則vfd中國石油信息安全標(biāo)中國石油信息安全標(biāo)準(zhǔn)編號：應(yīng)用系統(tǒng)開發(fā)安全管理通則 (審閱稿)前言隨著中國石油天然氣股份有限公司(以下簡稱“中國石油”)信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受強(qiáng)信息安全的管理和制度無疑成為信息化建設(shè)得以順利實施的重要保障。中國石油需要建立統(tǒng)一的信息安全管理政策和標(biāo)準(zhǔn)，并在集團(tuán)內(nèi)統(tǒng)一推廣、實施。息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提高中國石油信息安全的技術(shù)和管理能力。信息技術(shù)安全總體框架如下：息技術(shù)安全架構(gòu)從邏輯上共分為7個部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操2)對于13個《規(guī)范》中具有一定共性的內(nèi)容我們整理出了7個《標(biāo)準(zhǔn)》橫向貫穿整個架構(gòu)，這7個《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。每個《標(biāo)準(zhǔn)》都會對所有的《規(guī)范》中相容。我們在行文上將這7個標(biāo)準(zhǔn)組合成一本《通用安全管理標(biāo)準(zhǔn)》單獨成冊。3)全文以信息安全生命周期的方法論作為基本指導(dǎo)，《規(guī)范》和《標(biāo)準(zhǔn)》的內(nèi)容基本都根據(jù)預(yù)防本通則討論了在企業(yè)內(nèi)部自行開發(fā)一套應(yīng)用系統(tǒng)或外包開發(fā)所必須考慮到的安全問題。開發(fā)應(yīng)用系統(tǒng)的樣，擁有越堅固的地基樓房越是穩(wěn)定，因此如果在應(yīng)用系統(tǒng)的開發(fā)階段打好堅實的安全基礎(chǔ)，那么以后的日常維護(hù)工作就會很輕松。以下我們主要從系統(tǒng)開發(fā)的各個階段入手，闡述在標(biāo)準(zhǔn)的開發(fā)流程的各個階段中所應(yīng)注意的安全性考慮。本規(guī)范由中國石油天然氣股份有限公司發(fā)布。本規(guī)范由中國石油天然氣股份有限公司科技與信息管理部歸口管理解釋。起草部門：中國石油制定信息安全政策與標(biāo)準(zhǔn)項目組。II應(yīng)用系統(tǒng)開發(fā)安全管理通則說明在中國石油信息安全標(biāo)準(zhǔn)中涉及以下概念：中國石油(PetroChina)指中國石油天然氣股份有限公司有時也稱“股份公司”。集團(tuán)公司(CNPC)指中國石油天然氣集團(tuán)公司有時也稱“存續(xù)公司”。為區(qū)分中國石油的地區(qū)公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分”時指集團(tuán)公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。中國石油信息網(wǎng)(PetroChinaNet)指中國石油范圍內(nèi)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)。中國石油信息網(wǎng)是在中國石油天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行擴(kuò)充與提高所形成的連接中國石油所屬各個單位計算機(jī)局域網(wǎng)和集團(tuán)公司網(wǎng)絡(luò)(CNPCNet)指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個計算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時，指存續(xù)公司使用的網(wǎng)絡(luò)部分。各個下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國石油總部局域網(wǎng)、各個二級局域網(wǎng)(或園區(qū)網(wǎng))和連接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。