软件项目安全保障体系

1、,、软件项目安全保障体系1.1安全建设原则系统安全保障体系涉及到整个工程的各个层次，网络和信息安全的建设应该遵循以下原则：1）整体安全信息化是一个复杂的工程，必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节， 综合 使用各层次 的各种安全手段，为信息网络和业务应用系统提供全方位的安全服务。2）有效管理系统所提供的各种安全服务，涉及到各个层次、多个实 体和 各种安全技术，只有有效的安全管理（如密钥定期更新、防火墙监 控、审计日志的分析等），才能保证这些安全控制机制真正有效地 发挥作用。3）合理折衷在系统建设中，安全与投资、系统性能、易用性、管理的复杂 性都是矛盾的，安全保障

2、体系的建设应该在以上四个方面找到一个合理的折衷点，在可接受的风险范围内，以最 小的投资换取最大 的安全性，同时不因使用和管理的复杂而影响整个系统的快速反应和高效运行的总体目标。4）适应一致安全管理模式应该尽量与行业核心需求相一致，既要保证行业上下级之间的统一领导、 统一管理，同时又给基层单 位以足够的 灵活性，以保障业务系统的高效运行。5）综合治理各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考O1.2 安全管理体系包括安全管理机构、安全管理人员、安全管理制度、安 全管 理策略的设计。主要安全制度：人员安全管理制度、操作安全管理 制度

3、、场地与设施安全管理制度、设备安全使用管理制度、操作系 统和数据库安全管理制度、运行日志安全管理、备份安全管理、异 常情况管理、系统安全恢复管理、安全软件版本管理制度、技术文 档安全管理制度、应急管理制度、审计管理制度、运行维护安全规 定、第三方服务商的安全管理、对系统安全状况的定期评估策略、 技术文档报废管理制度。1.3 安全管理规范安全规范主要涵盖为系统平台建设提供各种安全保障的技术和管理方面的标准规范，其中包括为建设项目的网络 系统、应用系 统、关键数据、备份系统等提供安全保障的各 种技术标准和规范， 以及对建设项目的网络系统、 应用系统、关键数据、容灾备份和重大突发事件等进行有效管理，

4、以达到安全目的的各种管理标准和规范。1.4 数据安全保障措施1.4.1 数据库安全保障数据库系统存储着全部资料数据，是安全保障系统的核心。其安全性是各应用系统稳定运行的关键。我们在数据传输过程采取加密等安全措施，保证数据传输过程的安全性、稳定性和保密性。数据库的安全威胁集中体现在：系统认证：口令强度不够，过期帐号，登录攻击等；系统授权：权限设置不当，登录时间超时等；系统完整性：系统文件受到恶意修改，本身存在安全漏 洞等。同时考虑到计算机安全性的三个方面，即完整性、保密 性和 可用性，与数据库管理系统都有关系。因此数据库安全可以从以下 几个方面考虑：(1)物理上的数据库完整性预防数据库数据物理方

5、面的问题；如掉电以及当被灾祸破坏后能重构数据库。(2)逻辑上的数据库完整性保持数据的结构。比如：一个字段的值的修改不至于影响其他字段。(3)元素的完整性包含在每个元素中的数据是准确的。(4)可审计性能够追踪到谁访问修改过数据的元素。(5)用户身份认证确保每个用户身份被正确地识别，既便于审计追踪也为了限制对特定的数据进行访问。(6)访问控制允许用户只访问被允许的数据，以及限制不同的用户有不同的访问权限，如读或写。(6)可获(用)性用户应该可以访问所有被允许访问的数据。(7)数据库数据的备份提供数据库的增量备份功能，以便数据库可以及时恢复，保证数据库中的数据确实有效，防止错误的发生。(1)网络安全

6、防护体系建设要求网络安全防护体系建设包括：1)防火墙系统：技术指标、防火墙设备配置要求；2)加密系统：设备配置要求； 3)防 病毒系 统：功能与设备配置要求；4)防篡改系统：功能与设 备配置要求； 5)抗拒绝服务系统：拒绝服务攻击的分类、服务系统功能要求。6)网络管理系统：功能与设备配置要求。该标准类别为综合信息系统平台建设项目标准。(2)网络安全评估体系建设要求网络安全评估体系建设包括：1)系统评估机制；2)全面风险评估机制；3)实体与环境安全；4)组织管理与安全制度；5)安全技术措施；6)系统操作日志；7)网络与通信安全；该标准类别为综合信息系统平台建设项目标准。(3)网络与应用系统安全审

