- 1、本文档共3页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
代码审查的政策与标准要求
代码审核的政策及标准要求
根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题。鉴于信息安全发展中所面临的软件安全问题,各个标准化组织及相关管理部门分别从法规、信息安全管理体系建设及行业安全标准等角度对软件进行规范,对软件安全的代码审查工作提出了相应的要求。
1、《信息安全等级保护基本要求》
根据《基本要求》中关于外包软件开发的相关要求,一级要求开始就对外包开发软件在上线前进行恶意代码检测,“应在软件安装之前检测软件包中可能存在的恶意代码”。在测试验收中,提出了对系统进行安全性测试,“应对系统进行安全性测试验收”。在二级要求中,增加了对源代码进行后门检查的要求,“应要求开发单位提供软件源代码,并审查软件中可能存在的后门”。三级要求中明确指出要求由第三方测试单位实施系统安全性测试,“应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告”。四级要求中增加了对源代码隐蔽信道的安全检查要求,
从《基本要求》关于系统安全性测试要求的变化可以看出,系统安全性测试强度不断提高,在四级要求中增加了对“隐蔽信道”的安全检查,测试机构从无要求转向了三级要求中明确规定的第三方测试单位。一级要求中的恶意代码检测和安全性测试,未明确要求进行源代码层面的安全测试,《基本要求》要求在测试验收时进行必要的软件安全性测试,代码审查可以作为软件安全性测试一项其重要手段,但未进行明确的规定。在二级要求中增加了对源代码进行后门检查及四级要求中对源代码进行隐蔽信道检查,提供了源代码检测的必要依据。
2、萨班斯法案
尽管萨班斯法案没有提及IT或者信息安全,但对绝大多数现代企业来说,财务报告无可避免地会与信息技术联系在一起;换句话说,如果某些关键系统失效了,企业正确报告其财务状况的能力就可能严重受限,甚至短期内丧失。在第404节管理层对内部控制的评价中,强调了管理层对内部控制的系统的责任,在IT审计过程中,审计师必须评估IT控制的设计效力,确定其是否为实现相关声明而恰当设计,增加了对系统安全性要求的。作为测评机构,可以为上市公司的相应应用系统提供代码审查工作,证明其系统在IT审计中的有效性。
3、信息安全管理体系要求(IDT ISO/IEC27001:2005)
根据《信息安全管理系统要求》中控制目标“防范恶意代码和移动代码”,“应用中正确处理”,“技术脆弱性管理”的要求,应用系统必须以相应的控制措施提供相应的功能。为验证安全功能的实现,在IT审计工程中,必然需要相应的测试结论提供相应的支持。其中“防范恶意代码和移动代码”,“应用中正确处理”,“技术脆弱性管理”等要求均可以利用代码审查进行控制目标的验证。
4、支付卡行业数据库安全标准(PCI DSS)
PCI DSS中6.3.7 “在发布生产以前检查自定义代码,以识别所有潜在的编码漏洞”,及6.6“对于面向公众的 Web 应用程序,经常解决新的威胁和漏洞,并确保保护这些应用程序不受到以下任一方法的攻击”,此项要求中明确提出了由独立于开发团队的内部组织或第三方专业机构进行代码安全审查。对于银行业及金融业来说,此项业务需求将比较大。
5、网上银行系统信息安全通用规范(试行)
网上银行系统信息安全通用规范(试行)中6.1.1.1明确要求由外包方开发的客户端程序要进行代码安全测试并须通过第三方中立测试机构的安全检测,6.1.4.3中WEB应用安全对编码规范约束、防止SQL注入攻击、防止跨站脚本攻击等对软件安全及代码安全做出了明确要求,而且指定了要求第三方机构出具相应的测评报告。
6、电子银行业务管理办法及电子银行安全评估指引
《电子银行业务管理办法》对电子银行系统的安全性进行了规范,指出在申请电子银行业务时需要提交电子银行安全性评估报告。目前《电子银行安全评估指引》是电子银行安全性评估的准则,其第三十一条明确规定电子银行系统的安全性评估须包括应用系统安全性评估内容,但未对应用系统安全性评估方法进行明确规范,鉴于已出台的《网上银行系统信息安全通用规范(试行)》,可以在其测试过程中,增加代码审查相关测评方法。
通过以上政策及标准的调研发现,软件安全在等级保护、上市公司及金融银行业均有明确的要求,但鉴于不同组织机构对信息安全的接受程度、财务状况及相关业务审计要求来看,在金融银行业及上市公司推广该业务才是唯一的出路,但市场总体来说未必很大。
【参考文献】
信息安全等级保护基本要求。
萨班斯法案
信息安全管理体系要求
支付卡行业数据库安全标准
网上银行系统信息安全通用规范(试行)
电子银行业务管理办法
电子银行安全评估指引
您可能关注的文档
- 从交响曲《告别》及《惊愕》看海顿.doc
- 从《以人为本》到《以奋斗者为本》.doc
- 从人人网衰落看社交型产品该如何运营.doc
- 从传统民间音乐解读我国非物质文化遗产的保护与传承-对广东汉乐的调研(节选).docx
- 从低年级开始抓写作.doc
- 从传统咨询到高绩效咨询.docx
- 从僵尸与吸血鬼比较中西方文化的异同.doc
- 从关联理论看“武林外传”中幽默言语.doc
- 从公务员市场及口碑来看中公好还是华图好.doc
- 从初涉到精通玩转调音台.docx
- 2024高考物理一轮复习规范演练7共点力的平衡含解析新人教版.doc
- 高中语文第5课苏轼词两首学案3新人教版必修4.doc
- 2024_2025学年高中英语课时分层作业9Unit3LifeinthefutureSectionⅢⅣ含解析新人教版必修5.doc
- 2024_2025学年新教材高中英语模块素养检测含解析译林版必修第一册.doc
- 2024_2025学年新教材高中英语单元综合检测5含解析外研版选择性必修第一册.doc
- 2024高考政治一轮复习第1单元生活与消费第三课多彩的消费练习含解析新人教版必修1.doc
- 2024_2025学年新教材高中英语WELCOMEUNITSectionⅡReadingandThi.doc
- 2024_2025学年高中历史专题九当今世界政治格局的多极化趋势测评含解析人民版必修1.docx
- 2024高考生物一轮复习第9单元生物与环境第29讲生态系统的结构和功能教案.docx
- 2024_2025学年新教材高中英语UNIT5LANGUAGESAROUNDTHEWORLDSect.doc
文档评论(0)