PAGEPAGE10應(yīng)用軟件開發(fā)安全規(guī)范需求階段規(guī)范 建議且明確對(duì)用戶身份認(rèn)證體系強(qiáng)度的要求，以及認(rèn)證失敗后的處理方式。時(shí)體現(xiàn)職責(zé)分離的原則。應(yīng)用系統(tǒng)應(yīng)該考慮到數(shù)據(jù)安全和冗余恢復(fù)相關(guān)功能需求。應(yīng)用系統(tǒng)審計(jì)的事件應(yīng)該包括但不限于以下類型：審計(jì)功能的啟動(dòng)和關(guān)閉修改審計(jì)功能的配置登錄和退出的時(shí)間各種違例行為對(duì)重要數(shù)據(jù)的變更操作日志應(yīng)該至少記錄以下信息：事件的發(fā)起源用戶標(biāo)識(shí)（終端用戶實(shí)體或系統(tǒng)內(nèi)部調(diào)用用戶）事件類型事件類型事件的日期和時(shí)間事件的結(jié)果：成功或失敗受影響的數(shù)據(jù)或資源5明確應(yīng)用系統(tǒng)所處理的業(yè)務(wù)數(shù)據(jù)范圍和內(nèi)容，針對(duì)不同安全級(jí)別的數(shù)據(jù)在應(yīng)用系統(tǒng)不同處理過程中對(duì)機(jī)密性、完整性和可用性的要求，定義其對(duì)安全保護(hù)的具體需求。6針對(duì)不同數(shù)據(jù)對(duì)安全保護(hù)的要求，評(píng)估應(yīng)用系統(tǒng)相關(guān)的硬件平臺(tái)、操作系統(tǒng)、基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)通信、中間件和服務(wù)是否能夠滿足要求。7針對(duì)應(yīng)用中對(duì)數(shù)據(jù)處理的整個(gè)過程，明確其對(duì)監(jiān)控和檢查的要求，包括日志審計(jì)、完整性檢查、出錯(cuò)檢查等。設(shè)計(jì)階段規(guī)范規(guī)范建議1為了保證應(yīng)用系統(tǒng)的安全性，外部系統(tǒng)的安全應(yīng)當(dāng)包括如下幾個(gè)方面：應(yīng)用系統(tǒng)服務(wù)器硬件物理安全應(yīng)用系統(tǒng)服務(wù)器操作系統(tǒng)安全應(yīng)用系統(tǒng)數(shù)據(jù)庫的安全應(yīng)用系統(tǒng)的存儲(chǔ)安全應(yīng)用系統(tǒng)用戶終端安全應(yīng)用系統(tǒng)網(wǎng)絡(luò)通信安全2身份識(shí)別和認(rèn)證不同安全級(jí)別的系統(tǒng)對(duì)用戶身份識(shí)別和認(rèn)證體系的強(qiáng)度要求也不同，按照強(qiáng)度由低到高分別有以下幾種方式：用戶名、口令認(rèn)證一次性口令、動(dòng)態(tài)口令認(rèn)證證書認(rèn)證生物特征的認(rèn)證（指紋、掌紋、視網(wǎng)膜等）身份識(shí)別和認(rèn)證認(rèn)證失敗后的處理方式：連續(xù)失敗的登錄嘗試后鎖定帳號(hào)，并把事件內(nèi)容記錄到審計(jì)日志中。以電子郵件或短信等方式通知用戶認(rèn)證失敗。身份識(shí)別和認(rèn)證帳號(hào)的管理階段對(duì)安全的要求。LDAP應(yīng)用系統(tǒng)因?yàn)槟撤N原因不能使用企業(yè)級(jí)LDAP目錄存儲(chǔ)帳號(hào)（或者企業(yè)級(jí)P尚未建立，對(duì)于同一類型的應(yīng)用，要盡量使用同一個(gè)P目錄存儲(chǔ)帳號(hào)信息，這一目錄要求定期與企業(yè)級(jí)LDAP目錄進(jìn)行同步。名規(guī)范和結(jié)構(gòu)定義。身份識(shí)別和認(rèn)證應(yīng)用系統(tǒng)的口令規(guī)則需要符合企業(yè)統(tǒng)一的賬號(hào)口令管理規(guī)范的要求。