JYYH-GD-25-軟件研發(fā)安全管理制度參考模板_第1頁(yè)
JYYH-GD-25-軟件研發(fā)安全管理制度參考模板_第2頁(yè)
JYYH-GD-25-軟件研發(fā)安全管理制度參考模板_第3頁(yè)
JYYH-GD-25-軟件研發(fā)安全管理制度參考模板_第4頁(yè)
JYYH-GD-25-軟件研發(fā)安全管理制度參考模板_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、I / 8文檔密級(jí):一般 文檔狀態(tài): 草案 正式發(fā)布 正在修訂受控狀態(tài): 受控 非受控 日期日期版版本本描述描述作者作者審核審核 審批審批2015-01-08A0A 版首次發(fā)布 質(zhì)量小組孫佩連春華目 錄1.1.適用適用.1 12.2.目的目的.1 13.3.職責(zé)職責(zé).1 14.4.相關(guān)文件相關(guān)文件.1 15.5.規(guī)定要求規(guī)定要求.1 15.1.安全需求策劃分析安全需求策劃分析.15.2.系統(tǒng)設(shè)計(jì)與安全編碼系統(tǒng)設(shè)計(jì)與安全編碼.25.3.安全測(cè)試安全測(cè)試.35.4.發(fā)布與運(yùn)行發(fā)布與運(yùn)行.46.6.記錄記錄.4 41.適用適用本程適用于公司軟件生產(chǎn)相關(guān)的過(guò)程安全管理。2.目的目的 為了對(duì)公司軟件生產(chǎn)

2、相關(guān)的策劃、開(kāi)發(fā)、測(cè)試、交付等進(jìn)行有效的控制,特制定本程序。3.職責(zé)職責(zé)1)技術(shù)總監(jiān)負(fù)責(zé)批準(zhǔn)各種軟件的開(kāi)發(fā)項(xiàng)目和開(kāi)發(fā)方案。2)研發(fā)中心負(fù)責(zé)軟件生產(chǎn)過(guò)程,包括策劃、開(kāi)發(fā)、測(cè)試、交付等過(guò)程。3)信息部負(fù)責(zé)基礎(chǔ)設(shè)施的維護(hù),包括開(kāi)發(fā)服務(wù)器、測(cè)試服務(wù)器、開(kāi)發(fā) PC 機(jī)的硬件、操作系統(tǒng)、防病毒軟件。4.相關(guān)文件相關(guān)文件信息安全管理手冊(cè)5.規(guī)定要求規(guī)定要求5.1.安全需求策劃分析安全需求策劃分析研發(fā)中心應(yīng)根據(jù)開(kāi)發(fā)任務(wù)的需求,編制軟件開(kāi)發(fā)需求書(shū) 。 軟件開(kāi)發(fā)需求書(shū)應(yīng)包括功能需求背景、項(xiàng)目建設(shè)目標(biāo)、項(xiàng)目建設(shè)原則、具體功能需求、項(xiàng)目開(kāi)發(fā)的時(shí)間要求以及安全要求等。 軟件開(kāi)發(fā)需求書(shū)交技術(shù)總監(jiān)審核。安全需求分析內(nèi)容可以

3、作為軟件開(kāi)發(fā)需求書(shū)的一個(gè)部分,也可單獨(dú)編寫(xiě)軟件開(kāi)發(fā)安全需求書(shū)軟件開(kāi)發(fā)的安全要求應(yīng)包括以下方面:1)客戶的安全要求:與客戶溝通過(guò)程中,客戶明確要求軟件應(yīng)具有的安全功能與安全性能,例如客戶要求對(duì)存儲(chǔ)數(shù)據(jù)的安全、傳輸數(shù)據(jù)的安全、行為審計(jì)、權(quán)限分配、防抵賴(lài)等。2)技術(shù)的安全要求:技術(shù)的安全要求包括兩個(gè)部分,其一是客戶安全要求的技術(shù)實(shí)現(xiàn),如客戶要求電子商務(wù)系統(tǒng)的交易應(yīng)具備防抵賴(lài)的安全要求,則其技術(shù)的安全要求為符合第 3)項(xiàng)所要求數(shù)字簽名技術(shù);其二是軟件本身所涉及技術(shù)的安全,包括業(yè)界的通用安全技術(shù),例如數(shù)據(jù)庫(kù)安全技術(shù)、Java 安全技術(shù)等;3)法律法規(guī)的安全要求:法律法規(guī)安全包括了國(guó)內(nèi)、國(guó)際法律法規(guī)所確認(rèn)

4、要求采用的安全技術(shù)與準(zhǔn)則,也包括了業(yè)界普遍公認(rèn)的安全技術(shù)與準(zhǔn)則,例如對(duì)口令的保護(hù)應(yīng)采用單向散列技術(shù)、國(guó)內(nèi)使用商用加密產(chǎn)品,則該產(chǎn)品應(yīng)得到國(guó)家相關(guān)部門(mén)的認(rèn)可等;5.2.系統(tǒng)設(shè)計(jì)與安全編碼系統(tǒng)設(shè)計(jì)與安全編碼在系統(tǒng)設(shè)計(jì)與編碼過(guò)程中,開(kāi)發(fā)人員應(yīng)關(guān)注系統(tǒng)架構(gòu)與軟件代碼自身的安全性與健壯性:以確保:1)輸入數(shù)據(jù)的安全:開(kāi)發(fā)人員應(yīng)考慮到用戶輸入數(shù)據(jù)的不確定性,在設(shè)計(jì)與編碼時(shí),應(yīng)采用以下控制措施:a)雙輸入或其他輸入校驗(yàn),例如邊界校驗(yàn)或者限制特定輸人數(shù)據(jù)范圍的域,以檢測(cè)下列差錯(cuò):i.范圍之外的值ii.數(shù)據(jù)字段中的無(wú)效字符iii.丟失或不完整的數(shù)據(jù)iv.超過(guò)數(shù)據(jù)的上下容量限制v.未授權(quán)的或矛盾的控制數(shù)據(jù)b)系統(tǒng)

