以下为《xxx软件开发安全管理规定》的无排版文字预览，完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。

x x x 软件开发安全管理规定

xxx 软件开发安全管理规定

总则

为加强 xxx 软件开发的安全管理，保护软件开发中软件和信息的安全，依据

。、《》 等要求 ，特制订本规定。

本规定适用于 且以软件开发过程中需求分析、设计、开发及测试等阶段的安 全管理。

软件安全需求分析

业务吉普求提出人员应会同言需求分析人员，确定业务持续性、输入输出、身份 欺骗及抗抵赖、等方面的业务风险。

业务需求提出人员应会同街求分析人员，依据业务风险，提出系统功能、性 能及数据等方丽的业务安全需求。

需求分析人员应根据业务安全需求，边行资产识别、资产分t日和风险分析， 确定软件的安全需求。

需求分析人员应明确软件系统的安全目标，并提交安全需求规格说明书 （或 需求规格说明书包括安全需求部分），包括系统需要保护的安某某、保护程度，应 用系统中存在的威胁、脆弱性及其风险等。

xx 部门应会同信息安全相关处室组织对整体安全 目标进行评审并确认。

软件安全设计

设计人员应根据安全目标进行安全设计，在衍合 xxx 信息化架构规划的基 础上，确保安全功能的完整实现，并提交安全设计方案 （成总体方案设计文档中 包招安全方案设计部分）。

安全设计应遵循 ：

保护最古草弱的环节原则．保护；最易受攻击影响的部分：

纵深防御l原则：不同层面、不同角度之间需要相互配合：

最小权限原则：只授予执行操作所需的最小权限； 般小共享 原则：使共享文件资源尽可能少：

权限分离原则：授予不同用户所需的矮小权限，并在它们之间形成相互制约 的关系。

安全设计应包括：

确定安全体系架构，设计安全协议和安全接口：

确定访问控制与身份鉴别机制，定义主体角色和权限； 信息输入的安全过j虑，信息输出的校验和控＊川 ；

数据结构安全设计，选择JJ日密方法和3号法： 确定敏感数据保护方法：

内部处理逻辑安全设计： 评估 内部通信机制，确定完整性机制。

xx 击l 门会同信息安全相关处室组织对安全设计方案进行评审并确认。 软件安全开发

开发人员根据安全设计方案L行系统安全7陈 确保开发环境、编码及系统

流程控制的安全。

开发环榄安全管理要求：

软件系统开发、测试不得在生产环境中进行， 开发环镜中所使用的操作系统、开发工具、数据库等必须是正版软件； 开发环销中的开发用机J"E.进行统一安全配置 ，及时进行系统补丁升级和l漏洞

修复。

编码安全主要求 ：

道循代码编写安全规范，根据代码编写安全规范以及安全设计方案进行系统 开发；

遵循通用安全编程？的＼lj ，包括输入验证、缓存3益出、安全调用组111二和程序编 译等；

道循机密性要求，保护用户·w 问信息的机密性 ，严禁在客户端存放敏感数据，

避免内存溢出，严格检查和验证输入输出信息等： 遵循结构化异常处理机制，州捉并处理程序异常，防止系统信息泄露；

遵循代码脆弱性防范要求，包指缓冲区溢出、SQL 注入、踏始脚本攻击、XML

I去入攻击、HTTP HEAD 注入等。 开发流程安全要求： 开发过程中应对阶段性开发成果进行有效管某某．

开发过程中应定期进行代码静态分析，使用代码审核工具对派代间进行检 测，并报告源代码中存在的安全弱点。

开发人员不得超越其规定权限进行开发，不得在程序中设置后门或恶意代码 程序。

软件安全测试

测试内容应包括代码的安全测试和安全功能测试。代码的安全测试是指使用 代码测试工具来识别代码的安全脆弱。性，并应按照其提供的修复建议进行修复。 安全功能测试主要包某某 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 定。

本规定出 xxxx 负责解辛辛辛11修订。

本规定白发布之 日起执行。

附

系统开发相关技术文档消单：

业务街求书 （其中包含信息安企业务需求部分〉 安全需求规格说明书 （ 或需求规格说明书包括安全需求部分〉 安全方案设计文档 （ 或总体方案设计文裆中包括安全方案设计部分〉 程序源代fiij

开发过程中产生的记录

测试方案

测试过；假记录

测试报告

代码分析报告 系统配置文档

．oc1n.co门1

系统使用指南及操作孚册

咽，

d

www .aocin.com

[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《xxx软件开发安全管理规定》的无排版文字预览，完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。