有些單位通過撥號線路連接到中國石油總部，不是利用專線，這樣的單位和所使用的遠(yuǎn)程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。地區(qū)網(wǎng)地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可以是專是撥號線路。指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個園區(qū)(例如大學(xué)校園、管理局基地等)內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建設(shè)的。二級單位網(wǎng)絡(luò)指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。經(jīng)常保持連通狀態(tài)的信道；撥號線路，指只在傳送信息時才建立連接的信道，如電話撥號線路或ISDN撥號線路。這些遠(yuǎn)程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺計算機(jī)。石油專網(wǎng)與公網(wǎng)石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡稱。最后一公里問題建設(shè)廣域網(wǎng)時，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。請參見《中國石油局域網(wǎng)標(biāo)準(zhǔn)》。應(yīng)用系統(tǒng)開發(fā)安全管理通則V1概述72目標(biāo)7 3適用范圍7 4規(guī)范引用的文件或標(biāo)準(zhǔn)8 5術(shù)語和定義96應(yīng)用系統(tǒng)開發(fā)總體原則117系統(tǒng)需求收集和分析階段127.1可行性研究分析12 7.2開發(fā)人員安全管理14 7.3建立系統(tǒng)開發(fā)安全需求分析報告15 8系統(tǒng)設(shè)計階段的安全規(guī)范17 8.1單點訪問控制且無后門17 8.2人員職責(zé)和權(quán)限的定義178.3確保敏感系統(tǒng)的安全性178.4確保訪問層的安全性178.5確保日志管理機(jī)制健全188.6新系統(tǒng)的容量規(guī)劃18 9系統(tǒng)開發(fā)階段安全規(guī)范19 9.1系統(tǒng)開發(fā)語言199.2系統(tǒng)開發(fā)安全相關(guān)工具管理規(guī)范279.3控制軟件代碼程序庫29 9.4在軟件開發(fā)過程變更管理31 9.5開發(fā)版本管理32 9.6開發(fā)日志審核管理34 9.7防御后門代碼或隱藏通道34 10系統(tǒng)測試階段安全規(guī)范36 10.1應(yīng)用系統(tǒng)的安全性檢測3610.2控制測試環(huán)境38VI應(yīng)用系統(tǒng)開發(fā)安全管理通則 10.3為測試使用真實的數(shù)據(jù)39 10.4在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測試3910.5應(yīng)用系統(tǒng)安全質(zhì)量鑒定3911系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范4011.1新系統(tǒng)的培訓(xùn)4011.2撰寫新系統(tǒng)和系統(tǒng)改進(jìn)的文檔4012應(yīng)用系統(tǒng)開發(fā)外包安全控制41附錄1參考文獻(xiàn)42 附錄2本規(guī)范用詞說明43 1概述此2目標(biāo)本規(guī)范的目標(biāo)為：，3適用范圍4規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。