JYYH-GD-25-軟件研發(fā)安全管理制度_第1頁
JYYH-GD-25-軟件研發(fā)安全管理制度_第2頁
JYYH-GD-25-軟件研發(fā)安全管理制度_第3頁
JYYH-GD-25-軟件研發(fā)安全管理制度_第4頁
JYYH-GD-25-軟件研發(fā)安全管理制度_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、JYYH-GD-25-軟件研發(fā)安全管理制度JYYH-GD-25-軟件研發(fā)安全管理制度JYYH-GD-25-軟件研發(fā)安全管理制度JYYH-GD-25-軟件研發(fā)安全管理制度編制僅供參考審核批準(zhǔn)生效日期地址: 電話:傳真: 郵編:文檔密級(jí):一般 文檔狀態(tài): 草案 正式發(fā)布 正在修訂受控狀態(tài): 受控 非受控 日期版本描述作者審核 審批2015-01-08A0A版首次發(fā)布 質(zhì)量小組孫佩連春華目 錄 TOC o 1-3 h z HYPERLINK l _Toc0 1.適用 PAGEREF _Toc0 h 1 HYPERLINK l _Toc1 2.目的 PAGEREF _Toc1 h 1 HYPERLIN

2、K l _Toc2 3.職責(zé) PAGEREF _Toc2 h 1 HYPERLINK l _Toc3 4.相關(guān)文件 PAGEREF _Toc3 h 1 HYPERLINK l _Toc4 5.規(guī)定要求 PAGEREF _Toc4 h 1 HYPERLINK l _Toc5 .安全需求策劃分析 PAGEREF _Toc5 h 1 HYPERLINK l _Toc6 .系統(tǒng)設(shè)計(jì)與安全編碼 PAGEREF _Toc6 h 2 HYPERLINK l _Toc7 .安全測(cè)試 PAGEREF _Toc7 h 3 HYPERLINK l _Toc8 .發(fā)布與運(yùn)行 PAGEREF _Toc8 h 4 HYP

3、ERLINK l _Toc9 6.記錄 PAGEREF _Toc9 h 4適用本程適用于公司軟件生產(chǎn)相關(guān)的過程安全管理。目的 為了對(duì)公司軟件生產(chǎn)相關(guān)的策劃、開發(fā)、測(cè)試、交付等進(jìn)行有效的控制,特制定本程序。職責(zé)技術(shù)總監(jiān)負(fù)責(zé)批準(zhǔn)各種軟件的開發(fā)項(xiàng)目和開發(fā)方案。研發(fā)中心負(fù)責(zé)軟件生產(chǎn)過程,包括策劃、開發(fā)、測(cè)試、交付等過程。信息部負(fù)責(zé)基礎(chǔ)設(shè)施的維護(hù),包括開發(fā)服務(wù)器、測(cè)試服務(wù)器、開發(fā)PC機(jī)的硬件、操作系統(tǒng)、防病毒軟件。相關(guān)文件信息安全管理手冊(cè)規(guī)定要求安全需求策劃分析研發(fā)中心應(yīng)根據(jù)開發(fā)任務(wù)的需求,編制軟件開發(fā)需求書。軟件開發(fā)需求書應(yīng)包括功能需求背景、項(xiàng)目建設(shè)目標(biāo)、項(xiàng)目建設(shè)原則、具體功能需求、項(xiàng)目開發(fā)的時(shí)間要求

4、以及安全要求等。軟件開發(fā)需求書交技術(shù)總監(jiān)審核。安全需求分析內(nèi)容可以作為軟件開發(fā)需求書的一個(gè)部分,也可單獨(dú)編寫軟件開發(fā)安全需求書軟件開發(fā)的安全要求應(yīng)包括以下方面:客戶的安全要求:與客戶溝通過程中,客戶明確要求軟件應(yīng)具有的安全功能與安全性能,例如客戶要求對(duì)存儲(chǔ)數(shù)據(jù)的安全、傳輸數(shù)據(jù)的安全、行為審計(jì)、權(quán)限分配、防抵賴等。技術(shù)的安全要求:技術(shù)的安全要求包括兩個(gè)部分,其一是客戶安全要求的技術(shù)實(shí)現(xiàn),如客戶要求電子商務(wù)系統(tǒng)的交易應(yīng)具備防抵賴的安全要求,則其技術(shù)的安全要求為符合第3)項(xiàng)所要求數(shù)字簽名技術(shù);其二是軟件本身所涉及技術(shù)的安全,包括業(yè)界的通用安全技術(shù),例如數(shù)據(jù)庫安全技術(shù)、Java安全技術(shù)等;法律法規(guī)的安

5、全要求:法律法規(guī)安全包括了國內(nèi)、國際法律法規(guī)所確認(rèn)要求采用的安全技術(shù)與準(zhǔn)則,也包括了業(yè)界普遍公認(rèn)的安全技術(shù)與準(zhǔn)則,例如對(duì)口令的保護(hù)應(yīng)采用單向散列技術(shù)、國內(nèi)使用商用加密產(chǎn)品,則該產(chǎn)品應(yīng)得到國家相關(guān)部門的認(rèn)可等;系統(tǒng)設(shè)計(jì)與安全編碼在系統(tǒng)設(shè)計(jì)與編碼過程中,開發(fā)人員應(yīng)關(guān)注系統(tǒng)架構(gòu)與軟件代碼自身的安全性與健壯性:以確保:輸入數(shù)據(jù)的安全:開發(fā)人員應(yīng)考慮到用戶輸入數(shù)據(jù)的不確定性,在設(shè)計(jì)與編碼時(shí),應(yīng)采用以下控制措施:雙輸入或其他輸入校驗(yàn),例如邊界校驗(yàn)或者限制特定輸人數(shù)據(jù)范圍的域,以檢測(cè)下列差錯(cuò):范圍之外的值數(shù)據(jù)字段中的無效字符丟失或不完整的數(shù)據(jù)超過數(shù)據(jù)的上下容量限制未授權(quán)的或矛盾的控制數(shù)據(jù)系統(tǒng)文件不得有何未授

