信息系統(tǒng)開發(fā)安全管控辦法
評(píng)論: 更新日期:2014年12月30日
??????? 5.2.4 ?測(cè)試階段安全管理
??????? a)?測(cè)試前安全檢測(cè):信息系統(tǒng)歸口管理部門應(yīng)組織開發(fā)人員進(jìn)行代碼審核�,檢查、消除程序代碼潛在的安全漏洞���。
??????? b)?信息系統(tǒng)歸口管理部門應(yīng)設(shè)計(jì)詳細(xì)的測(cè)試計(jì)劃��,測(cè)試范圍�����,測(cè)試方法和測(cè)試工具���,應(yīng)充分考慮與其他系統(tǒng)的互操作性測(cè)試中對(duì)其他系統(tǒng)的影響,選擇適當(dāng)?shù)臅r(shí)間�、方法。并對(duì)應(yīng)用系統(tǒng)存在的弱點(diǎn)威脅進(jìn)行安全檢查���,如:假冒身份�、惡意篡改、信息泄露���、拒絕服務(wù)��、特權(quán)提升等���。
??????? c)?信息系統(tǒng)歸口管理部門應(yīng)在測(cè)試系統(tǒng)功能正常運(yùn)行的基礎(chǔ)上,還需測(cè)試系統(tǒng)的模塊和模塊之間����、功能和功能之間的接口的正確性、負(fù)載能力及水平��、系統(tǒng)承受壓力及峰值����、測(cè)試環(huán)境等。
??????? 5.3 ?開發(fā)����、測(cè)試及驗(yàn)收過程安全指導(dǎo)規(guī)范
??????? 5.3.1 ?開發(fā)環(huán)境安全
??????? a)?信息系統(tǒng)歸口管理部門應(yīng)對(duì)項(xiàng)目文檔、代碼的存儲(chǔ)進(jìn)行備份�����,以確保在發(fā)生意外時(shí),可有效恢復(fù)��;
??????? b)?信息系統(tǒng)歸口管理部門應(yīng)對(duì)項(xiàng)目文檔和代碼版本管理和訪問控制����;
??????? c)?信息系統(tǒng)歸口管理部門應(yīng)對(duì)用于開發(fā)的服務(wù)器�、個(gè)人電腦的配置做好嚴(yán)格的安全防護(hù)措施。
??????? 5.3.2 ?文檔安全
??????? a)?文檔內(nèi)容的安全:信息系統(tǒng)歸口管理部門應(yīng)對(duì)文檔內(nèi)容進(jìn)行以下幾個(gè)的規(guī)范:需求說明書中應(yīng)明確描述應(yīng)用系統(tǒng)的安全需求����;設(shè)計(jì)說明書中應(yīng)有針對(duì)安全需求的設(shè)計(jì),并進(jìn)行評(píng)審��;在測(cè)試大綱或者測(cè)試方案中應(yīng)有安全性測(cè)試方案��,并以此進(jìn)行安全性測(cè)試�����;開發(fā)各階段輸出的文檔應(yīng)對(duì)安全要求的執(zhí)行情況進(jìn)行描述��。
??????? b)?文檔自身的安全:信息系統(tǒng)歸口管理部門應(yīng)對(duì)文檔設(shè)定密級(jí)及讀者范圍�����,以限定其訪問范圍,文檔的訪問控制應(yīng)有相應(yīng)的授權(quán)機(jī)制��。
??????? 5.3.3 ?源代碼管理
??????? a)?信息系統(tǒng)歸口管理部門應(yīng)根據(jù)協(xié)議執(zhí)行源代碼的管理��,源代碼管理應(yīng)保存所有的歷史版本�����,以便查閱��。
??????? b)?信息系統(tǒng)歸口管理部門應(yīng)對(duì)所有的程序源代碼及設(shè)置支持文件等打包進(jìn)行安全檢查并存檔���。
??????? c)?對(duì)于委托第三方開發(fā)的應(yīng)用系統(tǒng)(或功能���、模塊等)的代碼文件或設(shè)置文件,在需要對(duì)其進(jìn)行修改時(shí)����,必須經(jīng)過投資裝備部批準(zhǔn)后,才能交給修改人進(jìn)行修改��。修改完畢需通過安全檢查才可以提交���,通過檢查后的源代碼(或設(shè)置文件)提交至XXXX部門�����,由專人進(jìn)行更新和歸檔�����。
