1 概述

1.1 安全评估目的

随着信息化的发展，政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。对信息系统软件进行安全测评，综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果，对其软件系统安全要求符合性和安全保障能力作出综合评价，提出相关改进建议，并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。

根据最新的统计结果，超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器，而发生在各种应用程序中-特别是关键的业务系统中。因此，有必要针对xxx系统应用软件进行安全风险评估，根据评估结果，预先采取防范措施，预防或缓解各种可能出现的信息数据安全风险。

1.2 安全评估要求

XXXXXXXX

2 软件安全评估具体需求

2.1 安全评估指导原则

软件安全风险评估作为一项目标明确的项目，应分为以下五个阶段，每个阶段有不同的任务需要完成。

1、启动和范围确定：在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任，管理者检查必备的资源（包括人员、技术、基础设施和时间安排），确保软件安全性分析的开展；

2、策划：软件安全性分析管理者应制定安全性分析计划，该计划可作为所属软件过程或活动的计划的一部分。

3、执行和控制：管理者应监控由软件安全性分析计划规定的任务的执行。管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决（解决方案有可能导致计划变更）。

4、评审和评价：管理者应对安全性分析及其输出的软件产品进行评价，以便使软件安全性分析达到目标，完成计划。

5、结束：管理者应根据合同或任务书中的准则，确定各项软件安全性分析任务是否完成，并核查软件安全性分析中产生的产品和记录是否完整。

2.2 安全评估主要任务

根据安全评估指导原则，为尽量发现系统的安全漏洞，提高系统的安全标准，在具体的软件安全评估过程中，应该包含但不限于以下七项任务：

2.2.1 软件需求安全性分析

需要对分配给软件的系统级安全性需求进行分析，规定软件的安全性需求，保证规定必要的软件安全功能和软件安全完整性。

评测人员需要根据软件安全性分析准备的结果和系统的初步结构设计文档，包括系统分配的软件需求、接口需求，完成对系统安全性需求的映射，以安全相关性分析和对软件需求的安全性评价。通过需求安全性分析，才能够对软件在系统中的安全性需求作出一个综合性的评价，更好地提交对后续的软件设计和测试的建议。

2.2.2 软件结构设计安全性分析

需要评价软件结构设计的安全性，以保证软件安全功能的完整性。从安全角度讲，软件结构设计是制定软件基本安全性策略的阶段，因为这一阶段负责定义主要软件部件，以及它们如何交互，如何获得所要求的属性，特别是安全完整性，是软件安全性需求在结构定义中实现的阶段。

对结构设计进行安全性分析需要将全部软件安全性需求综合到软件的体系结构设计中，确定结构中与安全性相关的部分，并评价结构设计的安全性。

结构设计是开发人员对系统期望功能和功能实现方式的表示方法，但是沟通的一致性，和设计的合理性，通常会影响到安全完整。所以有必要对软件设计进行安全性评估，一方面确认软件安全需求是否在设计中得到体现，另一方面确认设计是否合理、是否存在漏洞。

2.2.3 软件编程安全性分析

选择合适的编程语言。所有编程语言无论在其定义还是在其实现中都有其不安全性。这通常会造成编码人员对语言的误用，而对这些误解，一些相对开放的语言又缺乏相应的解释。例如：

1、未初始化的变量。除非进行特别的检查，否则单元测试不会发现他们。而这将导致，一个程序在不同的环境下虽然运行成功，但运行结果却不是期望值。

2、当要求重新分配存储器的调用时应予以检查，以确保不仅释放指针而且释放该结构所用的存储器。

3、运算符优先级的规则，一些语言的要求并不是那么严格，容易是程序员发生误解。

如果某种语言有精确的定义（也有完备的功能性），从逻辑上说是清晰的，有易管理的规模和复杂度，那么就认为这个语言适用于安全相关性软件。使用编程语言时，也应该针对该语言的特点，努力满足安全性要求。如果一种编程经验或编程风格因为能够提高软件安全性而被公认为专用性编码标准，可以选择这样一种编码标准来约束对不安全语言的使用。

