信息系统获取、开发和维护程序.docVIP

信息系统获取、开发与维护程序 目的 为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本程序。 范围 适用于本公司所有信息系统的开发活动中，信息系统内在安全性的管理。本程序作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。 开发过程中所形成的需求分析文档、设计文档、软件代码、测试文档等技术信息的管理应遵从信息资产密级管理的有关规定，本程序不在另行规定。 术语及定义 无 引用文件 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求 ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则 信息资产密级管理规定 职责和权限 开发部是信息系统开发过程中的安全管理部门,负责保证开发过程安全。 工作程序 控制措施-对信息系统进行安全性需求分析与相关规格说明 目标：在描述新系统或改进原有系统的业务需求时，应收集、分析系统在安全性方面的需求，并在系统需求规格说明书详细描述。 安全性需求包括两方面的内容，一是对系统本身的安全需求，如系统具备数据通信加密、用户身份鉴别等功能，在确定安全要求时，要考虑系统中的自动安全控制和支持人工安全控制的要求；二是对系统设计开发过程本身也要进行控制，例如在不同的设计开发阶段的评审与验证，确保对程序源代码的保护、对设计人员的控制等。 安全要求在软件开发生命周期中的分布如下图所示： 在使用新的应用程序或增强现有的应用程序时必须做安全性影响分析, 由信息系统项目经理提交安全需求分析。内容可包括以下项： 确认需要保护的资产。 评估这些资产需要采取什么安全控制措施。 考虑是否在系统中加入自动安全控制措施还是建立人工安全控制措施。 在软硬件采购时，应尽量使用经过专业评估和认证的产品。 在应用中建立安全措施 控制措施-输入数据验证 控制描述-输入应用系统的数据应加以验证，以确保数据是正确的。 实施指南-应该校验应用于业务交易、常备数据和参数表的输入信息。需要考虑下列（但不仅限于）内容： 输入校验，诸如边界校验或者限制特定输入数据范围的域，以检测下列错误： 范围之外的值； 数据字段中的无效字符； 丢失或不完整的数据； 超过数据的上下容量限制； 未授权的或矛盾的控制数据； 业务流程、系统安全运行、法规政策等方面所要求的数据校验； 定期评审关键字段或数据文件的内容，以证实其有效性和完整性； 检查硬拷贝输入文档是否有任何未授权的变更（输入文档的所有变更均应予以授权）； 对输入数据验证错误后的处理程序； 测试输入数据合理性的程序； 定义在数据输入过程中所涉及的全部人员的职责。 创建在数据输入过程中所涉及的活动的日志。 其它信息-适当时，可以考虑对输入数据进行自动检查和验证，以减少出错的风险和预防包括缓冲区溢出和代码注入等普通的攻击。 控制措施-内部处理的控制 控制描述-应用中需要验证检查由于处理错误或故意行为造成的信息讹误。 实施指南-应用系统的设计与实现应尽量减少处理故障时对数据完整性的损坏。需要考虑下列（但不仅限于）内容： 通过添加、修改和删除功能实现数据变更； 防止程序以错误次序运行； 使用适当的程序恢复故障，以确保数据的正确处理； 防范利用缓冲区超出/溢出进行的攻击。 应准备适当的检查列表，将检查活动文档化，并应保证检查结果的安全。需要考虑下列（但不仅限于）检查例子： 验证系统生成的输入数据； 检查在中央计算机和远程计算机之间所下载或上载的数据或软件的完整性、真实性或者其他任何安全特性； 记录文件字节大小； 检查以确保应用程序在正确时刻运行； 检查以确保程序以正确的次序运行并且在发生故障时终止，以及在问题解决之前，停止进一步的处理； 创建处理时所涉及的活动的日志。 其它信息-正确输入的数据可能被硬件错误、处理错误和故意的行为所破坏。所需的验证检查取决于应用系统的性质和毁坏数据对业务的影响。 控制措施-消息完整性 控制描述-应用中应该识别确保消息真实性和保护消息完整性的要求，实施适当的控制措施。 实施指南-应进行安全风险的评估以判定是否需要消息完整性验证，并确定最合适的实施方法。 其它信息-密码技术可被用作一种合适的实现消息鉴别的手段。 控制措施-输出数据验证 控制措施-从应用系统输出的数据应加以验证，以确保对所存储信息的处理是正确的且适于当前运行环境的。 实施指南-输出验证可以包括（但不仅限于）以下内容： 合理性检查，以测试输出数据是否合理； 调节控制措施的数量，以确保处理所有数据； 为读者或