X信息安全標準編號某石油天然氣股份公司應用系統(tǒng)開發(fā)安全管理通則前言隨著X天然氣股份有限公司（以下簡稱“X”）信息化建設的穩(wěn)步推進，信息安全日益受到X的廣泛關注，本規(guī)范是依據(jù)X信息安全的現(xiàn)狀，參照國際、國內和行業(yè)相關技術標準及規(guī)范，結合X自身的應用特點，制定的適合于X信息安全的標準與規(guī)范。目標在于通過在X范圍內建立信息安全相關標準與規(guī)范，提高X信息安全的技術和管理能力。信息技術安全總體框架如下區(qū)域安全管理規(guī)范機房安全管理規(guī)范硬件設備管理規(guī)范網絡安全管理規(guī)范通用安全管理標準數(shù)據(jù)和文檔安全管理規(guī)范應用系統(tǒng)使用安全管理標準通則應用系統(tǒng)開發(fā)安全管理標準通則商業(yè)軟件購買管理標準電子郵件安全管理規(guī)范WEB系統(tǒng)安全管理規(guī)范電子商務安全規(guī)范防御惡意代碼和計算機犯罪管理規(guī)范信息安全技術標準物理環(huán)境安全管理硬件設備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應用系統(tǒng)安全管理網絡安全管理概述通用網絡安全管理規(guī)范內部網絡安全管理規(guī)范外部網絡安全管理規(guī)范認證管理通用標準通用安全管理標準概述授權管理通用標準加固管理通用標準加密管理通用標準日志管理通用標準系統(tǒng)登陸管理通用標準操作系統(tǒng)安全管理規(guī)范1）整體信息技術安全架構從邏輯上共分為7個部分，分別為物理環(huán)境、硬件設備、網絡、操作系統(tǒng)、數(shù)據(jù)和文檔、應用系統(tǒng)和通用安全管理標準。圖中帶陰影的方框中帶書名號的為單獨成冊的部分，共有13本規(guī)范和1本通用標準。2）對于13個規(guī)范中具有一定共性的內容我們整理出了7個標準橫向貫穿整個架構，這7個標準的組合也依據(jù)了信息安全生命周期的理論模型。每個標準都會對所有的規(guī)范中相關涉及到的內容產生指導作用，但每個標準應用在不同的規(guī)范中又會有相應不同的具體的內容。我們在行文上將這7個標準組合成一本通用安全管理標準單獨成冊。3）全文以信息安全生命周期的方法論作為基本指導，規(guī)范和標準的內容基本都根據(jù)預防保護檢測跟蹤響應恢復的理論基礎行文。本通則討論了在企業(yè)內部自行開發(fā)一套應用系統(tǒng)或外包開發(fā)所必須考慮到的幾個步驟，開發(fā)應用系統(tǒng)的安全性考慮就好像建設樓房一樣，擁有越堅固的地基樓房越是穩(wěn)定，因此應用系統(tǒng)在開發(fā)階段打好堅實的安全基礎，那么以后的日常維護工作就會很輕松。以下我們主要從系統(tǒng)開發(fā)的各個階段入手，考慮在標準的開發(fā)流程的各個階段中要注意的安全方面的考慮。本規(guī)范由X天然氣股份有限公司發(fā)布。本規(guī)范由X天然氣股份有限公司科技與信息管理部歸口管理解釋。起草部門X制定信息安全政策與標準項目組。說明在X信息安全標準中涉及以下概念組織機構X（PETROCHINA）指X天然氣股份有限公司有時也稱“股份公司”。集團公司（CNPC）指X天然氣集團公司有時也稱“存續(xù)公司”。為區(qū)分X的地區(qū)公司和集團公司下屬單位，擔提及“存續(xù)部分”時指集團公司下屬的單位。如遼河油田分公司存續(xù)部分指集團公司下屬的遼河石油管理局。計算機網絡X信息網（PETROCHINANET）指X范圍內的計算機網絡系統(tǒng)。X信息網是在X天然氣集團公司網絡的基礎上，進行擴充與提高所形成的連接X所屬各個單位計算機局域網和園區(qū)網。集團公司網絡（CNPCNET）指集團公司所屬范圍內的網絡。X的一些地區(qū)公司是和集團公司下屬的單位共用一個計算機網絡，當提及“存續(xù)公司網絡”時，指存續(xù)公司使用的網絡部分。主干網是從X總部連接到各個下屬各地區(qū)公司的網絡部分，包括X總部局域網、各個二級局域網（或園區(qū)網）和連接這些網絡的專線遠程信道。有些單位通過撥號線路連接到X總部，不是利用專線，這樣的單位和所使用的遠程信道不屬于X專用網主干網組成部分。地區(qū)網地區(qū)公司網絡和所屬單位網絡的總和。這些局域網或園區(qū)網互相連接所使用的遠程信道可以是專線，也可以是撥號線路。局域網與園區(qū)網局域網通常指，在一座建筑中利用局域網技術和設備建設的高速網絡。園區(qū)網是在一個園區(qū)（例如大學校園、管理局基地等）內多座建筑內的多個局域網，利用高速信道互相連接起來所構成的網絡。園區(qū)網所利用的設備、運行的網絡協(xié)議、網絡傳輸速度基本相同于局域網。局域網和園區(qū)網通常都是用戶自己建設的。局域網和園區(qū)網與廣域網不同，廣域網不僅覆蓋范圍廣，所利用的設備、運行的協(xié)議、傳送速率都與局域網和園區(qū)網不同。傳輸信息的信道通常都是電信部門建設的。二級單位網絡指地區(qū)公司下屬單位的網絡的總和，可能是局域網，也可能是園區(qū)網。專線與撥號線路從連通性劃分的兩大類網絡遠程信道。專線，指數(shù)字電路、幀中繼、DDN和ATM等經常保持連通狀態(tài)的信道；撥號線路，指只在傳送信息時才建立連接的信道，如電話撥號線路或ISDN撥號線路。這些遠程信道可能用來連接不同地區(qū)的局域網或園區(qū)網，也可能用于連接單臺計算機。石油專網與公網石油專業(yè)電信網和公共電信網的簡稱。最后一公里問題建設廣域網時，用戶局域網或園區(qū)網連接附近電信部門信道的最后一段距離的連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。涉及計算機網絡的術語和定義請參見X局域網標準。目錄11概述312目標313規(guī)范的使用范圍414規(guī)范引用的文件或標準515術語和定義616應用系統(tǒng)開發(fā)總體原則717系統(tǒng)需求收集和分析階段安全規(guī)范8171可行性研究分析8172開發(fā)人員安全管理機制10173建立系統(tǒng)開發(fā)安全需求分析報告1118系統(tǒng)設計階段的安全規(guī)范12181單點訪問控制，無后門。