身份識(shí)別和認(rèn)證對(duì)密碼本身的保護(hù)：戶所提交的密碼重新計(jì)算哈希值進(jìn)行比對(duì)來實(shí)現(xiàn)。SSL對(duì)數(shù)據(jù)流加密。（如證憑據(jù)的有效期，以減少攻擊的威脅。訪問控制和授權(quán)應(yīng)用系統(tǒng)的認(rèn)證、授權(quán)盡量使用統(tǒng)一的認(rèn)證、授權(quán)平臺(tái)來進(jìn)行。如果因?yàn)槟撤N原因需要建立應(yīng)用系統(tǒng)自己的認(rèn)證、授權(quán)體系，整個(gè)認(rèn)證過程需要進(jìn)行加密，密鑰長度不能低于128位。訪問控制和授權(quán)應(yīng)用系統(tǒng)的設(shè)計(jì)應(yīng)包含用戶權(quán)限分配和管理功能：系統(tǒng)讀、寫、執(zhí)行權(quán)限設(shè)計(jì)系統(tǒng)查看、配置、修改、刪除、登錄、運(yùn)行等權(quán)限設(shè)計(jì)數(shù)據(jù)訪問范圍的權(quán)限設(shè)計(jì)應(yīng)用功能模塊使用權(quán)限的設(shè)計(jì)訪問控制和授權(quán)限制用戶的權(quán)限：LDAP對(duì)象、數(shù)據(jù)庫對(duì)象、日志文件等；應(yīng)用系統(tǒng)使用的數(shù)據(jù)庫帳號(hào)必須是普通權(quán)限帳號(hào)，只能訪問允許的數(shù)據(jù)庫；應(yīng)用系統(tǒng)啟動(dòng)進(jìn)程的權(quán)限盡可能?。缓侠碓O(shè)計(jì)用戶權(quán)限的顆粒度，滿足授權(quán)最小原則。輸入數(shù)據(jù)驗(yàn)證采用輸入復(fù)核或其他輸入檢查方式，例如邊界檢查、限制數(shù)據(jù)輸入字段的范圍和類型等，檢驗(yàn)是否有以下輸入錯(cuò)誤：輸入過長輸入數(shù)據(jù)字段中有非法字符輸入為空或者不完整輸入值超過上限或下限輸入數(shù)據(jù)驗(yàn)證本進(jìn)程的情況。URL或用戶名輸入時(shí)必須先進(jìn)行標(biāo)準(zhǔn)化。限制、拒絕和凈化輸入：輸入驗(yàn)證的首選方法是從一開始就限制允許輸入的內(nèi)容，并按照已知的有效類型、模式和范圍驗(yàn)證數(shù)據(jù)。清晰定義數(shù)據(jù)輸入處理流程中涉及人員的責(zé)任。數(shù)據(jù)處理控制行。設(shè)計(jì)。應(yīng)對(duì)原始數(shù)據(jù)需要進(jìn)行檢錯(cuò)和校驗(yàn)操作，保證原始數(shù)據(jù)的正確性和完整性。應(yīng)用的格式要求。數(shù)據(jù)處理過程應(yīng)保留處理數(shù)據(jù)的狀態(tài)信息（日志。必要時(shí)可以人工處理。數(shù)據(jù)輸出驗(yàn)證驗(yàn)證輸出的數(shù)據(jù)是否準(zhǔn)確、合理。要保證所有的數(shù)據(jù)都被處理了。數(shù)據(jù)輸出驗(yàn)證過程應(yīng)保留驗(yàn)證過程的相關(guān)信息（日志。配置管理應(yīng)用系統(tǒng)配置管理安全設(shè)計(jì)要求：身份認(rèn)證手段，如使用雙因素認(rèn)證。避免使用遠(yuǎn)程配置管理。建議使用基于角色的授權(quán)策略分別為操作員、管理員授權(quán)。針對(duì)進(jìn)程帳號(hào)、服務(wù)帳號(hào)等系統(tǒng)內(nèi)部帳號(hào)，其權(quán)限配置應(yīng)遵循權(quán)限最小原則配置管理確保配置信息本身的安全：基于文本的配置文件、注冊(cè)表和數(shù)據(jù)庫是存儲(chǔ)應(yīng)用程序配置信息的常用方法。應(yīng)避免在應(yīng)用程序的Web空間使用配置文件，以防止可能出現(xiàn)的因服務(wù)器漏洞而導(dǎo)致配置文件被下載或篡改。