F4-C-研發(fā)服務(wù)系統(tǒng)-013-V1.0-軟件開發(fā)安全管理辦法

【軟件開發(fā)安全管理辦法】F4-C-研發(fā)服務(wù)體系-013-V1.0第頁軟件開發(fā)安全管理辦法目錄1.目的 42.適用范圍 43.依據(jù)標(biāo)準(zhǔn)和文件 44.職責(zé)分工 45.術(shù)語和定義 46.管理細則 56.1.開發(fā)條件及方式 56.2.軟件開發(fā)項目管理 56.3.開發(fā)安全管理 5

目的為規(guī)范公司的開發(fā)管理，進一步加強應(yīng)用系統(tǒng)軟件開發(fā)過程及開發(fā)交付的安全性，特制定本管理辦法。2. 適用范圍適用于公司軟件開發(fā)過程的安全管理。3. 依據(jù)標(biāo)準(zhǔn)和文件GB/T22080-2016/ISO/IEC27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》GB/T22081-2016/ISO/IEC27002:2013《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》4. 職責(zé)分工信息安全工作小組：負(fù)責(zé)組織編寫并推廣本管理辦法；各開發(fā)部各產(chǎn)品（項目）或系統(tǒng)開發(fā)組：負(fù)責(zé)軟件開發(fā)。測試部：開發(fā)完成后的測試和試運行。系統(tǒng)服務(wù)部：正式運行的維護工作。5. 術(shù)語和定義緩沖區(qū)溢出：指當(dāng)計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上；通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，造成程序崩潰或使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。靜態(tài)代碼分析：指在不運行代碼的方式下，通過詞法分析、語法分析、控制流分析等技術(shù)對程序代碼進行掃描，驗證代碼是否滿足規(guī)范性、安全可靠性、可維護性等指標(biāo)的一種代碼分析技術(shù)。6.管理細則6.1. 開發(fā)條件及方式6.1.1.開發(fā)條件符合開發(fā)條件的軟件項目應(yīng)該是能夠有效利用現(xiàn)有的資源，開拓新業(yè)務(wù)；或能有效地提高生產(chǎn)效率，減少工作中機械繁瑣操作的項目。6.1.2. 開發(fā)方式軟件開發(fā)可以采用下列三種開發(fā)方式之一：自主開發(fā)：由需求部門或公司自主開發(fā)。6.2. 軟件開發(fā)項目管理軟件開發(fā)項目的整體流程包括項目建議及審批、需求分析、系統(tǒng)設(shè)計、系統(tǒng)實現(xiàn)、測試及試運行、系統(tǒng)驗收、上線運行維護升級等階段。6.3.開發(fā)安全管理6.3.1.安全需求分析安全需求分析在項目需求分析階段完成，具體要求如下：項目組首先在應(yīng)用系統(tǒng)實現(xiàn)的業(yè)務(wù)功能的基礎(chǔ)上進行風(fēng)險評估，識別應(yīng)用系統(tǒng)所涉及的重要的信息資產(chǎn)，分析由于故障或安全問題可能導(dǎo)致的潛在損失，分析為保護這些信息資產(chǎn)、避免重大損失而應(yīng)采取的控制措施。項目組人員應(yīng)調(diào)研應(yīng)用系統(tǒng)開發(fā)完成后的系統(tǒng)維護人員、系統(tǒng)應(yīng)用人員及網(wǎng)絡(luò)安全管理人員，提取硬件部署、平臺搭建、網(wǎng)絡(luò)架構(gòu)等方面的安全需求，將相關(guān)的安全需求和建議作為獲取安全設(shè)計的依據(jù)。根據(jù)風(fēng)險分析以及充分調(diào)研的結(jié)果，對應(yīng)用系統(tǒng)的基本安全功能和安全功能的強度進行需求確認(rèn)。安全需求分析應(yīng)在項目詳細的需求分析文檔中用獨立章節(jié)進行詳細描述，包括對每個基本安全功能實現(xiàn)的必要性陳述以及不能實現(xiàn)某種安全功能的原因。6.3.2.系統(tǒng)設(shè)計安全系統(tǒng)安全設(shè)計是系統(tǒng)設(shè)計階段重要組成部分，具體要求：應(yīng)用系統(tǒng)應(yīng)滿足系統(tǒng)對于身份認(rèn)證的需求，應(yīng)明確提出用戶身份認(rèn)證的強度以及認(rèn)證失敗后的處置方式。應(yīng)用系統(tǒng)應(yīng)包含用戶權(quán)限分配和管理功能，應(yīng)根據(jù)系統(tǒng)所處理的業(yè)務(wù)數(shù)據(jù)的保密性和完整性要求，確定系統(tǒng)采用的用戶權(quán)限訪問控制模型和權(quán)限的劃分。應(yīng)用系統(tǒng)應(yīng)包括安全日志記錄功能，應(yīng)明確對于日志內(nèi)容的要求，審計日志應(yīng)涵蓋用戶創(chuàng)建、登錄審計、訪問和被拒絕記錄等。應(yīng)用系統(tǒng)應(yīng)包含可能出現(xiàn)的各種異常情況的安全處理設(shè)計。應(yīng)用系統(tǒng)總體結(jié)構(gòu)的設(shè)計或部署必須考慮重要子系統(tǒng)、部件的備份，避免單故障點。