软件项目安全保障体系

一、软件项目安全保障体系
1.1安全建设原则
系统安全保障体系涉及到整个工程的各个层次，网络和信息安全的建设应该遵循以下原则：
1）整体安全
信息化是一个复杂的工程，必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和业务应用系统提供全方位的安全服务。

2）有效管理
系统所提供的各种安全服务，涉及到各个层次、多个实体和各种安全技术，只有有效的安全管理（如密钥定期更新、防火墙监控、审计日志的分析等），才能保证这些安全控制机制真正有效地发挥作用。

3）合理折衷
在系统建设中，安全与投资、系统性能、易用性、管理的复杂性都是矛盾的，安全保障体系的建设应该在以上四个方面找到一个合理的折衷点，在可接受的风险范围内，以最小的投资换取最大的安全性，同时不因使用和管理的复杂而影响整个系统的快速反应和高效运行的总体目标。

4）适应一致
安全管理模式应该尽量与行业核心需求相一致，既要保证行业上下级之间的统一领导、统一管理，同时又给基层单位以足够的灵活性，以保障业务系统的高效运行。

5）综合治理
各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。

1.2安全管理体系
包括安全管理机构、安全管理人员、安全管理制度、安全管理策略的设计。

主要安全制度：人员安全管理制度、操作安全管理制度、场地与设施安全管理制度、设备安全使用管理制度、操作系统和数据库安全管理制度、运行日志安全管理、备份安全管理、异常情况管理、系统安全恢复管理、安全软件版本管理制度、技术文档安全管理制度、应急管理制度、审计管理制度、运行维护安全规定、第三方服务商的安全管理、对系统安全状况的定期评估策略、技术文档报废管理制度。

1.3安全管理规范
安全规范主要涵盖为系统平台建设提供各种安全保障的技术和管理方面的标准规范，其中包括为建设项目的网络系统、应用系统、关键数据、备份系统等提供安全保障的各种技术标准和规范，以及对建设项目的网络系统、应用系统、关键数据、容灾备份和重大突发事件等进行有效管理，以达到安全目的的各种管理标准和规范。

1.4数据安全保障措施
1.4.1数据库安全保障
数据库系统存储着全部资料数据，是安全保障系统的核心。

其安全性是各应用系统稳定运行的关键。

我们在数据传输过程采取加密等安全措施，保证数据传输过程的安全性、稳定性和保密性。

数据库的安全威胁集中体现在：系统认证：口令强度不够，过期帐号，登录攻击等；
系统授权：权限设置不当，登录时间超时等；
系统完整性：系统文件受到恶意修改，本身存在安全漏洞等。

同时考虑到计算机安全性的三个方面，即完整性、保密性和可用性，与数据库管理系统都有关系。

因此数据库安全可以从以下几个方面考虑：
（1）物理上的数据库完整性
预防数据库数据物理方面的问题；如掉电以及当被灾祸破坏后能重构数据库。

（2）逻辑上的数据库完整性
保持数据的结构。

比如：一个字段的值的修改不至于影响其他字段。

（3）元素的完整性
包含在每个元素中的数据是准确的。

（4）可审计性
能够追踪到谁访问修改过数据的元素。

（5）用户身份认证
确保每个用户身份被正确地识别，既便于审计追踪也为了限制对特定的数据进行访问。

（6）访问控制
允许用户只访问被允许的数据，以及限制不同的用户有不同的访问权限，如读或写。

（6）可获（用）性
用户应该可以访问所有被允许访问的数据。

（7）数据库数据的备份
提供数据库的增量备份功能，以便数据库可以及时恢复，保证数据库中的数据确实有效，防止错误的发生。

1.4.2网络安全保障
（1）网络安全防护体系建设要求
网络安全防护体系建设包括：1）防火墙系统：技术指标、防火墙设备配置要求；2）加密系统：设备配置要求；3）防病毒系统：功能与设备配置要求；4）防篡改系统：功能与设备配置要求；5）抗拒绝服务系统：拒绝服务攻击的分类、服务系统功能要求。

6）网络管理系统：功能与设备配置要求。

该标准类别为综合信息系统平台建设项目标准。

（2）网络安全评估体系建设要求
网络安全评估体系建设包括：
1）系统评估机制；
2）全面风险评估机制；
3）实体与环境安全；
4）组织管理与安全制度；
5）安全技术措施；
6）系统操作日志；
7）网络与通信安全；
8）软件与信息安全。

该标准类别为综合信息系统平台建设项目标准。

（3）网络与应用系统安全审计要求
主要规定综合信息系统平台建设项目网络与应用系统安全审计要求，包括入侵检测系统功能与设备配置要求、安全审计系统的功能与系统配置要求、安全监管系统功能与系统配置要求。

该标准类别为综合信息系统平台建设项目标准。

（4）应用系统的授权与访问控制策略
主要规定综合信息系统平台建设项目应用系统的授权与访问控制策略，主要包括自主访问控制、强制访问控制和基于角色的访问控制方面的策略。

