信息化应用系统开发安全规范

1、信息应用系统开发的安全标准1概述软件不安全的因素主要来自两个方面，一是软件本身的错误和缺陷造成的安全漏洞，二是来自外部的攻击。良好的软件开发过程管理可以减少软件缺陷，有效抵御外部攻击。本规范主要规定了集团信息应用系统在系统开发的各个阶段应遵守的各种安全规范。它进一步描述和说明了在不同阶段需要注意的安全问题和相关安全规范，以提高集团信息应用系统的安全性和抵御外部攻击的能力。2.可行性计划可行性计划是对项目要解决的问题的总体定义和描述，包括了解用户需求和实际环境，从技术、经济和需求三个方面研究和论证项目的可行性，编写可行性研究报告，讨论问题的解决方案，估算可用资源(如硬件、软件、人力等)的成本。)

2、，可获得的收益和开发进度，并制定实施计划以完成开发任务。2.1阶段性成果可行性研究报告。2.2可行性研究报告的要点以下四个方面：1.设计方案可行性研究报告需要论证预先设计的方案，设计研究方案，明确研究对象。2.内容是真实的可行性研究报告所涉及的内容和反映情况的数据必须绝对真实可靠，不得有偏差或错误。可行性研究报告中使用的材料和数据必须经过反复验证，以确保内容的真实性。3.准确预测可行性研究是投资前的决策活动，是对可能出现的问题和结果的预测。因此，有必要进行深入的调查研究，充分掌握数据，运用实用的预测方法，科学地预测未来前景。4.严格的论证论证是可行性研究报告的突出特点。为了使其具有争议性，有必

3、要运用系统分析的方法，围绕影响项目的各种因素进行全面系统的分析。宏观分析和微观分析都是必需的。3需求分析软件需求分析是对开发何种软件的系统分析和假设。它是一个去除粗糙和精细，去除虚假和保留真实，正确理解，然后用软件工程开发语言表达出来的过程。需求分析阶段的主要工作是完成需求对业务的表达，这反映在需求规范中，包括业务流程、子系统划分、状态图、数据流图等。最后通过用户用例完成业务分析测试。需求分析阶段最大的隐患是需求无法准确描述和表达用户需求的真实和正确理解。因此，需求分析阶段的安全工作应主要关注对用户需求的真实准确理解。在需求分析阶段，应深入描述软件的功能和性能，确定软件设计的约束以及软件与其他

4、系统元素之间的接口细节，定义软件的其他有效性需求，并借助当前系统的逻辑模型导出目标系统的逻辑模型，以解决目标系统“做什么”的问题。需求分析阶段形成的文件包括需求分析说明书、业务分析测试报告和用户使用手册初稿。需求分析可以分为三个阶段：需求表达、需求描述和需求评审。3.1要求建议需求主要集中在描述系统的目的。开发人员和用户识别问题区域，定义描述问题的系统，并形成系统规范。3.2要求描述在需求分析阶段，分析师的主要任务是：识别、综合和建模用户需求，消除用户需求的模糊性、不确定性和不一致性，分析系统的数据需求，为原始问题和目标软件建立逻辑模型。分析人员应该找出并提出哪些需求是用户造成的不合理需求在需

5、求评审阶段，分析师应在用户和软件设计者的配合下，对自己生成的需求规格说明和初步用户手册进行评审，以确保软件需求的完整性、准确性、清晰性和具体性，并使用户和软件设计者对需求规格说明和初步用户手册的理解达成一致。一旦发现缺失或模糊点，必须尽快纠正并再次检查。需求评审至少应包括以下内容：1.需求分析计划实施计划当分析需求时，应该从用户的角度关注所有的信息和需求。避免分析师的主观想象，以及向用户提交分析进度，确保在需求分析过程中与用户及时沟通和沟通，以便用户进行检查和评估，从而达到需求分析的准确性。2.描述软件的功能和性能确定软件设计的局限性以及软件和其他系统元素之间的接口细节。3.需求评审的目的通过

