doc-某石油天然氣股份公司應(yīng)用系統(tǒng)開發(fā)安全管理通則(doc39)-石油化工

X信息安全標(biāo)準(zhǔn)編號(hào)某石油天然氣股份公司應(yīng)用系統(tǒng)開發(fā)安全管理通則前言隨著X天然氣股份有限公司（以下簡(jiǎn)稱“X”）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到X的廣泛關(guān)注，本規(guī)范是依據(jù)X信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合X自身的應(yīng)用特點(diǎn)，制定的適合于X信息安全的標(biāo)準(zhǔn)與規(guī)范。目標(biāo)在于通過在X范圍內(nèi)建立信息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提高X信息安全的技術(shù)和管理能力。信息技術(shù)安全總體框架如下區(qū)域安全管理規(guī)范機(jī)房安全管理規(guī)范硬件設(shè)備管理規(guī)范網(wǎng)絡(luò)安全管理規(guī)范通用安全管理標(biāo)準(zhǔn)數(shù)據(jù)和文檔安全管理規(guī)范應(yīng)用系統(tǒng)使用安全管理標(biāo)準(zhǔn)通則應(yīng)用系統(tǒng)開發(fā)安全管理標(biāo)準(zhǔn)通則商業(yè)軟件購(gòu)買管理標(biāo)準(zhǔn)電子郵件安全管理規(guī)范WEB系統(tǒng)安全管理規(guī)范電子商務(wù)安全規(guī)范防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范信息安全技術(shù)標(biāo)準(zhǔn)物理環(huán)境安全管理硬件設(shè)備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應(yīng)用系統(tǒng)安全管理網(wǎng)絡(luò)安全管理概述通用網(wǎng)絡(luò)安全管理規(guī)范內(nèi)部網(wǎng)絡(luò)安全管理規(guī)范外部網(wǎng)絡(luò)安全管理規(guī)范認(rèn)證管理通用標(biāo)準(zhǔn)通用安全管理標(biāo)準(zhǔn)概述授權(quán)管理通用標(biāo)準(zhǔn)加固管理通用標(biāo)準(zhǔn)加密管理通用標(biāo)準(zhǔn)日志管理通用標(biāo)準(zhǔn)系統(tǒng)登陸管理通用標(biāo)準(zhǔn)操作系統(tǒng)安全管理規(guī)范1）整體信息技術(shù)安全架構(gòu)從邏輯上共分為7個(gè)部分，分別為物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。圖中帶陰影的方框中帶書名號(hào)的為單獨(dú)成冊(cè)的部分，共有13本規(guī)范和1本通用標(biāo)準(zhǔn)。2）對(duì)于13個(gè)規(guī)范中具有一定共性的內(nèi)容我們整理出了7個(gè)標(biāo)準(zhǔn)橫向貫穿整個(gè)架構(gòu)，這7個(gè)標(biāo)準(zhǔn)的組合也依據(jù)了信息安全生命周期的理論模型。每個(gè)標(biāo)準(zhǔn)都會(huì)對(duì)所有的規(guī)范中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個(gè)標(biāo)準(zhǔn)應(yīng)用在不同的規(guī)范中又會(huì)有相應(yīng)不同的具體的內(nèi)容。我們?cè)谛形纳蠈⑦@7個(gè)標(biāo)準(zhǔn)組合成一本通用安全管理標(biāo)準(zhǔn)單獨(dú)成冊(cè)。3）全文以信息安全生命周期的方法論作為基本指導(dǎo)，規(guī)范和標(biāo)準(zhǔn)的內(nèi)容基本都根據(jù)預(yù)防保護(hù)檢測(cè)跟蹤響應(yīng)恢復(fù)的理論基礎(chǔ)行文。本通則討論了在企業(yè)內(nèi)部自行開發(fā)一套應(yīng)用系統(tǒng)或外包開發(fā)所必須考慮到的幾個(gè)步驟，開發(fā)應(yīng)用系統(tǒng)的安全性考慮就好像建設(shè)樓房一樣，擁有越堅(jiān)固的地基樓房越是穩(wěn)定，因此應(yīng)用系統(tǒng)在開發(fā)階段打好堅(jiān)實(shí)的安全基礎(chǔ)，那么以后的日常維護(hù)工作就會(huì)很輕松。以下我們主要從系統(tǒng)開發(fā)的各個(gè)階段入手，考慮在標(biāo)準(zhǔn)的開發(fā)流程的各個(gè)階段中要注意的安全方面的考慮。本規(guī)范由X天然氣股份有限公司發(fā)布。本規(guī)范由X天然氣股份有限公司科技與信息管理部歸口管理解釋。起草部門X制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。說明在X信息安全標(biāo)準(zhǔn)中涉及以下概念組織機(jī)構(gòu)X（PETROCHINA）指X天然氣股份有限公司有時(shí)也稱“股份公司”。集團(tuán)公司（CNPC）指X天然氣集團(tuán)公司有時(shí)也稱“存續(xù)公司”。為區(qū)分X的地區(qū)公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。如遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。計(jì)算機(jī)網(wǎng)絡(luò)X信息網(wǎng)（PETROCHINANET）指X范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。X信息網(wǎng)是在X天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行擴(kuò)充與提高所形成的連接X所屬各個(gè)單位計(jì)算機(jī)局域網(wǎng)和園區(qū)網(wǎng)。集團(tuán)公司網(wǎng)絡(luò)（CNPCNET）指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。X的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。主干網(wǎng)是從X總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括X總部局域網(wǎng)、各個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。有些單位通過撥號(hào)線路連接到X總部，不是利用專線，這樣的單位和所使用的遠(yuǎn)程信道不屬于X專用網(wǎng)主干網(wǎng)組成部分。地區(qū)網(wǎng)地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可以是專線，也可以是撥號(hào)線路。局域網(wǎng)與園區(qū)網(wǎng)局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個(gè)園區(qū)（例如大學(xué)校園、管理局基地等）內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建設(shè)的。二級(jí)單位網(wǎng)絡(luò)指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。專線與撥號(hào)線路從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。專線，指數(shù)字電路、幀中繼、DDN和ATM等經(jīng)常保持連通狀態(tài)的信道；撥號(hào)線路，指只在傳送信息時(shí)才建立連接的信道，如電話撥號(hào)線路或ISDN撥號(hào)線路。這些遠(yuǎn)程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺(tái)計(jì)算機(jī)。石油專網(wǎng)與公網(wǎng)石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱。最后一公里問題建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡(jiǎn)便，同稱為最后一公里問題。涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語和定義請(qǐng)參見X局域網(wǎng)標(biāo)準(zhǔn)。