??????? d)?其他源代碼規(guī)范:應(yīng)用系統(tǒng)需對(duì)函數(shù)入口參數(shù)的合法性和準(zhǔn)確性進(jìn)行檢查��;應(yīng)嚴(yán)格遵循Fail-Safe原則����,即當(dāng)發(fā)生意外事故時(shí)��,必須能自動(dòng)切換到安全的保護(hù)模式��。(當(dāng)應(yīng)用系統(tǒng)的登錄驗(yàn)證機(jī)制不能正常運(yùn)行時(shí)�����,系統(tǒng)必須自動(dòng)拒絕所有登錄請(qǐng)求�,而非接受所有登錄請(qǐng)求);應(yīng)禁止接受不安全的登錄密碼�,并允許系統(tǒng)管理員強(qiáng)制密碼設(shè)定規(guī)則;所有缺省安全設(shè)置必須能同時(shí)滿足系統(tǒng)正常運(yùn)行和系統(tǒng)安全兩方面的要求����;在所有警告或提示對(duì)話窗口中應(yīng)使用準(zhǔn)確��、明了的描述性語言��,并提供有關(guān)幫助鏈接���;在接受用戶輸入時(shí),必須有數(shù)據(jù)合法性檢查�����,并嚴(yán)格規(guī)定輸入數(shù)據(jù)的字符長(zhǎng)度��;在輸入密碼等敏感信息時(shí)��,使用特殊符號(hào)來代替輸入的字符��;應(yīng)禁止使用未經(jīng)授權(quán)和驗(yàn)證的代碼���,在使用第三方代碼時(shí)���,應(yīng)對(duì)代碼安全性進(jìn)行評(píng)估和測(cè)試;如密碼由應(yīng)用系統(tǒng)生成,則必須保證有足夠的長(zhǎng)度和隨機(jī)性��,如密碼由用戶生成�,則應(yīng)用系統(tǒng)應(yīng)有密碼安全策略來拒絕接受“不安全的”密碼;應(yīng)禁止以明文方式傳遞用戶密碼���;應(yīng)測(cè)試用的“后門”����,應(yīng)在發(fā)布版中去除���;應(yīng)注釋代碼中無用的代碼�;應(yīng)規(guī)范代碼的格式�,并對(duì)代碼進(jìn)行版本控制��,確保代碼的可用性����;應(yīng)禁止在程序中添加隱藏“惡意”的代碼,防止與應(yīng)用系統(tǒng)相關(guān)的程序員對(duì)系統(tǒng)的非授權(quán)修改���。
??????? 5.3.4 ?需求分析
??????? a)?信息系統(tǒng)歸口管理部門應(yīng)在需求分析階段確定應(yīng)用系統(tǒng)的安全要求���,并對(duì)其進(jìn)行詳細(xì)描述�,制定項(xiàng)目安全需求說明書�����,并指導(dǎo)整個(gè)項(xiàng)目設(shè)計(jì)���、實(shí)現(xiàn)��、測(cè)試環(huán)節(jié)�。
??????? b)?在需求分析階段應(yīng)明確以下與安全相關(guān)的需求:用戶數(shù)����、終端數(shù)、在線并發(fā)數(shù)��;用戶角色的劃分和權(quán)限的分配�;應(yīng)用系統(tǒng)性能要求;應(yīng)用系統(tǒng)可用性要求����;現(xiàn)有網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)性能要求;數(shù)據(jù)量估計(jì)����、數(shù)據(jù)存儲(chǔ)方式和周期����;系統(tǒng)安全級(jí)別和數(shù)據(jù)保密性要求��;其他對(duì)網(wǎng)絡(luò)����、存儲(chǔ)、服務(wù)器���、終端����、操作系統(tǒng)�、數(shù)據(jù)庫、數(shù)據(jù)等方面的安全需求�����。
??????? 5.3.5 ?應(yīng)用安全功能設(shè)計(jì)
??????? a)?認(rèn)證失敗處理:連續(xù)失敗登錄后鎖定該帳號(hào)�����,帳號(hào)鎖定后可由系統(tǒng)管理員解鎖��,也可以在一段時(shí)間后自動(dòng)解鎖����,并通知用戶認(rèn)證失敗。
