代碼、 邏輯炸彈等， 可以采用代碼抽查、 簽署合同等模式來(lái)實(shí)現(xiàn)。19 、開(kāi)發(fā)環(huán)境安全管理規(guī)范文檔實(shí)用標(biāo)準(zhǔn)文案（1）軟件開(kāi)發(fā)環(huán)境由開(kāi)發(fā)服務(wù)器、開(kāi)發(fā)用戶終端、網(wǎng)絡(luò)控制域與端口、其他配套輸入輸出和存儲(chǔ) 設(shè)備構(gòu)成；（2）軟件開(kāi)發(fā)環(huán)境應(yīng)與正式運(yùn)營(yíng)環(huán)境在物理上隔離；（3）軟件開(kāi)發(fā)環(huán)境與測(cè)試環(huán)境在邏輯上分開(kāi)；（4）規(guī)定軟件開(kāi)發(fā)環(huán)境的配置標(biāo)準(zhǔn)和實(shí)際配置維護(hù)日志；（5 ）軟件開(kāi)發(fā)環(huán)境避免無(wú)關(guān)軟件和數(shù)據(jù)文件的安裝復(fù)制，防止

22、有害代碼植入和傳播；20、其它（1）應(yīng)從正規(guī)的軟件供應(yīng)商那里購(gòu)買相關(guān)的軟件或程序或中間件。（2）應(yīng)檢驗(yàn)和驗(yàn)證源程序和源代碼。（3 ）在系統(tǒng)正式投入使用之前應(yīng)進(jìn)行評(píng)估，如一些行業(yè)的標(biāo)準(zhǔn)認(rèn)證評(píng)估。（4）在系統(tǒng)正式投入使用后，應(yīng)嚴(yán)格管理源代碼的訪問(wèn)、升級(jí)和修改。（5）應(yīng)使用有資質(zhì)的開(kāi)發(fā)人員操作密鑰系統(tǒng)。（6）不得隨便安裝別人給的軟件，特別是不得隨便打開(kāi)電子郵件中的附件，一些可執(zhí)行文件必須 先進(jìn)行病毒及惡意代碼的掃描。6測(cè)試軟件測(cè)試 的目的是以較小的代價(jià)發(fā)現(xiàn)盡可能多的錯(cuò)誤，軟件測(cè)試的關(guān)鍵在于 設(shè)計(jì)一套出色的測(cè)試用例（測(cè)試數(shù)據(jù)與功能和預(yù)期的輸出結(jié)果組成了測(cè)試用例）。普通的功能測(cè)試的主要目的是：（1）確保

23、軟件不會(huì)去完成沒(méi)有預(yù)先設(shè)計(jì)的功能（2）確保軟件能夠完成預(yù)先設(shè)計(jì)的功能安全測(cè)試的主要目的是：要搶在攻擊者之前盡可能多地找到軟件中的漏洞。以減少軟件遭到攻擊的文檔實(shí)用標(biāo)準(zhǔn)文案可能性。安全性測(cè)試至少至少應(yīng)考慮的問(wèn)題：6.1 用戶認(rèn)證安全的測(cè)試要考慮問(wèn)題（1）明確區(qū)分系統(tǒng)中不同用戶權(quán)限（2）系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突（3）系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y（4）用戶登陸密碼是否是可見(jiàn)、可復(fù)制（5）是否可以通過(guò)絕對(duì)途徑登陸系統(tǒng)（拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng)）（6）用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過(guò)輸入口令進(jìn)入系統(tǒng)6.2 數(shù)據(jù)庫(kù)安全考慮問(wèn)題（1）系統(tǒng)重要數(shù)據(jù)是否機(jī)密（2）

24、系統(tǒng)數(shù)據(jù)的完整性（ 3 ）系統(tǒng)數(shù)據(jù)可管理性（ 4 ）系統(tǒng)數(shù)據(jù)的獨(dú)立性（5）系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力6.3 安全測(cè)試的內(nèi)容案例和參考方法1、輸入驗(yàn)證測(cè)試，包括如下方面（ 1 ）數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）（2）允許的字符集的最小和最大的長(zhǎng)度（ 3 ）是否允許空輸入文檔實(shí)用標(biāo)準(zhǔn)文案（ 4 ）參數(shù)是否是必須的（ 5 ）重復(fù)是否允許（ 6 ）數(shù)值范圍（ 7 ）特定的值（枚舉型）（8）特定的模式（正則表達(dá)式）2、問(wèn)題訪問(wèn)控制測(cè)試主要用于需要驗(yàn)證用戶身份以及權(quán)限的頁(yè)面，復(fù)制該頁(yè)面的 url 地址，關(guān)閉該頁(yè)面以后，查看是否 可以直接進(jìn)入該復(fù)制好的地址從一個(gè)頁(yè)面鏈到另一個(gè)頁(yè)面的間隙可以看到 URL 地址