應(yīng)用系統(tǒng)應(yīng)滿足數(shù)據(jù)安全的需求，重要而敏感的數(shù)據(jù)應(yīng)當(dāng)進行加密和完整性保護，在傳輸過程中全程加密，并實現(xiàn)數(shù)據(jù)不落地傳輸?shù)目刂七^程。其他具體的開發(fā)安全技術(shù)要求，參照《信息系統(tǒng)獲取、開發(fā)與維護管理制度》。6.3.3. 系統(tǒng)開發(fā)安全應(yīng)定期對軟件工程師進行信息安全培訓(xùn)。為軟件開發(fā)和測試劃定專門的安全域，將開發(fā)和測試環(huán)境與正式運行環(huán)境進行分離。軟件開發(fā)過程的每個階段都應(yīng)有相應(yīng)的開發(fā)文檔輸出。應(yīng)遵循開發(fā)安全編碼策略，提高軟件的健壯性。對文檔和代碼采取版本管理和控制，對其訪問權(quán)限應(yīng)具有嚴(yán)格的控制，防止非授權(quán)修改文檔和代碼。應(yīng)用系統(tǒng)開發(fā)任務(wù)外包給第三方時，應(yīng)與開發(fā)方簽署保密協(xié)議，軟件的安全要求應(yīng)在雙方認(rèn)可的合同或協(xié)議中應(yīng)給予明確規(guī)定。6.3.4.系統(tǒng)安全測試6.3.4.1. 應(yīng)要求開發(fā)方對應(yīng)用軟件的安全性進行測試并形成測試報告，測試須驗證系統(tǒng)的安全性是否符合安全設(shè)計及安全需求。安全測試至少包括以下內(nèi)容：在與其他系統(tǒng)的互操作性測試中，應(yīng)充分考慮對其他系統(tǒng)的影響，選擇適當(dāng)?shù)臅r間、方法。測試環(huán)境所安裝的軟件是否已是當(dāng)前最新版本，不存在已知的安全漏洞。由開發(fā)人員進行代碼審核，檢查、消除程序代碼潛在的安全漏洞。對應(yīng)用系統(tǒng)存在的弱點威脅進行安全檢查，如：假冒身份、惡意篡改、信息泄露、拒絕服務(wù)、特權(quán)提升等。如條件許可，建議開發(fā)方運用靜態(tài)分析代碼掃描工具，檢測可能導(dǎo)致漏洞的編碼缺陷，包括緩沖區(qū)溢出、整數(shù)溢出和未初始化變量等。測試數(shù)據(jù)如果選擇的是真實數(shù)據(jù)，測試完成后必須刪除全部數(shù)據(jù)。測試完成后，應(yīng)該消除測試用的后門、用戶名及口令等。應(yīng)確保測試用例、測試內(nèi)容和測試結(jié)果的保密性。6.3.4.2. 應(yīng)用系統(tǒng)測試及試運行階段，安全測試的具體要求：測試人員和開發(fā)人員的職責(zé)應(yīng)是分離的。應(yīng)對應(yīng)用系統(tǒng)進行單元測試和綜合測試，包括流量壓力測試，對所有的Web應(yīng)用系統(tǒng)都必須經(jīng)過安全測試。對應(yīng)用系統(tǒng)所有的基本安全功能及其強度進行測試。測試人員應(yīng)在不同的環(huán)境下測試應(yīng)用系統(tǒng)，特別是將操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等設(shè)為相對安全狀態(tài)，即修補所有已發(fā)布的安全補丁后進行功能測試。生產(chǎn)和測試環(huán)境（包括網(wǎng)絡(luò)）必須是隔離的，禁止使用生產(chǎn)環(huán)境和生產(chǎn)數(shù)據(jù)進行測試，若特殊情況下測試環(huán)境與外部公共環(huán)境或生產(chǎn)環(huán)境連接測試時必須進行必要的網(wǎng)絡(luò)訪問控制。項目全部測試通過后才能進入試運行階段，在進行試運行前項目組相關(guān)人員應(yīng)制定詳細、充分的應(yīng)急方案。系統(tǒng)上線前應(yīng)按《信息系統(tǒng)獲取、開發(fā)與維護管理制度》中相關(guān)要求進行安全審批。試運行期間項目組相關(guān)人員應(yīng)對系統(tǒng)進行嚴(yán)格的監(jiān)控，以便出現(xiàn)故障后能及時恢復(fù)。6.3.5.系統(tǒng)移交維護應(yīng)用系統(tǒng)開發(fā)完成并測試通過之后，項目組移交應(yīng)用系統(tǒng)至系統(tǒng)維護人員進行維護管理。具體要求：系統(tǒng)移交維護時，開發(fā)人員應(yīng)將相關(guān)技術(shù)文檔等交接到系統(tǒng)維護人員手中，同時對系統(tǒng)維護人員進行必要的基礎(chǔ)功能、系統(tǒng)架構(gòu)、基本的排錯糾錯等方面的培訓(xùn)。系統(tǒng)運行階段，系統(tǒng)主機內(nèi)禁止保存應(yīng)用系統(tǒng)的源代碼程序。沒有事先受到許可的開發(fā)人員不能訪問生產(chǎn)系統(tǒng)及其相關(guān)信息，除非有嚴(yán)格的緊急維護、變更控制或支持手續(xù)才可以訪問上述系統(tǒng)。對于自主開發(fā)的系統(tǒng)，應(yīng)用系統(tǒng)依賴的操作系統(tǒng)、數(shù)據(jù)庫等環(huán)境出現(xiàn)嚴(yán)重安全漏洞后，應(yīng)用系統(tǒng)開發(fā)人員應(yīng)負(fù)責(zé)測試補丁是否對應(yīng)用系統(tǒng)有不良影響，并在三天之內(nèi)通知系統(tǒng)維護人員結(jié)果。項目交付前應(yīng)修改測試帳號及測試口令。本制度相關(guān)修改及解釋權(quán)屬于研發(fā)服務(wù)體系文檔編號（由總經(jīng)辦填寫）F4-C-研發(fā)服務(wù)體系-013-V1.0密級內(nèi)部公開文檔發(fā)布級別公