1.GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則2.GB/T9387-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型(ISO7498:1989)3.GA/T391-2002計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求4.ISO/IECTR13355信息技術(shù)安全管理指南8應(yīng)用系統(tǒng)開發(fā)安全管理通則6.英國國家信息安全標(biāo)準(zhǔn)BS77997.信息安全基礎(chǔ)保護(hù)ITBaselineProtectionManual(Germany)10.信息系統(tǒng)安全專家叢書CertificateInformationSystemsSecurityProfessional術(shù)語和定義訪問控制accesscontrol一種安全保證手段，即信息系統(tǒng)的資源只能由被授權(quán)實體按授權(quán)方式進(jìn)行訪問，防止對資源的未授權(quán)使用。應(yīng)用系統(tǒng)applicationsystem認(rèn)證authenticationa.驗證用戶、設(shè)備和其他實體的身份；b.驗證數(shù)據(jù)的完整性。授權(quán)authorization給予權(quán)利，包括信息資源訪問權(quán)的授予?？捎眯詀vailability數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能及時訪問和使用數(shù)據(jù)或資源。緩沖器溢出bufferoverflow指通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。保密性confidentiality數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。隱藏通道covertchannel可用來按照違反安全策略的方式傳送!數(shù)據(jù)的傳輸信道。完整性integrity在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同，并未遭受偶然或惡意的修改或破壞時所具的性質(zhì)。敏感信息sensitiveinformation由權(quán)威機(jī)構(gòu)確定的必須受保護(hù)的信息，因為該信息的泄露、修改、破壞或丟失都會對人或事產(chǎn)生可預(yù)知的損害。系統(tǒng)測試systemtesting用于確定系統(tǒng)的安全特征按設(shè)計要求實現(xiàn)的過程。這一過程包括現(xiàn)場功能測試、滲透測試和驗證。后門代碼trapdoor通常為測試或查找故障而設(shè)置的一種隱藏的軟件或硬件機(jī)制，它能避開計算機(jī)安全。而且它能在非常規(guī)時間點或無需常規(guī)檢查的情況下進(jìn)入程序。特洛伊木馬Trojanhorse一種表面無害的程序，它包含惡性邏輯程序，導(dǎo)致未授權(quán)地收集、偽造或破壞數(shù)據(jù)，以此破壞計算機(jī)安全與完整性的進(jìn)程。驗證verification將某一活動、處理過程或產(chǎn)品與相應(yīng)的要求或規(guī)范相比較。例：將某一規(guī)范與安全策略模型相比較，或者將目標(biāo)代碼與源代碼相比較。能夠迅速恢復(fù)到正常的運(yùn)行狀態(tài)的能力。10應(yīng)用系統(tǒng)開發(fā)安全管理通則6應(yīng)用系統(tǒng)開發(fā)總體原則應(yīng)用系統(tǒng)的開發(fā)應(yīng)遵循一系列的總體原則，以確保開發(fā)過程中的安全。其中包括：a性而忽略了系統(tǒng)的實用。b)c)d)e)度。。f)應(yīng)充分利用現(xiàn)有的資源。12應(yīng)用系統(tǒng)開發(fā)安全管理通則7系統(tǒng)需求收集和分析階段7.1可行性研究分析可行性研究宜從技術(shù)、需求面、投入和影響四個方面進(jìn)行考慮：7.1.1技術(shù)可行性分析要求的系統(tǒng)功能。通?？