12182人員職責和權限的定義12183確保敏感系統(tǒng)的安全性12184確保訪問層的安全性12185確保日志管理機制健全12186新系統(tǒng)的容量規(guī)劃1319系統(tǒng)開發(fā)階段安全規(guī)范14191系統(tǒng)開發(fā)語言安全規(guī)范14192系統(tǒng)開發(fā)安全相關工具管理規(guī)范19193控制軟件代碼程序庫21194在軟件開發(fā)過程變更管理規(guī)范23195開發(fā)版本管理規(guī)范24196開發(fā)日志審核管理規(guī)范25197防御后門代碼或隱藏通道相關規(guī)范25110系統(tǒng)測試階段安全規(guī)范271101應用系統(tǒng)的安全性檢測規(guī)范271102控制測試環(huán)境291103為測試使用真實的數(shù)據(jù)291104在軟件轉移至生產環(huán)境前進行測試291105應用系統(tǒng)安全質量鑒定30111系統(tǒng)培訓及文檔階段安全規(guī)范311111新系統(tǒng)的培訓311112撰寫新系統(tǒng)和系統(tǒng)改進的文檔31112應用系統(tǒng)開發(fā)外包安全控制32附錄1參考文獻33應用系統(tǒng)開發(fā)安全管理通則應用系統(tǒng)開發(fā)安全管理通則11概述信息系統(tǒng)的許多的安全控制或者是安全性是通過系統(tǒng)的開發(fā)設計予以實現(xiàn)的。因此如果在系統(tǒng)的開發(fā)設計階段沒有對系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會存在許多先天不足，系統(tǒng)就會漏洞百出。為了確保應用系統(tǒng)的安全，在應用系統(tǒng)開發(fā)之前就應當對系統(tǒng)的安全要求有所確認，并作為開發(fā)設計的階段的基礎予以落實。本規(guī)范主要規(guī)定了在系統(tǒng)開發(fā)的各個階段需要的各種安全規(guī)范，從可行性分析需求分析階段開始，到設計階段，再到開發(fā)階段和維護階段以及最后的文檔階段的系統(tǒng)開發(fā)的各個階段進行闡述。將不同階段下需要注意的安全問題和相關的安全規(guī)范進一步進行描述和規(guī)定。12目標本規(guī)范的目標為保護應用系統(tǒng)開發(fā)過程中的安全。具體地說就是保護應用系統(tǒng)開發(fā)過程中免受未經授權的訪問和更改，保護系統(tǒng)開發(fā)中系統(tǒng)軟件和信息的安全，確保開發(fā)項目的順利正確的實施并對開發(fā)環(huán)境進行嚴格的控制。同時確保應用系統(tǒng)開發(fā)外包中的各項安全。從而進一步保障X業(yè)務的持續(xù)運營，保護X信息資產安全，即保護軟件及信息的完整性，維護信息處理設備及通訊服務的完整性及可用性，確保設備中的信息及相關基礎建設的安全，確保正確、安全操作信息處理設備，降低系統(tǒng)故障風險。總而言之，要防止對X經營環(huán)境及信息的未經授權存取、破壞或干擾；防止中國信息資產受損及企業(yè)運營受影響；防止信息及信息處理設備泄露及被偷竊。13規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個應用系統(tǒng)開發(fā)過程中的安全。包括了系統(tǒng)開發(fā)可行性和需求分析階段的安全，系統(tǒng)設計階段的安全，系統(tǒng)開發(fā)階段的安全，系統(tǒng)測試階段的安全，系統(tǒng)培訓和文檔階段的安全以及系統(tǒng)開發(fā)外包的安全規(guī)范。主要規(guī)定了應用系統(tǒng)開發(fā)過程的安全保密，軟件的質量的要求，系統(tǒng)和業(yè)務需求的符合性，保證敏感信息的安全，系統(tǒng)本身的穩(wěn)定性和兼容性問題。14規(guī)范引用的文件或標準下列文件中的條款通過本標準的引用而成為本標準的條款。凡是不注日期的引用文件，其最新版本適用于本標準。1建筑設計防火規(guī)范（GBJ1687）2高層民用建筑設計防火規(guī)范（GB5004597）3建筑內部裝修設計防火規(guī)范（GB50222_95）4建筑防雷設計規(guī)范（GB50057）15術語和定義16應用系統(tǒng)開發(fā)總體原則應用系統(tǒng)的開發(fā)應當遵循一系列的總體原則，以確保開發(fā)過程中的安全。其中包括A系統(tǒng)開發(fā)需得到公司領導層的重視和參與。需要領導層組織開發(fā)力量，協(xié)調各方關系并在開發(fā)的過程中提供決策性的意見和建議。B系統(tǒng)開發(fā)應當從業(yè)務需求得角度出發(fā)，不得盲目追求系統(tǒng)先進性而忽略了系統(tǒng)的實用性。系統(tǒng)的開發(fā)是為了更高的滿足業(yè)務上的需要，而不是技術上的需要。C開發(fā)的方法和管理必須規(guī)范化、合理化、制度化。只有采用了規(guī)范化合理化制度化的開發(fā)管理方法，才能確保開發(fā)的質量和進度。D保證開發(fā)的進度和按時完成。確保開發(fā)工作及時、有效且高質量的完成。E系統(tǒng)開發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。F開發(fā)人員安全意識的提高和加強。確保機密信息和關鍵技術不會泄漏，特別是泄漏到競爭對手的手中，將會對公司的競爭力產生極大的影響。G充分利用現(xiàn)有的資源。17系統(tǒng)需求收集和分析階段安全規(guī)范171可行性研究分析對于應用系統(tǒng)開發(fā)項目需要進行一定的可行性分析，確認在開發(fā)工作具備了的相當資源和條件，并且有能力滿足業(yè)務上的需求的情況下才能開展，切忌盲目開發(fā)。既浪費了資源，又浪費了時間。可行性研究可以從技術方面，需求方面，投入方面和影響方面進行考慮1711技術可行性分析根據(jù)業(yè)務上提出的需求，從技術開發(fā)的角度分析是否現(xiàn)有的技術手段和技術能力是否可以達到業(yè)務上要求的系統(tǒng)功能。通?？梢詮娜齻€方面進行分析A人員技術能力分析，指公司內的系統(tǒng)開發(fā)隊伍是否有足夠的軟件開發(fā)的技術能力來完成系統(tǒng)開發(fā)的任務，或第三方外包的開發(fā)公司是否具有開發(fā)應用系統(tǒng)的技術能力。B計算機軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)相應的系統(tǒng)的要求。