25、或直接輸入該地址，可以看到自己沒(méi)有權(quán)限 的頁(yè)面信息3、會(huì)話管理測(cè)試 系統(tǒng)的某些功能不允許用戶瀏覽，如果必須要一個(gè)用戶列表，并對(duì)列表中和未有在列表中的用戶進(jìn) 行權(quán)限測(cè)試。4、跨站腳本（XSS）測(cè)試攻擊者使用跨站腳本來(lái)發(fā)送惡意代碼給沒(méi)有發(fā)覺(jué)的用戶，竊取他機(jī)器上的任意資料。測(cè)試參考方法：HTML標(biāo)簽： ；轉(zhuǎn)義參考字符： &（&） ；（） ；（） ； （空格 ）。腳本參考語(yǔ)言：特殊字符、最小和最大的長(zhǎng)度、是否允許空輸入。5 、緩沖區(qū)溢出測(cè)試用戶使用緩沖區(qū)溢出來(lái)破壞 web 應(yīng)用程序的棧，通過(guò)發(fā)送特別編寫的代碼到 web 程序中，攻擊者 可以讓 web 應(yīng)用程序來(lái)執(zhí)行任意代碼。6、注入式

26、漏洞測(cè)試?yán)阂粋€(gè)驗(yàn)證用戶登陸的頁(yè)面，如果使用的 sql 語(yǔ)句為： Select*from table A where username=''+username+ '' and password= ' + password +'。Sql輸入 or 1 = 1就可以不輸入任何 password 進(jìn)行攻擊。7、不恰當(dāng)?shù)漠惓Ｌ幚沓绦蛟趻伋霎惓５臅r(shí)候給出了比較詳細(xì)的內(nèi)部錯(cuò)誤信息，暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站存在 潛在漏洞。8、不安全的存儲(chǔ)，沒(méi)有加密關(guān)鍵數(shù)據(jù)測(cè)試?yán)?view source ： http 地址可以查看源代碼在頁(yè)面輸入密碼，頁(yè)面顯示的是 *

27、, 右鍵，查看源文件就可以看見(jiàn)剛才輸入的密碼。9、拒絕服務(wù)測(cè)試攻擊者可以從一個(gè)主機(jī)產(chǎn)生足夠多的流量來(lái)耗盡狠多應(yīng)用程序，最終使程序陷入癱瘓。10 、不安全的配置管理測(cè)試Config 中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲(chǔ)信息都需要加以保護(hù)。至少應(yīng)配置所有的安全機(jī)制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號(hào)，使用日志和警報(bào)。11 、漏洞測(cè)試負(fù)責(zé)安全測(cè)試工作的人員應(yīng)通過(guò)工具或人工方式， 對(duì)軟件執(zhí)行漏洞識(shí)別測(cè)試， 盡可能識(shí)別軟件漏洞、 后門等隱患，常見(jiàn)的隱患包括堆 SQL 注入漏洞、跨站腳本漏洞、緩沖區(qū)溢出漏洞、拒絕服務(wù)漏洞等。 負(fù)責(zé)安全測(cè)試工作的人員應(yīng)對(duì)軟件執(zhí)行滲透測(cè)試，確定所識(shí)別漏洞被利用的難度及造成的后果。12 、測(cè)試用例保護(hù)對(duì)于涉及公司及員工敏感數(shù)據(jù)或隱私數(shù)據(jù)的測(cè)試用例， 測(cè)試人員應(yīng)采取插入冗余數(shù)據(jù)和訪問(wèn)授權(quán)等 保護(hù)措施，測(cè)試結(jié)束后，測(cè)試人員應(yīng)及時(shí)刪除這些測(cè)試數(shù)據(jù)。13 、測(cè)試過(guò)程中的安全測(cè)試數(shù)據(jù)應(yīng)選擇、 保護(hù)和控制； 應(yīng)避免使用包含涉密信息的運(yùn)行數(shù)據(jù)庫(kù)用于測(cè)試。 如果測(cè)試使用了 涉密信息，那么在使用之前應(yīng)去除或修改所有的敏感細(xì)節(jié)和內(nèi)容。在應(yīng)用系統(tǒng)測(cè)試中，使用正式運(yùn)行系統(tǒng)數(shù)據(jù)進(jìn)行測(cè)試應(yīng)由數(shù)據(jù)所有人授權(quán)，使用敏感的正式運(yùn)行數(shù)