蓮囊韵氯齻€方面進(jìn)行分析：a)人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開發(fā)隊伍或外包的第三方開發(fā)公司是否b)計算機(jī)軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)c)管理能力分析，指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，7.1.2需求可行性分析7.1.3投資可行性分析7.1.4影響可行性分析7.2開發(fā)人員安全管理7.2.1系統(tǒng)開發(fā)人員職責(zé)分配在系統(tǒng)開發(fā)的過程中，應(yīng)明確不同人員的身份和職責(zé)。在系統(tǒng)開發(fā)過程中具體可分以下三種角色：7.2.2開發(fā)人員授權(quán)a)應(yīng)根據(jù)該員工在整個開發(fā)項目中所負(fù)責(zé)的開發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和所應(yīng)b)開發(fā)人員必須負(fù)責(zé)其開發(fā)內(nèi)容的保密性，不得私自將開發(fā)的相關(guān)信息泄漏出c)以書面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。必須嚴(yán)格規(guī)定在d應(yīng)根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。e在日常工作中記錄員工與開發(fā)相關(guān)的日志信息。7.2.3開發(fā)人員必須訓(xùn)練開發(fā)安全代碼的能力a)在整個開發(fā)的過程中必須完整持續(xù)地進(jìn)行代碼錯誤處理所規(guī)定的流程。c)應(yīng)對重要的敏感信息進(jìn)行加密保護(hù)。d)應(yīng)使用一些相對復(fù)雜的加密和密鑰生成機(jī)制。e)應(yīng)單獨編寫安全性設(shè)計說明概要14應(yīng)用系統(tǒng)開發(fā)安全管理通則7.2.4分離系統(tǒng)開發(fā)和運(yùn)作維護(hù)。發(fā)安全需求分析報告安全需求計劃應(yīng)能夠達(dá)到期望的安全水平。其中包括了成本的預(yù)估，完成各個b)所有關(guān)于應(yīng)用系統(tǒng)的更新或改進(jìn)都必須基于業(yè)務(wù)需求，并有業(yè)務(wù)事件支持。這開發(fā)安全需求分析計劃應(yīng)由開發(fā)項目經(jīng)理和公司內(nèi)部的安全小組共同商議決應(yīng)確保每一個應(yīng)用系統(tǒng)的用戶都意識到系統(tǒng)的更新或改進(jìn)都與其自身密切相試評估，以保證不會對業(yè)務(wù)造成任何不良影響。f)業(yè)務(wù)需求是系統(tǒng)更新和改動的基礎(chǔ)，因此必須清晰明確地定義業(yè)務(wù)的需求，禁8系統(tǒng)設(shè)計階段的安全規(guī)范8.1單點訪問控制且無后門8.2人員職責(zé)和權(quán)限的定義8.3確保敏感系統(tǒng)的安全性8.4確保訪問層的安全性8.5確保日志管理機(jī)制健全序庫的更新審核記錄。8.6新系統(tǒng)的容量規(guī)劃應(yīng)考慮以下方面：系統(tǒng)的預(yù)期存儲容量和在給定的周期中獲取生成和存儲的數(shù)據(jù)量。進(jìn)程的數(shù)量和估計可能的占用資料16應(yīng)用系統(tǒng)開發(fā)安全管理通則系統(tǒng)和網(wǎng)絡(luò)的響應(yīng)時間和性能，即端對端系統(tǒng)系統(tǒng)彈性要求和設(shè)計使用率(峰值，槽值和平均值等)24x7運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)(維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī))估9系統(tǒng)開發(fā)階段安全規(guī)范9.1系統(tǒng)開發(fā)語言9.1.1通用規(guī)范輸入驗證在客戶機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗證而不是客戶端的驗證(例如基于Javascript的驗證)。通過在客戶端和服務(wù)器之間放置一個代理服務(wù)器，可以很容易繞過客戶端驗證。有了代理服務(wù)器，攻擊者可以在數(shù)據(jù)被客戶端“驗證”后修改數(shù)據(jù)(與“man-in-the-middle”攻擊類似)。