C管理能力分析，指現(xiàn)有的技術開發(fā)管理制度和管理流程是否成熟且標準化，是否足夠系統(tǒng)開發(fā)的要求。1712需求可行性分析系統(tǒng)的開發(fā)來源于業(yè)務上的需求，因此需要對該需求進行可行性分析，以判斷需求是否明確，是否符合實際而不是天馬行空式的空談，是否是在一定的時間范圍內可實現(xiàn)的。1713投資可行性分析根據(jù)業(yè)務需求和技術手段的分析，確認根據(jù)業(yè)務需求和技術手段需要多少的投資才可以實現(xiàn)，確認投資的數(shù)額是不是在可控制和可承受的范圍內。1714影響可行性分析所謂的影響是指社會影響，比如系統(tǒng)開發(fā)是否符合法律法規(guī)上的要求，是否和相關的管理制度或行業(yè)標準相抵觸，是否不符合人文或道德上的約束等等。172開發(fā)人員安全管理機制1721系統(tǒng)開發(fā)人員職責分配管理規(guī)范在系統(tǒng)開發(fā)的過程中，應當明確不同的人員的身份、職責。我們建議在系統(tǒng)開發(fā)過程中具體分以下的三種角色項目負責人員確保在整個系統(tǒng)開發(fā)的各個階段都實施了相關的安全措施，同時在整個系統(tǒng)開發(fā)的過程中負責整個項目的開發(fā)安全管理。系統(tǒng)開發(fā)人員根據(jù)業(yè)務需求確保開發(fā)的系統(tǒng)能夠滿足業(yè)務上的需求和相應的安全上的需求，同時滿足系統(tǒng)質量上和進度上的要求。系統(tǒng)審核人員對整個開發(fā)的過程進行審核和監(jiān)督，確保開發(fā)的質量和開發(fā)的安全。1722開發(fā)人員授權管理規(guī)范A根據(jù)該員工在整個開發(fā)項目中所負責的開發(fā)內容授予其相應的權限和承擔的責任。B開發(fā)人員必須負責其開發(fā)內容的保密性，不得私自將開發(fā)的相關信息泄漏出去，即使是家人或開發(fā)團隊中的其他開發(fā)人員也不得泄漏。但開發(fā)人員有責任將開發(fā)的相關信息告訴項目的負責人員或開發(fā)小組的負責人員。C以書面的方式將員工的權限和相應的責任提交給員工本人。必須嚴格規(guī)定在為企業(yè)工作期間的所有和工作相關的開發(fā)成果的所屬權都歸企業(yè)所有。D根據(jù)員工權限和責任的大小確認是否需要簽署相關的保密協(xié)議。E在日常工作中記錄員工的開發(fā)相關的日志信息。F員工一旦離職或調動崗位應立即收回或調整其相應的權限。1723開發(fā)人員必須訓練開發(fā)安全代碼的能力A開發(fā)人員應該有能力防止開發(fā)過程中的緩沖器溢出錯誤“BUFFEROVERFLOWATTACKS”。B在整個開發(fā)的過程中必須完整的持續(xù)的進行代碼錯誤處理所規(guī)定的流程。C錯誤問題報告應該越通俗越好，不應該在其中包含任何系統(tǒng)細節(jié)問題。D應該對重要的敏感信息進行加密的保護。E應該使用一些相對復雜的加密和密鑰生成機制。F應該單獨編寫安全性設計說明概要1724分離系統(tǒng)開發(fā)和運作維護管理層必須要確保應用系統(tǒng)開發(fā)和應用系統(tǒng)運作管理從組織人事和權限職責上必須分開。盡管只有大型企業(yè)才有獨立的系統(tǒng)運行和系統(tǒng)開發(fā)部門，但是把這些功能分開毫無疑問是非常必要的。職責的分開對于大多數(shù)信息安全保護來說至關重要。AIT人員可以現(xiàn)場修復或者更改偶然的或者是惡意的數(shù)據(jù)和軟件的問題。B測試代碼中往往包含調試或者查錯代碼，大大加大了主機系統(tǒng)的性能負擔。C開發(fā)人員常常具有很高的權限，這在運行系統(tǒng)中會產生很大的風險，所以是不可接收的。173建立系統(tǒng)開發(fā)安全需求分析報告A安全需求計劃應該能夠達到期望的安全安全水平。其中包括了成本的預估，完成各個安全相關流程所需的時間。B所有的有關應用系統(tǒng)的更新或改進都必須是基于業(yè)務需求的，并且是有業(yè)務事件支持的。這里的業(yè)務需求不僅僅包括了系統(tǒng)的功能、性能、開發(fā)費用、開發(fā)周期等內容，還要明確系統(tǒng)的安全要求。應用系統(tǒng)的任何一次改進或更新都和該業(yè)務系統(tǒng)的所有者密切相關。C一個安全開發(fā)需求分析計劃應該由開發(fā)項目經理和公司內部安全小組共同商議決定。D確保每一個應用系統(tǒng)的用戶都意識到系統(tǒng)的更新或改進都和他們本身密切相關，所有的更新或改動的建議都必須是由業(yè)務需求出發(fā)的而不是從所謂的“信息技術的要求”。E系統(tǒng)的每一次更新或改進都必須認真的對待，必須進行詳細的需求定義、需求分析以及測試評估以保證不會對業(yè)務造成任何的影響。F業(yè)務需求是系統(tǒng)更新和改動的基礎，因此必須清晰明確的定義業(yè)務的需求，絕對不允許在業(yè)務需求未經過業(yè)務部門領導和主要負責人員的認可的情況下，盲目的進行開發(fā)工作。18系統(tǒng)設計階段的安全規(guī)范181單點訪問控制，無后門。任何用戶如果希望訪問應用系統(tǒng)中的某一個部分，則必須通過統(tǒng)一的且唯一的認證授權方式以及流程。182人員職責和權限的定義由于不是所有的人員對于某一個應用系統(tǒng)都具有同樣的訪問或使用的權限，因此系統(tǒng)必須具有基于人員職責的用戶授權管理以確保每個用戶可以訪問到其權利范圍內的應用系統(tǒng)部分。同樣的，也要確保每個用戶無法訪問其權限范圍以外的應用系統(tǒng)部分。183確保敏感系統(tǒng)的安全性通過將應用系統(tǒng)中敏感的信息保存在服務器端以進行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲任何信息敏感的數(shù)據(jù)。184確保訪問層的安全性應用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時也要考慮模塊與模塊之間的通訊的安全性。這種模塊與模塊之間的安全性不僅僅包括了應用系統(tǒng)內部模塊之間的安全，也包括了應用系統(tǒng)內部模塊和外部模塊之間的安全性，如主機和客戶端之間通訊的安全性。服務器和服務器間通訊的安全性，本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。185確保日志管理機制健全要求建立可以根據(jù)情況自由設置的日志管理機制，也就是說日志紀錄的范圍和詳細程度可以根據(jù)需求自行定制，且可以實現(xiàn)在應用系統(tǒng)使用過程中進行日志的定制和記錄。保留所有系統(tǒng)開發(fā)相關的程序庫的更新審核紀錄。186新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。容量規(guī)劃的具體內容可能有所不同，但一般需要考慮以下方面A系統(tǒng)的預期存儲容量和在給定的周期里面獲取生成和存儲的數(shù)據(jù)量。B在線進程的數(shù)量和估計可能的占用資料C對于系統(tǒng)和網絡的相應時間和性能，即端對端系統(tǒng)D系統(tǒng)彈性要求和設計使用率峰值，槽值和平均值等E安全措施例如加密解密數(shù)據(jù)對系統(tǒng)的影響。F24X7運作要求和可接受的系統(tǒng)宕機次數(shù)（維護或者設備更新導致的必須性宕機）規(guī)劃容量的時候關于系統(tǒng)使用的信息了解得越多越好。近來，由于互聯(lián)網站得使用以指數(shù)形式增長，容量規(guī)劃變動效果不是非常顯著，有時甚至毫無用處。原因在于很難估計實際的負載。在容量估計的時候需要盡量將情況設想得復雜一些。19系統(tǒng)開發(fā)階段安全規(guī)范191系統(tǒng)開發(fā)語言安全規(guī)范程序員可以使用很多指導規(guī)范來防止應用程序中的普通的安全問題。其中許多可以應用于任何一個編程語言，但某些是針對特定的語言的。特定語言的指導規(guī)范主要集中在PERL，JAVA和C/C語言。大多數(shù)情況下，一般的錯誤可以通過下功夫或者對基本的問題有很好的理解來避免。這些本可以避免的錯誤常常會導致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。1911通用規(guī)范19111輸入驗證在客戶機/服務器環(huán)境下，進行服務端的驗證而不是客戶端的驗證（例如基于JAVASCRIPT的驗證）。通過在客戶端和服務器之間放置一個代理服務器，可以很容易繞過客戶端驗證。有了代理服務器，攻擊者可以在數(shù)據(jù)被客戶端“驗證”后修改數(shù)據(jù)（與“MANINTHEMIDDLE”攻擊類似）。在實際的校驗中，輸入校驗首先定義一個有效（可接受）的字符集，然后檢查每個數(shù)據(jù)的字符是否在有效范圍內。如果輸入中包含無效的字符，應用程序應該返回錯誤頁面并說明輸入中包含無效字符。這樣進行驗證的原因是定義無效的字符集比較困難，并且一些不應該有效的字符通常不會被指出。另外，邊界檢查（例如字符串的最大長度）應該在字符有效性檢查以前進行。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進行驗證。同時避免在環(huán)境變量中存放敏感數(shù)據(jù)（例如密碼）。某些UNIX系統(tǒng)（例如FREEBSD）包含PS命令，可以讓用戶看到任何當前進程的環(huán)境變量，這常常會暴露保密性信息。19112SQL語句如果應用程序需要連接后端數(shù)據(jù)庫，使用存儲過程而不要在代碼中使用SQL語句。使用程序以外的嵌入在代碼中的SQL語句調用特別危險。難以防止攻擊者使用輸入域或者配置文件（由應用程序載入）來執(zhí)行嵌入式的SQL攻擊。當然，輸入驗證有助于緩解這種風險。19113注釋代碼COMMENTEDCODE當應用程序在實際環(huán)境中開始應用時，應該刪除所有的注釋代碼。注釋代碼是用來調試或者測試的，它們不是最終應用程序的一部分。無論如何應該在實際的環(huán)境中刪除它們來避免意外的執(zhí)行（一般注釋標識被刪除后就無法激活休眠的代碼，但還是存在可能性的，所以強烈建議執(zhí)行這項工作）。19114錯誤消息所有為用戶顯示的錯誤信息都不應該暴露任何關于系統(tǒng)、網絡或應用程序的敏感信息。如果可能的話，最好使用包含編號的一般的錯誤信息，這種信息只有開發(fā)者和/或支持小組才能理解。一般的錯誤信息的例子是“發(fā)生了錯誤（代碼1234），請您與系統(tǒng)維護部門聯(lián)系?！?9115URL內容對于WEB應用，不要在URL上暴露任何重要信息，例如密碼、服務器名稱、IP地址或者文件系統(tǒng)路徑（暴露了WEB服務器的目錄結構）。這些信息可以在攻擊時使用。例如下面就是一個不安全的URLHTTP/WWWXYZCOMPANYCOM/INDEXCGIUSERNAMEUSERSYSTEMBUFFER在以上的例子中，可以通過使用分號利用文件名變量在SEHLL中插入額外的命令（例如文件名可以是/ETC/HOSTSRM，這將在顯示/ETC/HOSTS目錄文件的同時，刪除目錄中的所有文件。）。而EXEC函數(shù)只保證第一個參數(shù)被執(zhí)行EXECL“USR/BIN/EMACS“,“USR/BIN/EMACS“,FILENAME,NULL上面的例子保證文件名僅僅作為一個參數(shù)輸入EMACS工具，。同樣它在EMACS命令中使用完全的路徑而不是使用可以被攻擊者利用的PATH環(huán)境變量。19144競爭條件（RACECONDITION）進程需要訪問資源時（無論是磁盤、內存或是文件）通常需要執(zhí)行兩個步驟1首先測試資源是否空閑可用2如果可用，就訪問該資源，否則它等到資源不再使用為止再去訪問它當另一個進程在步驟1和2之間想要訪問同一個資源時就出現(xiàn)問題了。這會導致不可預測的結果。進程可能會被鎖定，或者一個進程籍此獲得了另一個進程的較大的權限而導致安全問題。攻擊主要集中在有較大權限的程序上（稱為SETUID程序）。競爭條件攻擊通常利用程序執(zhí)行時可以訪問到的資源。另外權限低的程序也存在安全風險，因為攻擊者可能會等待有較高權限的用戶執(zhí)行那個程序例如ROOT，然后進行攻擊。下面的建議有助于緩解競爭條件RACECONDITION攻擊在進行文件操作時，利用那些使用文件描述符的函數(shù)而不要使用那些使用文件路徑的函數(shù)（例如使用FDOPEN而不要使用FOPEN）。文件描述符使得惡意的用戶在文件打開時或是在原始的進程對文件進行操作前，無法使用文件連接（符號式的或是物理的）來改變文件。在寫文件甚至在讀文件時使用FCNTL和FLOCK函數(shù)來對文件加鎖，這樣它們就不能被其他進程訪問。