目錄11概述312目標(biāo)313規(guī)范的使用范圍414規(guī)范引用的文件或標(biāo)準(zhǔn)515術(shù)語和定義616應(yīng)用系統(tǒng)開發(fā)總體原則717系統(tǒng)需求收集和分析階段安全規(guī)范8171可行性研究分析8172開發(fā)人員安全管理機(jī)制10173建立系統(tǒng)開發(fā)安全需求分析報(bào)告1118系統(tǒng)設(shè)計(jì)階段的安全規(guī)范12181單點(diǎn)訪問控制，無后門。12182人員職責(zé)和權(quán)限的定義12183確保敏感系統(tǒng)的安全性12184確保訪問層的安全性12185確保日志管理機(jī)制健全12186新系統(tǒng)的容量規(guī)劃1319系統(tǒng)開發(fā)階段安全規(guī)范14191系統(tǒng)開發(fā)語言安全規(guī)范14192系統(tǒng)開發(fā)安全相關(guān)工具管理規(guī)范19193控制軟件代碼程序庫21194在軟件開發(fā)過程變更管理規(guī)范23195開發(fā)版本管理規(guī)范24196開發(fā)日志審核管理規(guī)范25197防御后門代碼或隱藏通道相關(guān)規(guī)范25110系統(tǒng)測(cè)試階段安全規(guī)范271101應(yīng)用系統(tǒng)的安全性檢測(cè)規(guī)范271102控制測(cè)試環(huán)境291103為測(cè)試使用真實(shí)的數(shù)據(jù)291104在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測(cè)試291105應(yīng)用系統(tǒng)安全質(zhì)量鑒定30111系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范311111新系統(tǒng)的培訓(xùn)311112撰寫新系統(tǒng)和系統(tǒng)改進(jìn)的文檔31112應(yīng)用系統(tǒng)開發(fā)外包安全控制32附錄1參考文獻(xiàn)33應(yīng)用系統(tǒng)開發(fā)安全管理通則應(yīng)用系統(tǒng)開發(fā)安全管理通則11概述信息系統(tǒng)的許多的安全控制或者是安全性是通過系統(tǒng)的開發(fā)設(shè)計(jì)予以實(shí)現(xiàn)的。因此如果在系統(tǒng)的開發(fā)設(shè)計(jì)階段沒有對(duì)系統(tǒng)的安全性給予充分的考慮，那么系統(tǒng)本身一定會(huì)存在許多先天不足，系統(tǒng)就會(huì)漏洞百出。為了確保應(yīng)用系統(tǒng)的安全，在應(yīng)用系統(tǒng)開發(fā)之前就應(yīng)當(dāng)對(duì)系統(tǒng)的安全要求有所確認(rèn)，并作為開發(fā)設(shè)計(jì)的階段的基礎(chǔ)予以落實(shí)。本規(guī)范主要規(guī)定了在系統(tǒng)開發(fā)的各個(gè)階段需要的各種安全規(guī)范，從可行性分析需求分析階段開始，到設(shè)計(jì)階段，再到開發(fā)階段和維護(hù)階段以及最后的文檔階段的系統(tǒng)開發(fā)的各個(gè)階段進(jìn)行闡述。將不同階段下需要注意的安全問題和相關(guān)的安全規(guī)范進(jìn)一步進(jìn)行描述和規(guī)定。12目標(biāo)本規(guī)范的目標(biāo)為保護(hù)應(yīng)用系統(tǒng)開發(fā)過程中的安全。具體地說就是保護(hù)應(yīng)用系統(tǒng)開發(fā)過程中免受未經(jīng)授權(quán)的訪問和更改，保護(hù)系統(tǒng)開發(fā)中系統(tǒng)軟件和信息的安全，確保開發(fā)項(xiàng)目的順利正確的實(shí)施并對(duì)開發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。同時(shí)確保應(yīng)用系統(tǒng)開發(fā)外包中的各項(xiàng)安全。從而進(jìn)一步保障X業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，保護(hù)X信息資產(chǎn)安全，即保護(hù)軟件及信息的完整性，維護(hù)信息處理設(shè)備及通訊服務(wù)的完整性及可用性，確保設(shè)備中的信息及相關(guān)基礎(chǔ)建設(shè)的安全，確保正確、安全操作信息處理設(shè)備，降低系統(tǒng)故障風(fēng)險(xiǎn)?？偠灾?，要防止對(duì)X經(jīng)營(yíng)環(huán)境及信息的未經(jīng)授權(quán)存取、破壞或干擾；防止中國(guó)信息資產(chǎn)受損及企業(yè)運(yùn)營(yíng)受影響；防止信息及信息處理設(shè)備泄露及被偷竊。13規(guī)范的使用范圍該套規(guī)范適用的范圍包括了整個(gè)應(yīng)用系統(tǒng)開發(fā)過程中的安全。包括了系統(tǒng)開發(fā)可行性和需求分析階段的安全，系統(tǒng)設(shè)計(jì)階段的安全，系統(tǒng)開發(fā)階段的安全，系統(tǒng)測(cè)試階段的安全，系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開發(fā)外包的安全規(guī)范。主要規(guī)定了應(yīng)用系統(tǒng)開發(fā)過程的安全保密，軟件的質(zhì)量的要求，系統(tǒng)和業(yè)務(wù)需求的符合性，保證敏感信息的安全，系統(tǒng)本身的穩(wěn)定性和兼容性問題。14規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。1建筑設(shè)計(jì)防火規(guī)范（GBJ1687）2高層民用建筑設(shè)計(jì)防火規(guī)范（GB5004597）3建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范（GB50222_95）4建筑防雷設(shè)計(jì)規(guī)范（GB50057）15術(shù)語和定義16應(yīng)用系統(tǒng)開發(fā)總體原則應(yīng)用系統(tǒng)的開發(fā)應(yīng)當(dāng)遵循一系列的總體原則，以確保開發(fā)過程中的安全。其中包括A系統(tǒng)開發(fā)需得到公司領(lǐng)導(dǎo)層的重視和參與。需要領(lǐng)導(dǎo)層組織開發(fā)力量，協(xié)調(diào)各方關(guān)系并在開發(fā)的過程中提供決策性的意見和建議。B系統(tǒng)開發(fā)應(yīng)當(dāng)從業(yè)務(wù)需求得角度出發(fā)，不得盲目追求系統(tǒng)先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。系統(tǒng)的開發(fā)是為了更高的滿足業(yè)務(wù)上的需要，而不是技術(shù)上的需要。C開發(fā)的方法和管理必須規(guī)范化、合理化、制度化。只有采用了規(guī)范化合理化制度化的開發(fā)管理方法，才能確保開發(fā)的質(zhì)量和進(jìn)度。D保證開發(fā)的進(jìn)度和按時(shí)完成。確保開發(fā)工作及時(shí)、有效且高質(zhì)量的完成。E系統(tǒng)開發(fā)必須具有一定的前瞻性，符合主流系統(tǒng)的發(fā)展方向。F開發(fā)人員安全意識(shí)的提高和加強(qiáng)。確保機(jī)密信息和關(guān)鍵技術(shù)不會(huì)泄漏，特別是泄漏到競(jìng)爭(zhēng)對(duì)手的手中，將會(huì)對(duì)公司的競(jìng)爭(zhēng)力產(chǎn)生極大的影響。G充分利用現(xiàn)有的資源。17系統(tǒng)需求收集和分析階段安全規(guī)范171可行性研究分析對(duì)于應(yīng)用系統(tǒng)開發(fā)項(xiàng)目需要進(jìn)行一定的可行性分析，確認(rèn)在開發(fā)工作具備了的相當(dāng)資源和條件，并且有能力滿足業(yè)務(wù)上的需求的情況下才能開展，切忌盲目開發(fā)。既浪費(fèi)了資源，又浪費(fèi)了時(shí)間?？尚行匝芯靠梢詮募夹g(shù)方面，需求方面，投入方面和影響方面進(jìn)行考慮1711技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求，從技術(shù)開發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達(dá)到業(yè)務(wù)上要求的系統(tǒng)功能。通?？梢詮娜齻€(gè)方面進(jìn)行分析A人員技術(shù)能力分析，指公司內(nèi)的系統(tǒng)開發(fā)隊(duì)伍是否有足夠的軟件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù)，或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力。