7、计要求主要规定综合信息系统平台建设项目网络与应用系统安全审计要求，包括入侵检测系统功能与设备配置要求、 安全审计系统的 功能与系统配置要求、安全监管系统功能与系统配置要求。该标准 类别为综合信息系统平台建设项目标准。(4)应用系统的授权与访问控制策略主要规定综合信息系统平台建设项目应用系统的授权与访问控制策略，主要包括自主访问控制、 强制访问控制和 基于角色的访问控制方面的策略。该标准类别为综合信息系统平台建设项目标 准。(5)应用系统关键数据安全技术要求应用系统关键数据安全技术要求主要包括：1）身份鉴别：用户标识、用户鉴别；2）自主访问控制：访问操作、访问规 则、授 权传播限制；3）标记与强

8、制访问控制：标记、强制访问控制、访问控制粒度及特点；4）安全审计；5）隐蔽信道；6）可信路径； 7）数据可信恢复。该标准类别为综合信息系统平台建设项目标准。（6）系统容灾备份建设要求本标准主要从灾难恢复规划的管理、灾难恢复的需求分析、灾 难恢 复等级的确定、灾难恢复等级的实现、 灾难恢复预案的 制订、落实 和管理等方面，对灾难恢复的规划和准备活动的规范化要求进行全面描述。包括信息系统的灾难恢复工作、灾难恢复规划和灾难备份中心的日常运行、灾难发生后的应 急响应、关键业务功能在灾难 备份中心的恢复和重续运行，以及主系统的灾后重建和回退工作。该标准类别为综合信息系统平台建设项目标准。（7）安全管理要

9、求主要规定综合信息系统平台建设项目信息系统安全管理方面的要求，主要包括：安全管理体系、安全策略、安全 管理机构的职 责、建立动态安全体系结构、安全与协作关系、 应急处理、网络信 息安全通报制度、灾难环境下的业务持续、安全培训制度等。该标 准类别为综合信息系统平台建设项目 标准。（8）重大突发事件应急管理指南主要内容包括：信息安全事件的术语、分类、分级定义；重大信息安全事件的应急响应组织体系；重大信息安全事件的监测和预警；报告和通告；重大信息安全事件的应急响应；重大信息安全事件的后期处置；重大信息安全事件的应急保 障；重大信息安全 事件的应急响应过程中所需的文档模版。该标准类别为综合信息系统平台

10、建设项目标准。1.4.3操作系统安全保障操作系统是业务和关键信息的主要承载体。对主机系统的保护成为网络安全防御中的重点之一。多数的网络攻击和入侵目标是网络中的主机系统。根据安全建设的要求，对提供公开服务的主机操作系统应满足用户身份认证机制、自主访问控制、审计、保证数据 完整性以及 可用性的要求。(1)身份认证机制管理员为系统中的每个用户都设置了一个安全级范围，表示用户的安全等级，系统除进行身份和口令的判别外， 还 进行安全级 判别，以保证进入系统的用户具有合法的身份标 识和安全级标识。(2)自主访问控制用于进行按用户意愿的访问控制。基于这种机制，用户 可以 说明其私人资源允许系统中哪个(些)用

11、户以何种权限 进行共享。主机系统应具有访问控制表(ACL, AccessControlList )形式的自主访问控制，使用户可 以说明系统中每个用户、 每组用户对其 私有资源的访问方式。系统中的每个文件、消息列队、信号量集合、共享存储区、目录、特别文件和管道都可以具有一个ACL,说 明允许系统中用户对该资源的访问方式。（3）审计用于监视和记录系统中有关安全性的活动。系统管理员可以有选择地设置哪些用户、哪些操作（命令或系统调用）、对哪些敏感信息的访问等需要审计， 这些事件就会在系统中 留下痕迹，事件 的类型、用户的身份、操作的时间、参数和状态等构成一个审计记 录记入审计日志。这样，系统管理员 就

12、可以根据审计日志， 检查系 统中有无危害安全性的活动。（4）数据完整性主要是主机操作系统数据在存储和处理过程中是否保 持一致, 系统的进程是否出现异常。（5）可用性主机操作系统可用性特性包括：1）事件管理：能够访问关键事件信息，用于管理和调 节系统， 从而加快问题诊断的速度。2）动态调节：要求系统运行期间进行调节，从而使正 常运行 时间和可用性都达到了最大限度。3）路径可选：为每个存储设备或网络设备均提供多条路径，从而消除了单点故障并提高了可用性。4）多用户路径：支持在系统不停机的情况下安装补丁，进而提高了正常运行时间和可用性。5）动态内存隔离：系统能够隔离出现故障的内存，从 而减少了计划外的