因此进行软件安全评估过程中，需要根据编程语言的特性，对相应易产生漏洞的不安全因素进行重点分析，可以在提高工作效率的基础上，有针对性的增强软件的安全性。同时，根据不同编程语言的特性，对编码标准进行分析，也会一定程度上减少对不安全语法的使用，从而减少漏洞的产生。

2.2.4 软件详细设计安全性分析

对软件详细设计的安全性分析，主要是评估设计实现是否符合安全性的要求。 软件详细设计进一步细化高层的体系结构设计，将软件结构中的主要部件划分为能独立编码、编译和测试的软件单元，并进行软件单元的设计。

在安全性分析的这一阶段中，需要依据软件需求、结构设计描述、软件集成测试计划和之前所获得的软件安全性分析的结果，对软件的设计和实现阶段是否符合软件安全性需求进行验证。

软件详细设计的目的是进一步对设计实现进行细化，便于编码。所以针对详细设计的安全分析工作需要包含以下主要内容：

1、软件详细设计是否能追溯到软件需求；

2、软件详细设计是否已覆盖了软件安全性需求；

3、软件详细设计是否与软件结构设计保持了外部一致性；

4、软件详细设计是否满足模块化、可验性、易安全修改的要求。

2.2.5 软件编码安全性分析

软件编码完成软件详细设计的实现。所以，代码应该体现软件详细设计所提出的设计要求，实现设计过程中开发的安全性设计特征和方法，遵循设计过程中提出的各种约束以及编码标准。

对软件代码的安全性分析，可以从两个方面进行：人工分析以及静态代码分析工具来检查源代码。

人工分析主要从以下几个方面入手：

1、分析软件代码是否能追溯到需求；

2、分析软件代码是否符合支持工具和编程语言分析；

3、分析软件代码是否满足模块化、可验证、易安全修改的要求；

4、分析软件编码中所使用技术的安全性和方法的合理性。

通过静态代码分析工具检查源代码的安全性，需要根据编码语言的特性、采用的软件框架的特性等，有针对性的对代码进行分析、检查漏洞、并提出相应的改进建议。

2.2.6 软件测试安全性分析

软件测试作为验证软件功能性和安全性的重要手段，其采用的测试方法和测试技术也完全关系着测试结果的准确性，关系着后续软件的变更和测试的有效性。

软件测试安全性分析首先须进行测试前分析，还需要对测试结果进行评价，需要从不同角度进行按步骤的测试：

1、分析所有测试用例，测试是否通过测试准则。

2、测试代码是否按照要求分析，并达到相应的测试覆盖率。

3、对测试结果进行分析，以验证所有的安全性需求是否得到了满足。

2.2.7 软件安全性测试

通过软件安全性的测试，可以验证或发现系统安全方面的问题。对于软件需求说明书上既定的有关安全的功能需求，需要在安全性测试过程中一一进行验证测试。对于没有在软件需求书上标明的可能影响系统运行安全的隐性需求需要通过安全性测试尽力发现。软件安全性测试需要采取静态分析技术和功能测试两种方式发现系统开发时存在的安全漏洞。

静态分析技术：需通过对需求分析说明书、软件设计说明书、源程序作结构检查、流图分析等找出软件的缺陷及安全漏洞。可以通过合适的自动化检查工具进行静态分析以提高测试的效率和准确度。

功能测试：功能测试属动态测试，验证的是软件的功能实现。通过功能验证来检查我们是否达到了没有安全漏洞的要求。

3 相关注意事项

1、安全测试的执行，对于被测系统，或多或少都会存在一些影响（比如性能、垃圾数据），建议只在测试环境中进行；如果一定要在现网运行环境中执行，那么务必配置专门的测试数据，测试执行是应该非常慎重，只能修改或删除这些测试数据，禁止修改、删除现网其他数据。