B計(jì)算機(jī)軟件和硬件分析，指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)相應(yīng)的系統(tǒng)的要求。C管理能力分析，指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化，是否足夠系統(tǒng)開發(fā)的要求。1712需求可行性分析系統(tǒng)的開發(fā)來源于業(yè)務(wù)上的需求，因此需要對(duì)該需求進(jìn)行可行性分析，以判斷需求是否明確，是否符合實(shí)際而不是天馬行空式的空談，是否是在一定的時(shí)間范圍內(nèi)可實(shí)現(xiàn)的。1713投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析，確認(rèn)根據(jù)業(yè)務(wù)需求和技術(shù)手段需要多少的投資才可以實(shí)現(xiàn)，確認(rèn)投資的數(shù)額是不是在可控制和可承受的范圍內(nèi)。1714影響可行性分析所謂的影響是指社會(huì)影響，比如系統(tǒng)開發(fā)是否符合法律法規(guī)上的要求，是否和相關(guān)的管理制度或行業(yè)標(biāo)準(zhǔn)相抵觸，是否不符合人文或道德上的約束等等。172開發(fā)人員安全管理機(jī)制1721系統(tǒng)開發(fā)人員職責(zé)分配管理規(guī)范在系統(tǒng)開發(fā)的過程中，應(yīng)當(dāng)明確不同的人員的身份、職責(zé)。我們建議在系統(tǒng)開發(fā)過程中具體分以下的三種角色項(xiàng)目負(fù)責(zé)人員確保在整個(gè)系統(tǒng)開發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施，同時(shí)在整個(gè)系統(tǒng)開發(fā)的過程中負(fù)責(zé)整個(gè)項(xiàng)目的開發(fā)安全管理。系統(tǒng)開發(fā)人員根據(jù)業(yè)務(wù)需求確保開發(fā)的系統(tǒng)能夠滿足業(yè)務(wù)上的需求和相應(yīng)的安全上的需求，同時(shí)滿足系統(tǒng)質(zhì)量上和進(jìn)度上的要求。系統(tǒng)審核人員對(duì)整個(gè)開發(fā)的過程進(jìn)行審核和監(jiān)督，確保開發(fā)的質(zhì)量和開發(fā)的安全。1722開發(fā)人員授權(quán)管理規(guī)范A根據(jù)該員工在整個(gè)開發(fā)項(xiàng)目中所負(fù)責(zé)的開發(fā)內(nèi)容授予其相應(yīng)的權(quán)限和承擔(dān)的責(zé)任。B開發(fā)人員必須負(fù)責(zé)其開發(fā)內(nèi)容的保密性，不得私自將開發(fā)的相關(guān)信息泄漏出去，即使是家人或開發(fā)團(tuán)隊(duì)中的其他開發(fā)人員也不得泄漏。但開發(fā)人員有責(zé)任將開發(fā)的相關(guān)信息告訴項(xiàng)目的負(fù)責(zé)人員或開發(fā)小組的負(fù)責(zé)人員。C以書面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。必須嚴(yán)格規(guī)定在為企業(yè)工作期間的所有和工作相關(guān)的開發(fā)成果的所屬權(quán)都?xì)w企業(yè)所有。D根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)是否需要簽署相關(guān)的保密協(xié)議。E在日常工作中記錄員工的開發(fā)相關(guān)的日志信息。F員工一旦離職或調(diào)動(dòng)崗位應(yīng)立即收回或調(diào)整其相應(yīng)的權(quán)限。1723開發(fā)人員必須訓(xùn)練開發(fā)安全代碼的能力A開發(fā)人員應(yīng)該有能力防止開發(fā)過程中的緩沖器溢出錯(cuò)誤“BUFFEROVERFLOWATTACKS”。B在整個(gè)開發(fā)的過程中必須完整的持續(xù)的進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。C錯(cuò)誤問題報(bào)告應(yīng)該越通俗越好，不應(yīng)該在其中包含任何系統(tǒng)細(xì)節(jié)問題。D應(yīng)該對(duì)重要的敏感信息進(jìn)行加密的保護(hù)。E應(yīng)該使用一些相對(duì)復(fù)雜的加密和密鑰生成機(jī)制。F應(yīng)該單獨(dú)編寫安全性設(shè)計(jì)說明概要1724分離系統(tǒng)開發(fā)和運(yùn)作維護(hù)管理層必須要確保應(yīng)用系統(tǒng)開發(fā)和應(yīng)用系統(tǒng)運(yùn)作管理從組織人事和權(quán)限職責(zé)上必須分開。盡管只有大型企業(yè)才有獨(dú)立的系統(tǒng)運(yùn)行和系統(tǒng)開發(fā)部門，但是把這些功能分開毫無疑問是非常必要的。職責(zé)的分開對(duì)于大多數(shù)信息安全保護(hù)來說至關(guān)重要。AIT人員可以現(xiàn)場(chǎng)修復(fù)或者更改偶然的或者是惡意的數(shù)據(jù)和軟件的問題。B測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼，大大加大了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。C開發(fā)人員常常具有很高的權(quán)限，這在運(yùn)行系統(tǒng)中會(huì)產(chǎn)生很大的風(fēng)險(xiǎn)，所以是不可接收的。173建立系統(tǒng)開發(fā)安全需求分析報(bào)告A安全需求計(jì)劃應(yīng)該能夠達(dá)到期望的安全安全水平。其中包括了成本的預(yù)估，完成各個(gè)安全相關(guān)流程所需的時(shí)間。B所有的有關(guān)應(yīng)用系統(tǒng)的更新或改進(jìn)都必須是基于業(yè)務(wù)需求的，并且是有業(yè)務(wù)事件支持的。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開發(fā)費(fèi)用、開發(fā)周期等內(nèi)容，還要明確系統(tǒng)的安全要求。應(yīng)用系統(tǒng)的任何一次改進(jìn)或更新都和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。C一個(gè)安全開發(fā)需求分析計(jì)劃應(yīng)該由開發(fā)項(xiàng)目經(jīng)理和公司內(nèi)部安全小組共同商議決定。D確保每一個(gè)應(yīng)用系統(tǒng)的用戶都意識(shí)到系統(tǒng)的更新或改進(jìn)都和他們本身密切相關(guān)，所有的更新或改動(dòng)的建議都必須是由業(yè)務(wù)需求出發(fā)的而不是從所謂的“信息技術(shù)的要求”。E系統(tǒng)的每一次更新或改進(jìn)都必須認(rèn)真的對(duì)待，必須進(jìn)行詳細(xì)的需求定義、需求分析以及測(cè)試評(píng)估以保證不會(huì)對(duì)業(yè)務(wù)造成任何的影響。F業(yè)務(wù)需求是系統(tǒng)更新和改動(dòng)的基礎(chǔ)，因此必須清晰明確的定義業(yè)務(wù)的需求，絕對(duì)不允許在業(yè)務(wù)需求未經(jīng)過業(yè)務(wù)部門領(lǐng)導(dǎo)和主要負(fù)責(zé)人員的認(rèn)可的情況下，盲目的進(jìn)行開發(fā)工作。18系統(tǒng)設(shè)計(jì)階段的安全規(guī)范181單點(diǎn)訪問控制，無后門。任何用戶如果希望訪問應(yīng)用系統(tǒng)中的某一個(gè)部分，則必須通過統(tǒng)一的且唯一的認(rèn)證授權(quán)方式以及流程。182人員職責(zé)和權(quán)限的定義由于不是所有的人員對(duì)于某一個(gè)應(yīng)用系統(tǒng)都具有同樣的訪問或使用的權(quán)限，因此系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個(gè)用戶可以訪問到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分。同樣的，也要確保每個(gè)用戶無法訪問其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。183確保敏感系統(tǒng)的安全性通過將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理，確?？蛻舳讼到y(tǒng)本身并不能存儲(chǔ)任何信息敏感的數(shù)據(jù)。