该标准类别为综合信息系统平台建设项目标准。

（5）应用系统关键数据安全技术要求
应用系统关键数据安全技术要求主要包括：1）身份鉴别：用户标识、用户鉴别；2）自主访问控制：访问操作、访问规则、授权传播限制；3）标记与强制访问控制：标记、强制访问控制、访问控制粒度及特点；4）安全审计；5）隐蔽信道；6）可信路径；7）数据可信恢复。

该标准类别为综合信息系统平台建设项目标准。

（6）系统容灾备份建设要求本标准
主要从灾难恢复规划的管理、灾难恢复的需求分析、灾难恢复等级的确定、灾难恢复等级的实现、灾难恢复预案的制订、落实和管理等方面，对灾难恢复的规划和准备活动的规范化要求进行全面描述。

包括信息系统的灾难恢复工作、灾难恢复规划和灾难备份中心的日常运行、灾难发生后的应急响应、关键业务功能在灾难备份中心的恢复和重续运行，以及主系统的灾后重建和回退工作。

该标准类别为综合信息系统平台建设项目标准。

（7）安全管理要求
主要规定综合信息系统平台建设项目信息系统安全管理方面的要求，主要包括：安全管理体系、安全策略、安全管理机构的职责、建立动态安全体系结构、安全与协作关系、应急处理、网络信息安全通报制度、灾难环境下的业务持续、安全培训制度等。

该标准类别为综合信息系统平台建设项目标准。

（8）重大突发事件应急管理指南
主要内容包括：信息安全事件的术语、分类、分级定义；重大信息安全事件的应急响应组织体系；重大信息安全事件的监测和预警；报告和通告；重大信息安全事件的应急响应；重大信息安全事件的后期处置；重大信息安全事件的应急保障；重大信息安全事件的应急响应过程中所需的文档模版。

该标准类别为综合信息系统平台建设项目标准。

1.4.3操作系统安全保障
操作系统是业务和关键信息的主要承载体。

对主机系统的保护成为网络安全防御中的重点之一。

多数的网络攻击和入侵目标是网络中的主机系统。

根据安全建设的要求，对提供公开服务的主机操作系统应满足用户身份认证机制、自主访问控制、审计、保证数据完整性以及可用性的要求。

（1）身份认证机制
管理员为系统中的每个用户都设置了一个安全级范围，表示用户的安全等级，系统除进行身份和口令的判别外，还进行安全级判别，以保证进入系统的用户具有合法的身份标识和安全级标识。

（2）自主访问控制
用于进行按用户意愿的访问控制。

基于这种机制，用户可以说明其私人资源允许系统中哪个（些）用户以何种权限进行共享。

主机系统应具有访问控制表（ACL,AccessControlList）形式的自主访问控制，使用户可以说明系统中每个用户、每组用户对其私有资源的访问方式。

系统中的每个文件、消息列队、信号量集合、共享存储区、目录、特别文件和管道都可以具有一个ACL，说明允许系统中用户对该资源的访问方式。

（3）审计
用于监视和记录系统中有关安全性的活动。

系统管理员可以有选择地设置哪些用户、哪些操作（命令或系统调用）、对哪些敏感信息的访问等需要审计，这些事件就会在系统中留下痕迹，事件的类型、用户的身份、操作的时间、参数和状态等构成一个审计记录记入审计日志。

这样，系统管理员就可以根据审计日志，检查系统中有无危害安全性的活动。

（4）数据完整性
主要是主机操作系统数据在存储和处理过程中是否保持一致，系统的进程是否出现异常。

（5）可用性
主机操作系统可用性特性包括：
1) 事件管理：能够访问关键事件信息，用于管理和调节系统，从而加快问题诊断的速度。

2) 动态调节：要求系统运行期间进行调节，从而使正常运行时间和可用性都达到了最大限度。

3) 路径可选：为每个存储设备或网络设备均提供多条路径，从而消除了单点故障并提高了可用性。

4) 多用户路径：支持在系统不停机的情况下安装补丁，进而提高了正常运行时间和可用性。

5) 动态内存隔离：系统能够隔离出现故障的内存，从而减少了计划外的停机时间。

6) 对操作系统这一层次需要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。

系统管理员要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份和妥善保存。

随时留意系统文件的变化。

为了加强主机系统的安全，还应采用基于主机的入侵检测技术。

系统入侵检测技术监控主机的系统事件，从中检测出攻击的可疑特征，并给出响应和处理。

另外，为了保证重要部门信息安全，防止因通用操作系统存在漏洞而引起信息泄漏、病毒及黑客攻击，建议可采用国内自主版权的安全操作系统。

1.4.4病毒防治
病毒的防范是信息网络系统安全建设中的重要环节。

系统的防病毒措施主要包括管理和技术两个方面。

管理方面采取的措施包括集中控制，分级管理，采取多重防护措施来查、杀、防病毒。

在技术上，对于一个大规模的网络系统来说，则要从网络的各个层次、各个方面来防杀病毒，构成网络防病毒体系。

包括对工作站的磁盘、可移动磁盘、光盘以及网络所收发文件和邮件的防护，对文件服务器的网络共享文件的防护，对邮件服务器中的邮件附件病毒的防护等。

它应该对网络中运行在不同操作系统平台上的不同版本的防病毒软件进行集中统一管理。

集中管理包括下面五个方面：
（1）集中安装，统一策略配置，分组管理
通过网络大面积集中安装防病毒软件是非常重要的，统一策略配置可使网络中的防病毒软件具有相同的配置，使得全网具有一致的安全防范水平。