2、如果是内部试验环境进行测试，可以考虑去除一些防护措施或设备（如防火墙），这样能保证发现问题的全面性。

第二篇：安全风险评估办法

铜煤一号施工现场周边环境安全评估管理办法

第一条 为认真贯彻落实“安全第一,预防为主,综合治理”的工作方针,切实保证建设工程施工现场周边环境安全,保障国家和人民群众生命财产安全,根据《建筑法》、《安全生产法》、《建设工程安全生产管理条例》等有关法律、法规的规定和《国务院关于进一步加强企业安全生产工作的通知》(国发〔2010〕23号)要求,制定本办法。

第二条 本办法所称建设工程,是指房屋建筑(包括与其配套的线路管道和设备安装工程)、市政基础设施、轨道交通等工程。本市行政区域内高层建筑工程、大型市政基础设施工程、轨道交通工程;基坑开挖深度超过自然地面下5米(含5米)或深度虽未超过5米,但地质条件和周围环境复杂的新建、改建、扩建、拆除建设工程,均应遵守本办法。

第三条 建设工程开工前必须对施工现场周边环境进行安全评估,并根据安全评估报告书制定安全监测方案,在施工过程中做好周边环境的安全监测。未对建设工程施工现场周边环境进行安全评估和制订安全监测方案的,属于安全措施不到位,建设行政主管部门不予通过开工前安全生产条件审查和建设工程项目安全生产评价。

第四条 安全评估的主要内容

(一)涉及周边环境的专项施工方案是否符合国家强制性标准规范要求,是否影响周边环境安全;

(二)工程施工对毗邻建筑物、构筑物的影响;

(三)施工方法对周边建筑物、地下管线、市政道路等公用设施的影响;

(四)桩基施工、深基坑施工对周边环境的影响;

(五)施工现场的临时设施选址是否合理,且应符合城市环境要求;

(六)施工现场脚手架、高支模、塔吊、易燃易爆化学品、有毒有害气体等重大危险源对周边建(构)筑物、电缆、通讯、居民、行人、道路、车辆等人员密集场所安全的影响;

(七)施工中各种粉尘、废气、废水、固体废弃物以及噪声、振动对环境的污染和危害程度;

(八)其他可能造成严重后果的危险源情况。

第五条 安全评估工作由建设单位牵头组织,施工单位、监理单位和与建设工程有关的其他单位应积极配合,并根据评估结果做好施工过程中的安全监测、监控。

第六条 安全评估机构应具有相应的安全评价资质,并经当地建设行政主管部门备案,安全评估人员应有相应的专业技能和中级以上技术职称。

第七条 安全评估人员必须依据现场周边环境状况、各种地下管线资料、勘察报告及有关设计文件和国家的有关标准、规范,对施工现场周边环境做出安全评估结论和提出相应的防范措施,并对评估结果负责。

第八条 安全监测应由建设单位组织有关单位进行。工程开工前应对周边环境进行调查、拍照和记录。同时,应委托经建设行政主管部门批准备案的第三方监测机构按照有关规范及监测方案要求作好基坑以及周边环境的全过程监测工作,提供及时、准确的监测数据与分析报告并承担相应责任。

工程勘察单位应严格按照有关规范标准规定,为地下暗挖工程和深基坑支护设计提供各项参数和技术指标,并对所提交的勘察报告负责。地下暗挖工程、深基坑支护工程的设计单位要严格按设计程序和规定提交支护设计文件,且须经专家评审、施工图审查合格后方可施工,并对方案的安全可靠性承担设计责任。

监理单位的专业监理工程师应根据工程特点,认真编写监理实施细则和旁站方案,严格按照经审查批准的设计文件和施工组织设计进行全过程安全、质量监理,及时掌握监测数据,切实把好现场施工安全质量关。