184確保訪問層的安全性應(yīng)用系統(tǒng)不僅僅要確保系統(tǒng)模塊本身的安全性，同時(shí)也要考慮模塊與模塊之間的通訊的安全性。這種模塊與模塊之間的安全性不僅僅包括了應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全，也包括了應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性，如主機(jī)和客戶端之間通訊的安全性。服務(wù)器和服務(wù)器間通訊的安全性，本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。185確保日志管理機(jī)制健全要求建立可以根據(jù)情況自由設(shè)置的日志管理機(jī)制，也就是說日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制，且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)使用過程中進(jìn)行日志的定制和記錄。保留所有系統(tǒng)開發(fā)相關(guān)的程序庫的更新審核紀(jì)錄。186新系統(tǒng)的容量規(guī)劃容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模，性能和系統(tǒng)彈性。容量規(guī)劃的具體內(nèi)容可能有所不同，但一般需要考慮以下方面A系統(tǒng)的預(yù)期存儲(chǔ)容量和在給定的周期里面獲取生成和存儲(chǔ)的數(shù)據(jù)量。B在線進(jìn)程的數(shù)量和估計(jì)可能的占用資料C對(duì)于系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時(shí)間和性能，即端對(duì)端系統(tǒng)D系統(tǒng)彈性要求和設(shè)計(jì)使用率峰值，槽值和平均值等E安全措施例如加密解密數(shù)據(jù)對(duì)系統(tǒng)的影響。F24X7運(yùn)作要求和可接受的系統(tǒng)宕機(jī)次數(shù)（維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機(jī)）規(guī)劃容量的時(shí)候關(guān)于系統(tǒng)使用的信息了解得越多越好。近來，由于互聯(lián)網(wǎng)站得使用以指數(shù)形式增長(zhǎng)，容量規(guī)劃變動(dòng)效果不是非常顯著，有時(shí)甚至毫無用處。原因在于很難估計(jì)實(shí)際的負(fù)載。在容量估計(jì)的時(shí)候需要盡量將情況設(shè)想得復(fù)雜一些。19系統(tǒng)開發(fā)階段安全規(guī)范191系統(tǒng)開發(fā)語言安全規(guī)范程序員可以使用很多指導(dǎo)規(guī)范來防止應(yīng)用程序中的普通的安全問題。其中許多可以應(yīng)用于任何一個(gè)編程語言，但某些是針對(duì)特定的語言的。特定語言的指導(dǎo)規(guī)范主要集中在PERL，JAVA和C/C語言。大多數(shù)情況下，一般的錯(cuò)誤可以通過下功夫或者對(duì)基本的問題有很好的理解來避免。這些本可以避免的錯(cuò)誤常常會(huì)導(dǎo)致很多安全漏洞，從而威脅信息的保密性、完整性和可用性。1911通用規(guī)范19111輸入驗(yàn)證在客戶機(jī)/服務(wù)器環(huán)境下，進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證（例如基于JAVASCRIPT的驗(yàn)證）。通過在客戶端和服務(wù)器之間放置一個(gè)代理服務(wù)器，可以很容易繞過客戶端驗(yàn)證。有了代理服務(wù)器，攻擊者可以在數(shù)據(jù)被客戶端“驗(yàn)證”后修改數(shù)據(jù)（與“MANINTHEMIDDLE”攻擊類似）。在實(shí)際的校驗(yàn)中，輸入校驗(yàn)首先定義一個(gè)有效（可接受）的字符集，然后檢查每個(gè)數(shù)據(jù)的字符是否在有效范圍內(nèi)。如果輸入中包含無效的字符，應(yīng)用程序應(yīng)該返回錯(cuò)誤頁面并說明輸入中包含無效字符。這樣進(jìn)行驗(yàn)證的原因是定義無效的字符集比較困難，并且一些不應(yīng)該有效的字符通常不會(huì)被指出。另外，邊界檢查（例如字符串的最大長(zhǎng)度）應(yīng)該在字符有效性檢查以前進(jìn)行。邊界分析可以防止大多數(shù)緩沖區(qū)溢出漏洞。必須提到的是從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。同時(shí)避免在環(huán)境變量中存放敏感數(shù)據(jù)（例如密碼）。某些UNIX系統(tǒng)（例如FREEBSD）包含PS命令，可以讓用戶看到任何當(dāng)前進(jìn)程的環(huán)境變量，這常常會(huì)暴露保密性信息。19112SQL語句如果應(yīng)用程序需要連接后端數(shù)據(jù)庫，使用存儲(chǔ)過程而不要在代碼中使用SQL語句。使用程序以外的嵌入在代碼中的SQL語句調(diào)用特別危險(xiǎn)。難以防止攻擊者使用輸入域或者配置文件（由應(yīng)用程序載入）來執(zhí)行嵌入式的SQL攻擊。當(dāng)然，輸入驗(yàn)證有助于緩解這種風(fēng)險(xiǎn)。19113注釋代碼COMMENTEDCODE當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開始應(yīng)用時(shí)，應(yīng)該刪除所有的注釋代碼。注釋代碼是用來調(diào)試或者測(cè)試的，它們不是最終應(yīng)用程序的一部分。無論如何應(yīng)該在實(shí)際的環(huán)境中刪除它們來避免意外的執(zhí)行（一般注釋標(biāo)識(shí)被刪除后就無法激活休眠的代碼，但還是存在可能性的，所以強(qiáng)烈建議執(zhí)行這項(xiàng)工作）。19114錯(cuò)誤消息所有為用戶顯示的錯(cuò)誤信息都不應(yīng)該暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。如果可能的話，最好使用包含編號(hào)的一般的錯(cuò)誤信息，這種信息只有開發(fā)者和/或支持小組才能理解。一般的錯(cuò)誤信息的例子是“發(fā)生了錯(cuò)誤（代碼1234），請(qǐng)您與系統(tǒng)維護(hù)部門聯(lián)系。”19115URL內(nèi)容對(duì)于WEB應(yīng)用，不要在URL上暴露任何重要信息，例如密碼、服務(wù)器名稱、IP地址或者文件系統(tǒng)路徑（暴露了WEB服務(wù)器的目錄結(jié)構(gòu)）。這些信息可以在攻擊時(shí)使用。例如下面就是一個(gè)不安全的URLHTTP/WWWXYZCOMPANYCOM/INDEXCGIUSERNAMEUSERSYSTEMBUFFER在以上的例子中，可以通過使用分號(hào)利用文件名變量在SEHLL中插入額外的命令（例如文件名可以是/ETC/HOSTSRM，這將在顯示/ETC/HOSTS目錄文件的同時(shí)，刪除目錄中的所有文件。）。而EXEC函數(shù)只保證第一個(gè)參數(shù)被執(zhí)行EXECL“USR/BIN/EMACS“,“USR/BIN/EMACS“,FILENAME,NULL上面的例子保證文件名僅僅作為一個(gè)參數(shù)輸入EMACS工具，。同樣它在EMACS命令中使用完全的路徑而不是使用可以被攻擊者利用的PATH環(huán)境變量。19144競(jìng)爭(zhēng)條件（RACECONDITION）進(jìn)程需要訪問資源時(shí)（無論是磁盤、內(nèi)存或是文件）通常需要執(zhí)行兩個(gè)步驟1首先測(cè)試資源是否空閑可用2如果可用，就訪問該資源，否則它等到資源不再使用為止再去訪問它當(dāng)另一個(gè)進(jìn)程在步驟1和2之間想要訪問同一個(gè)資源時(shí)就出現(xiàn)問題了。這會(huì)導(dǎo)致不可預(yù)測(cè)的結(jié)果。進(jìn)程可能會(huì)被鎖定，或者一個(gè)進(jìn)程籍此獲得了另一個(gè)進(jìn)程的較大的權(quán)限而導(dǎo)致安全問題。攻擊主要集中在有較大權(quán)限的程序上（稱為SETUID程序）。競(jìng)爭(zhēng)條件攻擊通常利用程序執(zhí)行時(shí)可以訪問到的資源。另外權(quán)限低的程序也存在安全風(fēng)險(xiǎn)，因?yàn)楣粽呖赡軙?huì)等待有較高權(quán)限的用戶執(zhí)行那個(gè)程序例如ROOT，然后進(jìn)行攻擊。下面的建議有助于緩解競(jìng)爭(zhēng)條件RACECONDITION攻擊在進(jìn)行文件操作時(shí)，利用那些使用文件描述符的函數(shù)而不要使用那些使用文件路徑的函數(shù)（例如使用FDOPEN而不要使用FOPEN）。