1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 开发文档

软件开发安全管理办法.docx

软件开发安全管理办法.docx

    1. 1、本文档共20页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    软件开发安全管理办法

    第一章总则

    第一条目的

    为了提高鄂尔多斯电业局软件开发安全管理水平,特制定本管理办法。

    第二条适用范围

    本管理办法适用于应用系统软件开发从计划、需求、设计、开发、测试、部署过程中的安全管理。

    第三条规范性引用文件

    内蒙古电力(集团)有限责任公司软件开发安全管理规定(内电生[2009]24号)

    第四条术语和定义

    (一)CMM认证

    CMM是能力成熟度模型的缩写,是一种用于评价软件承包能力并帮助其改善软件质量的方法,侧重于软件开发过程的管理及工程能力的提高与评估。CMM分为五个等级:一级为初始级,二级为可重复级,三级为已定义级,四级为已管理级,五级为优化级。

    第五条职责

    (一)生产技术处的职责如下:

    1.归口负责软件开发安全管理工作的监督、检查和考核;

    第二章开发环境安全

    第六条开发环境应设置独立的工作区域,并根据应用系统的开发要求,对该区域进行网络访问控制和物理访问控制,确保开发数据的安全性。

    第七条项目文档、代码的存储应进行备份,以确保在发生意外时,可有效恢复。

    第八条在开发环境中,应提供对项目文档和代码版本管理和访问控制。

    第九条用于开发的服务器、个人电脑必须做好严格的安全防护措施,包括但不仅限于更新系统补丁、安装防病毒软件(防火墙)、设置密码策略。

    第三章文档安全

    第十条应用系统开发过程的各阶段都应有开发文档的输出。

    第十一条对文档的安全性方面的内容给予规定。内容包括对于文档内容的安全和文档自身的安

    全:

    (一)文档内容的安全:

    开发各阶段输出的文档应对安全性方面的内容进行描述。

    需求说明书中应明确描述应用系统的安全需求。

    设计说明书中应有针对安全需求的设计,并进行评审。

    在测试大纲或者测试方案中应有安全性测试方案,并以此进行安全性测试。

    (二)文档自身的安全:

    文档应设定密级及读者范围,以限定其访问范围。

    文档的访问控制应有相应的授权机制。

    文档应有专用的服务器或文件柜进行保存和备份,对于电子文档应有版本控制。

    第四章源代码管理

    第十二条当应用系统为第三方开发时,根据协议执行源代码的管理。

    第十三条建立专门的源代码管理服务器,用于对程序源代码实施有效管理。

    第十四条源代码管理应保存所有的历史版本,以便查阅。

    第十五条在开发完成并通过测试后,开发人员必须提出源代码归档申请,并将所有的程序源代码以及设置等支持文件打包,交付档案室,代码在提交前必须通过安全检查。通过检查后的源代码由档案室进行信息的登记并将源代码上传到管理服务器。

    第十六条对于已有系统(或功能、模块等)的代码文件或设置文件,在需要对其进行修改时,必须山修改人提出源代码修改申请,并且经过生产技术处批准后,档案室才能将源代码(或设置文件)提取出来,交给修改人进行修改。修改完毕需通过安全检查才可以提交,防止代码中存在隐蔽通道和木马。通过检查后的源代码(或设置文件)交还档案室,由其上传到源代码管理服务器。重新上传后,必须给予新的版本号。

    第十七条定期(每年)对源代码的修改记录进行审计,对所有修改记录进行抽查,检查是否存在未经审批的源代码修改情况以及源代码修改内容是否与申请内容相符。

    第五章需求阶段

    第十八条需求阶段是整个应用生命周期的起始点,这个阶段决定了整个应用系统的安全目标和实现方法。应在需求阶段确定安全功能,对软件需求的安全程度进行识别和区分,对各需求项的安全性进行描述,以便在软件需求中生成各阶段的安全措施。

    第十九条讨论确定的所有安全需求,形成项目安全保障文件,该文件将用于整个项目的设计、

    实现、测试环节,并保证主要开发人员持有该文件。

    第二十条在需求分析阶段应明确以下与安全相关的需求:

    (一)用户数、终端数、在线并发数;

    (二)用户角色的划分和权限的分配;

    (三)应用系统性能要求;

    (四)现有网络现状和网络性能要求;

    (五)数据量估计、数据存储方式和周期;

    (六)系统安全级别和数据保密性要求;

    (七)其他对网络、存储、服务器、终端、操作系统、数据库、数据等方面的安全需求。

    第二十一条在需求阶段应确定应用系统安全功能需求:

    (一)应用系统应包含认证功能,应明确提出用户身份认证体系的强度以及认证失败后的处理方式。

    (二)应用系统应包含用户权限的分配和管理功能,应根据系统处理的业务数据的保密性和完整性要求,确定系统采用的用户权限访问控制模型和权限的划分,避免权限的过分集中与分散。

    (三)应用系统应包括数据安全和冗余恢复相关功能。

    (四)应用系统应包括安全审计功能,应明确对于日志内容的要求,包括但不限于以下内容:

    1.应用系统审计的事件应包括:

    (1)审计功能的启动和关闭;

    (2)变更审计功能的配置信息;

    (3)至少应进行审计的事件:

    a.进入和退出的时间(登录、退出系统);

    b.异常的系统使用行为(登录失败);

    c.系统维护行为;

    d.敏感的操作

    您可能关注的文档

    最近下载

    文档评论(0)

    159****1944 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >