杜衡

【摘要】 結(jié)合ISO27000標(biāo)準(zhǔn)體系、國(guó)家信息安全標(biāo)準(zhǔn)以及薩班斯法案（SOX）的要求，通過(guò)在IT項(xiàng)目全生命周期的各個(gè)階段加強(qiáng)安全管理，確保項(xiàng)目滿足規(guī)定的安全方案；降低IT項(xiàng)目安全風(fēng)險(xiǎn)的控制成本，提升項(xiàng)目安全水平。

【關(guān)鍵詞】 信息安全管理 IT項(xiàng)目 全生命周期

一、前言

業(yè)務(wù)應(yīng)用的不斷拓展，信息系統(tǒng)已全面滲透到企業(yè)的運(yùn)營(yíng)中，而隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來(lái)了日益增長(zhǎng)的安全威脅[1]；病毒和黑客攻擊越來(lái)越多，安全事件爆發(fā)越來(lái)越頻繁，直接影響企業(yè)正常業(yè)務(wù)運(yùn)作。特別是對(duì)于移動(dòng)通信運(yùn)營(yíng)商而言，信息安全尤為重要，為了保障客戶利益，加強(qiáng)對(duì)信息系統(tǒng)的信息安全管理工作刻不容緩。

新建項(xiàng)目中容易忽視信息安全問(wèn)題，如果安全管理工作不到位，安全風(fēng)險(xiǎn)就得不到控制，而對(duì)安全風(fēng)險(xiǎn)進(jìn)行控制所需的成本則隨著安全管理工作介入項(xiàng)目的時(shí)間越晚而越高（如圖1所示）；因此，為降本增效，在IT項(xiàng)目的建設(shè)過(guò)程中，越早引入信息安全管理，安全風(fēng)險(xiǎn)控制的成本就越低，達(dá)到的安全水平也越高。對(duì)IT項(xiàng)目進(jìn)行全生命周期的安全管理，滿足集團(tuán)安全管理“三同步”的要求，即在系統(tǒng)的設(shè)計(jì)、建設(shè)和運(yùn)行過(guò)程中，做到同步規(guī)劃、同步建設(shè)、同步運(yùn)行[1]。

二、IT項(xiàng)目全生命周期安全管理要求

對(duì)IT項(xiàng)目進(jìn)行安全管理，一方面是要求項(xiàng)目能應(yīng)達(dá)到與其承載業(yè)務(wù)相符的安全特性，如認(rèn)證、賬戶管理 、操作審計(jì)等功能；另一方面，對(duì)項(xiàng)目進(jìn)行全生命周期的安全管理，在項(xiàng)目的不同階段進(jìn)行評(píng)審和驗(yàn)證，確保項(xiàng)目滿足規(guī)定的安全方案。結(jié)合ISO27000標(biāo)準(zhǔn)體系、國(guó)家信息安全標(biāo)準(zhǔn)以及薩班斯法案（SOX）的要求，制定IT項(xiàng)目建設(shè)全生命周期的項(xiàng)目安全管理工作流程。

在項(xiàng)目全生命周期各階段加入安全管控點(diǎn)（如圖2所示），制定各階段安全管控點(diǎn)的安全控制措施和人員職責(zé)，充分考慮信息安全方面的要求，確保開發(fā)出來(lái)的系統(tǒng)可以滿足公司的安全方針、國(guó)家法律法規(guī)及薩班斯法案（SOX）的要求。

安全要求是通過(guò)對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的[2]，因所承載的業(yè)務(wù)的差異，每個(gè)系統(tǒng)的安全要求有所不同，每個(gè)系統(tǒng)都必須根據(jù)其業(yè)務(wù)流程評(píng)估安全風(fēng)險(xiǎn)，確定其對(duì)信息完整性、安全性、可用性的要求，從而采取適當(dāng)?shù)陌踩刂拼胧?。如涉及客戶資料、經(jīng)營(yíng)信息的系統(tǒng)安全級(jí)別較高，而用于輔助辦公的系統(tǒng)安全級(jí)別則較低，需要采取不同的安全控制措施，才能將信息安全落到實(shí)處；不恰當(dāng)?shù)陌踩?jí)別劃分，會(huì)導(dǎo)致敏感數(shù)據(jù)的訪問(wèn)控制不嚴(yán)，甚至敏感數(shù)據(jù)在防護(hù)之外。

