基于全生命周期的IT项目信息安全管理方法
2014-07-29杜衡
杜衡
【摘要】 结合ISO27000标准体系、国家信息安全标准以及萨班斯法案(SOX)的要求,通过在IT项目全生命周期的各个阶段加强安全管理,确保项目满足规定的安全方案;降低IT项目安全风险的控制成本,提升项目安全水平。
【关键词】 信息安全管理 IT项目 全生命周期
一、前言
业务应用的不断拓展,信息系统已全面渗透到企业的运营中,而随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁[1];病毒和黑客攻击越来越多,安全事件爆发越来越频繁,直接影响企业正常业务运作。特别是对于移动通信运营商而言,信息安全尤为重要,为了保障客户利益,加强对信息系统的信息安全管理工作刻不容缓。
新建项目中容易忽视信息安全问题,如果安全管理工作不到位,安全风险就得不到控制,而对安全风险进行控制所需的成本则随着安全管理工作介入项目的时间越晚而越高(如图1所示);因此,为降本增效,在IT项目的建设过程中,越早引入信息安全管理,安全风险控制的成本就越低,达到的安全水平也越高。对IT项目进行全生命周期的安全管理,满足集团安全管理“三同步”的要求,即在系统的设计、建设和运行过程中,做到同步规划、同步建设、同步运行[1]。
二、IT项目全生命周期安全管理要求
对IT项目进行安全管理,一方面是要求项目能应达到与其承载业务相符的安全特性,如认证、账户管理 、操作审计等功能;另一方面,对项目进行全生命周期的安全管理,在项目的不同阶段进行评审和验证,确保项目满足规定的安全方案。结合ISO27000标准体系、国家信息安全标准以及萨班斯法案(SOX)的要求,制定IT项目建设全生命周期的项目安全管理工作流程。
在项目全生命周期各阶段加入安全管控点(如图2所示),制定各阶段安全管控点的安全控制措施和人员职责,充分考虑信息安全方面的要求,确保开发出来的系统可以满足公司的安全方针、国家法律法规及萨班斯法案(SOX)的要求。
安全要求是通过对安全风险的系统评估予以识别的[2],因所承载的业务的差异,每个系统的安全要求有所不同,每个系统都必须根据其业务流程评估安全风险,确定其对信息完整性、安全性、可用性的要求,从而采取适当的安全控制措施。如涉及客户资料、经营信息的系统安全级别较高,而用于辅助办公的系统安全级别则较低,需要采取不同的安全控制措施,才能将信息安全落到实处;不恰当的安全级别划分,会导致敏感数据的访问控制不严,甚至敏感数据在防护之外。
三、IT项目建设各阶段安全管理实施方法
3.1 项目规划阶段安全管理
项目规划阶段,定义业务需求,并进行可行性研究;在定义业务需求时,应注重对信息安全方面的需求制定。在业务需求书中,应明确对系统安全的详细要求,并由项目各相关方(含信息安全人员)进行评审,评审通过才能进行项目立项。业务需求制定完成,任何对系统安全需求的修改,也应视为对业务需求书的修改,需经过正式的系统变更流程。
3.2 项目设计阶段安全管理
通过对业务流程的分析,对系统进行整体设计和详细设计,考虑数据传输、处理、存储等各个过程中的安全要求,确保实现所有过程中对数据的全面保护,特别是对关键业务的敏感数据的保护,如客户资料、经营数据等,对重要数据的存储和传输设置权限和校验,并进行加密。
在系统应用安全层面应至少进行以下安全控制设计:
(1)身份认证。对用户进行身份识别,并根据安全策略配置相关参数,如限制非法登录次数、超时自动退出等,确保系统不被非法用户进入。
(2)访问控制。遵循最小权限原则控制用户对文件、数据库表等客体的访问。
(3)日志与审计。对应用程序中的重要事件进行日志记录,并进行审计,以便对系统的重要操作和安全事件进行追踪审查。
(4)通信安全。对通信过程中的敏感信息字段进行加密,确保重要的业务数据和敏感的系统信息(如口令)的传输不能被窃取和篡改。
对于支撑公司业务运营的系统,必须设计与公司4A系统的接口。4A系统是融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素的安全管理平台解决方案,与萨班斯法案(SOX)内控需求一致。支撑公司业务运营的系统必须接入4A系统进行统一管理,以保证认证、授权和审计安全策略的一致实施。
3.3 项目实施阶段安全管理
开发人员应参照规范编写代码;严禁不安全的实施方法,如将用户名或密码编写在程序中、使用未经安全评估的第三方产品等。对源代码的访问和修改必须严格控制,建议使用配置管理工具进行代码访问及代码版本控制。
开发平台上如需使用来自生产环境的敏感数据,必须是过期并经过模糊化处理后的数据,并保留数据导入的处理记录。
3.4 项目验收阶段安全管理
验收测试前,需要制定相应的安全验收标准,验收要求和标准应定义清楚,并经信息安全人员评审通过。在测试过程中,需通过技术手段,如漏洞扫描等,对系统的安全性进行测试,并验证达到要求的管理水平。安全验收测试的结果应由信息安全人员进行评审,以确认测试结果符合系统设计及公司整体的信息安全需要,或已经授权采取了充分、恰当的补偿性措施。对于测试中产生的信息和结果应注意保密,以免泄漏影响系统安全性。
3.5 系统上线部署阶段安全管理
系统上线部署前,通过开展安全漏洞检查、安全防护配套设施检查、基线配置检查等核查手段,确认安全方面的缺陷已被充分确认及记录,所有与系统相关的补丁或更新已经实施,所有测试数据已清理,软/硬件符合集团安全基线配置规范。此外,系统如需对互联网开放,在系统上线前应经过对互联网开放的审批,并对提供WEB服务的网站部署网站页面防篡改系统。
系统上线后,系统运行一段时间后对系统进行评估,评价系统对信息安全要求的符合情况、信息安全控制措施的运行效果和效率,以及潜在的需要改进的信息安全措施。
3.6 系统运营阶段安全管理
(1)操作管理和控制。制定不相容职责矩阵,对用户最小化授权,并制定操作规程。
(2)变更管理和控制。实施变更前,详细的变更方案必须获得审批,确保变更不会对系统的安全性和完整性造成不良影响;开发测试人员不能访问生产系统,以防止未经测试或未经审批的变更上线到生产系统。
(3)安全状态监控。对系统的安全運行状态进行监控,确保系统运行安全。
(4)业务连续性管理。制定安全事件应急处置预案,应急预案应明确组织机构及工作职责,并定期进行应急演练。
(5)安全测评与改进。定期进行漏洞扫描、渗透测试等安全评估手段,挖掘系统存在的安全漏洞并进行改进。
3.7 系统下线阶段安全管理
系统由于生命周期管理需要退出服务,进入系统消亡环节,应对受到保护的数据信息进行妥善转移、转存、销毁,确保不发生信息安全事件;涉及到信息转移、暂存和清除 、设备迁移或废弃、介质清除或销毁,以及相应资产清单的更新。
四、结语
通过在IT项目生命周期的各个阶段中实施信息安全管理,确保安全需求在IT项目中进行了充分实施,项目满足公司整体安全策略的要求;建立以管理手段为抓手,以技术手段为支撑的IT项目安全管理体系。
参 考 文 献
[1] 中国移动网络与信息安全总纲
[2] ISO/IEC 27002:2005. 中国标准出版社,2008