6、權(quán)的變更;軟件差錯(cuò)應(yīng)得到及時(shí)相應(yīng);定義在數(shù)據(jù)輸人過程中所涉及的全部人員的職責(zé);創(chuàng)建數(shù)據(jù)輸入過程中所涉及的活動(dòng)的日志;內(nèi)部處理的控制:應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)施應(yīng)確保導(dǎo)致完整性損壞的處理故障的風(fēng)險(xiǎn)減至最小。在開發(fā)的軟件中要考慮的特定范圍應(yīng)包括:使用添加、修改和刪除功能,以實(shí)現(xiàn)數(shù)據(jù)變更;防止程序以錯(cuò)誤次序運(yùn)行或在前面處理出現(xiàn)故障后運(yùn)行的機(jī)制;恢復(fù)故障的機(jī)制,以確保數(shù)據(jù)的正確處理,防范利用緩沖區(qū)超出/溢出進(jìn)行的攻擊。消息完整性若需要保護(hù)消息的完整性,可采用密碼技術(shù),參見加密管理制度輸出數(shù)據(jù)的確認(rèn)輸出確認(rèn)應(yīng)包括:調(diào)節(jié)控制計(jì)數(shù),以確保處理所有數(shù)據(jù);為讀者或后續(xù)的處理系統(tǒng)提供足夠的信息,以確定信息的準(zhǔn)確性、完備

7、性、精確性和分類;定義在數(shù)據(jù)輸出過程中所涉及的全部人員的職責(zé);創(chuàng)建在數(shù)據(jù)輸出確認(rèn)過程中活動(dòng)的日志。安全測(cè)試本公司研發(fā)的軟件產(chǎn)品都必須經(jīng)過測(cè)試后方可發(fā)布給客戶,測(cè)試過程應(yīng)包括安全測(cè)試。安全測(cè)試的環(huán)境應(yīng)獨(dú)立于公司的開發(fā)環(huán)境與日常辦公環(huán)境,包括網(wǎng)絡(luò)的隔離,以避免安全測(cè)試對(duì)于公司其他業(yè)務(wù)與系統(tǒng)的影響。安全測(cè)試應(yīng)涵蓋以下內(nèi)容:客戶安全要求的測(cè)試:包括對(duì)客戶安全要求的功能與性能測(cè)試,以檢驗(yàn)軟件是否滿足客戶的安全要求;技術(shù)安全要求的測(cè)試:應(yīng)測(cè)試輸入數(shù)據(jù)與輸出數(shù)據(jù)的合理性;緩沖區(qū)溢出測(cè)試;邊界值與特殊值校驗(yàn);業(yè)界安全技術(shù)的測(cè)試:如數(shù)據(jù)庫安全測(cè)試等;法律法規(guī)安全要求檢查:核查軟件中所采用安全技術(shù)未違法國家或國際

8、相關(guān)法律法規(guī),未使用具有知識(shí)產(chǎn)權(quán)問題的安全技術(shù),未使用違背業(yè)界普遍承認(rèn)準(zhǔn)則的安全技術(shù);在測(cè)試過程中,嚴(yán)禁使用包含個(gè)人信息或其他敏感信息的運(yùn)行數(shù)據(jù)庫用于測(cè)試。如果測(cè)試使用了個(gè)人或其他敏感信息,那么在使用之前宜去除或修改所有的敏感細(xì)節(jié)和內(nèi)容。測(cè)試數(shù)據(jù)作為項(xiàng)目文檔的一部分,應(yīng)存放于VSS內(nèi)并得到保護(hù),參見風(fēng)險(xiǎn)評(píng)估相關(guān)文檔以及用戶訪問管理制度;測(cè)試完成后,應(yīng)編寫軟件測(cè)試報(bào)告,安全測(cè)試內(nèi)容應(yīng)做為報(bào)告的以部分,或者編寫單獨(dú)的軟件安全測(cè)試報(bào)告。發(fā)布與運(yùn)行軟件產(chǎn)品的發(fā)布方式應(yīng)遵循以下要求:a)將產(chǎn)品(可執(zhí)行代碼與相關(guān)組件)打包后,通過FTP等方式發(fā)送至客戶制定的服務(wù)器??蛻舴?wù)器的賬號(hào)與密碼應(yīng)由專人保管,不得外泄,若需要長期保管客戶服務(wù)器賬號(hào)與密碼,應(yīng)與客戶協(xié)商并定期更換服務(wù)器密碼(至少3個(gè)月更換一次);產(chǎn)品打包至少應(yīng)采用壓縮加密的方式,解密口令可通過電話、電子郵件等方式告知客戶,但不得將解密密碼通過與產(chǎn)品傳送相同方式傳至客戶。b)將產(chǎn)品加密打包后,刻錄光盤,郵寄至客戶。解密密碼不得隨光盤郵寄至

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論