第九条 安全评估报告书和安全监测方案应由建设单位、施工单位、监理单位签署意见,

加盖单位法人公章,经专家论证评审报建设安全监督机构备案后方可实施。

第十条 建设单位应为施工单位提供必要的安全作业条件,及时组织环境评价、风险评估和危险源辨识,落实开发条件论证、规划会审、扩初审查、施工图审查等各项与施工现场环境相关的安全保障措施。通过安全评估以后提出的措施由建设单位委托有关施工单位或专业单位实施,费用按规定另行计算,严禁要求或暗示施工企业降低安全防护标准,严禁强令施工企业在不具备安全生产条件下冒险施工,严禁压缩合理造价、合理工期。

第十一条 监理单位负责对安全评估结论和安全监测方案的现场实际执行情况负监理责任。对建设单位、施工单位等相关责任单位不按照安全评估结论和安全监测方案执行的,监理单位应予以制止,要求施工单位暂时停止施工,责任单位拒不整改的,应及时向建设单位和建设行政主管部门提出书面报告。

第十二条 施工单位应对相关安全评估结论和安全监测方案的落实负责。开工前施工单位的项目部技术负责人应对施工现场的安全评估结论和安全监测方案进行全面技术交底,施工单位的项目经理及安全监管人员应对防护方案的实施进行全过程管理。因建设单位和监理单位的原因,使安全评估结论和安全监测方案得不到落实,施工单位有权拒绝开工,应及时向建设行政主管部门报告。

第十三条 建设行政主管部门应加强对建设、勘察、设计、施工、监理等工程建设责任主体安全生产职责落实情况的监督管理,对未按照国家规定及行业部门要求加强施工现场安全生产管理的责任单位,应依法给予相应处理。

建设安全监督机构应对建设工程施工现场周边环境安全评估情况和安全监测方案以及施工现场安全事故隐患进行全过程动态监督管理,并建立健全施工现场深基坑、高支模、起重机械等重大危险源安全监督管理信息系统。未对施工现场周边环境作安全评估、安全监测或安全评估、监测情况和制定相应措施与施工现场实际情况不相符的,将视为施工现场存在重大安全事故隐患,应责令限期改正,逾期未整改的应依法予以处理,对责任单位和责任人予以通报批评。

第十四条 建设行政主管部门应加强本地建设工程从业人员的专业安全教育培训工作。严格按照安全生产有关法律法规要求,强化施工管理和安全技能培训,不断增强各级管理人员特别是企业法定代表人、项目经理、专职安全员、特殊工种人员和一线作业人员的安全意识和自我保护能力。

安全评估机构、监测机构的安全评估和安全监测人员应经专业技术培训考核合格后,方可从事本岗位工作。

第十五条 建设行政主管部门应定期对安全评估方案执行情况进行检查、考核,对因未对建设工程施工现场周边环境进行安全评估和安全监测或因安全评估和安全监测措施不落实对周边环境造成影响、破坏或事故的,应视情节轻重,依照有关法律、法规对责任单位和责任人进行停工、罚款、停业整顿、降级、吊销安全生产许可证书和暂停、吊销个人从业资格等行政处罚。

安全风险评估办法

在一个施工现场中，诱发安全事故的因素很多，“安全风险评估”能为全面有效落实安全管理工作提供基础资料．并评估出不同环境或不同时期的安全危险性的重点，加强安全管理，采取宣传教育、行政、技术及监督等措施和手段，推动各阶层员工做好每项安全工作。使施工现场每位员工都能真正重视安全工作，让其了解及掌握基本安全知识，这样，绝大多数安全事故均是可以避免的。这也是安全风险评估的价值所在。

当任何生产经营活动被鉴定为有安全事故危险性时，便应考虑怎样进行评估工作，以简化及减少风险评估的次数来提高效率。安全风险评估主要由以下3个步骤所组成：识别安全事故的危害、评估危害的风险和控制风险的措施及管理。

第一个步骤：识别安全事故的危害

识别危害是安全风险评估的重要部分。若不能完全找出安全事故危害的所在，就没法对每个危害的风险作出评估，并对安全事故危害作出有效的控制。这里简单介绍如何识别安全事故的危害。