應(yīng)避免以明文形式存儲(chǔ)加密配置信息，如數(shù)據(jù)庫連接字符串或認(rèn)證憑據(jù)，應(yīng)該通過加密確保這些信息的安全。同時(shí)必須限制對(duì)包含加密數(shù)據(jù)的注冊(cè)表項(xiàng)、文件或表的訪問權(quán)限。敏感數(shù)據(jù)的保護(hù)包括使用足夠強(qiáng)度的加密算法保護(hù)其保密性和使用哈希算法進(jìn)行完整性校驗(yàn)。法可以用哈希值比對(duì)的方式。IP感信息。并存儲(chǔ)經(jīng)過加密的字符串。如果通過網(wǎng)絡(luò)傳輸敏感數(shù)據(jù)，禁止明文傳輸，應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密。同時(shí)確保如果通過網(wǎng)絡(luò)傳輸敏感數(shù)據(jù)，禁止明文傳輸，應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密。同時(shí)確保通信通道的安全，通常的做法是使用SSL/TLS、HTTPS、SFTP和IPSec等安全協(xié)議進(jìn)行通信。16異常處理不要向客戶端泄漏應(yīng)用程序內(nèi)部信息：發(fā)生故障時(shí)，不要在出錯(cuò)消息中暴露應(yīng)用系統(tǒng)內(nèi)部的敏感信息。例如，不要暴露包括函數(shù)名以及調(diào)試信息（出問題的行數(shù)，堆棧信息等。應(yīng)向客戶端返回一般性錯(cuò)誤消息。記錄詳細(xì)的錯(cuò)誤信息：向錯(cuò)誤事件日志發(fā)送詳細(xì)的錯(cuò)誤消息，同時(shí)確保沒有記錄密碼或其他敏感數(shù)據(jù)。開發(fā)階段規(guī)范規(guī)范建議1應(yīng)用開發(fā)環(huán)境的安全要求開發(fā)環(huán)境應(yīng)劃定專門的安全區(qū)域，如非必需，禁止或限制與生產(chǎn)網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)。存儲(chǔ)項(xiàng)目文檔、代碼的服務(wù)器必須有嚴(yán)格的訪問控制管理、備份制度。對(duì)項(xiàng)目文檔和代碼的訪問應(yīng)嚴(yán)格受控。對(duì)項(xiàng)目文檔和代碼要采取版本管理和控制。開發(fā)終端的安全要求至少要和辦公用終端有同樣的安全要求。2應(yīng)用開發(fā)文檔的安全要求開發(fā)各階段輸出的文檔應(yīng)有相應(yīng)的安全方面的內(nèi)容。需求說明書中應(yīng)明確描述用戶的安全需求。設(shè)計(jì)中應(yīng)有針對(duì)安全需求的設(shè)計(jì)，并需要經(jīng)過評(píng)審。保留測(cè)試記錄。以控制對(duì)文檔訪問。文檔作為應(yīng)用軟件開發(fā)中的配置項(xiàng)，應(yīng)遵循軟件配置管理要求。文檔應(yīng)有專用的服務(wù)器（或文件柜）進(jìn)行保存和備份（復(fù)制應(yīng)有版本控制。應(yīng)用開發(fā)的代碼安全要求應(yīng)對(duì)函數(shù)入口參數(shù)的合法性和準(zhǔn)確性進(jìn)行檢查。大的難度，而最終導(dǎo)致安全性的下降。必須嚴(yán)格遵循Fail-Safe原則，即當(dāng)發(fā)生問題時(shí)，必須能自動(dòng)切換到最安全自動(dòng)拒絕所有登錄請(qǐng)求，而不是接受所有登錄請(qǐng)求。禁止開發(fā)人員為普通的軟件進(jìn)程分配系統(tǒng)特權(quán)帳號(hào)軟件（root。禁止接受不滿足安全標(biāo)準(zhǔn)的登錄密碼。所有缺省安全設(shè)置必須能同時(shí)滿足系統(tǒng)正常運(yùn)行和系統(tǒng)安全兩方面的要求。幫助鏈接。在接受用戶輸入時(shí)，必須有數(shù)據(jù)合法性檢查，并嚴(yán)格規(guī)定輸入數(shù)據(jù)的字符長度。