5、文件不得有何未授權(quán)的變更;c)軟件差錯(cuò)應(yīng)得到及時(shí)相應(yīng);d)定義在數(shù)據(jù)輸人過(guò)程中所涉及的全部人員的職責(zé);e)創(chuàng)建數(shù)據(jù)輸入過(guò)程中所涉及的活動(dòng)的日志;2)內(nèi)部處理的控制:應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)施應(yīng)確保導(dǎo)致完整性損壞的處理故障的風(fēng)險(xiǎn)減至最小。在開(kāi)發(fā)的軟件中要考慮的特定范圍應(yīng)包括:a)使用添加、修改和刪除功能,以實(shí)現(xiàn)數(shù)據(jù)變更;b)防止程序以錯(cuò)誤次序運(yùn)行或在前面處理出現(xiàn)故障后運(yùn)行的機(jī)制;c)恢復(fù)故障的機(jī)制,以確保數(shù)據(jù)的正確處理,d)防范利用緩沖區(qū)超出/溢出進(jìn)行的攻擊。3)消息完整性若需要保護(hù)消息的完整性,可采用密碼技術(shù),參見(jiàn)加密管理制度4)輸出數(shù)據(jù)的確認(rèn)輸出確認(rèn)應(yīng)包括:a)調(diào)節(jié)控制計(jì)數(shù),以確保處理所有數(shù)據(jù);b

6、)為讀者或后續(xù)的處理系統(tǒng)提供足夠的信息,以確定信息的準(zhǔn)確性、完備性、精確性和分類(lèi);c)定義在數(shù)據(jù)輸出過(guò)程中所涉及的全部人員的職責(zé);d)創(chuàng)建在數(shù)據(jù)輸出確認(rèn)過(guò)程中活動(dòng)的日志。5.3.安全測(cè)試安全測(cè)試本公司研發(fā)的軟件產(chǎn)品都必須經(jīng)過(guò)測(cè)試后方可發(fā)布給客戶,測(cè)試過(guò)程應(yīng)包括安全測(cè)試。安全測(cè)試的環(huán)境應(yīng)獨(dú)立于公司的開(kāi)發(fā)環(huán)境與日常辦公環(huán)境,包括網(wǎng)絡(luò)的隔離,以避免安全測(cè)試對(duì)于公司其他業(yè)務(wù)與系統(tǒng)的影響。安全測(cè)試應(yīng)涵蓋以下內(nèi)容:1)客戶安全要求的測(cè)試:包括對(duì)客戶安全要求的功能與性能測(cè)試,以檢驗(yàn)軟件是否滿足客戶的安全要求;2)技術(shù)安全要求的測(cè)試:a)應(yīng)測(cè)試輸入數(shù)據(jù)與輸出數(shù)據(jù)的合理性;b)緩沖區(qū)溢出測(cè)試;c)邊界值與特殊值

7、校驗(yàn);d)業(yè)界安全技術(shù)的測(cè)試:如數(shù)據(jù)庫(kù)安全測(cè)試等;3)法律法規(guī)安全要求檢查:核查軟件中所采用安全技術(shù)未違法國(guó)家或國(guó)際相關(guān)法律法規(guī),未使用具有知識(shí)產(chǎn)權(quán)問(wèn)題的安全技術(shù),未使用違背業(yè)界普遍承認(rèn)準(zhǔn)則的安全技術(shù);在測(cè)試過(guò)程中,嚴(yán)禁使用包含個(gè)人信息或其他敏感信息的運(yùn)行數(shù)據(jù)庫(kù)用于測(cè)試。如果測(cè)試使用了個(gè)人或其他敏感信息,那么在使用之前宜去除或修改所有的敏感細(xì)節(jié)和內(nèi)容。測(cè)試數(shù)據(jù)作為項(xiàng)目文檔的一部分,應(yīng)存放于 VSS 內(nèi)并得到保護(hù),參見(jiàn)風(fēng)險(xiǎn)評(píng)估相關(guān)文檔以及用戶訪問(wèn)管理制度 ;測(cè)試完成后,應(yīng)編寫(xiě)軟件測(cè)試報(bào)告 ,安全測(cè)試內(nèi)容應(yīng)做為報(bào)告的以部分,或者編寫(xiě)單獨(dú)的軟件安全測(cè)試報(bào)告 。5.4.發(fā)布與運(yùn)行發(fā)布與運(yùn)行軟件產(chǎn)品的發(fā)布方式應(yīng)遵循以下要求:a)將產(chǎn)品(可執(zhí)行代碼與相關(guān)組件)打包后,通過(guò) FTP 等方式發(fā)送至客戶制定的服務(wù)器。客戶服務(wù)器的賬號(hào)與密碼應(yīng)由專(zhuān)人保管,不得外泄,若需要長(zhǎng)期保管客戶服務(wù)器賬號(hào)與密碼,應(yīng)與客戶協(xié)商并定期更換服務(wù)器密碼(至少 3 個(gè)月更換一次) ;產(chǎn)品打包至少應(yīng)采用壓縮加密的方式,解密口令可通過(guò)電話、電子郵件等方式告知客戶,但不得將解密密碼通過(guò)與產(chǎn)品傳送相同方式傳至客戶。b)將產(chǎn)品加密打包后,刻錄光盤(pán),郵寄至客戶。解密密碼不得隨光盤(pán)郵寄至客戶,但可以通過(guò)電話、電子郵件等

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論