在實際的校驗中，輸入校驗首先定義一個有效(可接受)的字符集，然后檢查每個數(shù)據(jù)的字符是否邊界檢查(例如字符串的最大長度)應(yīng)在字符有效性檢查以前進(jìn)行。邊界分析可以防止大多數(shù)緩沖從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗證。同時避免在環(huán)境變量中存放敏感數(shù)據(jù)(例如密碼)。某些Unix系統(tǒng)(例如FreeBSD)包含ps命令，可以讓用戶看到任何當(dāng)前進(jìn)程的環(huán)境變量，這常常會SQL語句的SQL語句調(diào)用特別危險，難以防止攻擊者使用輸入域或者配置文件(由應(yīng)用程序載入)來執(zhí)行注釋代碼(commentedcode)它們不是最終應(yīng)用程序的一部分。無論如何應(yīng)在實際的環(huán)境中刪除它們來避免意外的執(zhí)行(一般注18應(yīng)用系統(tǒng)開發(fā)安全管理通則釋標(biāo)識被刪除后就無法激活休眠的代碼，但還是存在可能性的，所以應(yīng)執(zhí)行這項工作)。錯誤消息使用包含編號的一般的錯誤信息，這種信息只有開發(fā)者和/或支持小組才能理解。一般的錯誤信息的例子是“發(fā)生了錯誤(代碼1234)，請您與系統(tǒng)維護(hù)部門聯(lián)系?！苯y(tǒng)一資源定位(URL)內(nèi)容對于web應(yīng)用，不要在URL上暴露任何重要信息，例如密碼、服務(wù)器名稱、IP地址或者文件系統(tǒng)路徑(暴露了web服務(wù)器的目錄結(jié)構(gòu))。這些信息可以在攻擊時使用。例如下面就是一個不安全的URL： http:///index.cgi?username=USER&password= PASSWORD&file=/home/USER/expenses.txt設(shè)置PATH變量變量，例如試圖執(zhí)行一個任意的程序。這些也可以應(yīng)用于大多數(shù)其他的語言。9.1.2Perl語言多年以來，Perl已經(jīng)成為用于系統(tǒng)管理和WebCGI開發(fā)的功能最強(qiáng)的編程語言之一(幾乎可以使用Perl實現(xiàn)任何功能)。但其擴(kuò)展應(yīng)用，即作為Internet上CGI的開發(fā)工具，使得它經(jīng)常成為攻擊。下面列舉了一些開發(fā)者(特別是CGI程序員)可以使用的主動的預(yù)防性的措施來增強(qiáng)Perl代碼的整體安全性(請注意：這不是web服務(wù)器CGI腳本安全性的指導(dǎo)原則)。Taint驗證用戶輸入(任何程序外的輸入)來操縱其他的外部程序(例如通過管道將數(shù)據(jù)導(dǎo)入另一個程序執(zhí)行))。一般而言，程序員不能信任輸入腳本和程序的數(shù)據(jù)(叫做Tainted數(shù)據(jù))，因為無法保Taint驗證可以通過在命令行參數(shù)加入“-T”來開啟。例srbinperlTTainted數(shù)據(jù)包括命令行參數(shù)、環(huán)境變量和來自文件的數(shù)據(jù)。引用tainted數(shù)據(jù)的變量也成為tainted數(shù)據(jù)。如果腳本試圖通過不安全的方式來使用tainted數(shù)據(jù)會產(chǎn)生一個致命錯誤(對這種情況稱為“不安全的依賴”(Insecuredependency)或者其他的說法)。啟用tainted驗證在有些情況下會導(dǎo)致腳本停止運(yùn)行，常常是由于Perl解釋器要求所有腳本引用的外部程序的完全路徑必在PATH環(huán)境變量中列出，同時PATH中包含的每個目錄除了目錄的所有者及相應(yīng)的所有者用只要可能就應(yīng)使用taint驗證，特別是代碼執(zhí)行其他程序功能時(例如在CGI腳本的情況下)。安全模塊如果不但輸入數(shù)據(jù)不可信而且實際的代碼也不可信會產(chǎn)生什么情況？例如用戶從網(wǎng)站上下載了一安全模塊讓程序員可以在Perl腳本中將不同的代碼模塊與安全對象相聯(lián)系。每個安全對象對于運(yùn)警告參數(shù)(-w)。