隱藏所有敏感的信息。在輸入密碼等敏感信息時(shí)，使用星號(hào)來代替輸入的字符。在設(shè)計(jì)基于Web息的頁面不能通過使用瀏覽器的回退按鈕來顯示。禁止使用未經(jīng)授權(quán)和驗(yàn)證的代碼。碼。禁止以明文方式傳遞和存儲(chǔ)用戶密碼。使用第三方代碼，應(yīng)對(duì)代碼安全性進(jìn)行評(píng)估和測(cè)試。應(yīng)注釋代碼中無用的語句。對(duì)代碼進(jìn)行版本控制，確保代碼的可用性。應(yīng)用系統(tǒng)相關(guān)的程序員對(duì)系統(tǒng)的非授權(quán)修改。應(yīng)用開發(fā)的代碼安全要求規(guī)范代碼的格式：規(guī)范變量、函數(shù)的命名規(guī)范程序的書寫格式，確保程序的易讀性應(yīng)用系統(tǒng)的安全測(cè)試：應(yīng)用系統(tǒng)的安全性測(cè)試包括以下內(nèi)容：測(cè)試前應(yīng)明確測(cè)試目的，幫助所有測(cè)試人員熟悉測(cè)試的目的和意圖。試。應(yīng)明確測(cè)試的安全要點(diǎn)、測(cè)試參與人員、測(cè)試流程，并編寫測(cè)試計(jì)劃。應(yīng)根據(jù)測(cè)試計(jì)劃制定測(cè)試方案，明確測(cè)試的各項(xiàng)要求和測(cè)試用例。測(cè)試環(huán)境的硬件、軟件環(huán)境和基礎(chǔ)架構(gòu)應(yīng)模擬真實(shí)環(huán)境。測(cè)試完成后全部刪除。時(shí)間、方法。測(cè)試完成后上線前應(yīng)進(jìn)行安全核查，消除測(cè)試用的后門、用戶名及口令等。試工作對(duì)業(yè)務(wù)的影響。明。應(yīng)確保測(cè)試用例、測(cè)試內(nèi)容和測(cè)試結(jié)果的保密性。應(yīng)用系統(tǒng)上線投產(chǎn)的安全要求規(guī)劃應(yīng)用系統(tǒng)上線所需要的資源需求和準(zhǔn)備工作，包括但不限于以下內(nèi)容：應(yīng)用系統(tǒng)上線對(duì)軟件、硬件資源和網(wǎng)絡(luò)的要求。簽字確認(rèn)。應(yīng)用系統(tǒng)上線的時(shí)間進(jìn)度安排。其它資源的詳細(xì)清單。應(yīng)將應(yīng)用系統(tǒng)的上線方案提交給相關(guān)部門主管，只有批準(zhǔn)方可進(jìn)行。分析應(yīng)用系統(tǒng)上線可能存在的風(fēng)險(xiǎn)，并制定風(fēng)險(xiǎn)規(guī)避方案。應(yīng)用系統(tǒng)上線投產(chǎn)的安全要求應(yīng)用系統(tǒng)上線過程中的安全控制：應(yīng)確保應(yīng)用系統(tǒng)上線環(huán)境（硬件環(huán)境、操作系統(tǒng)、物理環(huán)境）的安全。對(duì)應(yīng)用系統(tǒng)即將上線投產(chǎn)所在的系統(tǒng)進(jìn)行備份。動(dòng)。上線的過程應(yīng)有業(yè)務(wù)人員在場(chǎng)，對(duì)上線的操作需要經(jīng)業(yè)務(wù)人員的確認(rèn)。對(duì)上線的操作過程進(jìn)行必要的記錄。讓所有參與人員的明確工作職責(zé)，簽字確認(rèn)。應(yīng)用系統(tǒng)上線投產(chǎn)的安全要求應(yīng)用系統(tǒng)上線結(jié)束應(yīng)該遵照的安全要求：應(yīng)建立應(yīng)用系統(tǒng)上線后的驗(yàn)收標(biāo)準(zhǔn)。并在驗(yàn)收之前做適當(dāng)?shù)南到y(tǒng)測(cè)試（如系統(tǒng)聯(lián)通性測(cè)試義、記錄和測(cè)試。制定錯(cuò)誤恢復(fù)和重新啟動(dòng)程序，以及意外事故處理計(jì)劃。維護(hù)階