1、总则
1.1、目的
为了加强应用软件开发的安全性,保障XXXXX单位信息系统代码编写的安全,特制定本规范。
1.2、范围
本制度适用于XXXXX单位信息系统代码安全编写要求。
1.3、职责
软件开发商须按照XXXXX单位的代码安全编写规范进行软件开发,以保证开发系统符合XXXXX单位代码安全编写规范。
网络安全与信息化管理部门各对口应用开发部门实施代码安全编写的控制,并组织在软件开发项目结束时对所开发的软件实施代码安全审计。
2、安全编码
2.1、通用编码原则
- 不要信任外部的用户输入或系统。
应用程序应该彻底验证所有用户输入,然后再根据用户输入执行操作。验证可能包括筛选特殊字符。针对用户意外地错误使用和某些人通过在系统中注入恶意命令蓄意进行攻击的情况,这种预防性措施对应用程序起到了保护作用。常见的例子包括 SQL 注入攻击、脚本注入和缓冲区溢出。此外,对于任何非受控的外部系统,都不要假定其安全性。
- 不要通过隐藏来保障安全。
尝试使用让人迷惑的变量名来隐藏机密信息或将它们存储在不常用的文件位置,这些方法都不能提供安全保障,最好使用平台功能或使用已被证实可行的技术来保护数据。
- 以安全的方式处理失效
如果应用程序失效(如发生严重错误等),要恰当的进行处理,一定要保护好机密数据。同时,在向最终用户返回错误消息时,不要公开任何不需要公开的信息。也就是不要提供任何有助于攻击者发现应用程序漏洞的详细信息。
2.2、防范常见安全编码问题
在实现应用软件的编码阶段,也较容易因缺乏严谨思考或不好的编程习惯而引入安全问题,而且这些安全问题产生的危害作用非常大,因其产生的漏洞常常会造成应用程序中其他部分构筑的安全控制措施完全失效。目前存在的相当数量系统漏洞都是由编码问题造成的。因此要想保证应用软件的安全性,必须在编码阶段继续高度贯彻安全性原则。
在编码阶段,避免安全问题的基本原则如下:
- 使用最新的编译器和编译选项
- 尽量不使用特定的危险API,如strcpy, strcat等
- 程序只实现指定的功能
- 永远不要信任用户输入,对用户输入数据做有效性检查
- 必须考虑意外情况并进行处理
- 不要试图在发现错误之后继续执行
- 尽可能使用安全函数进行编程
- 小心、认真、细致地编程
- 定期进行安全代码复查
- 使用静态语言分析工具以扫描安全漏洞
2.3、防范常见安全漏洞问题
目前在各种应用软件中常见的安全漏洞如下所示,应对这些常见问题进行有针对性的防范。
2.3.1、缓冲区溢出
如果对输入参数(字符串、整数等)处理时长度检查不严格,或对指针和数组越界访问不进行保护,就容易产生缓冲区溢出(Buffer Overflow)问题,这种问题主要出现在主要出现在 C/C++ 语言编写的系统中,它造成的漏洞是当今绝大多数安全漏洞的主要根源。在 Java / .NET 等利用虚拟机的(托管)平台上不会产生此问题。
要避免此问题,则必须对系统输入数据进行严格的长度检查,废弃或截断超长的越界数据,同时利用基础库函数中的一些更为安全的字符串处理函数来处理数据,也可以利用编译器或代码复查工具提供的检查功能来尽早发现可能会产生问题的程序。
2.3.2、输入非法数据
恶意的攻击者会尝试在用户界面或接口中向系统输入恶意数据,以便期望绕过系统的安全限制,致使系统出甚至崩溃或其他非法目的,因此在编码时,须要对所有输入数据 (包括用户在界面中输入的数据和其他应用系统通过接口传递的数据)进行严格的合法性检查。
2.3.3、SQL注入式攻击
SQL 注入式(SQL Injection)攻击是一种典型的,因对输入数据不当处理而产生的非常严重的安全漏洞。其原因是基于数据库的应用程序中经常会使用动态 SQL 语句,而且在程序又没有对输入数据严格检查,致使攻击者能在界面层或接口层注入非法的 SQL 语句,从而非法访问和破坏数据、反向工程、甚至对服务器本身造成威胁。对于攻击者来说,SQL注入式攻击是一种简单有效的攻击方式,也是首选方式,尤其是在基于 Web的应用程序中,因此开发人员必须重点关注此问题。
预防 SQL注入式攻击的手段就是严格检查用户输入的数据,要使用基础系统提供的参数化查询接口,避免使用字符串来构造动态 SQL查询。同时对于数据库对象的访问权限进行严格限制,避免恶意 SQL语句破坏数据或系统。
2.3.4、拒绝服务攻击
拒绝服务攻击(Denial of Services -DoS)是指通过大量并发访问,使得服务器的有限特定资源(如网络、处理器、内存等)接近枯竭,使得服务器或操作系统失效的攻击行为。
DoS攻击的一般方式有发送大量数据包造成网络阻塞、执行内存泄漏代码使得系统可用内存越来越少、执行大量消耗 CPU处理能力的代码、通过客户端发送大量的 HTTP请求造成巨量 Web点击以及 SYN Flood等。DoS 攻击虽然不会直接对服务器本身带来损坏,但它使得真正的合法用户无法访问系统,从而可能带来业务上的损失。除了 DoS之外,攻击者还可能利用数量庞大的攻击源发起 DDoS(Distributed DoS,分布式拒绝服务)攻击,其破坏和危害作用更大。
在编码时要注意防范可能的 DoS攻击,具体措施包括提高软件行为的可管理性、主动拒绝异常连接、自动锁定攻击源、提供实时监控界面,能够有效甄别攻击源、具有(异常)事件报警机制、具有审核日志等。通过这些主动或被动的防御手段,能够将 DoS/DDoS攻击行为带来的破坏和危害降到较低水平。
2.3.5、敏感信息泄露
攻击者可能会通过暴力攻击、侦听、截取中间数据、反向工程、社会工程学(Social Engineering)等手段,获取访问凭据或机密信息,危及数据的私有性/安全性或者暴露敏感的商业数据,如用户名/口令、加密密钥、数据库连接串、商业敏感信息等。
因此在处理这些数据时,必须利用以密码技术为主的安全技术来进行强有力的机密性保护。在使用密码技术时,一般要利用公开的、经过广泛验证的可靠加密算法,同时加强密钥的管理和保护(具体参见密码算法指南和密钥管理规范)。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
1217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