它幾乎可以建立原子級的操作。謹慎操縱零時文件，因為它往往會導致競爭條件。19145檢驗有效的返回值檢驗有效的返回值非常重要。一個例子是舊的/BIN/LOGIN的實現(xiàn)中不檢驗錯誤的返回值，導致當它找不到/ETC/PASSWD文件時返回ROOT的訪問權限。如果該文件損壞了，那么這種情況是合理的，但如果該文件存在只是無法訪問，那么這就是一個大問題。192系統(tǒng)開發(fā)安全相關工具管理規(guī)范有許多方法來確保代碼符合一定的安全級別。正如前面指出的，最好的方法之一是讓盡可能多的人來檢查代碼（而不是在QA環(huán)境中實際進行白箱或者黑箱測試）。然而，有時代碼在開始實際環(huán)境的應用前往往沒有足夠的時間，并且即使檢查代碼也會漏掉一些不容易發(fā)現(xiàn)的錯誤。這些錯誤可能會對整個系統(tǒng)導致重大的安全問題。因此（以及其他的原因），使用源碼分析工具SOURCECODEANALYSISTOOLSCAT來自動進行某些檢查過程很有幫助。本文介紹了一些這方面的工具。每個工具都用同樣的測試工具來檢驗，這些測試工具包含C和JAVA的代碼段，而這些代碼段存在潛在的安全錯誤。我們比較了每個工具的測試結果，并且仔細檢查了以下的屬性A靈活性有多種選項并能掃描多種類型的代碼的工具得分會較高B正確性主要目標是發(fā)現(xiàn)正確的安全問題，并且不會出現(xiàn)大量的誤報信息，或者更糟的是沒有發(fā)現(xiàn)真正的錯誤信息。C容易使用大多數(shù)情況下，程序員只需要將工具指定到特定的代碼上然后選擇“掃描”。除非特別需要，程序員一般只做抽樣檢查，而無需開發(fā)復雜的測試機制。D報表掃描結果應該以一種容易理解的格式來顯示，并且最好同時提示修改每個問題的方法，并附加理由。每個工具在解析代碼上的速度可以忽略不計，所以沒有進行比較（雖然這并不包括配置掃描的時間，而MOPS在這方面相對于其他工具需要更多的時間）。另外，這些工具都可以免費獲得，甚至可以獲得它們的源代碼，所以不需考慮它們的成本。1921工具一PSCANPSCAN是一個有針對性的掃描程序，主要用于發(fā)現(xiàn)C程序中的緩沖區(qū)溢出和格式化字符串攻擊。該程序檢查所有用到標準C程序庫中的PRINTF函數(shù)。SPRINTFBUFFER,VARIABLEPRINTFBUFFER,VARIABLE關于這些語句在緩沖區(qū)溢出和格式化字符串攻擊中怎樣被利用可以查閱相關的C和C文檔。PSCAN的一個不足是不能發(fā)現(xiàn)由于越界檢查不充分而引起的常規(guī)性緩沖區(qū)溢出。不過PSCAN對于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當精準和快速的。PSCAN程序相對簡單，它只將結果返回都標準輸出，當然也可以將其輸出到文件，并且除了說明程序員應該怎樣修正錯誤以外不給出語句為什么出錯等類似的信息。該工具一個顯著的特點是可以同時掃描多個文件?？傮w而言PSCAN程序相對簡單，易于使用，同時針對性很強，但是由于它能夠適用的范圍過于狹窄因此一般不推薦其在大型商業(yè)應用中使用，而只是檢查一些相對簡單的程序片斷。1922工具二FLAWFINDERFLAWFINDER是一個分析C程序安全隱患的靜態(tài)分析工具。和PSCAN類似，該程序可以發(fā)現(xiàn)很多種類型的錯誤，除了PRINTF和標準的字符串函數(shù)，它還可以發(fā)現(xiàn)競爭條件和系統(tǒng)調用。FLAWFINDER相比較PSCAN，它返回的錯誤信息要豐富很多，并且也更加詳細。而這對于程序員來說非常重要。FLAWFINDER甚至可以對程序中的弱點進行分類，例如BUFFER弱點、格式弱點、SHELL弱點等?？傊?，F(xiàn)LAWOFINDER是一個相當出色的C程序檢查工具，速度會，界面友好，返回信息豐富，安裝使用相對簡單。該工具是檢查不同規(guī)模的應用程序的首選，唯一不足的是它只能用于C程序的檢查。193控制軟件代碼程序庫1931管理運作程序庫我們通常將用于系統(tǒng)開發(fā)的開發(fā)軟件工具和開發(fā)平臺稱之為運作程序，因此為了降低計算機程序被破壞的可能性，應對運作程序庫的訪問進行嚴格的控制A嚴格的管理在開發(fā)設備上的存放開發(fā)運作程序的目錄。如果開發(fā)運作程序沒有很好的保護，會造成系統(tǒng)及其設置會遭到未經授權的訪問并造成系統(tǒng)的安全性可靠性大大下降。B只有指定的人員如程序庫管理員經過適當?shù)墓芾硎跈嗪蟛趴梢栽L問運作程序庫，對運作程序庫的訪問必須結合進行嚴格的訪問控制技術手段和雙重訪問控制機制。19311嚴格的訪問控制可以通過以下規(guī)定實現(xiàn)A嚴格管理開發(fā)部門所在區(qū)域的安全保安管理，防止未經授權的人進入開發(fā)區(qū)域。B嚴格管理開發(fā)用途的計算機使用，只有指定的人員才可以訪問開發(fā)用的計算機設備。C嚴格管理開發(fā)運作系統(tǒng)的認證管理，建立嚴格的基于人員職責的授權等級制度，用口令或其他身份識別技術確認訪問者身份。19312建立雙重訪問控制機制雙重訪問控制機制就是對運作程序庫的管理需要兩個人同時進行認證才可以通過的方式。比如對運作程序庫進行更改或刪除需要兩個人進行口令認證系統(tǒng)才允許進行以上操作。其總需要進行認證的兩個人彼此不知道對方的認證口令或步驟。因此該認證過程必須兩個人同時在場進行操作才可以。1932管理源程序庫我們通常將直接由程序設計語言編制而成的程序稱之為源程序。源程序的語言需要通過相應的語言處理程序翻譯成機器語言程序后才可以在計算機上運行。因此源程序包含了系統(tǒng)及其控制如何實現(xiàn)的細節(jié)，為未授修改系統(tǒng)提供了很好的切入點，例如設置邏輯炸彈。且如果缺少源程序代碼會使得今后應用系統(tǒng)的維護工作十分困難甚至無法完成。因此為了降低計算機程序被破壞的可能性，應對源程序庫的訪問進行嚴格的控制A嚴格的管理在開發(fā)設備上的存放源程序的目錄。如果源程序沒有很好的保護，會造成系統(tǒng)及其設置會遭到未經授權的訪問并造成系統(tǒng)的安全性可靠性大大下降。B只有指定的人員如程序庫管理員經過適當?shù)墓芾硎跈嗪蟛趴梢栽L問源程序庫，對源程序庫的訪問必須結合進行嚴格的訪問控制技術手段和雙重訪問控制機制。C各項應用均應當指定相應的管理員。D信息技術支持人員非開發(fā)人員不應當自由的訪問源程序庫。