文件描述符使得惡意的用戶在文件打開時(shí)或是在原始的進(jìn)程對(duì)文件進(jìn)行操作前，無法使用文件連接（符號(hào)式的或是物理的）來改變文件。在寫文件甚至在讀文件時(shí)使用FCNTL和FLOCK函數(shù)來對(duì)文件加鎖，這樣它們就不能被其他進(jìn)程訪問。它幾乎可以建立原子級(jí)的操作。謹(jǐn)慎操縱零時(shí)文件，因?yàn)樗鶗?huì)導(dǎo)致競(jìng)爭(zhēng)條件。19145檢驗(yàn)有效的返回值檢驗(yàn)有效的返回值非常重要。一個(gè)例子是舊的/BIN/LOGIN的實(shí)現(xiàn)中不檢驗(yàn)錯(cuò)誤的返回值，導(dǎo)致當(dāng)它找不到/ETC/PASSWD文件時(shí)返回ROOT的訪問權(quán)限。如果該文件損壞了，那么這種情況是合理的，但如果該文件存在只是無法訪問，那么這就是一個(gè)大問題。192系統(tǒng)開發(fā)安全相關(guān)工具管理規(guī)范有許多方法來確保代碼符合一定的安全級(jí)別。正如前面指出的，最好的方法之一是讓盡可能多的人來檢查代碼（而不是在QA環(huán)境中實(shí)際進(jìn)行白箱或者黑箱測(cè)試）。然而，有時(shí)代碼在開始實(shí)際環(huán)境的應(yīng)用前往往沒有足夠的時(shí)間，并且即使檢查代碼也會(huì)漏掉一些不容易發(fā)現(xiàn)的錯(cuò)誤。這些錯(cuò)誤可能會(huì)對(duì)整個(gè)系統(tǒng)導(dǎo)致重大的安全問題。因此（以及其他的原因），使用源碼分析工具SOURCECODEANALYSISTOOLSCAT來自動(dòng)進(jìn)行某些檢查過程很有幫助。本文介紹了一些這方面的工具。每個(gè)工具都用同樣的測(cè)試工具來檢驗(yàn)，這些測(cè)試工具包含C和JAVA的代碼段，而這些代碼段存在潛在的安全錯(cuò)誤。我們比較了每個(gè)工具的測(cè)試結(jié)果，并且仔細(xì)檢查了以下的屬性A靈活性有多種選項(xiàng)并能掃描多種類型的代碼的工具得分會(huì)較高B正確性主要目標(biāo)是發(fā)現(xiàn)正確的安全問題，并且不會(huì)出現(xiàn)大量的誤報(bào)信息，或者更糟的是沒有發(fā)現(xiàn)真正的錯(cuò)誤信息。C容易使用大多數(shù)情況下，程序員只需要將工具指定到特定的代碼上然后選擇“掃描”。除非特別需要，程序員一般只做抽樣檢查，而無需開發(fā)復(fù)雜的測(cè)試機(jī)制。D報(bào)表掃描結(jié)果應(yīng)該以一種容易理解的格式來顯示，并且最好同時(shí)提示修改每個(gè)問題的方法，并附加理由。每個(gè)工具在解析代碼上的速度可以忽略不計(jì)，所以沒有進(jìn)行比較（雖然這并不包括配置掃描的時(shí)間，而MOPS在這方面相對(duì)于其他工具需要更多的時(shí)間）。另外，這些工具都可以免費(fèi)獲得，甚至可以獲得它們的源代碼，所以不需考慮它們的成本。1921工具一PSCANPSCAN是一個(gè)有針對(duì)性的掃描程序，主要用于發(fā)現(xiàn)C程序中的緩沖區(qū)溢出和格式化字符串攻擊。該程序檢查所有用到標(biāo)準(zhǔn)C程序庫中的PRINTF函數(shù)。SPRINTFBUFFER,VARIABLEPRINTFBUFFER,VARIABLE關(guān)于這些語句在緩沖區(qū)溢出和格式化字符串攻擊中怎樣被利用可以查閱相關(guān)的C和C文檔。PSCAN的一個(gè)不足是不能發(fā)現(xiàn)由于越界檢查不充分而引起的常規(guī)性緩沖區(qū)溢出。不過PSCAN對(duì)于緩沖區(qū)溢出和格式化字符串攻擊的定位還是相當(dāng)精準(zhǔn)和快速的。PSCAN程序相對(duì)簡(jiǎn)單，它只將結(jié)果返回都標(biāo)準(zhǔn)輸出，當(dāng)然也可以將其輸出到文件，并且除了說明程序員應(yīng)該怎樣修正錯(cuò)誤以外不給出語句為什么出錯(cuò)等類似的信息。該工具一個(gè)顯著的特點(diǎn)是可以同時(shí)掃描多個(gè)文件?？傮w而言PSCAN程序相對(duì)簡(jiǎn)單，易于使用，同時(shí)針對(duì)性很強(qiáng)，但是由于它能夠適用的范圍過于狹窄因此一般不推薦其在大型商業(yè)應(yīng)用中使用，而只是檢查一些相對(duì)簡(jiǎn)單的程序片斷。1922工具二FLAWFINDERFLAWFINDER是一個(gè)分析C程序安全隱患的靜態(tài)分析工具。和PSCAN類似，該程序可以發(fā)現(xiàn)很多種類型的錯(cuò)誤，除了PRINTF和標(biāo)準(zhǔn)的字符串函數(shù)，它還可以發(fā)現(xiàn)競(jìng)爭(zhēng)條件和系統(tǒng)調(diào)用。FLAWFINDER相比較PSCAN，它返回的錯(cuò)誤信息要豐富很多，并且也更加詳細(xì)。而這對(duì)于程序員來說非常重要。FLAWFINDER甚至可以對(duì)程序中的弱點(diǎn)進(jìn)行分類，例如BUFFER弱點(diǎn)、格式弱點(diǎn)、SHELL弱點(diǎn)等。總之，F(xiàn)LAWOFINDER是一個(gè)相當(dāng)出色的C程序檢查工具，速度會(huì)，界面友好，返回信息豐富，安裝使用相對(duì)簡(jiǎn)單。該工具是檢查不同規(guī)模的應(yīng)用程序的首選，唯一不足的是它只能用于C程序的檢查。193控制軟件代碼程序庫1931管理運(yùn)作程序庫我們通常將用于系統(tǒng)開發(fā)的開發(fā)軟件工具和開發(fā)平臺(tái)稱之為運(yùn)作程序，因此為了降低計(jì)算機(jī)程序被破壞的可能性，應(yīng)對(duì)運(yùn)作程序庫的訪問進(jìn)行嚴(yán)格的控制A嚴(yán)格的管理在開發(fā)設(shè)備上的存放開發(fā)運(yùn)作程序的目錄。如果開發(fā)運(yùn)作程序沒有很好的保護(hù)，會(huì)造成系統(tǒng)及其設(shè)置會(huì)遭到未經(jīng)授權(quán)的訪問并造成系統(tǒng)的安全性可靠性大大下降。B只有指定的人員如程序庫管理員經(jīng)過適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問運(yùn)作程序庫，對(duì)運(yùn)作程序庫的訪問必須結(jié)合進(jìn)行嚴(yán)格的訪問控制技術(shù)手段和雙重訪問控制機(jī)制。19311嚴(yán)格的訪問控制可以通過以下規(guī)定實(shí)現(xiàn)A嚴(yán)格管理開發(fā)部門所在區(qū)域的安全保安管理，防止未經(jīng)授權(quán)的人進(jìn)入開發(fā)區(qū)域。B嚴(yán)格管理開發(fā)用途的計(jì)算機(jī)使用，只有指定的人員才可以訪問開發(fā)用的計(jì)算機(jī)設(shè)備。C嚴(yán)格管理開發(fā)運(yùn)作系統(tǒng)的認(rèn)證管理，建立嚴(yán)格的基于人員職責(zé)的授權(quán)等級(jí)制度，用口令或其他身份識(shí)別技術(shù)確認(rèn)訪問者身份。19312建立雙重訪問控制機(jī)制雙重訪問控制機(jī)制就是對(duì)運(yùn)作程序庫的管理需要兩個(gè)人同時(shí)進(jìn)行認(rèn)證才可以通過的方式。比如對(duì)運(yùn)作程序庫進(jìn)行更改或刪除需要兩個(gè)人進(jìn)行口令認(rèn)證系統(tǒng)才允許進(jìn)行以上操作。其總需要進(jìn)行認(rèn)證的兩個(gè)人彼此不知道對(duì)方的認(rèn)證口令或步驟。因此該認(rèn)證過程必須兩個(gè)人同時(shí)在場(chǎng)進(jìn)行操作才可以。1932管理源程序庫我們通常將直接由程序設(shè)計(jì)語言編制而成的程序稱之為源程序。源程序的語言需要通過相應(yīng)的語言處理程序翻譯成機(jī)器語言程序后才可以在計(jì)算機(jī)上運(yùn)行。因此源程序包含了系統(tǒng)及其控制如何實(shí)現(xiàn)的細(xì)節(jié)，為未授修改系統(tǒng)提供了很好的切入點(diǎn)，例如設(shè)置邏輯炸彈。且如果缺少源程序代碼會(huì)使得今后應(yīng)用系統(tǒng)的維護(hù)工作十分困難甚至無法完成。因此為了降低計(jì)算機(jī)程序被破壞的可能性，應(yīng)對(duì)源程序庫的訪問進(jìn)行嚴(yán)格的控制A嚴(yán)格的管理在開發(fā)設(shè)備上的存放源程序的目錄。如果源程序沒有很好的保護(hù)，會(huì)造成系統(tǒng)及其設(shè)置會(huì)遭到未經(jīng)授權(quán)的訪問并造成系統(tǒng)的安全性可靠性大大下降。B只有指定的人員如程序庫管理員經(jīng)過適當(dāng)?shù)墓芾硎跈?quán)后才可以訪問源程序庫，對(duì)源程序庫的訪問必須結(jié)合進(jìn)行嚴(yán)格的訪問控制技術(shù)手段和雙重訪問控制機(jī)制。