信息系统获取、开发与维护程序.doc

保密等级秘密文档名称信息系统获取、开发与维护程序文档编号 发布组织信息安全工作委员会发布日期 2009-1-7执行日期2009-1-7版 本 号1.0信息系统获取、开发与维护程序批准人签字审核人签字制订人签字 曹立斌日期： 2009-1-7 金浩海日期： 2009-1-7 金浩海日期： 2009-1-7江苏国泰新点软件有限公司变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期11.0C创建，全页。 2009-1-7金浩海金浩海曹立斌2009-1-7网址： 地址：张家港市经济开发区 电话 录1目的和范围42术语和定义43引用文件44职责和权限45确定信息系统安全需求45.1控制措施对信息系统进行安全性需求分析与相关规格说明46在应用中建立安全措施56.1控制措施输入数据验证56.2控制措施内部处理的控制66.3控制措施消息完整性66.4控制措施 输出数据验证67开发和支持过程中的安全77.1系统测试数据的保护77.2对程序源代码的访问控制77.3外包软件开发78开发过程流程图81 目的和范围为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本程序。适用于本公司所有信息系统的开发活动中，信息系统内在安全性的管理。本程序作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。开发过程中所形成的需求分析文档、设计文档、软件代码、测试文档等技术信息的管理应遵从信息资产密级管理的有关规定，本程序不在另行规定。2 术语和定义无3 引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求3) ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则4) 信息资产密级管理规定4 职责和权限开发部是信息系统开发过程中的安全管理部门,负责保证开发过程安全。5 确定信息系统安全需求5.1控制措施对信息系统进行安全性需求分析与相关规格说明1) 目标：在描述新系统或改进原有系统的业务需求时，应收集、分析系统在安全性方面的需求，并在系统需求规格说明书详细描述。2) 安全性需求包括两方面的内容，一是对系统本身的安全需求，如系统具备数据通信加密、用户身份鉴别等功能，在确定安全要求时，要考虑系统中的自动安全控制和支持人工安全控制的要求；二是对系统设计开发过程本身也要进行控制，例如在不同的设计开发阶段的评审与验证，确保对程序源代码的保护、对设计人员的控制等。3) 安全要求在软件开发生命周期中的分布如下图所示：4) 在使用新的应用程序或增强现有的应用程序时必须做安全性影响分析, 由信息系统项目经理提交安全需求分析。内容可包括以下项：a) 确认需要保护的资产。 b) 评估这些资产需要采取什么安全控制措施。 c) 考虑是否在系统中加入自动安全控制措施还是建立人工安全控制措施。 d) 在软硬件采购时，应尽量使用经过专业评估和认证的产品。6 在应用中建立安全措施6.1控制措施输入数据验证1) 控制描述-输入应用系统的数据应加以验证，以确保数据是正确的。2) 实施指南-应该校验应用于业务交易、常备数据和参数表的输入信息。需要考虑下列（但不仅限于）内容：a) 输入校验，诸如边界校验或者限制特定输入数据范围的域，以检测下列错误：a) 范围之外的值；b) 数据字段中的无效字符；c) 丢失或不完整的数据；d) 超过数据的上下容量限制；e) 未授权的或矛盾的控制数据；f) 业务流程、系统安全运行、法规政策等方面所要求的数据校验；b) 定期评审关键字段或数据文件的内容，以证实其有效性和完整性；c) 检查硬拷贝输入文档是否有任何未授权的变更（输入文档的所有变更均应予以授权）；d) 对输入数据验证错误后的处理程序；e) 测试输入数据合理性的程序；f) 定义在数据输入过程中所涉及的全部人员的职责。