twbinperlTw9.1.3Java語言了安全問題，因此它具有的限制特征有：收集不再使用的內(nèi)存碎片的垃圾收集器，嚴(yán)格的相關(guān)的規(guī)范：不應(yīng)在標(biāo)準(zhǔn)輸出上打印消息在實際的Internet系統(tǒng)中避免使用System.out.println()或者System.err.println()打印日志和錯20應(yīng)用系統(tǒng)開發(fā)安全管理通則封裝入agege所有標(biāo)準(zhǔn)庫中的類都默認(rèn)是可以公共訪問的(除了由“sun”開頭的類)。為了保證一個包的安全性，必須修改${JAVAHOME}/jre/lib/security文件夾中的java.security文件。該文件中的重要行是：esssun雖然該方法有作用，但仍存在問題。例如程序員在java.security文件中定義包的安全時必須十分sun者“sunshine”等包進(jìn)行保護(hù)。JAR密封(sealing)。JAR(JavaARchive)文件是一些類的打包壓縮格式的文件，從該JAR文件加載。為了起用密封(sealing)，必須在建立JAR文件時這樣設(shè)置密封(seal)參e使用密封(sealing)的JAR文件比權(quán)限(permission)設(shè)置更好，因為它不需要安裝安全管理器政策文件Java要編制一個定制9.1.4C/C++語言緩沖區(qū)溢出pyatntf寸及確定輸入的類型。格式化字符串攻擊(FormatStringAttack)該類攻擊往往與緩沖區(qū)溢出相關(guān)，因為它們往往主要利用了某些函數(shù)的假設(shè)，例如sprintf()和bufferstring數(shù)據(jù)(這些數(shù)據(jù)中例子建議使用下面的代碼。zeofbuffersstring者使用調(diào)試器)，然后必須知道如何精確訪問特定的內(nèi)存空間來操縱棧中的變量。22應(yīng)用系統(tǒng)開發(fā)安全管理通則執(zhí)行外部程序rsizeofbufferemacssfilename在以上的例子中，可以通過使用分號利用文件名變量在sehll中插入額外的命令(例如文件名可以是/etc/hosts;rm*，這將在顯示/etc/hosts目錄文件的同時，刪除目錄中的所有文件)。而exec()函數(shù)只保證第一個參數(shù)被執(zhí)行：binemacsusrbinemacsfilenameNULL競爭條件(racecondition)進(jìn)程需要訪問資源時(無論是磁盤、內(nèi)存或是文件)通常需要執(zhí)行兩個步驟：源不再使用為止再去訪問它在有較大權(quán)限的程序上(稱為setuid程序)。競爭條件攻擊通常利用程序執(zhí)行時可以訪問到的資下面的建議有助于緩解競爭條件(racecondition)攻擊：在進(jìn)行文件操作時，利用那些使用文件描述符的函數(shù)而不使用那些使用文件路徑的函數(shù)(例如使用件進(jìn)行操作前，無法使用文件連接(符號式的或是物理的)來改變文件。fcntlflock就不能被其他進(jìn)程檢驗有效的返回值檢驗有效的返回值非常重要。一個例子是舊的/bin/login的實現(xiàn)中不檢驗錯誤的返回值，導(dǎo)致當(dāng)24應(yīng)用系統(tǒng)開發(fā)安全管理通則9.2系統(tǒng)開發(fā)安全相關(guān)工具管理來檢查代碼(而不是在QA環(huán)境中實際進(jìn)行白箱或者黑箱測試)。然而，有時代碼在開始實際環(huán)能SourceCodeAnalysisToolSCAT的有發(fā)現(xiàn)真正的錯誤信息。d報表－掃描結(jié)果應(yīng)以一種容易理解的格式來顯示，并且最好同時提示修改每個問法，并附加理由。an關(guān)于這些語句在緩沖區(qū)溢出和格式化字符串攻擊中怎樣被利用可以查閱相關(guān)的C和C++文檔?？傮w而言Pscan程序相對簡單，易于使用，同時針對性很強(qiáng)，但是由于它能夠適用的范圍過于狹片斷。相比較Pscan，它返回的錯誤信息要豐富很多，并且也更加詳細(xì)。而這對于程序員來說非常重26應(yīng)用系統(tǒng)開發(fā)安全管理通則9.3控制軟件代碼程序庫9.3.1管理運(yùn)作程序庫的可能性，應(yīng)對運(yùn)作程序庫的訪問進(jìn)行嚴(yán)格的控制：a)嚴(yán)格的管理在開發(fā)設(shè)備上的存放開發(fā)運(yùn)作程序的目錄。