应用系统开发安全管理规定.docx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《应用系统开发安全管理规定.docx》由用户(最好的沉淀)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 应用 系统 开发 安全管理 规定
- 资源描述:
-
1、应用系统开发安全管理规定第一章 总则第一条 制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度旨在提高IT项目信息安全建设质量,加强IT项目建设安全管理工作。第二条 适用范围:本制度适用于所有TCP/IP网络IT建设项目,主要用于IT项目立项过程中方案设计、规划的安全要求参考。第三条 使用人员及角色职责:本制度适用于全体人员。第二章 应用系统的安全要求第四条 为了规避应用系统中的用户数据丢失、修改和误用,应用系统应设计有适当的控制措施、审计跟踪记录或活动日志。第五条 针对用以
2、处理敏感、脆弱或关键资产的系统,或者对此类资产有 影响的系统,还应根据风险评估的结果确定安全要求,并采取额外的控制措施。第六条 为了保证系统的安全性,必须在开发过程中对输入到应用系统中的数据进行严格的检查,以确保其正确性及适用性,避免无效数据对系统造成危害。第七条 对输入数据的验证一般通过应用系统本身来实现,并应在系统开发中实现输入数据验证功能。第八条 系统应采取有效的验证检查措施来检测故意破坏数据的行为,并在应用系统设计时引入数据处理控制,尽可能地减小破坏数据完整性的几率。可以采用的控制措施如下:(一) 应用系统不应在程序或进程中固化帐户和口令;(二) 系统应具备对口令猜测的防范机制和监控手
3、段;(三) 避免应用程序以错误的顺序运行,或者防止出现故障时后续程序以不正常的流程运行;(四) 采用正确的故障恢复程序,确保正确处理数据;(五) 采取会话控制或批次控制,确保更新前后数据文件的一致性; (六) 检查执行操作前后对象的差额是否正常;(七) 严格验证系统生成的数据;(八) 检查文件与记录是否被篡改。例如通过计算哈希值(HASH)进行对比。第九条 应用系统的输出数据应当被验证,以确保数据处理的正确性与合理性。第十条 应用系统正式上线前,需要对其数据库系统、主机操作系统、中间件进行安全加固,并在主管负责人批准后方可上线运营。第三章 系统文件的安全第十一条 为了最大限度地降低操作系统遭受
4、破坏的风险,应考虑采取如下控制措施:(一) 程序运行库(operational program libaries)的升级只能由指定的程序库管理员在获取授权后予以完成;(二) 操作系统应尽可能只保留应用程序的可执行代码;(三) 在系统测试、用户验收结束之前,及相应的程序源代码库升级之前,可执行代码不得在操作系统中运行;(四) 程序运行库的所有更新记录都应当予以保留;(五) 历史版本的软件应当予以保留,用作应急措施。第十二条 应对系统测试数据加以保护和控制,并避免使用含有个人隐私或敏感信息的数据去测试系统,确保测试数据的普遍性。第十三条 为降低系统程序遭受破坏的可能性,应严格控制对系统源代码的访问
5、,具体控制措施如:(一) 源代码尽量不要保留在操作系统内;(二) 为每个系统指定程序库管理员;(三) 控制系统支持人员对程序源代码库的访问;(四) 处于开发和测试阶段的程序不得保留于程序源代码库中;(五) 程序源代码库的更新及发布只能由指定的程序库管理员在经过该应用的主管领导授权后实施;(六) 程序清单应当保存在安全环境中;(七) 对程序源代码库的所有访问都应保留审计日志;(八) 老版本的源程序应当归档,并清楚记录其被正式使用的确切日期和具体时间,及所有相关的支持软件、功能说明、数据定义和程序(如流程图)等;第十四条 程序源代码库的维护和拷贝应当遵从严格的变更控制程序。第十五条 各职能管理部门
展开阅读全文