??????? b)?授權(quán):應(yīng)用系統(tǒng)應(yīng)包含用戶權(quán)限分配和管理功能設(shè)計(jì)�。如: 系統(tǒng)讀、寫��、執(zhí)行權(quán)限設(shè)計(jì)���; 系統(tǒng)查看���、配置、修改�、刪除、登錄����、運(yùn)行等權(quán)限設(shè)計(jì);數(shù)據(jù)訪問范圍的角色設(shè)計(jì)�;應(yīng)用功能模塊使用權(quán)限的設(shè)計(jì);限制用戶對(duì)系統(tǒng)級(jí)資源的訪問�����,系統(tǒng)級(jí)的資源包括:文件、文件夾����、注冊(cè)表項(xiàng)、Active Directory 對(duì)象����、數(shù)據(jù)庫對(duì)象、事件日志的系統(tǒng)資源����;程序應(yīng)使用盡可能小的權(quán)限; 數(shù)據(jù)庫訪問應(yīng)該使用低權(quán)限數(shù)據(jù)庫賬號(hào)(如選擇�����,刪除�����,更新��,插入等)通過參數(shù)化的存儲(chǔ)過程來訪問�����;應(yīng)用啟動(dòng)進(jìn)程的權(quán)限盡可能?�?; 應(yīng)用使用的系統(tǒng)賬號(hào)(運(yùn)行環(huán)境中的)應(yīng)該有盡可能低的權(quán)限。應(yīng)避免“Administrator”, “root”, “sa”, “sysman”, “Supervisor”或其它所有的特權(quán)用戶被用來運(yùn)行應(yīng)用系統(tǒng)或連接到網(wǎng)站服務(wù)器����,數(shù)據(jù)庫或中間件。
??????? c)?輸入輸出驗(yàn)證:為了防止攻擊者繞過客戶端直接驗(yàn)證���,在服務(wù)器端進(jìn)行驗(yàn)證時(shí)��,必須使用服務(wù)器端代碼執(zhí)行驗(yàn)證�;按照已知的有效類型�����、模式和范圍驗(yàn)證數(shù)據(jù)��;應(yīng)限制用戶輸入并驗(yàn)證數(shù)據(jù)的類型��、長(zhǎng)度��、格式和范圍。
??????? d)?數(shù)據(jù)加密:應(yīng)用系統(tǒng)應(yīng)使用公開并且經(jīng)過驗(yàn)證和測(cè)試的加密方法��;應(yīng)避免向算法傳遞明文數(shù)據(jù)����,并避免修改存儲(chǔ)該數(shù)據(jù);應(yīng)確保所使用的密鑰長(zhǎng)度和密鑰空間能提供足夠的安全級(jí)別��;對(duì)于大量數(shù)據(jù)加密����,應(yīng)使用對(duì)稱的加密,提高加密的速度并減少資源消耗����;對(duì)于少量存儲(chǔ)的敏感數(shù)據(jù)使用非對(duì)稱加密,確保數(shù)據(jù)的安全性����;應(yīng)對(duì)密鑰的存儲(chǔ)進(jìn)行嚴(yán)格保護(hù)。
??????? 5.3.6 ?測(cè)試安全
??????? a)?信息系統(tǒng)測(cè)試人員需明確記錄測(cè)試目的���、安全要點(diǎn)�����、測(cè)試參與人員�����、測(cè)試流程�,并編寫測(cè)試大綱�,包括對(duì)應(yīng)用系統(tǒng)的帳號(hào)、口令的安全測(cè)試�����;
??????? b)?信息系統(tǒng)測(cè)試人員需對(duì)應(yīng)用系統(tǒng)的安全功能點(diǎn)進(jìn)行測(cè)試��,確保安全功能的有效性�、正確性;
??????? c)?信息系統(tǒng)測(cè)試人員需對(duì)對(duì)應(yīng)用系統(tǒng)抵抗攻擊的能力進(jìn)行測(cè)試��;
??????? d)?信息系統(tǒng)測(cè)試人員需對(duì)數(shù)據(jù)傳輸?shù)陌踩?��、物理環(huán)境等進(jìn)行測(cè)試��,測(cè)試數(shù)據(jù)如選擇真實(shí)數(shù)據(jù)��,應(yīng)限定測(cè)試的人員����,并在測(cè)試完成后全部刪除和詳細(xì)記錄測(cè)試過程中發(fā)現(xiàn)的問題。
??????? 5.3.7 ?系統(tǒng)部署安全