(1)危险材料识别一识别哪些东西是容易引发安全事故的材料，如易燃或爆炸性材料等，找出它们的所在位臵和数量，处理的方法是否适当。

(2)危险工序识别一找出所有涉及高空或高温作业、使用或产

生易燃材料等容易引发安全事故的工序，了解企业是否已经制定有关安全施工程序以控制这些存在安全危险的工序，并评估其成效。

(3)用电安全检查一电气安全事故是当今施工现场的一个带有普遍性的安全隐患，对电气的检查是每一个施工现场安全风险评估必不可少的一项内容。用电安全检查包括检查电气设备安装是否符合安全要求、插座插头是否严重超负荷、电线是否老化腐蚀、易燃工作场所是否有防静电措施、电器设备有无定期维修保养以避免散热不良产生热源等。

(4)工作场地整理一检查工场是否存在安全隐患，如是否堆积大量的可燃杂物(如纸张、布碎、垃圾等)，材料有否摆放错误，脚手架是否牢固等等。

(5)工作场所环境安全隐患识别一工作场所由设施、工具和人三者组成一个特定的互相衔接的有机组合的环境，往往因为三者之间的联系而可能将安全事故的危害性无限扩展。识别环境中的安全危险性十分重要，如一旦发生安全事故，人员是否能立即撤离，电源是否能立即切断等等。

(6)安全事故警报一找出工作场所是否有安全事故警报装臵或安排，并查究它们能否操作正常。

(7)其它一留意工作场所是否有其他机构的员工在施工，例如：当装修工程进行，装修工人所使用的工具或材料均可增加安全隐患。

第二步骤：控制风险的措施

风险控制就是使风险降低到企业可以接受的程度，当风险发生时，不至于影响企业的正常业务运作。

1．选择安全控制措施 为了降低或消除安全体系范围内所涉及到的被评估的风险，企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据，判断与威胁相关的薄弱点，决定什么地方需要保护，采取何种保护手段。

安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高，那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高，则也是不合适的。但是，如果预算不足以提供足够数量和质量的控制措施，从而导致不必要的风险，则应该对其进行关注。

通常，一个控制措施能够实现多个功能，功能越多越好。当考虑总体安全性时，应该考虑尽可能地保持各个功能之间地平衡，这有助于总体安全有效性和效率。

2．风险控制 根据控制措施的费用应当与风险相平衡的原则，企业应该对所选择的安全控制措施严格实施以及应用。达到降低风险的途径有很多种，下面是常用的几种手段：

1)免风险：比如：改善施工程序及工作环境等。

2)转移风险：比如：进行投保等。

3)减少威胁：比如：组织具有恶意的软件的执行，避免遭到攻击。

4)减少薄弱点：比如：对员工进行安全教育，提高员工的安全意识。

5)进行安全监控：比如：及时对发现的可能存在的安全隐患进行整改，及时做出响应。

3．可接受风险 任何生产在一定程度上都存在风险，绝对的安全是不存在的。当企业根据风险评估的结果，完成实施所选择的控制措施后，会有残余的风险。为确保企业的安全，残余风险也应该控制在企业可以接受的范围内。

风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后，企业应该对安全措施的实施情况进行评审，即对所选择的控制措施在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险，应该考虑增加投资。

风险是随时间而变化的，风险管理是一个动态的管理过程，这就要求企业实施动态的风险评估与风险控制，即企业要定期进行风险评估。一般而言，当出现以下情况时，应该重新进行风险评估：

1)当企业新增企业资产时；

2)当系统发生重大变更时；

3)发生严重安全事故时；

4)企业认为非常必要时。

一个企业要做到防患于未然，安全事故危害的风险评估工作是非常重要的，同时，要配合完善的监察和检讨制度，并有良好的记录。做好安全管理，是保护企业的宝贵人力资源、财产和信誉的上策