代码审查的政策及标准要求

代码审核的政策及标准要求根据IT研究与顾问咨询公司Gartner统计数据显示，75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此，应用软件的自身的安全问题是我们信息安全领域最为关心的问题。鉴于信息安全发展中所面临的软件安全问题，各个标准化组织及相关管理部门分别从法规、信息安全管理体系建设及行业安全标准等角度对软件进行规范，对软件安全的代码审查工作提出了相应的要求。1、信息安全等级保护基本要求根据基本要求中关于外包软件开发的相关要求，一级要求开始就对外包开发软件在上线前进行恶意代码检测，“应在软件安装之前检测软件包中可能存在的恶意代码”。在测试验收中，提出了对系统进行安全性测试，“应对系统进行安全性测试验收”。在二级要求中，增加了对源代码进行后门检查的要求，“应要求开发单位提供软件源代码，并审查软件中可能存在的后门”。三级要求中明确指出要求由第三方测试单位实施系统安全性测试，“应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告”。四级要求中增加了对源代码隐蔽信道的安全检查要求，从基本要求关于系统安全性测试要求的变化可以看出，系统安全性测试强度不断提高，在四级要求中增加了对“隐蔽信道”的安全检查，测试机构从无要求转向了三级要求中明确规定的第三方测试单位。一级要求中的恶意代码检测和安全性测试，未明确要求进行源代码层面的安全测试，基本要求要求在测试验收时进行必要的软件安全性测试，代码审查可以作为软件安全性测试一项其重要手段，但未进行明确的规定。在二级要求中增加了对源代码进行后门检查及四级要求中对源代码进行隐蔽信道检查，提供了源代码检测的必要依据。2、萨班斯法案尽管萨班斯法案没有提及IT或者信息安全，但对绝大多数现代企业来说，财务报告无可避免地会与信息技术联系在一起；换句话说，如果某些关键系统失效了，企业正确报告其财务状况的能力就可能严重受限，甚至短期内丧失。在第404节管理层对内部控制的评价中，强调了管理层对内部控制的系统的责任，在IT审计过程中，审计师必须评估IT控制的设计效力，确定其是否为实现相关声明而恰当设计，增加了对系统安全性要求的。作为测评机构，可以为上市公司的相应应用系统提供代码审查工作，证明其系统在IT审计中的有效性。3、信息安全管理体系要求（IDT ISO/IEC27001：2005）根据信息安全管理系统要求中控制目标“防范恶意代码和移动代码”，“应用中正确处理”，“技术脆弱性管理”的要求，应用系统必须以相应的控制措施提供相应的功能。为验证安全功能的实现，在IT审计工程中，必然需要相应的测试结论提供相应的支持。其中“防范恶意代码和移动代码”，“应用中正确处理”，“技术脆弱性管理”等要求均可以利用代码审查进行控制目标的验证。4、支付卡行业数据库安全标准（PCI DSS）PCI DSS中6.3.7 “在发布生产以前检查自定义代码，以识别所有潜在的编码漏洞”，及6.6“对于面向公众的 Web 应用程序，经常解决新的威胁和漏洞，并确保保护这些应用程序不受到以下任一方法的攻击”，此项要求中明确提出了由独立于开发团队的内部组织或第三方专业机构进行代码安全审查。对于银行业及金融业来说，此项业务需求将比较大。5、网上银行系统信息安全通用规范（试行）网上银行系统信息安全通用规范（试行）中明确要求由外包方开发的客户端程序要进行代码安全测试并须通过第三方中立测试机构的安全检测，中WEB应用安全对编码规范约束、防止SQL注入攻击、防止跨站脚本攻击等对软件安全及代码安全做出了明确要求，而且指定了要求第三方机构出具相应的测评报告。6、电子银行业务管理办法及电子银行安全评估指引电子银行业务管理办法对电子银行系统的安全性进行了规范，指出在申请电子银行业务时需要提交电子银行安全性评估报告。目前电子银行安全评估指引是电子银行安全性评估的准则，其第三十一条明确规定电子银行系统的安全性评估须包括应用系统安全性评估内容，但未对应用系统安全性评估方法进行明确规范，鉴于已出台的网上银行系统信息安全通用规范（试行），可以在其测试过程中，增加代码审查相关测评方法。通过以上政策及标准的调研发现，软件安全在等级保护、上市公司及金融银行业均有明确的要求，但鉴于不同组织机构对信息安全的接受程度、财务状况及相关业务审计要求来看，在金融银行业及上市公司推广该业务才是唯一的出路，但市场总体来说未必很大。【参考文献】1、 信息安全等级保护基本要求。2、 萨班斯法案3、 信息安全管理体系要求4、 支付卡行业数据库安全标准5、 网上银行系统信息安全通用规范（试行）6、 电子银行业务管理办法7、 电子银行安全评估指引