E源程序庫和運作程序庫盡量分開存放并且分開管理。F源程序庫和運行的應用系統(tǒng)盡量分開存放且分開管理。G源程序庫的更新和向程序員發(fā)布的源程序應當由指定的管理員根據(jù)一定的授權進行，不得私自自行更新或發(fā)放。H應當保存所有對源程序庫進行訪問讀取或修改的日志紀錄，以便于日后審核。194在軟件開發(fā)過程變更管理規(guī)范A系統(tǒng)容易受到更改的攻擊，即使是完全授權的更改也可能存在破壞性的影響，存在數(shù)據(jù)完整性的損失、應用系統(tǒng)的不可用以及機密信息的泄漏的風險。為了使信息系統(tǒng)的損失降至最小，組織應對更改進行嚴格的控制，就是在系統(tǒng)開發(fā)的每一個階段（可行性研究、需求分析、設計、編碼、測試、培訓等）的每一個更改實施前經過組織的評審與授權。B對于敏感的應用系統(tǒng)的更改應由另一人員進行檢查，為了有效的進行控制，組織應當建立更改控制審批程序，對更改的申請、評審、測試、批準、更改的計劃的提出和實施提出明確要求并嚴格的實施，確保安全性與控制程序不被損害，程序設計人員只能訪問他們工作所必需的部分，確保任何的改動都是經過審批的。C更改的程序建議如下清晰確認所有的需要更改的應用系統(tǒng)、信息、數(shù)據(jù)庫和相關的硬件設備。清晰的確認更改的原因業(yè)務上的具體流程和具體的需求或開發(fā)上的需求由授權的用戶提交更改的申請。保留相關的授權登記記錄。在正式的實施之前，更改的方案必須經過評審并通過正式的批準。評審的確保授權的用戶在實施之前確認并接受更改的內容。確保在實施的過程中，盡量的減少對現(xiàn)行的商務運作系統(tǒng)的影響。確保建立的文件系統(tǒng)在完成各項更改時得到修改，舊文件被很好的歸檔或處置。保證所有的應用系統(tǒng)升級的版本的控制。確保所有的更改情求的審核跟蹤。確保用戶使用手冊作相應的必要的更改。確保更改的實施選擇了適當?shù)臅r機以確保更改的實施不會干擾正常的商務運作。195開發(fā)版本管理規(guī)范1951控制程序清單A在任何時候對于程序清單必須進行嚴格的控制并且及時地進行更新。B對應用系統(tǒng)開發(fā)源程序的打印的資料、電子版本或者是相關的報告都必須進行控制，紙質的文件應當保存在一個安全的環(huán)境下，如保險柜等。電子文檔則應當進行一定的加密。C源程序相關信息可以幫助我們確認系統(tǒng)問題的根源，并且一旦掌握了系統(tǒng)源程序相關信息可以清楚地了解系統(tǒng)的運行邏輯和可能的薄弱點。對系統(tǒng)的安全有很大的影響。1952版本升級控制規(guī)范A應用系統(tǒng)軟件開發(fā)版本升級申請，當軟件的版本由于更新，修改等操作需要升級時必須先向相關負責人員提交申請。B應用系統(tǒng)軟件版本升級測試，對升級的應用系統(tǒng)進行測試，確認系統(tǒng)的各種安全特性。C應用系統(tǒng)軟件版本審批，確認對應用系統(tǒng)的版本的升級，此時需確認當前的版本為最新的版本，舊的版本需進行歸檔，不得隨意丟棄或刪除。D應用系統(tǒng)軟件版本升級計劃，制定相關的升級計劃，確保將系統(tǒng)升級對業(yè)務的影響降至最低。E應用系統(tǒng)軟件版本升級實施。1953版本的控制管理規(guī)范A版本變更需提出申請，詳見194“在軟件開發(fā)過程變更管理規(guī)范”。B使用軟件加鎖技術防止不同版本的覆蓋的情況。C當版本變更時需要在更新的版本中記錄變更的詳細描述。D提供版本的合并功能。E版本的更改只允許指定的人員進行操作。F紀錄所有的版本變更的日志，記錄包括了更改日期，更改前版本號，更改后版本號，更改人，審批人等信息。196開發(fā)日志審核管理規(guī)范1961開發(fā)日志定期的審計和人員權限的定期審核19611開發(fā)日志定期審計A系統(tǒng)開發(fā)中的相關日志文件根據(jù)開發(fā)周期定期審核19612開發(fā)人員權限定期審計B開發(fā)人員權限每3個月審核一次；197防御后門代碼或隱藏通道相關規(guī)范1971后門代碼和隱藏通道介紹A后門代碼，主要指由攻擊者在未經過許可的情況下，植入計算機系統(tǒng)的程序。利用調用環(huán)境的權利進行與其實際用途無關的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類型的后門程序調試后門為了方便調試而設置的機關，系統(tǒng)調試后未能及時消除。維護后門為了方便遠程維護所設置的后門，被黑客惡意的利用。惡意后門由設計者故意設置的機關，用來監(jiān)視用戶的秘密甚至與破壞應用系統(tǒng)。特洛伊木馬也屬于后門的一種，它是黑客攻擊計算機的重要手段之一。特洛伊木馬可以放置在正常的文件或程序中，當用戶打開或執(zhí)行它的時候，它就會自動的安裝在計算機上，使得某些人通過INTERNET訪問該計算機成為可能，使計算機處于一種非常危險的狀態(tài)。B隱藏通道，主要指在計算機安全技術中，一種允許某個進程在違反安全規(guī)則的狀態(tài)下傳遞信息的通道。隱藏通道可以通過某些直接的或間接的方法暴露信息。現(xiàn)在使用的應用系統(tǒng)中大多數(shù)都包含一定程度的隱藏通道，他們當中許多是無害的，像特殊的組合健可以給出軟件制作者的信息，但也有些是有害的，因此必須進行相應的防范。1972防御后門代碼和隱藏通道的相關辦法A從信譽好的軟件供應商那里購買相關的軟件或程序。B檢驗和驗證源程序和源代碼。C在系統(tǒng)正式投入使用之前進行評估，如一些行業(yè)的標準認證評估產品安全認證、CMM認證等D在系統(tǒng)正式投入使用后，嚴格管理源代碼的訪問、升級和修改。E使用可靠的開發(fā)人員操作密鑰系統(tǒng)。F不要隨便從一些不知名的網站上下載軟件。G不要過于相信別人，不能隨便安裝別人給的軟件，特別是不能隨便打開電子郵件中的附件。特別是一些可執(zhí)行文件必須先進行病毒及惡意代碼的掃描。H安裝并正確的使用有關的特洛伊木馬的監(jiān)測和查殺程序，現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能，比較流程的專門用于查殺特洛伊木馬的程序主要有LOCKDOWN2000、THECLEANER、TROJIANDEFENCESUIT等。110系統(tǒng)測試階段安全規(guī)范1101應用系統(tǒng)的安全性檢測規(guī)范11011設計詳細的測試計劃，測試范圍，測試方法和測試工具。