13、停机时间6）对操作系统这一层次需要功能全面、智能化的检测 ，以帮 助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份和妥善保存。随时留意系统文件的变化。为了加强主机系统的安全，还应采用基于主机的入侵检测技术。系统入侵检测技术监控主机的系统事件， 从中检测 出攻击的可 疑特征，并给出响应和处理。另外，为了保证重要部门信息安全，防止因通用操作系统存在漏洞而引起信息泄漏、 病毒及黑客攻击，建议可采用 国内自主版 权的安全操作系统。1.4.4病毒防治病毒的防范是信息网络系统安全建设中的重要环

14、节。系统的防病毒措施主要包括管理和技术两个方面。管理方面采取的措施包括集中控制，分级管理，采取多重防护措施来查、杀、防病毒。在技术上，对于一个大规模的网络系统来说，则要从网络的各个层 次、各个方面来防杀病毒，构成网络防病毒体系。包括对工作站的 磁盘、可移动磁盘、光盘以及网 络所收发文件和邮件的防护， 对文 件服务器的网络共享文件的防护，对邮件服务器中的邮件附件病毒的防护等。它应该 对网络中运行在不同操作系统平台上的不同 版本的防病毒 软件进行集中统一管理。集中管理包括下面五个方面：(1)集中安装，统一策略配置，分组管理通过网络大面积集中安装防病毒软件是非常重要的，统一策略配置可使网络中的防病毒

15、软件具有相同的配置，使得全网具有一致的安全防范水平。分组管理则应根据网络中不 同部门、不同地 域防病毒工作的实际情况， 分组设置不同的 管理模式，以满足不同(2)集中定期检查，远程控制上级部门应定期检查下级单位的防病毒工作，发现问题后，及时通过网络进行远程控制(慎用)。(3)及时升级防病毒软件网络防病毒软件升级包括两步：第一步是及时获取防病毒厂商的病毒升级库，第二步是尽快将病毒升级库分发到所有工作站上，保证全网的统一升级。(4)病毒事件报警，应急响应，综合日志分析，疫情通 报当网络中检测到病毒时，防病毒软件除了要进行相应的 处理， 防止病毒进一步传播外，还应能够将有关信息通知管理员，对病毒 情

16、况进行通报，使管理员能够及时掌握网络当 前的安全状况，并及 时安排下一步防病毒工作。(5)单机(包括手提电脑)管理网络中还存在部分未联入网络的电脑和不经常联入网络的手提电脑，对于这些流动电脑的管理也是非常重要的。 除了在制度上 规范操作人员的行为外， 还应在技术上采取一 定措施，加强管理。1.5 安全保障措施L5.1实名认证保障系统登录用户进行实名注册和认证，结合第三方支付平台的实名认证系统，在很大程度上避免了交易欺诈的发生，令公众使用网上支付更有信心。同时我们对交易行为进行详细的记录，从而防止交易中可能出现的纠纷问题，并为其提 供相应的证据。1.5.2 接口安全保障选择拦截过滤器，在请求的时

17、候对请求方法进行一次拦截处理，在拦截中进行一次安全校验保证请求不是非法请求。过滤器有四种拦截方式分别是：REQUEST. FORWARD. INCLUDE.ERRORoREQUEST直接访问目标资源时执行过滤器。包括：在地址栏中直接访问、表单提交、超链接、重定向，只要在地址栏中可以 看到目标资 源的路径，就是REQUESTFORWAR D转发访问执行过滤器。包括RequestDispatcher#forward() 方法，vjsp:forward) 标签都 是转发访问；INCLUDE包含访问执行过滤器。包括RequestDispatcherSinclude() 方法，vjsp: include

18、 标签都 是包含访问；ERRO R 当目标资源在 web. xml中配置为error-page 中时，并且真的出现了异常，转发到目标资源时，会执行过滤器。1.5.3 加密传输保障对客户端和服务端都对数据传输的时候进行加密处理。采用的加密方法有 MD5 RSA AES等。MD5即 Message-DigestAlgorithm5 (信息-摘要算法 5),用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一（又译摘要算法、哈希算法），主流编程语言普遍已有 MD5实现。 将数据（如汉字）运算为另一固定长度值，是杂凑算法的基础原理，MD5勺前身有加2、MD竽口 MD4MD51法具有以下特点：1、压缩性：任意长度的数据，算出的MD5直长度都是固 定的。2、容易计算：从原数据计算出 MD5直很容易。3、抗修改性：对原数据进行任何改动，哪怕只修改1个 字节， 所得到的MD5直都有很大区别。4、强抗碰撞：已知原数据和其 MD5直，想找到一个具有 相同 MD5直的数据（即伪造数据）是非常困难的。RSA之所以叫RSAI法，是因为算法的三位发明者 RSA是目 前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准，主要的算法原理就不多加介绍，如果对此感兴趣的话，建议去百度一下 RSA算法。需要了解的是 RSAI法属于非对 称加密算法，