杜衡

【摘要】 結合ISO27000標準體系、國家信息安全標準以及薩班斯法案（SOX）的要求，通過在IT項目全生命周期的各個階段加強安全管理，確保項目滿足規(guī)定的安全方案；降低IT項目安全風險的控制成本，提升項目安全水平。

【關鍵詞】 信息安全管理 IT項目 全生命周期

一、前言

業(yè)務應用的不斷拓展，信息系統(tǒng)已全面滲透到企業(yè)的運營中，而隨著網絡和通信技術的快速發(fā)展，網絡互聯(lián)與開放、信息共享帶來了日益增長的安全威脅[1]；病毒和黑客攻擊越來越多，安全事件爆發(fā)越來越頻繁，直接影響企業(yè)正常業(yè)務運作。特別是對于移動通信運營商而言，信息安全尤為重要，為了保障客戶利益，加強對信息系統(tǒng)的信息安全管理工作刻不容緩。

新建項目中容易忽視信息安全問題，如果安全管理工作不到位，安全風險就得不到控制，而對安全風險進行控制所需的成本則隨著安全管理工作介入項目的時間越晚而越高（如圖1所示）；因此，為降本增效，在IT項目的建設過程中，越早引入信息安全管理，安全風險控制的成本就越低，達到的安全水平也越高。對IT項目進行全生命周期的安全管理，滿足集團安全管理“三同步”的要求，即在系統(tǒng)的設計、建設和運行過程中，做到同步規(guī)劃、同步建設、同步運行[1]。

二、IT項目全生命周期安全管理要求

對IT項目進行安全管理，一方面是要求項目能應達到與其承載業(yè)務相符的安全特性，如認證、賬戶管理 、操作審計等功能；另一方面，對項目進行全生命周期的安全管理，在項目的不同階段進行評審和驗證，確保項目滿足規(guī)定的安全方案。結合ISO27000標準體系、國家信息安全標準以及薩班斯法案（SOX）的要求，制定IT項目建設全生命周期的項目安全管理工作流程。

在項目全生命周期各階段加入安全管控點（如圖2所示），制定各階段安全管控點的安全控制措施和人員職責，充分考慮信息安全方面的要求，確保開發(fā)出來的系統(tǒng)可以滿足公司的安全方針、國家法律法規(guī)及薩班斯法案（SOX）的要求。

安全要求是通過對安全風險的系統(tǒng)評估予以識別的[2]，因所承載的業(yè)務的差異，每個系統(tǒng)的安全要求有所不同，每個系統(tǒng)都必須根據其業(yè)務流程評估安全風險，確定其對信息完整性、安全性、可用性的要求，從而采取適當的安全控制措施。如涉及客戶資料、經營信息的系統(tǒng)安全級別較高，而用于輔助辦公的系統(tǒng)安全級別則較低，需要采取不同的安全控制措施，才能將信息安全落到實處；不恰當的安全級別劃分，會導致敏感數據的訪問控制不嚴，甚至敏感數據在防護之外。

三、IT項目建設各階段安全管理實施方法

3.1 項目規(guī)劃階段安全管理

項目規(guī)劃階段，定義業(yè)務需求，并進行可行性研究；在定義業(yè)務需求時，應注重對信息安全方面的需求制定。在業(yè)務需求書中，應明確對系統(tǒng)安全的詳細要求，并由項目各相關方（含信息安全人員）進行評審，評審通過才能進行項目立項。業(yè)務需求制定完成，任何對系統(tǒng)安全需求的修改，也應視為對業(yè)務需求書的修改，需經過正式的系統(tǒng)變更流程。

3.2 項目設計階段安全管理

通過對業(yè)務流程的分析，對系統(tǒng)進行整體設計和詳細設計，考慮數據傳輸、處理、存儲等各個過程中的安全要求，確保實現所有過程中對數據的全面保護，特別是對關鍵業(yè)務的敏感數據的保護，如客戶資料、經營數據等，對重要數據的存儲和傳輸設置權限和校驗，并進行加密。