??????? a)?信息系統(tǒng)歸口管理部門應(yīng)規(guī)劃應(yīng)用系統(tǒng)部署需要的資源需求:應(yīng)用系統(tǒng)部署的軟件�����、硬件的資源要求��;應(yīng)用系統(tǒng)部署的網(wǎng)絡(luò)要求�����;物理鏈路(光纖���、五類線)資源���;網(wǎng)絡(luò)設(shè)備資源(HUB、Switch)���、上聯(lián)網(wǎng)絡(luò)節(jié)點(diǎn)端口�;IP地址����;上聯(lián)網(wǎng)絡(luò)帶寬���;應(yīng)用系統(tǒng)部署的有關(guān)部門、人員要求�����;其它資源的詳細(xì)清單����。
??????? b)?信息系統(tǒng)歸口管理部門應(yīng)確保應(yīng)用系統(tǒng)部署的環(huán)境安全:確保應(yīng)用系統(tǒng)部署的硬件安全�、操作系統(tǒng)安全;確保應(yīng)用系統(tǒng)部署的帳號(hào)��、口令安全���;確保符合應(yīng)用系統(tǒng)部署的安全策略要求(如訪問控制)���;確保應(yīng)用系統(tǒng)部署的物理環(huán)境安全(如電力);應(yīng)了解脆弱的網(wǎng)絡(luò)或者主機(jī)的配置缺陷�����。
??????? c)?信息系統(tǒng)歸口管理部門應(yīng)確保應(yīng)用系統(tǒng)部署的過程安全:確保應(yīng)用系統(tǒng)部署過程的操作安全;對(duì)應(yīng)用系統(tǒng)部署所在的系統(tǒng)進(jìn)行安全備份�����;只對(duì)部署所需要的帳號(hào)提供最小的訪問權(quán)限�,防止進(jìn)行其它與部署無關(guān)的活動(dòng);部署的過程應(yīng)有業(yè)務(wù)人員在場(chǎng)����,對(duì)部署的操作需要經(jīng)業(yè)務(wù)人員的確認(rèn);對(duì)部署的操作過程應(yīng)進(jìn)行記錄�;應(yīng)確保應(yīng)用系統(tǒng)部署過程的安裝安全。
??????? d)?應(yīng)用系統(tǒng)部署的其它安全問題:記錄應(yīng)用系統(tǒng)部署的詳細(xì)過程�;應(yīng)用系統(tǒng)部署的時(shí)間進(jìn)度安排;分析應(yīng)用系統(tǒng)部署可能存在的風(fēng)險(xiǎn)��,并制定風(fēng)險(xiǎn)規(guī)避方案��;明確所有參與人員的工作職責(zé)��;與所有參與人員簽訂保密協(xié)議��,禁止泄漏部署有關(guān)的重要內(nèi)容�。
??????? e)?信息系統(tǒng)歸口管理部門需明確應(yīng)用系統(tǒng)部署后的升級(jí)驗(yàn)收標(biāo)準(zhǔn),并在驗(yàn)收之前做系統(tǒng)測(cè)試(如系統(tǒng)聯(lián)通性測(cè)試)�����,管理員應(yīng)確保應(yīng)用系統(tǒng)的驗(yàn)收標(biāo)準(zhǔn)和要求得到清楚地定義、記錄和測(cè)試�。管理員還應(yīng)考慮以下的管理措施:性能和計(jì)算機(jī)容量需求;錯(cuò)誤恢復(fù)和重新啟動(dòng)程序及意外事故的處理計(jì)劃����;有效的人工操作程序;業(yè)務(wù)連續(xù)性安排�����;證明新應(yīng)用系統(tǒng)的安裝不會(huì)對(duì)現(xiàn)有系統(tǒng)有負(fù)面影響�,尤其是在高峰處理時(shí)段��;證明已經(jīng)考慮到新系統(tǒng)對(duì)該組織整體安全性的影響���;應(yīng)用系統(tǒng)的操作使用手冊(cè)����;安排人員培訓(xùn)���。
??????? 5.3.8 ?日志設(shè)計(jì)
??????? a)?日志的內(nèi)容應(yīng)盡可能詳細(xì)�、準(zhǔn)確,但應(yīng)平衡性能要求���。應(yīng)為日志文件設(shè)計(jì)不同的詳細(xì)程度供系統(tǒng)管理員或用戶選擇���。
??????? b)?為日志文件設(shè)計(jì)輸出界面,允許以不同的格式輸出日志文件或允許直接輸出日志文件到數(shù)據(jù)庫�。
??????? c)?日志文件中的每條數(shù)據(jù)記錄應(yīng)要求有日期和時(shí)間(精確到秒)。
??????? d)?應(yīng)利用操作系統(tǒng)或其他監(jiān)控系統(tǒng)的日志文件對(duì)應(yīng)用系統(tǒng)在發(fā)生異常時(shí)提供日志記錄����。
???????