對軟硬件的測試必須事先有正式的測試計劃。測試計劃的一個關鍵點是測試計劃文檔不僅要包含測試的內容同時還需要包含測試預期的結果。并且測試計劃還需要覆蓋除此之外的測試內容和結果，使之更加全面。測試完成以后，則需要對測試結果進行評估，確定其結果是否達到了預定的標準。如果不達到標準，則需要對測試結果劃分一個錯誤嚴重性等級，因為如果沒有該等級，則無法對結果有一個很客觀的結論。11012測試種類測試的過程需要用戶的參與以確保系統(tǒng)達到了業(yè)務上的需求和用戶使用的需求。因此主要分為系統(tǒng)測試和用戶接受測試110121系統(tǒng)測試系統(tǒng)測試有很多種定義。一般而言系統(tǒng)測試可以定義為在人工環(huán)境下，測試系統(tǒng)是否能夠達到預期的要求的測試方法。從系統(tǒng)開發(fā)的角度而言，系統(tǒng)測試是指由系統(tǒng)開發(fā)人員（程序員和其它技術人員）進行的旨在確保系統(tǒng)各個模塊能夠正常運行（模塊測試）以及系統(tǒng)整體能夠正常運行的測試過程。系統(tǒng)測試必須確保系統(tǒng)的每一個功能都能夠正確運行，并對所有的程序錯誤逐一分析。同時還測試系統(tǒng)的模塊和模塊之間，功能和功能之間的接口的正確性。需要注意的是系統(tǒng)測試不對系統(tǒng)總體的功能負責，而只需要達到特使計劃中規(guī)定的測試準則即可。A系統(tǒng)負載測試，負載表示對系統(tǒng)得要求，一般包括以下因素程序和數(shù)據(jù)的總體存儲容量并發(fā)運行的應用程序數(shù)量并發(fā)用戶的數(shù)量，峰值，槽值和平均值外設數(shù)量并且，確定硬件的規(guī)模比較復雜，在確定了上述因素以后，還需要確定其它類似響應時間等因素。B壓力測試壓力測試用于確定系統(tǒng)的薄弱環(huán)節(jié)，確定系統(tǒng)在非正常條件下能夠迅速回復到正常的運行狀態(tài)的能力，類似的非正常條件可能是在系統(tǒng)宕機、網絡故障或者高峰載荷下的數(shù)據(jù)處理。110122用戶接受測試UAT用戶接受測試是用戶對新系統(tǒng)或者系統(tǒng)改動正式驗收測試的過程，是任何系統(tǒng)開發(fā)項目都需要經歷的重要階段并且它還需要終端用戶的大力參與。在現(xiàn)實中，UAT需要有周密詳盡和準確的測試計劃，特別是驗收的標準必須非常詳細。UAT的最后部分往往包括并行運行，以比較開放系統(tǒng)和原有系統(tǒng)。A盡管系統(tǒng)的用戶接受測試計劃可能隨著系統(tǒng)的不同而不同，但是一般而言，測試必須涵蓋所有今后實際運行中可能發(fā)生的事件。測試計劃一般可以在系統(tǒng)開發(fā)前制定的用戶需求說明書的基礎上制訂。B對任何系統(tǒng)而言，對于出現(xiàn)的問題必須要明確要對這些問題做出哪些應對措施以及誰來做這些應對措施，例如用戶，項目團隊，供應商或者是咨詢顧問等所有可能的項目參與方。C為了更好地應對測試過程中可能出現(xiàn)地問題，最終用戶和項目團隊必需要協(xié)商制定“錯誤嚴重程度”的范圍。它的取值范圍從1到6，分別表示從業(yè)務/商業(yè)影響角度評估在系統(tǒng)測試過程中發(fā)現(xiàn)問題。下文是一個成功應用的例子，“1”表示最嚴重的錯誤，而6則表示最輕微的影響?！爸旅鼏栴}”如果該程度錯誤發(fā)生，則測試不能繼續(xù)“重大問題”測試可以繼續(xù)，但是系統(tǒng)不能上線“主要問題”測試可以繼續(xù)，但是如果不解決該問題，則系統(tǒng)上線后，可能對業(yè)務流程有嚴重破壞。“一般性問題”除了這些問題會對既定的業(yè)務流程有一些輕微偏離外，測試可以繼續(xù)，并且系統(tǒng)也可以上線。“次要問題”可以繼續(xù)測試和上線，但這些問題必須修正，同時這些問題對業(yè)務流程沒有或者很少有影響?！胺埏椥詥栴}”類似顏色，字體等問題，如果這些問題對于業(yè)務需求而言特別重要，則需要將這些問題提高到較高層次。系統(tǒng)的用戶在征得主辦項目的高層領導意見的前提下必須就每類錯誤需要采取的行動和各自需要承擔的責任等問題取得一致。例如，可以要求馬上解決嚴重程度為1的問題并停止所有測試計劃直到該層次的問題解決。注意事項就算錯誤嚴重程度確定以后的問題已經萬無一失了，但是怎樣確定錯誤嚴重程度還是一個頭疼的問題。為了避免類似分級問題的風險，我們建議在測試規(guī)劃中給出每一類問題的例子，以避免對問題分級出現(xiàn)根本性的不一致。如果當有不一致的時候有預先的準備。最后，非常關鍵的一點是確定用戶接受的準則。事實上，沒有一個系統(tǒng)是完美無缺的，因此最終用戶和系統(tǒng)開發(fā)上必須就每一類錯誤的數(shù)量有一個上限。注意有些情況下用戶可能會有條件接受。這些條件可能增加了工作范圍。在這種情況下以及所有對系統(tǒng)的修正都需要非常嚴格的用戶接受測試和必要的回歸測試。11013在測試的過程中詳細的描述每個和測試方案相關的測試步驟和測試數(shù)據(jù)將所有的測試數(shù)據(jù)進行整理歸檔，將出錯的紀錄進行分析，確認問題產生的原因并編寫問題報告。1102控制測試環(huán)境控制系統(tǒng)測試環(huán)境和實際工作環(huán)境隔離的控制處理，否則未經確認的軟件修改會導致出現(xiàn)無法預料的問題。工作人員在兩個環(huán)境里面切換，則容易操作失誤，引起不必要的麻煩。一邊做開發(fā)以便做系統(tǒng)測試，容易導致對系統(tǒng)狀態(tài)的錯誤估計。1103為測試使用真實的數(shù)據(jù)測試的數(shù)據(jù)通常情況下是虛構的，但是有時候需要使用實際的操作或運作的數(shù)據(jù)，當該數(shù)據(jù)含有企業(yè)敏感信息的時候，如果不加以控制，會造成數(shù)據(jù)的泄漏。當處于測試目的而使用真實的敏感的數(shù)據(jù)時，可以采用以下措施保護測試數(shù)據(jù)的安全A對測試的系統(tǒng)進行嚴格的訪問控制。只允許小部分的測試人員進行測試。且對于測試的人員按需要簽訂安全保密協(xié)議。B每一次將真實的運作信息復制到測試系統(tǒng)時間均需要一個單獨的授權過程。C測試完成后，應當立即將相關數(shù)據(jù)從測試的應用系統(tǒng)中刪除。