信息化应用系统开发安全规范26479.pdf

1.概述

软件的不安全因素主要来源于软件自身存在错误和缺陷引

起的安全漏洞以及来自外部的攻击。良好的软件开发过程管理

可以减少软件自身缺陷并有效抵抗外部攻击。本规范主要规定

了集团信息化应用系统在系统开发的各个阶段应遵守的各种安

全规范，以提高集团信息化应用系统的安全性和抵抗外部攻击

的能力。

2.可行性计划

可行性计划是对项目所要解决的问题进行总体定义和描述，

包括了解用户的要求及现实环境，从技术、经济和需求三个方

面研究并论证项目的可行性，编写可行性研究报告，探讨解决

问题的方案，并对可供使用的资源（如硬件、软件、人力等）

的实施计划。

2.1阶段性成果

阶段性成果为可行性研究报告。

2.2可行性研究报告重点

可行性研究报告重点包括以下四个方面：

1.设计方案

可行性研究报告需对预先设计的方案进行论证，设计研究

方案，明确研究对象。

2.内容真实

真实可靠，不得有任何偏差及失误。可行性研究报告中所运用

资料、数据，都要经过反复核实，以确保内容的真实性。

3.预测准确

可行性研究是投资决策前的活动，对可能遇到的问题和结

果的估计具有预测性。因此，必须进行深入的调查研究，充分

占有资料，运用切合实际的预测方法，科学地预测未来前景。

4.论证严密

论证性是可行性研究报告的一个显著特点。要使其有论证

性，必须运用系统的分析方法，围绕影响项目的各种因素进行

全面、系统的分析，既要作宏观的分析，又要作微观的分析。

3.需求分析

软件需求分析是对开发什么样的软件的一个系统的分析与

设想。它是一个对用户需求进行去粗取精、去伪存真、正确理

阶段主要工作是完成需求对业务的表达，这体现在对需求规格

说明书中，包括业务流程，子系统划分，状态图，数据流图等，

最终通过用户用例完成业务分析测试。

需求分析阶段最大的隐患即需求未能准确地描述表达对用

户需求的真正正确理解。因此，需求分析阶段的安全工作应主

要在对用户需求真正准确的理解上。需求分析阶段需深入描述

软件的功能和性能，确定软件设计的约束和软件同其他系统元

素的接口细节。

Duringtherequirementanalysisphase。itisimportantto

definetheotherXXXoftheareandusethecurrentsystemslogic

modeltoderivethetargetsystemslogicmodel。therebysolving

theproblemofwhatthetargetsystemshoulddo.

requirementproposal。requirementn。andrequirementreview.

3.1XXX

XXXaproblemdomainanddefineasystemthatdescribes

theproblemformingasystemXXX.

3.2Requirementn

InXXXanalysisphase。themaintaskoftheanalystsisto

identify。synthesize。andmodeluserrequirements。XXX。

inconsistency。andvaguenessofuserrequirements。analyzethe

systemsdatarequirements。andestablishalogicalmodelforthe

originalproblemandtargetare.

AnalystsshouldXXXduetouserbiasorshort-termr。as

wellaspotentialrequirementsthathaverealvaluebuthavenotyet

beenproposedbytheuser.

3.3RequirementReview

X