C各項(xiàng)應(yīng)用均應(yīng)當(dāng)指定相應(yīng)的管理員。D信息技術(shù)支持人員非開發(fā)人員不應(yīng)當(dāng)自由的訪問源程序庫。E源程序庫和運(yùn)作程序庫盡量分開存放并且分開管理。F源程序庫和運(yùn)行的應(yīng)用系統(tǒng)盡量分開存放且分開管理。G源程序庫的更新和向程序員發(fā)布的源程序應(yīng)當(dāng)由指定的管理員根據(jù)一定的授權(quán)進(jìn)行，不得私自自行更新或發(fā)放。H應(yīng)當(dāng)保存所有對(duì)源程序庫進(jìn)行訪問讀取或修改的日志紀(jì)錄，以便于日后審核。194在軟件開發(fā)過程變更管理規(guī)范A系統(tǒng)容易受到更改的攻擊，即使是完全授權(quán)的更改也可能存在破壞性的影響，存在數(shù)據(jù)完整性的損失、應(yīng)用系統(tǒng)的不可用以及機(jī)密信息的泄漏的風(fēng)險(xiǎn)。為了使信息系統(tǒng)的損失降至最小，組織應(yīng)對(duì)更改進(jìn)行嚴(yán)格的控制，就是在系統(tǒng)開發(fā)的每一個(gè)階段（可行性研究、需求分析、設(shè)計(jì)、編碼、測(cè)試、培訓(xùn)等）的每一個(gè)更改實(shí)施前經(jīng)過組織的評(píng)審與授權(quán)。B對(duì)于敏感的應(yīng)用系統(tǒng)的更改應(yīng)由另一人員進(jìn)行檢查，為了有效的進(jìn)行控制，組織應(yīng)當(dāng)建立更改控制審批程序，對(duì)更改的申請(qǐng)、評(píng)審、測(cè)試、批準(zhǔn)、更改的計(jì)劃的提出和實(shí)施提出明確要求并嚴(yán)格的實(shí)施，確保安全性與控制程序不被損害，程序設(shè)計(jì)人員只能訪問他們工作所必需的部分，確保任何的改動(dòng)都是經(jīng)過審批的。C更改的程序建議如下清晰確認(rèn)所有的需要更改的應(yīng)用系統(tǒng)、信息、數(shù)據(jù)庫和相關(guān)的硬件設(shè)備。清晰的確認(rèn)更改的原因業(yè)務(wù)上的具體流程和具體的需求或開發(fā)上的需求由授權(quán)的用戶提交更改的申請(qǐng)。保留相關(guān)的授權(quán)登記記錄。在正式的實(shí)施之前，更改的方案必須經(jīng)過評(píng)審并通過正式的批準(zhǔn)。評(píng)審的確保授權(quán)的用戶在實(shí)施之前確認(rèn)并接受更改的內(nèi)容。確保在實(shí)施的過程中，盡量的減少對(duì)現(xiàn)行的商務(wù)運(yùn)作系統(tǒng)的影響。確保建立的文件系統(tǒng)在完成各項(xiàng)更改時(shí)得到修改，舊文件被很好的歸檔或處置。保證所有的應(yīng)用系統(tǒng)升級(jí)的版本的控制。確保所有的更改情求的審核跟蹤。確保用戶使用手冊(cè)作相應(yīng)的必要的更改。確保更改的實(shí)施選擇了適當(dāng)?shù)臅r(shí)機(jī)以確保更改的實(shí)施不會(huì)干擾正常的商務(wù)運(yùn)作。195開發(fā)版本管理規(guī)范1951控制程序清單A在任何時(shí)候?qū)τ诔绦蚯鍐伪仨氝M(jìn)行嚴(yán)格的控制并且及時(shí)地進(jìn)行更新。B對(duì)應(yīng)用系統(tǒng)開發(fā)源程序的打印的資料、電子版本或者是相關(guān)的報(bào)告都必須進(jìn)行控制，紙質(zhì)的文件應(yīng)當(dāng)保存在一個(gè)安全的環(huán)境下，如保險(xiǎn)柜等。電子文檔則應(yīng)當(dāng)進(jìn)行一定的加密。C源程序相關(guān)信息可以幫助我們確認(rèn)系統(tǒng)問題的根源，并且一旦掌握了系統(tǒng)源程序相關(guān)信息可以清楚地了解系統(tǒng)的運(yùn)行邏輯和可能的薄弱點(diǎn)。對(duì)系統(tǒng)的安全有很大的影響。1952版本升級(jí)控制規(guī)范A應(yīng)用系統(tǒng)軟件開發(fā)版本升級(jí)申請(qǐng)，當(dāng)軟件的版本由于更新，修改等操作需要升級(jí)時(shí)必須先向相關(guān)負(fù)責(zé)人員提交申請(qǐng)。B應(yīng)用系統(tǒng)軟件版本升級(jí)測(cè)試，對(duì)升級(jí)的應(yīng)用系統(tǒng)進(jìn)行測(cè)試，確認(rèn)系統(tǒng)的各種安全特性。C應(yīng)用系統(tǒng)軟件版本審批，確認(rèn)對(duì)應(yīng)用系統(tǒng)的版本的升級(jí)，此時(shí)需確認(rèn)當(dāng)前的版本為最新的版本，舊的版本需進(jìn)行歸檔，不得隨意丟棄或刪除。D應(yīng)用系統(tǒng)軟件版本升級(jí)計(jì)劃，制定相關(guān)的升級(jí)計(jì)劃，確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。E應(yīng)用系統(tǒng)軟件版本升級(jí)實(shí)施。1953版本的控制管理規(guī)范A版本變更需提出申請(qǐng)，詳見194“在軟件開發(fā)過程變更管理規(guī)范”。B使用軟件加鎖技術(shù)防止不同版本的覆蓋的情況。C當(dāng)版本變更時(shí)需要在更新的版本中記錄變更的詳細(xì)描述。D提供版本的合并功能。E版本的更改只允許指定的人員進(jìn)行操作。F紀(jì)錄所有的版本變更的日志，記錄包括了更改日期，更改前版本號(hào)，更改后版本號(hào)，更改人，審批人等信息。196開發(fā)日志審核管理規(guī)范1961開發(fā)日志定期的審計(jì)和人員權(quán)限的定期審核19611開發(fā)日志定期審計(jì)A系統(tǒng)開發(fā)中的相關(guān)日志文件根據(jù)開發(fā)周期定期審核19612開發(fā)人員權(quán)限定期審計(jì)B開發(fā)人員權(quán)限每3個(gè)月審核一次；197防御后門代碼或隱藏通道相關(guān)規(guī)范1971后門代碼和隱藏通道介紹A后門代碼，主要指由攻擊者在未經(jīng)過許可的情況下，植入計(jì)算機(jī)系統(tǒng)的程序。利用調(diào)用環(huán)境的權(quán)利進(jìn)行與其實(shí)際用途無關(guān)的拷貝、濫用或破壞數(shù)據(jù)，主要有三種類型的后門程序調(diào)試后門為了方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試后未能及時(shí)消除。維護(hù)后門為了方便遠(yuǎn)程維護(hù)所設(shè)置的后門，被黑客惡意的利用。惡意后門由設(shè)計(jì)者故意設(shè)置的機(jī)關(guān)，用來監(jiān)視用戶的秘密甚至與破壞應(yīng)用系統(tǒng)。特洛伊木馬也屬于后門的一種，它是黑客攻擊計(jì)算機(jī)的重要手段之一。特洛伊木馬可以放置在正常的文件或程序中，當(dāng)用戶打開或執(zhí)行它的時(shí)候，它就會(huì)自動(dòng)的安裝在計(jì)算機(jī)上，使得某些人通過INTERNET訪問該計(jì)算機(jī)成為可能，使計(jì)算機(jī)處于一種非常危險(xiǎn)的狀態(tài)。B隱藏通道，主要指在計(jì)算機(jī)安全技術(shù)中，一種允許某個(gè)進(jìn)程在違反安全規(guī)則的狀態(tài)下傳遞信息的通道。隱藏通道可以通過某些直接的或間接的方法暴露信息?，F(xiàn)在使用的應(yīng)用系統(tǒng)中大多數(shù)都包含一定程度的隱藏通道，他們當(dāng)中許多是無害的，像特殊的組合健可以給出軟件制作者的信息，但也有些是有害的，因此必須進(jìn)行相應(yīng)的防范。1972防御后門代碼和隱藏通道的相關(guān)辦法A從信譽(yù)好的軟件供應(yīng)商那里購(gòu)買相關(guān)的軟件或程序。B檢驗(yàn)和驗(yàn)證源程序和源代碼。C在系統(tǒng)正式投入使用之前進(jìn)行評(píng)估，如一些行業(yè)的標(biāo)準(zhǔn)認(rèn)證評(píng)估產(chǎn)品安全認(rèn)證、CMM認(rèn)證等D在系統(tǒng)正式投入使用后，嚴(yán)格管理源代碼的訪問、升級(jí)和修改。E使用可靠的開發(fā)人員操作密鑰系統(tǒng)。F不要隨便從一些不知名的網(wǎng)站上下載軟件。G不要過于相信別人，不能隨便安裝別人給的軟件，特別是不能隨便打開電子郵件中的附件。特別是一些可執(zhí)行文件必須先進(jìn)行病毒及惡意代碼的掃描。H安裝并正確的使用有關(guān)的特洛伊木馬的監(jiān)測(cè)和查殺程序，現(xiàn)在大多數(shù)主流的殺病毒軟件也帶有該功能，比較流程的專門用于查殺特洛伊木馬的程序主要有LOCKDOWN2000、THECLEANER、TROJIANDEFENCESUIT等。