系统开发安全管理规范 / 四六文摘

系统安全安全管理是为了提升信息系统开发安全水平，保障信息系统本身的安全性以及开发、测试和投产过程的安全性，适用于信息系统需求、设计、编码、测试、上线等过程中的信息安全管理。

安全需求

应用系统安全需求是为保障实现业务功能而对相关信息的机密性、完整性和可用性提出的要求，应用系统需求分析阶段必须进行安全需求分析。

在应用系统需求分析阶段，应用系统开发部门应和需求部门反复交互，在确定应用系统需求的过程中，进行安全需求分析，确定应用系统的业务安全需求和合规需求。

应用系统安全需求分析基于业务安全需求，将业务安全需求映射为应用系统安全需求，为后续系统设计提供依据。

应用系统安全需求分析从如下三个方面着手：

安全设计

在应用系统设计阶段，需根据安全需求进行安全设计，包括概要设计和详细设计两个阶段。

概要设计阶段确定应用系统的安全整体架构，安全概要设计阶段，包括但不限于：安全体系结构设计、各功能块间的处理流程、与其它功能的关系、安全协议设计、安全接口设计等。

详细设计阶段作为安全功能的程序设计阶段，应当直接指导安全功能的编码工作。包括但不限于：模块设计、内部处理流程、数据结构、输入/输出项、算法、逻辑流程图等。

应用系统开发部门完成详细设计后，应经相关各方确认是否符合安全需求。

安全编码

在应用系统实现阶段，应用系统开发部门需根据安全设计规格说明书的要求编写源代码，实现应用系统的目标码。

在编码过程中，应遵循安全的编码过程，避免出现安全漏洞。

对于重要的应用系统，应组织进行必要的源代码审查，确保应用系统满足相关安全编码要求。

安全测试

在编写源代码和得到目标码的过程，应进行必要的安全性测试，以保证应用系统的开发质量。

测试前应用系统开发部门须依据安全需求和安全设计制定安全测试方案,编写测试用例。

应用系统开发部门应依据安全测试方案对应用系统进行安全测试，输出安全性测试结论，纳入应用系统整体测试报告。

上线检查

应用系统上线前应进行全面的安全检查，确保应用系统符合安全要求。

应用系统上线前的安全检查活动主要有：

对于上线安全检查发现的问题较严重的问题，须由相关负责部门完成整改后方可上线；对于一般问题，应在上线后采取相应的补偿措施，同时制定整改计划，在后续的运维阶段逐步完成整改。

扩展 · 本文相关链接

系统开发安全管理规范