XX-设计和开发安全策略-系统

设计和开发安全策略

文档修订记录版本日期更改人描述文档保密级别本文档为XXX机密性文档。该分类级别针对高度敏感信息。“XXX机密”信息的访问仅限于需要获取该信息的员工。被标识为“XXX机密”的信息不可以在未签署保密协议（NDA）情况下给到外部人员。访问存放在中央IT系统中的“XXX机密”信息必须受控。任何人获得标识为“XXX机密”的信息，必须采取保护措施确保信息不被任何非授权用户获取。关联文档文档名文档编号

目录TOC\o"1-3"\h\z1 个人设备的信息安全 41.1 文档目的 41.2 文档对象 42 一般流程 43 代码安全标准 54 Web程序开发安全 55 Web保护机制 66 代码审核制度 67 需求变更制度 6

个人设备的信息安全文档目的本文档为信息安全管理制度中的软件研发过程部分。文档对象主要读者为：产品部；研发部；测试部；IT部；客户服务部；技术支持部。一般流程软件研发流程，包括从软件需求讨论到软件正式上线整个过程，具体包括：软件需求讨论并定稿，由产品部、技术研发等负责；技术评审：包括工期、成本、质量控制、影响等方面的评审，由产品部、技术研发等负责；商务评审：软件产品带来的客户影响等方面的评审，由产品部、市场部等负责；管理层评审：由管理层综合评估审核并签署批准；软件设计讨论并定稿：由产品部、技术研发等负责；进入软件研发过程：由技术研发负责；软件研发过程中，开发、测试和生产环境分离（其中：开发环境为技术研发负责，测试环境为测试部门负责，生产环境为技术支持部门负责）；软件研发和测试过程中均不得使用真实生产信息；软件研发内部测试：由技术研发负责；软件研发内部代码审核：检查可能存在的代码安全漏洞等，由技术研发负责。所有代码审核都必须由原始代码作者以外且熟知代码检查技术和安全编码实践的人员进行；针对审核结果，在发布以前必须执行相应的更正；软件移交测试部门测试：测试可能存在的安全漏洞等，由质量部负责；上线准备：包括移除测试和数据、测试用户帐号等，由技术研发、质量部负责。在激活应用程序或发布给用户以前，应清除所有自定义应用程序账户、用户ID和密码；软件正式上线：由系统部负责，并且源代码审核结果得到CISO的检查和审批。代码安全标准根据PCIDSS（例如，安全的认证和登录）并基于行业最优方法开发软件应用程序，并将信息安全融入到整个软件开发生命周期中。上线前，对所有的安全补丁、系统与软件配置的更改进行测试，包括但不仅限于对以下内容的测试：验证所有输入（防止跨站脚本、注入攻击、恶意文件执行等）验证正确的错误处理验证安全加密存储验证安全通信验证正确的基于角色的访问控制(RBAC)。Web程序开发安全应基于安全编码指南开发所有Web应用程序（内部与外部的，以及对应用程序的Web管理访问)，例如开放式Web应用程序安全项目指南（OWASP注：此处列举的漏洞都是PCI注：此处列举的漏洞都是PCIDSSv1.2发布时OWASP指南中最新的。然而，如果OWASP指南有更新，则最新版本将用于这些要求。跨站脚本(XSS)注入攻击，特别是SQL注入。同时还须考虑LDAP、Xpath及其他注入攻击。恶意文件执行不安全的直接对象引用跨站请求伪造(CSRF)信息泄露和不正确的错误处理失效的验证和会话管理不安全加密存储不安全通信未能限制URL访问。Web保护机制除针对Web程序的功能和性能测试外，必须进行安全性测试。对于面向公众的Web应用程序，经常解决新的威胁和漏洞。通过手动或自动应用程序漏洞安全评估工具或方法检查面向公众的Web应用程序，至少每年一次并在所有更改后进行检查。在面向公众的Web应用程序前端，必须安装并配置Web应用防火墙。代码审核制度可加入公司程序变更的测试及审批部分可加入公司程序变更的测试及审批部分在软件通过内部测试后，如有软件需求中规定需要代码复审，则技术研发进行代码审核。其制度如下：不断积累和完善内部代码审核安全标准，所有代码审核都必须由原始代码作者以外且熟知代码检查技术和安全编码实践的人员进行；代码通过内部测试；代码作者介绍代码结构；复审人查看代码，关注是否有安全弱点等问题，并报告意见；研发技术总监根据各方意见，最终决定代码修改意见。根据审核结果，调整或变更代码。内部代码审核通过后提交质量部门测试。需求变更制度此部分可以与公司开发流程合并无需单独列出。此部分可以与公司开发流程合并无需单独列出。对所有软件需求引起的配置或者功能的修改，都必须按照如下制度进行：需求变更申请：由产品部发起；技术评审：工期，成本，质量控制影响等方面的评审，由产品部、技术研发等负责；商务评审：关于变更带来的客户影响等方面的评审，由产品部、市场部等负责；管理层评审：由管理层综合评估审核并签发相关指令；版本控制：在软件变更过程当中，文档