如果開發(fā)運(yùn)作程序沒b)只有指定的人員如程序庫管理員經(jīng)過適當(dāng)?shù)墓芾硎跈?quán)后，才可以訪問運(yùn)作程嚴(yán)格的訪問控制可以通過以下規(guī)定實現(xiàn)：b)嚴(yán)格管理開發(fā)用途的計算機(jī)使用，只有指定的人員才可以訪問開發(fā)用的計c發(fā)運(yùn)作系統(tǒng)的認(rèn)證管理，建立嚴(yán)格的基于人員職責(zé)的授權(quán)等級建立雙重訪問控制機(jī)制9.3.2管理源程序庫機(jī)程序被破壞的可能性，應(yīng)對源程序庫的訪問進(jìn)行嚴(yán)格的控制：a)嚴(yán)格管理在開發(fā)設(shè)備上的存放源程序的目錄。如果源程序沒有很好的保護(hù)，則系降。b)只有指定的人員如程序庫管理員經(jīng)過適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問源程序庫，對源程序庫的更新和向程序員發(fā)布的源程序應(yīng)由指定的管理員根據(jù)一定的授權(quán)進(jìn)h應(yīng)保存所有對源程序庫進(jìn)行訪問讀取或修改的日志記錄，以便日后審核。9.5.1控制程序清單28應(yīng)用系統(tǒng)開發(fā)安全管理通則9.4在軟件開發(fā)過程變更管理a)系統(tǒng)容易受到未經(jīng)授權(quán)的變更的影響，即使是完全授權(quán)的更改也可能存在破壞求分析、設(shè)計、編碼、測試、培訓(xùn)等)的每一個更改實施前必須經(jīng)過組織的評審與授權(quán)。b)對于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進(jìn)行檢查，為了有效的進(jìn)行控制，組需c)更改的程序宜如下：清晰確認(rèn)所有需要更改的應(yīng)用系統(tǒng)、信息、數(shù)據(jù)庫和相關(guān)的硬件設(shè)備。清晰確認(rèn)更改的原因(業(yè)務(wù)上的具體流程和具體的需求或開發(fā)上的需求)。保留相關(guān)的授權(quán)登記記錄。確保對所有的更改請求進(jìn)行審核跟蹤。更改的實施選擇了適當(dāng)?shù)臅r機(jī)，以確保更改的實施不會干擾正常的業(yè)務(wù)9.5開發(fā)版本管理源程序相關(guān)信息可以幫助確認(rèn)系統(tǒng)問題的根源，并且一旦掌握了系統(tǒng)源程序相關(guān)信息可以清楚地了解系統(tǒng)的運(yùn)行邏輯和可能的薄弱點，對系統(tǒng)的安全有很大的影對應(yīng)用系統(tǒng)開發(fā)源程序的打印資料、電子版本或者是相關(guān)的報告都必須進(jìn)行9.5.2版本升級控制a)應(yīng)用系統(tǒng)軟件開發(fā)版本升級申請。當(dāng)軟件的版本由于更新、修改等操作需要b)應(yīng)用系統(tǒng)軟件版本升級測試。對升級的應(yīng)用系統(tǒng)進(jìn)行測試，確認(rèn)系統(tǒng)的各種。c)應(yīng)用系統(tǒng)軟件版本審批。對應(yīng)用系統(tǒng)的版本的升級，應(yīng)確認(rèn)當(dāng)前的版本為最d)應(yīng)用系統(tǒng)軟件版本升級計劃。制定相關(guān)的升級計劃，確保將系統(tǒng)升級對業(yè)務(wù)e)應(yīng)用系統(tǒng)軟件版本升級實施。9.5.3版本變更控制ab)應(yīng)使用軟件加鎖技術(shù)防止不同版本相互覆蓋的情況。c)當(dāng)版本變更時應(yīng)在更新的版本中記錄變更的詳細(xì)描述。d應(yīng)提供版本的合并功能。e版本的更改應(yīng)只允許指定的人員進(jìn)行操作。