信息安全管理从软件开发开始

        (2)安全管理员：由项目组指定，重要的项目可由安全专家团队成员兼任。他负责项目全生命周期的安全管理工作，包括实施项目各个阶段的安全管理活动：协调安全服务资源；对项目安全情况进行度量和汇报；充当项目组与安全专家团队之间的联系人等。

        2．管理体系
        (1)管理依据：主要包括行业监管要求和信息安全标准、内外部检查发现的问题、安全事件的经验总结等，由安全专家团队负责筛选和维护。其中行业监管要求和标准主要包括《商业银行信息科技风险管理指引》、“信息系统安全等级保护”相关标准、“信息安全管理体系”相关标准(GB／T22080)，以及《网上银行系统信息安全通用规范》等专业领域的安全要求。

        (2)组织级管理：是指从组织层面为安全管理工作提供的支持和服务，由安全专家团队负责组织开展。主要包括：

        •组织级安全管理活动：统计并评估安全开发现状并定期汇报；整合安全培训教材、设计案例等形成知识库；定期开展安全培训。

        •安全管理制度：制订和发布安全管理制度，明确工作组织、职能、流程、机制等，指导安全管理工作开展。

        •安全设计指南：整合管理依据，结合业界最佳安全设计实践，形成适合本行实际情况的安全设计指南，指导软件开发中的安全需求分析、设计等工作。安全设计指南必须全面、系统，可依托《信息系统安全等级保护基本要求》中关于应用安全、数据安全的要求，并在此基础上进一步完善。

        •安全编程规范：制订面向各种语言的安全编程规范，指导开发人员编写代码，防范安全漏洞。

        (3)项目级管理：由安全管理员负责组织开展，项目组相关成员配合，在项目各阶段执行相应的安全管理活动，主要包括：

        •安全管理计划：在项目启动和规划阶段，由项目组指派安全管理员，并制订项目安全管理计划，包括在项目各阶段需要从事的安全管理活动、交付物、工作量、报告发布计划及发布对象等。

        •安全需求分析：在需求分析阶段，由安全管理员组织项目组对业务需求进行风险评估，升级改造的项目则可评估系统现状与安全设计指南之间的差距，必要时可申请安全专家团队协助。根据评估结果提出软件的安全需求，并参加需求评审。

        •安全规划设计：在设计阶段，由项目组参考安全设计指南进行安全设计。

        •代码安全审核：开发人员根据安全编程规范编写代码。安全管理员利用代码安全审核工具查找代码安全缺陷，并督促修复。

        •系统渗透测试：在系统测试阶段，由安全专家团队利用漏洞扫描工具渗透测试应用系统，查找和修复存在的漏洞，并督促修复。

        •最终安全审核：在性能、业务测试阶段，组织安全审核会议，由安全专家团队成员参加，对照安全需求和测试结果，对即将上线的软件进行最终安全审核。发现问题的，督促整改。

        3.技术体系
        (1)代码安全审核工具：用于帮助项目组发现源代码中存在的安全漏洞，并给出修复建议。其有白盒和黑盒之分，市场上常见的有HP的Fortify、IBM的App Scan等。

        (2)系统漏洞扫描工具：用于对测试或生产环境的信息系统进行漏洞扫描，可从应用、网络和系统等不同层面发现安全隐患，并提出有效解决方案，市场上常见的有绿盟的极光远程安全评估系统等。

        (3)安全技术平台：指统一身份认证、统一数据加密、集中日志审计等安全技术平台，可为软件的一些共性安全设计提供支持，以节省资源，降低管理维护难度。

        (4)其他平台或工具：指为满足软件开发安全管理工作需要而建设的各类安全技术平台或工具，例如信息系统等级保护MIS、IT风险评估工具等。

（文章来源：新金融世界）
 

首页 上一页 1 2 3

扫码即可手机
阅读转发此文