110系統(tǒng)測(cè)試階段安全規(guī)范1101應(yīng)用系統(tǒng)的安全性檢測(cè)規(guī)范11011設(shè)計(jì)詳細(xì)的測(cè)試計(jì)劃，測(cè)試范圍，測(cè)試方法和測(cè)試工具。對(duì)軟硬件的測(cè)試必須事先有正式的測(cè)試計(jì)劃。測(cè)試計(jì)劃的一個(gè)關(guān)鍵點(diǎn)是測(cè)試計(jì)劃文檔不僅要包含測(cè)試的內(nèi)容同時(shí)還需要包含測(cè)試預(yù)期的結(jié)果。并且測(cè)試計(jì)劃還需要覆蓋除此之外的測(cè)試內(nèi)容和結(jié)果，使之更加全面。測(cè)試完成以后，則需要對(duì)測(cè)試結(jié)果進(jìn)行評(píng)估，確定其結(jié)果是否達(dá)到了預(yù)定的標(biāo)準(zhǔn)。如果不達(dá)到標(biāo)準(zhǔn)，則需要對(duì)測(cè)試結(jié)果劃分一個(gè)錯(cuò)誤嚴(yán)重性等級(jí)，因?yàn)槿绻麤]有該等級(jí)，則無法對(duì)結(jié)果有一個(gè)很客觀的結(jié)論。11012測(cè)試種類測(cè)試的過程需要用戶的參與以確保系統(tǒng)達(dá)到了業(yè)務(wù)上的需求和用戶使用的需求。因此主要分為系統(tǒng)測(cè)試和用戶接受測(cè)試110121系統(tǒng)測(cè)試系統(tǒng)測(cè)試有很多種定義。一般而言系統(tǒng)測(cè)試可以定義為在人工環(huán)境下，測(cè)試系統(tǒng)是否能夠達(dá)到預(yù)期的要求的測(cè)試方法。從系統(tǒng)開發(fā)的角度而言，系統(tǒng)測(cè)試是指由系統(tǒng)開發(fā)人員（程序員和其它技術(shù)人員）進(jìn)行的旨在確保系統(tǒng)各個(gè)模塊能夠正常運(yùn)行（模塊測(cè)試）以及系統(tǒng)整體能夠正常運(yùn)行的測(cè)試過程。系統(tǒng)測(cè)試必須確保系統(tǒng)的每一個(gè)功能都能夠正確運(yùn)行，并對(duì)所有的程序錯(cuò)誤逐一分析。同時(shí)還測(cè)試系統(tǒng)的模塊和模塊之間，功能和功能之間的接口的正確性。需要注意的是系統(tǒng)測(cè)試不對(duì)系統(tǒng)總體的功能負(fù)責(zé)，而只需要達(dá)到特使計(jì)劃中規(guī)定的測(cè)試準(zhǔn)則即可。A系統(tǒng)負(fù)載測(cè)試，負(fù)載表示對(duì)系統(tǒng)得要求，一般包括以下因素程序和數(shù)據(jù)的總體存儲(chǔ)容量并發(fā)運(yùn)行的應(yīng)用程序數(shù)量并發(fā)用戶的數(shù)量，峰值，槽值和平均值外設(shè)數(shù)量并且，確定硬件的規(guī)模比較復(fù)雜，在確定了上述因素以后，還需要確定其它類似響應(yīng)時(shí)間等因素。B壓力測(cè)試壓力測(cè)試用于確定系統(tǒng)的薄弱環(huán)節(jié)，確定系統(tǒng)在非正常條件下能夠迅速回復(fù)到正常的運(yùn)行狀態(tài)的能力，類似的非正常條件可能是在系統(tǒng)宕機(jī)、網(wǎng)絡(luò)故障或者高峰載荷下的數(shù)據(jù)處理。110122用戶接受測(cè)試UAT用戶接受測(cè)試是用戶對(duì)新系統(tǒng)或者系統(tǒng)改動(dòng)正式驗(yàn)收測(cè)試的過程，是任何系統(tǒng)開發(fā)項(xiàng)目都需要經(jīng)歷的重要階段并且它還需要終端用戶的大力參與。在現(xiàn)實(shí)中，UAT需要有周密詳盡和準(zhǔn)確的測(cè)試計(jì)劃，特別是驗(yàn)收的標(biāo)準(zhǔn)必須非常詳細(xì)。UAT的最后部分往往包括并行運(yùn)行，以比較開放系統(tǒng)和原有系統(tǒng)。A盡管系統(tǒng)的用戶接受測(cè)試計(jì)劃可能隨著系統(tǒng)的不同而不同，但是一般而言，測(cè)試必須涵蓋所有今后實(shí)際運(yùn)行中可能發(fā)生的事件。測(cè)試計(jì)劃一般可以在系統(tǒng)開發(fā)前制定的用戶需求說明書的基礎(chǔ)上制訂。B對(duì)任何系統(tǒng)而言，對(duì)于出現(xiàn)的問題必須要明確要對(duì)這些問題做出哪些應(yīng)對(duì)措施以及誰來做這些應(yīng)對(duì)措施，例如用戶，項(xiàng)目團(tuán)隊(duì)，供應(yīng)商或者是咨詢顧問等所有可能的項(xiàng)目參與方。C為了更好地應(yīng)對(duì)測(cè)試過程中可能出現(xiàn)地問題，最終用戶和項(xiàng)目團(tuán)隊(duì)必需要協(xié)商制定“錯(cuò)誤嚴(yán)重程度”的范圍。它的取值范圍從1到6，分別表示從業(yè)務(wù)/商業(yè)影響角度評(píng)估在系統(tǒng)測(cè)試過程中發(fā)現(xiàn)問題。下文是一個(gè)成功應(yīng)用的例子，“1”表示最嚴(yán)重的錯(cuò)誤，而6則表示最輕微的影響?！爸旅鼏栴}”如果該程度錯(cuò)誤發(fā)生，則測(cè)試不能繼續(xù)“重大問題”測(cè)試可以繼續(xù)，但是系統(tǒng)不能上線“主要問題”測(cè)試可以繼續(xù)，但是如果不解決該問題，則系統(tǒng)上線后，可能對(duì)業(yè)務(wù)流程有嚴(yán)重破壞?！耙话阈詥栴}”除了這些問題會(huì)對(duì)既定的業(yè)務(wù)流程有一些輕微偏離外，測(cè)試可以繼續(xù)，并且系統(tǒng)也可以上線?！按我獑栴}”可以繼續(xù)測(cè)試和上線，但這些問題必須修正，同時(shí)這些問題對(duì)業(yè)務(wù)流程沒有或者很少有影響?！胺埏椥詥栴}”類似顏色，字體等問題，如果這些問題對(duì)于業(yè)務(wù)需求而言特別重要，則需要將這些問題提高到較高層次。系統(tǒng)的用戶在征得主辦項(xiàng)目的高層領(lǐng)導(dǎo)意見的前提下必須就每類錯(cuò)誤需要采取的行動(dòng)和各自需要承擔(dān)的責(zé)任等問題取得一致。例如，可以要求馬上解決嚴(yán)重程度為1的問題并停止所有測(cè)試計(jì)劃直到該層次的問題解決。注意事項(xiàng)就算錯(cuò)誤嚴(yán)重程度確定以后的問題已經(jīng)萬無一失了，但是怎樣確定錯(cuò)誤嚴(yán)重程度還是一個(gè)頭疼的問題。為了避免類似分級(jí)問題的風(fēng)險(xiǎn)，我們建議在測(cè)試規(guī)劃中給出每一類問題的例子，以避免對(duì)問題分級(jí)出現(xiàn)根本性的不一致。如果當(dāng)有不一致的時(shí)候有預(yù)先的準(zhǔn)備。最后，非常關(guān)鍵的一點(diǎn)是確定用戶接受的準(zhǔn)則。事實(shí)上，沒有一個(gè)系統(tǒng)是完美無缺的，因此最終用戶和系統(tǒng)開發(fā)上必須就每一類錯(cuò)誤的數(shù)量有一個(gè)上限。注意有些情況下用戶可能會(huì)有條件接受。這些條件可能增加了工作范圍。在這種情況下以及所有對(duì)系統(tǒng)的修正都需要非常嚴(yán)格的用戶接受測(cè)試和必要的回歸測(cè)試。11013在測(cè)試的過程中詳細(xì)的描述每個(gè)和測(cè)試方案相關(guān)的測(cè)試步驟和測(cè)試數(shù)據(jù)將所有的測(cè)試數(shù)據(jù)進(jìn)行整理歸檔，將出錯(cuò)的紀(jì)錄進(jìn)行分析，確認(rèn)問題產(chǎn)生的原因并編寫問題報(bào)告。1102控制測(cè)試環(huán)境控制系統(tǒng)測(cè)試環(huán)境和實(shí)際工作環(huán)境隔離的控制處理，否則未經(jīng)確認(rèn)的軟件修改會(huì)導(dǎo)致出現(xiàn)無法預(yù)料的問題。工作人員在兩個(gè)環(huán)境里面切換，則容易操作失誤，引起不必要的麻煩。一邊做開發(fā)以便做系統(tǒng)測(cè)試，容易導(dǎo)致對(duì)系統(tǒng)狀態(tài)的錯(cuò)誤估計(jì)。1103為測(cè)試使用真實(shí)的數(shù)據(jù)測(cè)試的數(shù)據(jù)通常情況下是虛構(gòu)的，但是有時(shí)候需要使用實(shí)際的操作或運(yùn)作的數(shù)據(jù)，當(dāng)該數(shù)據(jù)含有企業(yè)敏感信息的時(shí)候，如果不加以控制，會(huì)造成數(shù)據(jù)的泄漏。當(dāng)處于測(cè)試目的而使用真實(shí)的敏感的數(shù)據(jù)時(shí)，可以采用以下措施保護(hù)測(cè)試數(shù)據(jù)的安全A對(duì)測(cè)試的系統(tǒng)進(jìn)行嚴(yán)格的訪問控制。