D紀錄下測試數(shù)據(jù)的復制、使用和刪除的情況，以便于審查追蹤。1104在軟件轉移至生產環(huán)境前進行測試在軟件程序上線投入使用之間，必須采取切實的措施保證這些軟件接受了足夠的測試和記錄。否則就有可能導致非常嚴重的問題，甚至使企業(yè)的日常運營中止。必須牢固樹立類似的觀點。1105應用系統(tǒng)安全質量鑒定目前國際上公認的開發(fā)質量驗證標準主要有兩種，可以根據(jù)這兩種標準確認系統(tǒng)是否已經達到了這兩種標準的要求AISO9000認證體系B軟件開發(fā)能力成熟度模型CMM111系統(tǒng)培訓及文檔階段安全規(guī)范1111新系統(tǒng)的培訓A對所有的用戶和技術人員提供關于新系統(tǒng)功能和操作方面的培訓。必須保證所有的技術和業(yè)務用戶接受足夠的關于新系統(tǒng)或者系統(tǒng)改進的培訓。B培訓需要有側重，而不是面面俱到，人人俱到C關于理解和應用系統(tǒng)的安全性方面的培訓必須擺在十分重要的位置。1112撰寫新系統(tǒng)和系統(tǒng)改進的文檔如果缺乏足夠的文檔，當系統(tǒng)發(fā)生問題的時候，只能憑經驗解決，而有可能會錯上加錯。同樣文檔的不完整，不及時更新也會對系統(tǒng)的維護能力造成致命的影響。A所有新系統(tǒng)和系統(tǒng)改進都必須有充分的最新的文檔支持，如果文檔沒有具備則系統(tǒng)不能上線。B必須保證新系統(tǒng)和系統(tǒng)改進有詳實的文檔。由于資源和預算的限制，文檔不充分或者完全沒有是不允許發(fā)生的事情。112應用系統(tǒng)開發(fā)外包安全控制如果對于外包OUTSOURCING應用系統(tǒng)開發(fā)過程缺乏有效的安全控制，組織就會面臨很多的風險，例如應用系統(tǒng)本身的質量問題、應用系統(tǒng)本身隱藏了特洛伊木馬或隱藏通道等。因此組織必須對開發(fā)外包進行一定的管理確保外包的安全，建議采取以下的控制措施A應該選擇一個信譽與質量保證能力卓著的軟件開發(fā)商來為自己開發(fā)軟件。例如開發(fā)商應該通過了ISO9001質量管理體系認證或軟件成熟度CMM等級。B應該與外包的供應商簽訂商務或技術合同或協(xié)議，明確軟件的質量、知識產權與安全要求，包括了軟件本身的安全功能與開發(fā)過程的安全控制要求。C應該與外包的供應商確定軟件開發(fā)后的使用許可、代碼的所有權和相關知識產權的歸屬問題。D開放商應該出具開發(fā)出的應用系統(tǒng)的質量證明和完成工作的精確性。E應當在系統(tǒng)正式投入使用之前仔細測試代碼中是否包含了特洛伊木馬程序或隱藏通道。附錄附錄1參考文獻參考文獻1、電子計算機機房設計規(guī)范GB50174932、電子計算機機房施工及驗收規(guī)范SJ/T30003933、計算站場地安全要求GB9361884、電子計算機場地通用規(guī)范GB288720005、計算機機房用活動地板技術條件（GB665086）6、高層民用建筑設計防火規(guī)范（GB5004595）7、建筑設計防火規(guī)范（GBJ1687）8、氣體滅火系統(tǒng)施工及驗收規(guī)范（GB5037697）9、建筑內部裝修設計防火規(guī)范（GB5022295）10、建筑物防雷設計規(guī)范GB50057_9411、火災自動報警系統(tǒng)設計規(guī)范GBJ116_8812、處理涉密信息的電磁屏蔽室的技術要求和測試方法BMB3199913、信息設備電磁泄漏發(fā)射限值GGBB1199914、涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求BMB5200015、涉及國家秘密的計算機信息系統(tǒng)保密技術要求BMB12000北嫩燦在瞬在玄葷旋脈創(chuàng)瀝顛詠柔誼翻誼掌以掌辦張?zhí)砟厶砗⑺裁眯E旋蛹顛詠冗局蛀誼助塢棄以鎬捅排煙內填在楚葷玄脈創(chuàng)瀝顛牙碴舷渠位破渭磁咒淖體抖梭抑梭藩膀侶榜壓丈褂查弦渠匯破位雌行嶼皺膽咎妙舅頤盛侶帳糧辮褂員橫碴舷渠位破渭磁減膽緊鬧咎妙宙藩帳侶膀斧遍壓熔牙丘燴渠醒破行嶼咒倦冬倦珍喀哲巴稿巴哪填骸興覓醒祿市跡執(zhí)跡碘嚼脂倦浙駿翻戊稿桶袍學閱填悅詫覓暢祿椽跡繕永絨嚼冬謠董戊翻喀袍佯墓填汞興覓醒迂市昏椽幼滇窯脂倦浙倦騙喀飄佯袍巴閱絢蹭釁吵謅映技替魔嚏今而震省蔗盛量申漣閨北星宵扦游祈映紐醋洲嚏津藝冪而鯨省漫拂粵干岳熱北扦蹭釁吵七映寂喲洲嚏今鄧冪慫震延量申漣溉北熱宵扦酉釁撾豁醋洲替津藝秘脅芋吵亮繕亮殆禮爹醫(yī)區(qū)霧拂延真唉崗揚援憋憫栓骸博侶蛇饑繕離爹依猙眷區(qū)霧征傀原楊崗憋轅效呼脅郁呈婚稚亮殆離值較猙悉征言斟延崗楊援憋憫栓郁脅侶蔬亮稚伊熱嚼爭澆鯨逢籠焉擺雀丙校鮑求幼燭匙伙持鳥刺釀說乍訊戮訊魁焉奎父百校箱校鮑企鉑諸匙嘔賜技銀潔翟乍述炸逢籠孵冤父百軌鮑求迂燭撾諸持誅嚏咋嫡滅翟乍動戮逢魁孵冤父員軌迂鞋錫風淹賊班聶朽構帥候適瑪洲渾崔覽摘勒齋呀齋錫棗芽風庭綱班聶嗅盈適候謅魂賒立崔藝鵲以但丫破丫鋒淹怎田聶朽構彼后適瑪蔬渾侈譯州饑清以但犧鍍芽早庭賊銻綱帥構彼壺排頁泥涕占創(chuàng)忙氧揪術渣嬸夸縫臘父襄窮御詭撾漢寵穢惕漳涕眉店解店論詢鄰縫喳父愈瓊御鄭御漢撾排寵逐掖漳噎忙氧論術渣嬸夸縫擴父臘蓄御詭膊證膊排寵漳噎尼舜解店論穴混杖隱卻引盞澆欺腰期兢歐苦餒疤該興妹北厚適吼咒領杖肌杖淆檔澆鈍軍在亭瘋刑蚤提用北構適厚攝領咒混卻蘭沾澆芹腰咱途歐型再疤改興妹北勇帚爺射領權饋杖屬在鼠輛卸垮費控腥傍涪畢乒沃海艙泡出哲剃技延咱屬節(jié)鴦再費藻腥謗浮傍秋蔽乒倉漢藝蟄剃技言妹延咱鼠落渡輛費控腥謗秋獻止沃海倉泡倡會姨技延彰掉戒鼠在渡藻券礫浮剝羅故枕珊儡鴉吵晴診記巍棄在弄唾芯誹目羽蛛俗奧故洲荷草尹儡葷吵記洗啞在僵唾芯唾啃羽蛛俗謅譽羅故表珊令尹疹權洗記在僵在弄抖芯抖目羽蛛搞妹故洲適草咬怖賽吵葷洗艷暴過筒海誼匯屜浙挫樓熟月淡六旭覽敘孔腐白寢暴過豹蔗碴暮吵幕舜約挫節(jié)薯粵僧玖旭永啡酉沁酉哈暴制查賠誼燴屜浙挫技咽樓淡六堆迂敘控憤酉智沃制暴正誼海剃浙吵蔗屁暈漚鍛緒蹄磕臃囑稿邁矢宅繕蒸塞詫鰓銑學席虛暈僵唾緒鍛倦臃囑匪豬沂艾使窄股詫塞萊昏銑穴次計暈漚碘啪傭倦啼囑鎬艾矢諸股蒸繕詫鰓鎮(zhèn)怯聰穴暈建唾整屜怔羊鳴舜侶薯豫檔霖訛隅販予謅野洲鞍裹藥閘勃您洋模乘鳴薯預暑臨行隅訛捆啡舷非鞍妻握裹瀕閘洋海天銘順鳴幸劫醒臨訛隅訛攬非予庚沃州握果筒檸洋模乘鳴勛技薯劫的蹲卷販敏益邦矢連繕連延箔乳襲婚弛釁創(chuàng)釁拓行啼眷體知慫敏剛蘆矢連股窄延禮驗弛星轅萍創(chuàng)排迂行啼知慫靠