6、需求分析，对软件的需求逐渐细化，描述了软件要处理的数据字段，为软件开发提供了一种可移植性。将数据和功能表示纳入数据设计、结构设计和流程设计。软件开发完成后，需求分析规范也将为评估软件质量提供依据。3.4需求分析的基本原则：1.开发安全需求分析计划由项目开发单位、信息管理部门和业务管理部门共同决定。2.应用系统的安全需求应该能够达到业务所期望的安全级别。3.原则上，应用系统上的所有业务更新或改进必须基于业务需求，并由业务事件支持。4业务需求是系统更新和变更的基础。因此，必须明确定义业务需求。未经业务部门和主要负责人批准，严禁盲目开展开发工作。5.系统的每一次更新或改进都必须重新定义、分析、测试和

7、评估安全需求，以确保不会影响业务。6.在系统设计前，需要建立和开发一份安全需求分析报告，由主管信息部门进行审核。7.应用系统的开发应符合相关法律法规及相关行业标准和管理体系的要求。4设计软件设计通常分为两个阶段：概要设计和详细设计。主要任务是将软件分解成模块，模块是指能够实现特定功能的数据和程序描述以及能够执行程序的程序单元。概要设计是结构设计，其主要目的是给出软件的模块结构，用软件结构图来表示。详细设计的首要任务是设计模块的程序流程、算法和数据结构，并设计数据库。系统的设计需要接触到一个从未接触过系统的人，这个人能够从各个方面对系统的功能、功能和实现有一个大致的了解，并为以后的各种详细设计文

8、件提供指导和方向。设计分析阶段形成的文件包括概要设计说明书和详细设计说明书。设计阶段的主要安全工作包括：4.1职能部门设计阶段的功能划分不合理，难以发现和处理。因此，功能模块的设计需要详细描述系统的主要功能，这些功能应该使用哪些技术，以及它们是如何粗略实现的，以便发现问题。4.2模块协作描述模块如何协同工作来发现问题。4.3系统分级安全设计描述了系统应该具有的安全级别以及用于达到该安全级别的技术。4.4隐藏通道由于安全策略限制而无法通信的实体使用可执行操作的副作用来实现通信。4.5认证不足只有具有足够访问权限的操作流程才能访问和操作相应的流程。同一城市的攻击者会采取一些攻击来获取访问权限并执行

9、一些非法操作，从而使系统变得不可靠缓冲区是一定量的已分配内存空间，用于在内存中存储数据。当缓冲区溢出发生时，相邻的内存块将被覆盖，从而导致程序安全问题。因此，在设计阶段，有必要防止缓冲区溢出。4.7并发控制策略并发作为提高计算机系统运行效率的重要手段，得到了广泛的应用，但其机制本身也容易出现以下问题(1)竞争(2)活锁(3)死锁在设计阶段，应该考虑和处理由并发性引起的上述问题。4.8 TOCTTOU错误这是一个常见的可写文件，允许攻击者创建与他们的访问连接的同名文件，以达到非法访问的目的。因为因此，在设计系统时，需要有相应的保护策略。4.9数据库中重要信息的保护数据库中的重要信息应加密存储，并

10、采取相应的防控措施。4.10配置管理：对管理界面的未授权访问、更新配置数据的能力，以及对用户帐户和帐户配置文件的未授权访问授权访问。4.11认证密码长度不小于8位；密码必须至少是数字和字符串的组合；密码需要加密存储。密码认证通信通道需要加密以保护认证。使用强密码来支持密码过期和帐户禁用。4.12访问控制任何希望访问应用系统一部分的用户都必须通过唯一的身份验证授权方法。4.13授权每个系统至少使用2个超级管理帐户。不采用集中授权，所有授权单独授权(初始化授权允许批量授权，但初始化权限的分配必须经主管信息部门批准)；限制用户以最低权限访问资源。4.14催收权用户在离开工作岗位后或由于其他原因不再需

11、要访问系统，他们需要及时访问系统。4.15敏感数据加密网络上传输的敏感数据；确保通信渠道的安全；为敏感数据存储提供强大的访问控制。Cookie管理不要将敏感数据永久存储在cookie中；不要使用HTTP-GET协议来传输敏感数据；不要通过HTTP连接传递身份验证cookie。在授权cookie中设置一个安全cookie属性，指示浏览器仅通过HTTPS连接将cookie返回给服务器。4.17远程维护和管理在管理界面上使用身份验证后的授权；远程管理时应保证通信通道的安全。4.18会话管理会话经常受到限制，具体持续时间由业务系统决定。空闲会话原则上不应超过15分钟。保护会话状态以防止未经授权的访问。