只允許小部分的測(cè)試人員進(jìn)行測(cè)試。且對(duì)于測(cè)試的人員按需要簽訂安全保密協(xié)議。B每一次將真實(shí)的運(yùn)作信息復(fù)制到測(cè)試系統(tǒng)時(shí)間均需要一個(gè)單獨(dú)的授權(quán)過程。C測(cè)試完成后，應(yīng)當(dāng)立即將相關(guān)數(shù)據(jù)從測(cè)試的應(yīng)用系統(tǒng)中刪除。D紀(jì)錄下測(cè)試數(shù)據(jù)的復(fù)制、使用和刪除的情況，以便于審查追蹤。1104在軟件轉(zhuǎn)移至生產(chǎn)環(huán)境前進(jìn)行測(cè)試在軟件程序上線投入使用之間，必須采取切實(shí)的措施保證這些軟件接受了足夠的測(cè)試和記錄。否則就有可能導(dǎo)致非常嚴(yán)重的問題，甚至使企業(yè)的日常運(yùn)營(yíng)中止。必須牢固樹立類似的觀點(diǎn)。1105應(yīng)用系統(tǒng)安全質(zhì)量鑒定目前國(guó)際上公認(rèn)的開發(fā)質(zhì)量驗(yàn)證標(biāo)準(zhǔn)主要有兩種，可以根據(jù)這兩種標(biāo)準(zhǔn)確認(rèn)系統(tǒng)是否已經(jīng)達(dá)到了這兩種標(biāo)準(zhǔn)的要求AISO9000認(rèn)證體系B軟件開發(fā)能力成熟度模型CMM111系統(tǒng)培訓(xùn)及文檔階段安全規(guī)范1111新系統(tǒng)的培訓(xùn)A對(duì)所有的用戶和技術(shù)人員提供關(guān)于新系統(tǒng)功能和操作方面的培訓(xùn)。必須保證所有的技術(shù)和業(yè)務(wù)用戶接受足夠的關(guān)于新系統(tǒng)或者系統(tǒng)改進(jìn)的培訓(xùn)。B培訓(xùn)需要有側(cè)重，而不是面面俱到，人人俱到C關(guān)于理解和應(yīng)用系統(tǒng)的安全性方面的培訓(xùn)必須擺在十分重要的位置。1112撰寫新系統(tǒng)和系統(tǒng)改進(jìn)的文檔如果缺乏足夠的文檔，當(dāng)系統(tǒng)發(fā)生問題的時(shí)候，只能憑經(jīng)驗(yàn)解決，而有可能會(huì)錯(cuò)上加錯(cuò)。同樣文檔的不完整，不及時(shí)更新也會(huì)對(duì)系統(tǒng)的維護(hù)能力造成致命的影響。A所有新系統(tǒng)和系統(tǒng)改進(jìn)都必須有充分的最新的文檔支持，如果文檔沒有具備則系統(tǒng)不能上線。B必須保證新系統(tǒng)和系統(tǒng)改進(jìn)有詳實(shí)的文檔。由于資源和預(yù)算的限制，文檔不充分或者完全沒有是不允許發(fā)生的事情。112應(yīng)用系統(tǒng)開發(fā)外包安全控制如果對(duì)于外包OUTSOURCING應(yīng)用系統(tǒng)開發(fā)過程缺乏有效的安全控制，組織就會(huì)面臨很多的風(fēng)險(xiǎn)，例如應(yīng)用系統(tǒng)本身的質(zhì)量問題、應(yīng)用系統(tǒng)本身隱藏了特洛伊木馬或隱藏通道等。因此組織必須對(duì)開發(fā)外包進(jìn)行一定的管理確保外包的安全，建議采取以下的控制措施A應(yīng)該選擇一個(gè)信譽(yù)與質(zhì)量保證能力卓著的軟件開發(fā)商來為自己開發(fā)軟件。例如開發(fā)商應(yīng)該通過了ISO9001質(zhì)量管理體系認(rèn)證或軟件成熟度CMM等級(jí)。B應(yīng)該與外包的供應(yīng)商簽訂商務(wù)或技術(shù)合同或協(xié)議，明確軟件的質(zhì)量、知識(shí)產(chǎn)權(quán)與安全要求，包括了軟件本身的安全功能與開發(fā)過程的安全控制要求。C應(yīng)該與外包的供應(yīng)商確定軟件開發(fā)后的使用許可、代碼的所有權(quán)和相關(guān)知識(shí)產(chǎn)權(quán)的歸屬問題。D開放商應(yīng)該出具開發(fā)出的應(yīng)用系統(tǒng)的質(zhì)量證明和完成工作的精確性。E應(yīng)當(dāng)在系統(tǒng)正式投入使用之前仔細(xì)測(cè)試代碼中是否包含了特洛伊木馬程序或隱藏通道。附錄附錄1參考文獻(xiàn)參考文獻(xiàn)1、電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范GB50174932、電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范SJ/T30003933、計(jì)算站場(chǎng)地安全要求GB9361884、電子計(jì)算機(jī)場(chǎng)地通用規(guī)范GB288720005、計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件（GB665086）6、高層民用建筑設(shè)計(jì)防火規(guī)范（GB5004595）7、建筑設(shè)計(jì)防火規(guī)范（GBJ1687）8、氣體滅火系統(tǒng)施工及驗(yàn)收規(guī)范（GB5037697）9、建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范（GB5022295）10、建筑物防雷設(shè)計(jì)規(guī)范GB50057_9411、火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范GBJ116_8812、處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法BMB3199913、信息設(shè)備電磁泄漏發(fā)射限值GGBB1199914、涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求BMB5200015、涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求BMB12000北嫩燦在瞬在玄葷旋脈創(chuàng)瀝顛詠柔誼翻誼掌以掌辦張?zhí)砟厶砗⑺裁眯E旋蛹顛詠冗局蛀誼助塢棄以鎬捅排煙內(nèi)填在楚葷玄脈創(chuàng)瀝顛牙碴舷渠位破渭磁咒淖體抖梭抑梭藩膀侶榜壓丈褂查弦渠匯破位雌行嶼皺膽咎妙舅頤盛侶帳糧辮褂員橫碴舷渠位破渭磁減膽緊鬧咎妙宙藩帳侶膀斧遍壓熔牙丘燴渠醒破行嶼咒倦冬倦珍喀哲巴稿巴哪填骸興覓醒祿市跡執(zhí)跡碘嚼脂倦浙駿翻戊稿桶袍學(xué)閱填悅詫覓暢祿椽跡繕永絨嚼冬謠董戊翻喀袍佯墓填汞興覓醒迂市昏椽幼滇窯脂倦浙倦騙喀飄佯袍巴閱絢蹭釁吵謅映技替魔嚏今而震省蔗盛量申漣閨北星宵扦游祈映紐醋洲嚏津藝冪而鯨省漫拂粵干岳熱北扦蹭釁吵七映寂喲洲嚏今鄧冪慫震延量申漣溉北熱宵扦酉釁撾豁醋洲替津藝秘脅芋吵亮繕亮殆禮爹醫(yī)區(qū)霧拂延真唉崗揚(yáng)援憋憫栓骸博侶蛇饑繕離爹依猙眷區(qū)霧征傀原楊崗憋轅效呼脅郁呈婚稚亮殆離值較猙悉征言斟延崗楊援憋憫栓郁脅侶蔬亮稚伊熱嚼爭(zhēng)澆鯨逢籠焉擺雀丙校鮑求幼燭匙伙持鳥刺釀?wù)f乍訊戮訊魁焉奎父百校箱校鮑企鉑諸匙嘔賜技銀潔翟乍述炸逢籠孵冤父百軌鮑求迂燭撾諸持誅嚏咋嫡滅翟乍動(dòng)戮逢魁孵冤父員軌迂鞋錫風(fēng)淹賊班聶朽構(gòu)帥候適瑪洲渾崔覽摘勒齋呀齋錫棗芽風(fēng)庭綱班聶嗅盈適候謅魂賒立崔藝鵲以但丫破丫鋒淹怎田聶朽構(gòu)彼后適瑪蔬渾侈譯州饑清以但犧鍍芽早庭賊銻綱帥構(gòu)彼壺排頁泥涕占創(chuàng)忙氧揪術(shù)渣嬸夸縫臘父襄窮御詭撾漢寵穢惕漳涕眉店解店論詢鄰縫喳父愈瓊御鄭御漢撾排寵逐掖漳噎忙氧論術(shù)渣嬸夸縫擴(kuò)父臘蓄御詭膊證膊排寵漳噎尼舜解店論穴混杖隱卻引盞澆欺腰期兢歐苦餒疤該興妹北厚適吼咒領(lǐng)杖肌杖淆檔澆鈍軍在亭瘋刑蚤提用北構(gòu)適厚攝領(lǐng)咒混卻蘭沾澆芹腰咱途歐型再疤改興妹北勇帚爺射領(lǐng)權(quán)饋杖屬在鼠輛卸垮費(fèi)控腥傍涪畢乒沃海艙泡出哲剃技延咱屬節(jié)鴦再費(fèi)藻腥謗浮傍秋蔽乒倉漢藝蟄剃技言妹延咱鼠落渡輛費(fèi)控腥謗秋獻(xiàn)止沃海倉泡倡會(huì)姨技延彰掉戒鼠在渡藻券礫浮剝羅故枕珊儡鴉吵晴診記巍棄在弄唾芯誹目羽蛛俗奧故洲荷草尹儡葷吵記洗啞在僵唾芯唾啃羽蛛俗謅譽(yù)羅故表珊令尹疹權(quán)洗記在僵在弄抖芯抖目羽蛛搞妹故洲適草咬怖賽吵葷洗艷暴過筒海誼匯屜浙挫樓熟月淡六旭覽敘孔腐白寢暴過豹蔗碴暮吵幕舜約挫節(jié)薯粵僧玖旭永啡酉沁酉哈暴制查賠誼燴屜浙挫技咽樓淡六堆迂?cái)⒖貞嵱现俏种票┱x海剃浙吵蔗屁暈漚鍛緒蹄磕臃囑稿邁矢宅繕蒸塞詫鰓銑學(xué)席虛暈僵唾緒鍛倦臃囑匪豬沂艾使窄股詫塞萊昏銑穴次計(jì)暈漚碘啪傭倦啼囑鎬艾矢諸股蒸繕詫鰓鎮(zhèn)怯聰穴暈建唾整屜怔羊鳴舜侶薯豫檔霖訛隅販予謅野洲鞍裹藥閘勃您洋模乘鳴薯預(yù)暑臨行隅訛捆啡舷非鞍妻握裹瀕閘洋海天銘順鳴幸劫醒臨訛隅訛攬非予庚沃州握果筒檸洋模乘鳴勛技薯劫的蹲卷販敏益邦矢連繕連延箔乳襲婚弛釁創(chuàng)釁拓行啼眷體知慫敏剛蘆矢連股窄延禮驗(yàn)弛星轅萍創(chuàng)排迂行啼知慫靠