基于全生命周期IT项目信息安全管理方法.docVIP

基于全生命周期IT项目信息安全管理方法 　　【摘要】 结合ISO27000标准体系、国家信息安全标准以及萨班斯法案（SOX）的要求，通过在IT项目全生命周期的各个阶段加强安全管理，确保项目满足规定的安全方案；降低IT项目安全风险的控制成本，提升项目安全水平。 　　【关键词】 信息安全管理 IT项目 全生命周期 　　一、前言 　　业务应用的不断拓展，信息系统已全面渗透到企业的运营中，而随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁[1]；病毒和黑客攻击越来越多，安全事件爆发越来越频繁，直接影响企业正常业务运作。特别是对于移动通信运营商而言，信息安全尤为重要，为了保障客户利益，加强对信息系统的信息安全管理工作刻不容缓。 　　新建项目中容易忽视信息安全问题，如果安全管理工作不到位，安全风险就得不到控制，而对安全风险进行控制所需的成本则随着安全管理工作介入项目的时间越晚而越高（如图1所示）；因此，为降本增效，在IT项目的建设过程中，越早引入信息安全管理，安全风险控制的成本就越低，达到的安全水平也越高。对IT项目进行全生命周期的安全管理，满足集团安全管理“三同步”的要求，即在系统的设计、建设和运行过程中，做到同步规划、同步建设、同步运行[1]。 　　二、IT项目全生命周期安全管理要求 　　对IT项目进行安全管理，一方面是要求项目能应达到与其承载业务相符的安全特性，如认证、账户管理 、操作审计等功能；另一方面，对项目进行全生命周期的安全管理，在项目的不同阶段进行评审和验证，确保项目满足规定的安全方案。结合ISO27000标准体系、国家信息安全标准以及萨班斯法案（SOX）的要求，制定IT项目建设全生命周期的项目安全管理工作流程。 　　在项目全生命周期各阶段加入安全管控点（如图2所示），制定各阶段安全管控点的安全控制措施和人员职责，充分考虑信息安全方面的要求，确保开发出来的系统可以满足公司的安全方针、国家法律法规及萨班斯法案（SOX）的要求。 　　安全要求是通过对安全风险的系统评估予以识别的[2]，因所承载的业务的差异，每个系统的安全要求有所不同，每个系统都必须根据其业务流程评估安全风险，确定其对信息完整性、安全性、可用性的要求，从而采取适当的安全控制措施。如涉及客户资料、经营信息的系统安全级别较高，而用于辅助办公的系统安全级别则较低，需要采取不同的安全控制措施，才能将信息安全落到实处；不恰当的安全级别划分，会导致敏感数据的访问控制不严，甚至敏感数据在防护之外。 　　三、IT项目建设各阶段安全管理实施方法 　　3.1 项目规划阶段安全管理 　　项目规划阶段，定义业务需求，并进行可行性研究；在定义业务需求时，应注重对信息安全方面的需求制定。在业务需求书中，应明确对系统安全的详细要求，并由项目各相关方（含信息安全人员）进行评审，评审通过才能进行项目立项。业务需求制定完成，任何对系统安全需求的修改，也应视为对业务需求书的修改，需经过正式的系统变更流程。 　　3.2 项目设计阶段安全管理 　　通过对业务流程的分析，对系统进行整体设计和详细设计，考虑数据传输、处理、存储等各个过程中的安全要求，确保实现所有过程中对数据的全面保护，特别是对关键业务的敏感数据的保护，如客户资料、经营数据等，对重要数据的存储和传输设置权限和校验，并进行加密。 　　在系统应用安全层面应至少进行以下安全控制设计： 　　（1）身份认证。对用户进行身份识别，并根据安全策略配置相关参数，如限制非法登录次数、超时自动退出等，确保系统不被非法用户进入。 　　（2）访问控制。遵循最小权限原则控制用户对文件、数据库表等客体的访问。 　　（3）日志与审计。对应用程序中的重要事件进行日志记录，并进行审计，以便对系统的重要操作和安全事件进行追踪审查。 　　（4）通信安全。对通信过程中的敏感信息字段进行加密，确保重要的业务数据和敏感的系统信息（如口令）的传输不能被窃取和篡改。 　　对于支撑公司业务运营的系统，必须设计与公司4A系统的接口。4A系统是融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素的安全管理平台解决方案，与萨班斯法案（SOX）内控需求一致。支撑公司业务运营的系统必须接入4A系统进行统一管理，以保证认证、授权和审计安全策略的一致实施。 　　3.3 项目实施阶段安全管理 　　开发人员应参照规范编写代码；严禁不安全的实施方法，如将用户名或密码编写在程序中、使用未经安全评估的第三方产品等。对源代码的访问和修改必须严格控制，建议使用配置管理工具进行代码访问及代码版本控制。 　　开发平台上如需使用来自生产环境的敏感数据，必须是过期并经过模糊化处理后的数据，并保留数据导入的处理记录。 　　3.4 项目验收阶段安全管理 　　验收测试前，需要制定相应的