g) 创建在数据输入过程中所涉及的活动的日志。3) 其它信息-适当时，可以考虑对输入数据进行自动检查和验证，以减少出错的风险和预防包括缓冲区溢出和代码注入等普通的攻击。6.2控制措施内部处理的控制1) 控制描述-应用中需要验证检查由于处理错误或故意行为造成的信息讹误。2) 实施指南-应用系统的设计与实现应尽量减少处理故障时对数据完整性的损坏。需要考虑下列（但不仅限于）内容：a) 通过添加、修改和删除功能实现数据变更；b) 防止程序以错误次序运行；c) 使用适当的程序恢复故障，以确保数据的正确处理；d) 防范利用缓冲区超出/溢出进行的攻击。3) 应准备适当的检查列表，将检查活动文档化，并应保证检查结果的安全。需要考虑下列（但不仅限于）检查例子：a) 验证系统生成的输入数据；b) 检查在中央计算机和远程计算机之间所下载或上载的数据或软件的完整性、真实性或者其他任何安全特性；c) 记录文件字节大小；d) 检查以确保应用程序在正确时刻运行；e) 检查以确保程序以正确的次序运行并且在发生故障时终止，以及在问题解决之前，停止进一步的处理；f) 创建处理时所涉及的活动的日志。4) 其它信息-正确输入的数据可能被硬件错误、处理错误和故意的行为所破坏。所需的验证检查取决于应用系统的性质和毁坏数据对业务的影响。6.3控制措施消息完整性1) 控制描述-应用中应该识别确保消息真实性和保护消息完整性的要求，实施适当的控制措施。2) 实施指南-应进行安全风险的评估以判定是否需要消息完整性验证，并确定最合适的实施方法。3) 其它信息-密码技术可被用作一种合适的实现消息鉴别的手段。6.4控制措施 输出数据验证1) 控制措施-从应用系统输出的数据应加以验证，以确保对所存储信息的处理是正确的且适于当前运行环境的。2) 实施指南-输出验证可以包括（但不仅限于）以下内容：a) 合理性检查，以测试输出数据是否合理；b) 调节控制措施的数量，以确保处理所有数据；c) 为读者或后续的处理系统提供足够的信息，以确定信息的准确性、完备性、精确性和分类；d) 对输出数据验证结果进行处理程序；e) 定义在数据输出过程中所涉及的全部人员的职责。f) 创建在数据输出验证过程中活动的日志。3) 其它信息-一般来说，系统和应用是在假设已经进行了适当的验证、确认和测试的条件下构建的，其输出总是正确的。然而，这种假设并不总是有效；例如，已经过测试的系统仍可能在某些环境下产生不正确的输出。7 开发和支持过程中的安全7.1系统测试数据的保护1) 控制措施-测试数据应认真地加以选择、保护和控制。2) 实施指南-应避免使用包含个人信息或其它敏感信息的运行数据库用于测试。如果测试使用了个人或其他敏感信息，那么在使用之前应去除或修改所有的敏感细节和内容。当用于测试时，应使用下列（但不仅限于）指南保护运行数据：a) 应用于运行应用系统的访问控制程序，还应用于测试应用系统；b) 运行信息每次被拷贝到测试应用系统时应有独立的授权；c) 在测试完成之后，应立即从测试应用系统清除运行信息；d) 应记录运行信息的拷贝和使用日志以提供审核踪迹。3) 其它信息-系统验收测试常常要求相当多的尽可能接近运行数据的测试数据。7.2对程序源代码的访问控制1) 控制措施-应限制访问程序源代码。2) 实施指南-对程序源代码和相关事项（诸如设计、说明书、确认计划和验证计划）的访问应严格控制，以防引入非授权功能和避免无意识的变更。对于程序源代码的保存，通过代码集中存储控制来实现，放在公司统一的配置管理库中。应考虑下列（但不仅限于）指南：a) 若有可能，在运行系统中不应保留源程序库；b) 程序源代码和配置管理库应进行规范管理；c) 应限制支持人员访问配置管理库；d) 更新配置项，向程序员发布程序源码应在获得适当的授权f) 应维护对配置库所有访问的审核日志；g) 维护配置库应该有规范的制度。3) 其它信息-程序源代码是由程序员编写的代码，经编译（和链接）后产生可执行代码。特定程序语言不能正式区分源代码和可执行代码，这是因为可执行代码是在它们被