三、IT項(xiàng)目建設(shè)各階段安全管理實(shí)施方法

3.1 項(xiàng)目規(guī)劃階段安全管理

項(xiàng)目規(guī)劃階段，定義業(yè)務(wù)需求，并進(jìn)行可行性研究；在定義業(yè)務(wù)需求時(shí)，應(yīng)注重對(duì)信息安全方面的需求制定。在業(yè)務(wù)需求書中，應(yīng)明確對(duì)系統(tǒng)安全的詳細(xì)要求，并由項(xiàng)目各相關(guān)方（含信息安全人員）進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)才能進(jìn)行項(xiàng)目立項(xiàng)。業(yè)務(wù)需求制定完成，任何對(duì)系統(tǒng)安全需求的修改，也應(yīng)視為對(duì)業(yè)務(wù)需求書的修改，需經(jīng)過(guò)正式的系統(tǒng)變更流程。

3.2 項(xiàng)目設(shè)計(jì)階段安全管理

通過(guò)對(duì)業(yè)務(wù)流程的分析，對(duì)系統(tǒng)進(jìn)行整體設(shè)計(jì)和詳細(xì)設(shè)計(jì)，考慮數(shù)據(jù)傳輸、處理、存儲(chǔ)等各個(gè)過(guò)程中的安全要求，確保實(shí)現(xiàn)所有過(guò)程中對(duì)數(shù)據(jù)的全面保護(hù)，特別是對(duì)關(guān)鍵業(yè)務(wù)的敏感數(shù)據(jù)的保護(hù)，如客戶資料、經(jīng)營(yíng)數(shù)據(jù)等，對(duì)重要數(shù)據(jù)的存儲(chǔ)和傳輸設(shè)置權(quán)限和校驗(yàn)，并進(jìn)行加密。

在系統(tǒng)應(yīng)用安全層面應(yīng)至少進(jìn)行以下安全控制設(shè)計(jì)：

（1）身份認(rèn)證。對(duì)用戶進(jìn)行身份識(shí)別，并根據(jù)安全策略配置相關(guān)參數(shù)，如限制非法登錄次數(shù)、超時(shí)自動(dòng)退出等，確保系統(tǒng)不被非法用戶進(jìn)入。

（2）訪問(wèn)控制。遵循最小權(quán)限原則控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)。

（3）日志與審計(jì)。對(duì)應(yīng)用程序中的重要事件進(jìn)行日志記錄，并進(jìn)行審計(jì)，以便對(duì)系統(tǒng)的重要操作和安全事件進(jìn)行追蹤審查。

（4）通信安全。對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密，確保重要的業(yè)務(wù)數(shù)據(jù)和敏感的系統(tǒng)信息（如口令）的傳輸不能被竊取和篡改。

對(duì)于支撐公司業(yè)務(wù)運(yùn)營(yíng)的系統(tǒng)，必須設(shè)計(jì)與公司4A系統(tǒng)的接口。4A系統(tǒng)是融合統(tǒng)一用戶賬號(hào)管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計(jì)四要素的安全管理平臺(tái)解決方案，與薩班斯法案（SOX）內(nèi)控需求一致。支撐公司業(yè)務(wù)運(yùn)營(yíng)的系統(tǒng)必須接入4A系統(tǒng)進(jìn)行統(tǒng)一管理，以保證認(rèn)證、授權(quán)和審計(jì)安全策略的一致實(shí)施。

3.3 項(xiàng)目實(shí)施階段安全管理

開發(fā)人員應(yīng)參照規(guī)范編寫代碼；嚴(yán)禁不安全的實(shí)施方法，如將用戶名或密碼編寫在程序中、使用未經(jīng)安全評(píng)估的第三方產(chǎn)品等。對(duì)源代碼的訪問(wèn)和修改必須嚴(yán)格控制，建議使用配置管理工具進(jìn)行代碼訪問(wèn)及代碼版本控制。

開發(fā)平臺(tái)上如需使用來(lái)自生產(chǎn)環(huán)境的敏感數(shù)據(jù)，必須是過(guò)期并經(jīng)過(guò)模糊化處理后的數(shù)據(jù)，并保留數(shù)據(jù)導(dǎo)入的處理記錄。

