信息化应用系统开发安全规范 - 企业信息化.docx

.5漏洞响应和产品的维护在软件开发的过程中，即使在设计、代码编写和测试过程中考虑了安全因素。最终的软护功能，当故障发生时自动保护当前状态，保证系统能够恢复。（5）当应用系统的通信双方中的一方在一段时间发觉的用户，窃取他机器上的任意资料。测试参考方法：HTML标签：……；转义参考字符：

.5漏洞响应和产品的维护在软件开发的过程中，即使在设计、代码编写和测试过程中考虑了安全因素。最终的软

护功能，当故障发生时自动保护当前状态，保证系统能够恢复。（5）当应用系统的通信双方中的一方在一段时间

发觉的用户，窃取他机器上的任意资料。测试参考方法：HTML标签：……；转义参考字符：()；

试工作既可由项目组成员、技术管理部人员执行，还可由第三方测评机构执行。测试人员需具备相应的软件测试资

信息化应用系统开发安全规范

1概述

软件不安全的因素主要来源于两个方面，一是软件自身存在错误和缺陷引起的安全漏洞，二是来自外部的攻击。良好的软件开发过程管理可以很好地减少软件自身缺陷，并有效抵抗外部的攻击。

本规范主要规定了集团信息化应用系统在系统开发的各个阶段所应遵守的各种安全规范，将在不同阶段中所需要注意的安全问题和相关的安全规范进行进一步的描述和规定，以提高集团信息化应用系统的安全性和抵抗外部攻击的能力。

2可行性计划

可行性计划是对项目所要解决的问题进行总体定义和描述，包括了解用户的要求及现实环境，从技术、经济和需求3个方面研究并论证项目的可行性，编写可行性研究报告，探讨解决问题的方案，并对可供使用的资源（如硬件、软件、人力等）成本，可取得的效益和开发进度作出估计，制订完成开发任务的实施计划。

2.1阶段性成果

可行性研究报告。

2.2可行性研究报告重点

如下4个方面：

1、设计方案

可行性研究报告的需对预先设计的方案进行论证，设计研究方案，明确研究对象。

2、内容真实

可行性研究报告涉及的内容以及反映情况的数据，必须绝对真实可靠，不许有任何偏差及失误。可行性研究报告中所运用资料、数据，都要经过反复核实，以确保内容的真实性。

3、预测准确

可行性研究是投资决策前的活动，对可能遇到的问题和结果的估计，具有预测性。因此，必须进行深入地调查研究，充分地占有资料，运用切合实际的预测方法，科学地预测未来前景。

4、论证严密

论证性是可行性研究报告的一个显著特点。要使其有论证性，必须做到运用系统的分析方法，围绕影响项目的各种因素进行全面、系统的分析，既要作宏观的分析，又要作微观的分析。

3需求分析

软件需求分析就是对开发什么样的软件的一个系统的分析与设想，它是一个对用户的需求进行去粗取精、去伪存真、正确理解，然后把它用软件工程开发语言表达出来的过程。需求分析阶段主要工作是完成需求对业务的表达，这体现在对需求规格说明书中，包括业务流程，子系统划分，状态图，数据流图等，最终通过用户用例完成业务分析测试。

需求分析阶段最大的隐患即需求未能准确地描述表达对用户需求的真正正确理解，因此，需求分析阶段的安全工作，应主要在对用户需求真正准确的理解上。

需求分析阶段需深入描述软件的功能和性能，确定软件设计的约束和软件同其他系统元素的接口细word版本整理分享

任何password进行攻击。不恰当的异常处理程序在抛出异常的时候给出了比较详细的内部错误信息，暴露质。针对安全需求的跟踪，制定单独的测试计划安全性测试宜结合专门的源代码安全测试工具和应用测试工具。6子系统划分，状态图，数据流图等，最终通过用户用例完成业务分析测试。需求分析阶段最大的隐患即需求未能准项目需要，应针对最终用户和系统管理人员制定培训计划，包括安全培训。如果涉及到多单位培训，需注意有关企范文范例指导

任何password进行攻击。不恰当的异常处理程序在抛出异常的时候给出了比较详细的内部错误信息，暴露

质。针对安全需求的跟踪，制定单独的测试计划安全性测试宜结合专门的源代码安全测试工具和应用测试工具。6

子系统划分，状态图，数据流图等，最终通过用户用例完成业务分析测试。需求分析阶段最大的隐患即需求未能准

项目需要，应针对最终用户和系统管理人员制定培训计划，包括安全培训。如果涉及到多单位培训，需注意有关企

节，定义软件的其他有效性需求，借助于当前系统的逻辑模型导出目标系统逻辑模型，解决目标系统“做什么”的问题。

需求分析阶段需形成的文档包括《需求分析说明书》、《业务分析测试报告》、《用户使用手册初稿》。需求分析可分为需求提出、需求描述及需求评审三个阶段。

3.1需求提出

需求主要集中于描述系统目的。开发人员和用户确定一个问题领域，并定义一个描述该问题的系统，形成系统规格说明。

3.2需求描述

在需求分析阶段分析人员