信息化應用系統(tǒng)開發(fā)安全規(guī)范

1、QCDTXXXXX—201X1信息化應用系統(tǒng)開發(fā)安全規(guī)范1概述軟件不安全的因素主要來源于兩個方面，一是軟件自身存在錯誤和缺陷引起的安全漏洞，二是來自外部的攻擊。良好的軟件開發(fā)過程管理可以很好地減少軟件自身缺陷，并有效抵抗外部的攻擊。本規(guī)范主要規(guī)定了集團信息化應用系統(tǒng)在系統(tǒng)開發(fā)的各個階段所應遵守的各種安全規(guī)范，將在不同階段中所需要注意的安全問題和相關的安全規(guī)范進行進一步的描述和規(guī)定，以提高集團信息化應用系統(tǒng)的安全性和抵抗外部攻擊的能力。2

2、可行性計劃可行性計劃是對項目所要解決的問題進行總體定義和描述，包括了解用戶的要求及現(xiàn)實環(huán)境，從技術、經濟和需求3個方面研究并論證項目的可行性，編寫可行性研究報告，探討解決問題的方案，并對可供使用的資源（如硬件、軟件、人力等）成本，可取得的效益和開發(fā)進度作出估計，制訂完成開發(fā)任務的實施計劃。2.1階段性成果可行性研究報告。2.2可行性研究報告重點如下4個方面：1、設計方案可行性研究報告的需對預先設計的方案進行論證，設計研究方案，明確研究對

3、象。2、內容真實可行性研究報告涉及的內容以及反映情況的數據，必須絕對真實可靠，不許有任何偏差及失誤。可行性研究報告中所運用資料、數據，都要經過反復核實，以確保內容的真實性。3、預測準確可行性研究是投資決策前的活動，對可能遇到的問題和結果的估計，具有預測性。因此，必須進行深入地調查研究，充分地占有資料，運用切合實際的預測方法，科學地預測未來前景。4、論證嚴密論證性是可行性研究報告的一個顯著特點。要使其有論證性，必須做到運用系統(tǒng)的分析方法，

4、圍繞影響項目的各種因素進行全面、系統(tǒng)的分析，既要作宏觀的分析，又要作微觀的分析。3需求分析軟件需求分析就是對開發(fā)什么樣的軟件的一個系統(tǒng)的分析與設想，它是一個對用戶的需求進行去粗取精、去偽存真、正確理解，然后把它用軟件工程開發(fā)語言表達出來的過程。需求分析階段主要工作是完成需求對業(yè)務的表達，這體現(xiàn)在對需求規(guī)格說明書中，包括業(yè)務流程，子系統(tǒng)劃分，狀態(tài)圖，數據流圖等，最終通過用戶用例完成業(yè)務分析測試。需求分析階段最大的隱患即需求未能準確地描述表

5、達對用戶需求的真正正確理解，因此，需求分析階段的安全工作，應主要在對用戶需求真正準確的理解上。QCDTXXXXX—201X34設計軟件設計通常分為概要設計和詳細設計兩個階段，主要任務就是將軟件分解成模塊是指能實現(xiàn)某個功能的數據和程序說明、可執(zhí)行程序的程序單元。概要設計就是結構設計，其主要目標就是給出軟件的模塊結構，用軟件結構圖表示。詳細設計的首要任務就是設計模塊的程序流程、算法和數據結構，以及設計數據庫。系統(tǒng)的設計需達到一個從來沒有接觸

6、過的人一看就能從各個方面都對系統(tǒng)的作用，功能，實現(xiàn)方面有一個大概了解，并為以后的各類詳細設計文檔提供一個指引和方向。設計析階段需形成的文檔包括《概要設計說明書》、《詳細設計說明書》。設計階段的主要安全工作包括：4.1功能劃分設計階段的功能劃分不合理，難以發(fā)現(xiàn)，且不好處理。因此功能模塊設計需詳細描述系統(tǒng)有那些主要功能，這些功能應該用何種技術，大致是如何實現(xiàn)的，以便發(fā)現(xiàn)問題。4.2模塊協(xié)作描述模塊間如何協(xié)同運作的，以便發(fā)現(xiàn)問題。4.3系統(tǒng)定

7、級安全設計描述系統(tǒng)應該具有的安全級別，以及達到此安全等級的所采用的技術。4.4隱通道本來受安全策略限制不能進行通信的實體，利用可執(zhí)行的操作的副作用而實現(xiàn)通信。4.5認證不充分只有分配有足夠權限訪問的操作進程才可以訪問和操作相應的進程，攻擊者同城會采取一些攻擊獲權限而執(zhí)行一些非法操作，使得系統(tǒng)不可靠。在設計中，需加強訪問孔子，確保操作都經過相應的授權認證允許。4.6緩沖區(qū)溢出緩沖區(qū)是分配的一段大小確定的內存空間，是內存中用來存放數據的地方