3.4 項(xiàng)目驗(yàn)收階段安全管理

驗(yàn)收測(cè)試前，需要制定相應(yīng)的安全驗(yàn)收標(biāo)準(zhǔn)，驗(yàn)收要求和標(biāo)準(zhǔn)應(yīng)定義清楚，并經(jīng)信息安全人員評(píng)審?fù)ㄟ^(guò)。在測(cè)試過(guò)程中，需通過(guò)技術(shù)手段，如漏洞掃描等，對(duì)系統(tǒng)的安全性進(jìn)行測(cè)試，并驗(yàn)證達(dá)到要求的管理水平。安全驗(yàn)收測(cè)試的結(jié)果應(yīng)由信息安全人員進(jìn)行評(píng)審，以確認(rèn)測(cè)試結(jié)果符合系統(tǒng)設(shè)計(jì)及公司整體的信息安全需要，或已經(jīng)授權(quán)采取了充分、恰當(dāng)?shù)难a(bǔ)償性措施。對(duì)于測(cè)試中產(chǎn)生的信息和結(jié)果應(yīng)注意保密，以免泄漏影響系統(tǒng)安全性。

3.5 系統(tǒng)上線部署階段安全管理

系統(tǒng)上線部署前，通過(guò)開展安全漏洞檢查、安全防護(hù)配套設(shè)施檢查、基線配置檢查等核查手段，確認(rèn)安全方面的缺陷已被充分確認(rèn)及記錄，所有與系統(tǒng)相關(guān)的補(bǔ)丁或更新已經(jīng)實(shí)施，所有測(cè)試數(shù)據(jù)已清理，軟/硬件符合集團(tuán)安全基線配置規(guī)范。此外，系統(tǒng)如需對(duì)互聯(lián)網(wǎng)開放，在系統(tǒng)上線前應(yīng)經(jīng)過(guò)對(duì)互聯(lián)網(wǎng)開放的審批，并對(duì)提供WEB服務(wù)的網(wǎng)站部署網(wǎng)站頁(yè)面防篡改系統(tǒng)。

系統(tǒng)上線后，系統(tǒng)運(yùn)行一段時(shí)間后對(duì)系統(tǒng)進(jìn)行評(píng)估，評(píng)價(jià)系統(tǒng)對(duì)信息安全要求的符合情況、信息安全控制措施的運(yùn)行效果和效率，以及潛在的需要改進(jìn)的信息安全措施。

3.6 系統(tǒng)運(yùn)營(yíng)階段安全管理

（1）操作管理和控制。制定不相容職責(zé)矩陣，對(duì)用戶最小化授權(quán)，并制定操作規(guī)程。

（2）變更管理和控制。實(shí)施變更前，詳細(xì)的變更方案必須獲得審批，確保變更不會(huì)對(duì)系統(tǒng)的安全性和完整性造成不良影響；開發(fā)測(cè)試人員不能訪問(wèn)生產(chǎn)系統(tǒng)，以防止未經(jīng)測(cè)試或未經(jīng)審批的變更上線到生產(chǎn)系統(tǒng)。

（3）安全狀態(tài)監(jiān)控。對(duì)系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控，確保系統(tǒng)運(yùn)行安全。

（4）業(yè)務(wù)連續(xù)性管理。制定安全事件應(yīng)急處置預(yù)案，應(yīng)急預(yù)案應(yīng)明確組織機(jī)構(gòu)及工作職責(zé)，并定期進(jìn)行應(yīng)急演練。

（5）安全測(cè)評(píng)與改進(jìn)。定期進(jìn)行漏洞掃描、滲透測(cè)試等安全評(píng)估手段，挖掘系統(tǒng)存在的安全漏洞并進(jìn)行改進(jìn)。

3.7 系統(tǒng)下線階段安全管理

系統(tǒng)由于生命周期管理需要退出服務(wù)，進(jìn)入系統(tǒng)消亡環(huán)節(jié)，應(yīng)對(duì)受到保護(hù)的數(shù)據(jù)信息進(jìn)行妥善轉(zhuǎn)移、轉(zhuǎn)存、銷毀，確保不發(fā)生信息安全事件；涉及到信息轉(zhuǎn)移、暫存和清除 、設(shè)備遷移或廢棄、介質(zhì)清除或銷毀，以及相應(yīng)資產(chǎn)清單的更新。

四、結(jié)語(yǔ)

通過(guò)在IT項(xiàng)目生命周期的各個(gè)階段中實(shí)施信息安全管理，確保安全需求在IT項(xiàng)目中進(jìn)行了充分實(shí)施，項(xiàng)目滿足公司整體安全策略的要求；建立以管理手段為抓手，以技術(shù)手段為支撐的IT項(xiàng)目安全管理體系。

參 考 文 獻(xiàn)

[1] 中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全總綱

[2] ISO/IEC 27002：2005. 中國(guó)標(biāo)準(zhǔn)出版社，2008