分组管理则应根据网络中不同部门、不同地域防病毒工作的实际情况，分组设置不同的管理模式，以满足不同需求。

（2）集中定期检查，远程控制
上级部门应定期检查下级单位的防病毒工作，发现问题后，及时通过网络进行远程控制（慎用）。

（3）及时升级防病毒软件
网络防病毒软件升级包括两步：第一步是及时获取防病毒厂商的病毒升级库，第二步是尽快将病毒升级库分发到所有工作站上，保证全网的统一升级。

（4）病毒事件报警，应急响应，综合日志分析，疫情通报
当网络中检测到病毒时，防病毒软件除了要进行相应的处理，防止病毒进一步传播外，还应能够将有关信息通知管理员，对病毒情况进行通报，使管理员能够及时掌握网络当前的安全状况，并及时安排下一步防病毒工作。

（5）单机（包括手提电脑）管理
网络中还存在部分未联入网络的电脑和不经常联入网络的手提电脑，对于这些流动电脑的管理也是非常重要的。

除了在制度上规范操作人员的行为外，还应在技术上采取一定措施，加强管理。

1.5安全保障措施
1.5.1实名认证保障
系统登录用户进行实名注册和认证，结合第三方支付平台的实名认证系统，在很大程度上避免了交易欺诈的发生，
令公众使用网上支付更有信心。

同时我们对交易行为进行详细的记录，从而防止交易中可能出现的纠纷问题，并为其提供相应的证据。

1.5.2接口安全保障
选择拦截过滤器，在请求的时候对请求方法进行一次拦截处理，在拦截中进行一次安全校验保证请求不是非法请求。

过滤器有四种拦截方式分别是：REQUEST、FORWARD、INCLUDE、ERROR。

REQUEST：
直接访问目标资源时执行过滤器。

包括：在地址栏中直接访问、表单提交、超链接、重定向，只要在地址栏中可以看到目标资源的路径，就是REQUEST；
FORWARD：
转发访问执行过滤器。

包括RequestDispatcher#forward()方法，<jsp:forward>标签都是转发访问；
INCLUDE：
包含访问执行过滤器。

包括RequestDispatcher#include()方法，<jsp:include>标签都是包含访问；
ERROR：
当目标资源在web.xml中配置为<error-page>中时，并且真的出现了异常，转发到目标资源时，会执行过滤器。

1.5.3加密传输保障
对客户端和服务端都对数据传输的时候进行加密处理。

采用的加密方法有MD5、RSA、AES等。

MD5，即Message-DigestAlgorithm5（信息-摘要算法5），用于确保信息传输完整一致。

是计算机广泛使用的杂凑算法之一（又译摘要算法、哈希算法），主流编程语言普遍已有MD5实现。

将数据（如汉字）运算为另一固定长度值，是杂凑算法的基础原理，MD5的前身有MD2、MD3和MD4。

MD5算法具有以下特点：
1、压缩性：任意长度的数据，算出的MD5值长度都是固定的。

2、容易计算：从原数据计算出MD5值很容易。

3、抗修改性：对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值都有很大区别。

4、强抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值的数据（即伪造数据）是非常困难的。

RSA，之所以叫RSA算法，是因为算法的三位发明者RSA 是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准，主要的算法原理就不多加介绍，如果对此感兴趣的话，
建议去百度一下RSA算法。

需要了解的是RSA算法属于非对称加密算法，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。

公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。

因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

简单的说是“公钥加密，私钥解密；私钥加密，公钥解密”。

AES，高级加密标准（英语：AdvancedEncryptionStandard，缩写：AES），在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。

这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。

经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPSPUB197，并在2002年5月26日成为有效的标准。

2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。

1.5.4终端安全保障
终端安全与每个系统用户相联系，提供数据逻辑性和有效性的自动校验功能，对用户输入信息进行安全检查，降低SQL注入等数据安全风险。

通过加强内部安全管理以提高终端用户的安全意识；通过加强制度建设，规范和约束终端用
户的操作行为；通过内部审计软件部署审计规则，对用户终端系统本身和操作行为进行控制和审计，做到状态可监控，过程可跟踪，结果可审计。

从而在用户终端层面做到资金安全保障。