在系統(tǒng)應用安全層面應至少進行以下安全控制設計：

（1）身份認證。對用戶進行身份識別，并根據安全策略配置相關參數，如限制非法登錄次數、超時自動退出等，確保系統(tǒng)不被非法用戶進入。

（2）訪問控制。遵循最小權限原則控制用戶對文件、數據庫表等客體的訪問。

（3）日志與審計。對應用程序中的重要事件進行日志記錄，并進行審計，以便對系統(tǒng)的重要操作和安全事件進行追蹤審查。

（4）通信安全。對通信過程中的敏感信息字段進行加密，確保重要的業(yè)務數據和敏感的系統(tǒng)信息（如口令）的傳輸不能被竊取和篡改。

對于支撐公司業(yè)務運營的系統(tǒng)，必須設計與公司4A系統(tǒng)的接口。4A系統(tǒng)是融合統(tǒng)一用戶賬號管理、統(tǒng)一認證管理、統(tǒng)一授權管理和統(tǒng)一安全審計四要素的安全管理平臺解決方案，與薩班斯法案（SOX）內控需求一致。支撐公司業(yè)務運營的系統(tǒng)必須接入4A系統(tǒng)進行統(tǒng)一管理，以保證認證、授權和審計安全策略的一致實施。

3.3 項目實施階段安全管理

開發(fā)人員應參照規(guī)范編寫代碼；嚴禁不安全的實施方法，如將用戶名或密碼編寫在程序中、使用未經安全評估的第三方產品等。對源代碼的訪問和修改必須嚴格控制，建議使用配置管理工具進行代碼訪問及代碼版本控制。

開發(fā)平臺上如需使用來自生產環(huán)境的敏感數據，必須是過期并經過模糊化處理后的數據，并保留數據導入的處理記錄。

3.4 項目驗收階段安全管理

驗收測試前，需要制定相應的安全驗收標準，驗收要求和標準應定義清楚，并經信息安全人員評審通過。在測試過程中，需通過技術手段，如漏洞掃描等，對系統(tǒng)的安全性進行測試，并驗證達到要求的管理水平。安全驗收測試的結果應由信息安全人員進行評審，以確認測試結果符合系統(tǒng)設計及公司整體的信息安全需要，或已經授權采取了充分、恰當的補償性措施。對于測試中產生的信息和結果應注意保密，以免泄漏影響系統(tǒng)安全性。

3.5 系統(tǒng)上線部署階段安全管理

系統(tǒng)上線部署前，通過開展安全漏洞檢查、安全防護配套設施檢查、基線配置檢查等核查手段，確認安全方面的缺陷已被充分確認及記錄，所有與系統(tǒng)相關的補丁或更新已經實施，所有測試數據已清理，軟/硬件符合集團安全基線配置規(guī)范。此外，系統(tǒng)如需對互聯(lián)網開放，在系統(tǒng)上線前應經過對互聯(lián)網開放的審批，并對提供WEB服務的網站部署網站頁面防篡改系統(tǒng)。

系統(tǒng)上線后，系統(tǒng)運行一段時間后對系統(tǒng)進行評估，評價系統(tǒng)對信息安全要求的符合情況、信息安全控制措施的運行效果和效率，以及潛在的需要改進的信息安全措施。

3.6 系統(tǒng)運營階段安全管理

（1）操作管理和控制。制定不相容職責矩陣，對用戶最小化授權，并制定操作規(guī)程。

（2）變更管理和控制。實施變更前，詳細的變更方案必須獲得審批，確保變更不會對系統(tǒng)的安全性和完整性造成不良影響；開發(fā)測試人員不能訪問生產系統(tǒng)，以防止未經測試或未經審批的變更上線到生產系統(tǒng)。

（3）安全狀態(tài)監(jiān)控。對系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，確保系統(tǒng)運行安全。

（4）業(yè)務連續(xù)性管理。制定安全事件應急處置預案，應急預案應明確組織機構及工作職責，并定期進行應急演練。

（5）安全測評與改進。定期進行漏洞掃描、滲透測試等安全評估手段，挖掘系統(tǒng)存在的安全漏洞并進行改進。

3.7 系統(tǒng)下線階段安全管理

系統(tǒng)由于生命周期管理需要退出服務，進入系統(tǒng)消亡環(huán)節(jié)，應對受到保護的數據信息進行妥善轉移、轉存、銷毀，確保不發(fā)生信息安全事件；涉及到信息轉移、暫存和清除 、設備遷移或廢棄、介質清除或銷毀，以及相應資產清單的更新。

四、結語

通過在IT項目生命周期的各個階段中實施信息安全管理，確保安全需求在IT項目中進行了充分實施，項目滿足公司整體安全策略的要求；建立以管理手段為抓手，以技術手段為支撐的IT項目安全管理體系。

參 考 文 獻

[1] 中國移動網絡與信息安全總綱

[2] ISO/IEC 27002：2005. 中國標準出版社，2008