全生命周期安全管理的六大阶段

栏目: 服务器 · 发布时间: 5年前

内容简介:李先毅 大连理工大学网络与信息化中心高级工程师近年来,大连理工大学开始探索对信息系统进行全生命周期内的网络安全管理,为此成立了网络安全部,负责整个信息化建设当中的安全管理与监督。2018年网络安全部成立后,主要负责编写信息化项目网络安全建设管理规范。管理规范主要分为三个部分,依次是总则、全生命周期各阶段网络安全建设和其他相关制度。

全生命周期安全管理的六大阶段

李先毅 大连理工大学网络与信息化中心高级工程师

近年来,大连理工大学开始探索对信息系统进行全生命周期内的网络安全管理,为此成立了网络安全部,负责整个信息化建设当中的安全管理与监督。2018年网络安全部成立后,主要负责编写信息化项目网络安全建设管理规范。管理规范主要分为三个部分,依次是总则、全生命周期各阶段网络安全建设和其他相关制度。

总则包含四个方面的内容。第一,对信息系统全生命周期进行了明确的定义。第二,对整个全生命周期安全管理中的部门进行了责任分工,秉持"谁主管谁负责、谁运维谁负责、谁使用谁负责"的原则。第三,网络安全一票否决制。第四,厂商安全记录制。

全生命周期各阶段网络安全建设,内容如下。

1 调研立项预算阶段

包括等保定级(项目立项阶段确定安全水平)、Web检测等安全预算、资源及安全需求和网络安全建设相关时间进度。

2 采购阶段

一是采购文件,包括对厂商安全能力的要求和项目安全要求; 二是合同 ,包括项目交付前的安全监测和整个信息系统全生命周期范围内,厂商必须对系统安全负责; 三是保密协议 ,根据项目具体情况决定,可能有对数据和安全要求较高的项目,需要厂商签署保密协议。

3 建设阶段

这一阶段有六个环节。

在需求分析环节

要求需求必须固定,不得随意更改,如果有新的需求,可以分阶段、分期建设。

在设计环节

主要是两个检查,一是设计文档的审计,检查逻辑的合理性,尽量避免逻辑上的安全问题;二是对开发所使用的编程语言、开发框架等做了解和检查,避免有安全问题的框架的使用。

在开发环节

主要是安全开发、版本管理和开源软件的二次开发。

在测试环节

首先要求厂商必须完成完整的测试,提交明确的测试方案、用例和实施记录等;其次在使用测试数据时,必须对真实数据做脱敏处理;最后是代码审计,主要是对代码的规范性、合理性以及是否存在冗余代码进行检查。

在部署实施环节

首先要求生产服务器不得用于开发、测试,同时进行最小化部署;其次是在部署方案里要求厂商明确说明服务器、软件环境、密码等情况;再次是在交付文档中提供部署调整、关键进程等参数,以供后期运维阶段作为参考;最后是对堡垒机的使用和服务器操作要求及审计做出定义,要求所有的厂商、第三方对于服务器的远程操作必须经过堡垒机。

在上线试运行环节

要求在系统试运行之前,每个项目都要做第三方安全检测。

4 验收阶段

一方面是文档的验收,主要有两个文档,分别是第三方Web安全检测报告和校方安全检测处理情况报告,规范对第三方检测机构的资质和报告格式提出了明确的要求和标准,且报告在验收提交时均不得存在高危漏洞; 另一方面是系统的验收, 要求对服务器进行安全检查,看是否有冗余的软件代码、网络连接等。

5 运维阶段

规范要求要对整个运维阶段进行考核。 首先是对运维方案的考核, 包括分工、Bug修复等一系列的内容要求,以保障运维的正常进行; 其次是对运维操作的考核, 包括堡垒机的操作、报告与记录和最小化的运维操作; 再次是对升级工作的考核, 包括操作系统升级、硬件升级、补丁升级和系统的重大升级,在系统进行重大更新或升级时,必须提前由项目组编制升级方案,审核通过后要严格按照升级方案进行升级操作。

6 结束阶段

规定给出了项目结束的条件,包括不再使用、出现故障无法修复或遇到安全问题无法解决、项目组人员不全致使系统失控失管和国家或学校规定要求系统下线,这时项目就需尽快结束,避免出现安全隐患。

其他相关制度主要包含两方面的内容,第一是数据安全与个人信息保护,对于个人信息,不得超范围使用,使用到的数据要加密存储;对于数据,建议数据本地保存,在进行删除操作时,项目组要经过讨论,慎重使用。第二是正版软件的使用,要求在整个建设过程中,不得使用来路不明的软件,特别是破解版的软件,避免恶意代码随来路不明软件带入,尽量使用正版软件或官方版本的开源软件。

本文根据大连理工大学网络与信息化中心高级工程师李先毅在"2018年高校网络信息安全研讨会"上的演讲整理,整理:付涵

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

趋势红利

趋势红利

刘润 / 文化发展出版社(原印刷工业出版社) / 2016-6-1 / 45.00

【编辑推荐】 1、国内顶尖的互联网转型专家,海尔、百度等知名企业战略顾问刘润送给传统企业的转型、创新“导航仪”,这个时代企业家的必修课 站在近200年商业全景图角度,刘润发现三种企业类型(产品型、渠道型、营销型),针对不同企业类型定制转型战略(找到自己的未来红利),方便 传统企业对号入座:不走错路就是节省时间,适合自己的最有效率。 本书内容还源自芬尼克兹、红领集团、名创优品、必要......一起来看看 《趋势红利》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具