f)應(yīng)記錄所有的版本變更的日志，其中包括更改日期、更改前版本號、更改后30應(yīng)用系統(tǒng)開發(fā)安全管理通則9.6開發(fā)日志審核管理9.6.1開發(fā)日志的定期審計和人員權(quán)限的定期審核開發(fā)日志定期審計a)系統(tǒng)開發(fā)中的相關(guān)日志文件應(yīng)根據(jù)開發(fā)周期定期審核開發(fā)人員權(quán)限定期審計b)開發(fā)人員權(quán)限定期(3個月)審核一次；9.7防御后門代碼或隱藏通道9.7.1后門代碼和隱藏通道介紹a，主要指由攻擊者在未經(jīng)許可的情況下，植入計算機(jī)系統(tǒng)的程序。利用調(diào)用環(huán)境的權(quán)利進(jìn)行與其實際用途無關(guān)的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類型的后門程序：b)隱藏通道，主要指在計算機(jī)安全技術(shù)中，一種允許某個進(jìn)程在違反安全規(guī)則的9.7.2防御后門代碼和隱藏通道的相關(guān)辦法a應(yīng)從信譽(yù)好的軟件供應(yīng)商那里購買相關(guān)的軟件或程序。b源程序和源代碼。c)在系統(tǒng)正式投入使用之前應(yīng)進(jìn)行評估，如一些行業(yè)的標(biāo)準(zhǔn)認(rèn)證評估(產(chǎn)品安全不應(yīng)過于相信別人，不得隨便安裝別人給的軟件，特別是不得隨便打開電子。h)安裝并正確地使用有關(guān)的特洛伊木馬的監(jiān)測和查殺程序，現(xiàn)在大多數(shù)主流的32應(yīng)用系統(tǒng)開發(fā)安全管理通則10系統(tǒng)測試階段安全規(guī)范10.1應(yīng)用系統(tǒng)的安全性檢測計詳細(xì)的測試計劃、測試范圍、測試方法和測試工具。試的內(nèi)容同時還需要包含測試預(yù)期的結(jié)果。并且測試計劃還需要覆蓋除此之外的測試內(nèi)容和結(jié)10.1.2測試種類測試的過程需要用戶的參與以確保系統(tǒng)達(dá)到了業(yè)務(wù)上的需求和用戶使用的需求。因此主要分為系系統(tǒng)測試人工環(huán)境下，測試系統(tǒng)是否能夠達(dá)到從系統(tǒng)開發(fā)的角度而言，系統(tǒng)測試是指由系統(tǒng)開發(fā)人員(程序員和其它技術(shù)人員)進(jìn)行的，旨在確保系統(tǒng)各個模塊能夠正常運(yùn)行(模塊測試)以及系統(tǒng)整體能夠正常運(yùn)行的測試過程。系統(tǒng)測試必須確保系統(tǒng)的每一個功能都能夠正確運(yùn)行，并對所有的程序錯誤逐一分析。同時還測試系統(tǒng)的模塊責(zé)，試計劃中規(guī)定的測試準(zhǔn)則即可。????：數(shù)據(jù)的總體存儲容量序數(shù)量設(shè)數(shù)量b)壓力測試??理等。用戶接受測試－UAT歷a)盡管系統(tǒng)的用戶接受測試計劃可能隨著系統(tǒng)的不同而不同，測試必須涵蓋所有今b對任何系統(tǒng)而言，對于出現(xiàn)的問題必須要明確要對這些問題做出哪些應(yīng)對措施以微的影不能上線?！爸饕獑栴}”——測試可以繼續(xù)，但是如果不解決該問題，則系統(tǒng)上線后，可能對業(yè)務(wù)流程有嚴(yán)重破壞?！耙话阈詥栴}”——除了這些問題會對既定的業(yè)務(wù)流程有一些輕微偏離業(yè)務(wù)流程沒有或者很少有影響。要采取的行動和各自需要承擔(dān)的責(zé)任等問題取得一致。例如，可以要求馬上解決嚴(yán)重程度為1的34應(yīng)用系統(tǒng)開發(fā)安全管理通則d最終用戶和系統(tǒng)開發(fā)上必須就每一類錯誤的數(shù)量有一個上限。有10.1.3在測試的過程中詳細(xì)描述每個和測試方案相關(guān)的測試步驟和測試數(shù)據(jù)10.2控制測試環(huán)境10.3為測試使用真實的數(shù)據(jù)數(shù)據(jù)時，可以采用以下措施保護(hù)測試數(shù)據(jù)的安全：a)對測試的系統(tǒng)進(jìn)行嚴(yán)格的訪問控制。只允許小部分的測試人員進(jìn)行測試。且測試的人員應(yīng)簽訂安全保密協(xié)議。b的運(yùn)作信息復(fù)制到測試系統(tǒng)時均需要一個單獨的授權(quán)過程。c后，應(yīng)立即將相關(guān)數(shù)據(jù)從測試的應(yīng)用系統(tǒng)中刪除。d)記錄下測試數(shù)據(jù)的復(fù)制、使