12、4.19加密考虑到集团公司将代表国家荣誉，加密算法需要采用中国的算法或中国的修改算法。SM1-SM9算法、SSF33算法、祖冲之对称密钥算法等。最小密钥不得少于32位。定期回收管理密钥。4.20异常管理设计异常处理机制。4.21审查和记录审核并记录所有应用程序中的活动，以确保日志文件访问的安全性，并定期备份日志文件。4.22 5.1.12后门预防性控制系统必须有一种机制来防止恶意攻击绕过安全控制来获得对系统资源的访问和控制。4.23安全设计审查应用系统设计方案需经信息技术主管部门审查。4.24确保健全的日志管理机制建立了可根据情况自由设置的日志管理机制。日志记录的范围和细节可以根据需要定制，日

13、志的定制和记录可以在应用系统的使用过程中实现。保存与系统开发相关的所有程序库的更新审计记录。无法删除或修改日志信息。日志信息必须自动记录。不允许人工参与。4.25审计安全标准(1)应包括每个用户的安全审计功能，以审计应用系统的重要安全事件。(2)确保审核过程不可单独中断，审核记录不可删除(4)提供审计记录数据统计和查询。4.26数据和通信有效性管理标准(1)应提供校验码技术，以确保通信过程的数据完整性。(二)具有根据请求为数据发起方或接收方提供数据发起和接收数据的功能。(3)提供验证功能，确保通过人机接口或通信接口输入的数据的格式或长度满足系统设置要求。(4)提供自动保护功能，在故障发生时自动

14、保护当前状态，确保系统能够恢复。(5)当应用系统的通信方之一在一段时间内没有做出任何响应时，另一方应能够自动结束会话。(6)它应该能够限制系统中并发会话连接的最大数量。(7)它应该能够限制单个帐户的多个并发会话。(8)它应该能够在一段时间内限制可能的并发会话连接的数量。(9)能够为访问账户或请求进程占用的资源分配最大限制和最小限制。(10)、应能把系统服务水平降低到预定的最小值进行检测和报警。(11)应提供服务优先级设置功能，安装后应根据安全策略设置访问账户或请求流程的优先级，并根据优先级分配系统资源。5编码软件编码是指将软件设计转换成计算机可接受的程序，即以编程语言编写的“源程序清单”。5.

15、1编码阶段的主要工作：1.根据软件产品开发的质量要求，充分了解开发语言和工具的特点和风格，选择合适的编程语言。2.编码。3.提供源程序列表。5.2编码阶段要考虑的安全问题包括：1.内存安全的实现编程过程中内存数据的常见安全问题，如缓冲区溢出、整数溢出、字符串格式化等。2.线程/进程安全性例如线程同步、线程死锁等3.科学处理异常异常必须在程序设计中处理。它主要解决如何处理异常以保证系统的安全。4、投入产出安全保证例如，检测输入的合法性。5.权限控制的处理该系统涉及授权和访问限制，需要一个完善的权限控制机制。6.数据保护数据篡改和拒绝的保护和检查除了加密和解密，还必须确保信息来源的识别以及信息的完

16、整性和不可否认性。7、代码优化处理所有程序都需要进行代码优化，代码性能的质量有时不仅关系到系统的运行效率，也关系到系统的安全性。8.Web编程安全性。网络编程中存在多种安全问题，但至少应该解决跨站点脚本、SQL注入、网络认证攻击、URL操作攻击等安全问题。9.参数变量处理如果需要设置变量，不能使用缺少的默认值。如果需要将PATH设置为已知值，则不能在启动时使用默认值。10.SQL规范(1)系统必须有完善的机制来防止sql注入。(2)2)SQL语句的参数应该作为变量传入。11、页面请求处理应检查参数的长度当接受页面请求时，WEB服务器应该检查参数的最大长度，并截断超出最大长度的部分。12、登录失败信息错误提示当网络服务器接受用户的登录请求时，不应区分登录失败的提示信息(如用户名不存在、密码错误、密码已过期等)。)，并应采用统一的故障提示信息(如错误的用户名或密码)。13、错误信息说明向用户显示的所有错误信息都不应暴露任何关于系统、网络或应用程序的敏感信息。如有必要，应使用包含数字的一般错误信息，只有开发人员或支持团队才能理解。14.开源软件管理(1)开源产品、