我需要制定一个引用软件安全计划，对此您有什么建议吗，尤其是在制定程序和相关法规方面，同时，我们应当如何具体进行计划的制定呢。

　　应用软件的安全性是一个至关重要的问题，对于任何企业的宏观的网络安全都有重要的意义，应用程序，尤其是web应用程序，可以被看作是一个数据库的入口，因为它储存了非常重要的信息。黑客现在也把目标转移到了一些容易攻击的目标，比如说在线的应用软件。在线的应用软件之所以镕基被攻击就是因为网络的防御边界被加固了，而一个网站的用户应用软件密码则是一个安全上的薄弱点。比如说gartner公司就于最近估计出近75%的网络袭击发生在应用程序层。web应用程序则是首当其冲，袭击者可以无视网络边界的设防而直攻这一弱点。弱点扫描工具则无法发现承续性的问题，而且无法发现客户密码中的安全问题。与此同时，侵入性的监测工具也仅仅在软件受攻击的时候能够探测攻击弱点的特征。

　　因此，一个应用软件安全战略计划必须能够包括弱点侦测以及在软件运行当中的风险评估，这样才能够真正的降低风险。因此，建议您的计划必须首先能够保证商业的正常进行而且还要设计一些有验证的制度要求。这些制度必须能够保证通常的密码验证能够监测到密码元，并且能够执行分界线监测。同时，您还需要制定元件层次上的关于元件匹配性的监测系统，以及对软件只能的监测。尽管这些看起来复杂繁琐，gartner公司的分析家还是认为从一个处于测试阶段的设备中解决风险隐患要比从正在运行的制造系统中解除要节省2%的成本。

　　另外，建议您的政策计划还要保证系统进入权限以及密码使用在企业员工之间的合理分配，同时还要建立应用软件的检查目录，同时还包括在检查过程中出现错误时的处理方法。如果是我，我还会考虑同时员工如何使用和设定安全密码，因为这样会给整个企业的密码质量带来一个很大的飞跃。不过，培训也并不意味着员工自己所设的密码就都是安全的了，因此您还需要建立持续的对于弱点的技术和系统的检查机制。这里建立两种方法:动态分析和静态分析。动态分析是要通过正在运行的软件进行检测，而静态分析则不需要对软件实时运行。静态分析相比之下有着优势，因为它在系统成型之前就可执行。

　　在应用软件被安装之前，您还必须依照风险分析和企业安全的角度来考虑应用软件在您安全设备中的安装位置。而这是由多种因素决定的，包括系统和软件的敏感性和所载数据和功能的安全程度。转移管理对于您要制定的计划来说，也是非常重要的一部分，因为目前的web应用软件的是非常高的而不断的替换也会降低现存系统的稳定性。所以，安全评估系统就应当随着公司业务以及应用软件的不断更替而进行更新，从而能够保证整体系统的安全性。

　　当您制定安全战略计划的同时，您还要确保这个过程有企业重要高管人员的参与，比如内部评审部门，技术支持部门，管理部门等等。这就可以帮助您建立一个互相合作的氛围，在这种氛围中您的计划才能够得到最有效的实施。最后，我还要说，没有什么方法能够保证您的应用软件的绝对安全，因此您还要在计划的试行阶段制定信息反馈机制，同时一旦发现错误能够有即时的应对方法。