系统开发安全管理规范

系统安全安全管理是为了提升信息系统开发安全水平,保障信息系统本身的安全性以及开发、测试和投产过程的安全性,适用于信息系统需求、设计、编码、测试、上线等过程中的信息安全管理。

安全需求

应用系统安全需求是为保障实现业务功能而对相关信息的机密性、完整性和可用性提出的要求,应用系统需求分析阶段必须进行安全需求分析。

在应用系统需求分析阶段,应用系统开发部门应和需求部门反复交互,在确定应用系统需求的过程中,进行安全需求分析,确定应用系统的业务安全需求和合规需求。
应用系统安全需求分析基于业务安全需求,将业务安全需求映射为应用系统安全需求,为后续系统设计提供依据。

应用系统安全需求分析从如下三个方面着手:

  • 应用系统数据安全需求,考虑数据的机密性,完整性和可用性保护。

  • 应用系统安全合规需求,考虑满足法律、法规与利益相关方的规范与要求。

  • 应用系统安全保障需求,考虑信息系统的连续稳定运行要求。

  • 安全需求确定后,应组织进行安全需求评审,得到安全需求相关各方的认可。

安全设计

在应用系统设计阶段,需根据安全需求进行安全设计,包括概要设计和详细设计两个阶段。
概要设计阶段确定应用系统的安全整体架构,安全概要设计阶段,包括但不限于:安全体系结构设计、各功能块间的处理流程、与其它功能的关系、安全协议设计、安全接口设计等。
详细设计阶段作为安全功能的程序设计阶段,应当直接指导安全功能的编码工作。包括但不限于:模块设计、内部处理流程、数据结构、输入/输出项、算法、逻辑流程图等。
应用系统开发部门完成详细设计后,应经相关各方确认是否符合安全需求。

安全编码

在应用系统实现阶段,应用系统开发部门需根据安全设计规格说明书的要求编写源代码,实现应用系统的目标码。

在编码过程中,应遵循安全的编码过程,避免出现安全漏洞。
对于重要的应用系统,应组织进行必要的源代码审查,确保应用系统满足相关安全编码要求。

安全测试

在编写源代码和得到目标码的过程,应进行必要的安全性测试,以保证应用系统的开发质量。

测试前应用系统开发部门须依据安全需求和安全设计制定安全测试方案,编写测试用例。
应用系统开发部门应依据安全测试方案对应用系统进行安全测试,输出安全性测试结论,纳入应用系统整体测试报告。

上线检查

应用系统上线前应进行全面的安全检查,确保应用系统符合安全要求。

应用系统上线前的安全检查活动主要有:

  • 配置检查:应依据安全配置基线要求,对应用系统环境进行配置检查,包括:操作系统、中间件、数据库、网络设备等。

  • 工具扫描:在试运行环境,对网络、系统/平台、数据库、应用进行工具扫描,以发现生产环境可能存在的风险。

  • 渗透测试:聘请外部公司专家,通过模拟恶意黑客的攻击方法,评估计算机网络系统安全,以揭示可能存在的安全风险。
对于上线安全检查发现的问题较严重的问题,须由相关负责部门完成整改后方可上线;对于一般问题,应在上线后采取相应的补偿措施,同时制定整改计划,在后续的运维阶段逐步完成整改。

扩展  ·  本文相关链接

· 系统应急管理规范

· 系统变更管理规范

· 系统补丁管理规范

· 系统日志管理规范

· 系统备份管理规范

·安全基线管理规范

·防病毒管理规范

·通信与操作安全控制要点与管理策略

· 信息系统开发与维护安全控制要点与管理策略

· 系统运维中安全控制要求落地(下)

· 系统运维中安全控制要求落地(中)

· 系统运维中安全控制要求落地(上)

· 开发测试安全管理checklist

· 运行管理checklist

· 灾备与业务连续性管理checklist

· 网络设计安全评估checklist

· 系统安全管理checklist

· 网络安全管理checklist

· 普通员工信息安全管理checklist

(0)

相关推荐

  • 银行核心系统项目实施小结

    鹏城第一峰--梧桐山 一.系统总体架构 1.应用架构,例如:核心线.渠道线.客户线.产品线.. 2.数据架构,例如:柜员层.客户层.产品层.账户层.流水层.参数层.. 3.技术架构,例如:核心与外围/ ...

  • 三种软件测试模型的优缺点

    软件测试有三种模型,分别是V模型,W模型和H模型.每种模型都有自己的优点和缺点. V模型 V模型如下图所示. V模型的优点 V模型明确地标识出了在开发过程中一般应完成的测试级别,以及这些测试级别与代码 ...

  • Shell脚本开发基本规范有哪些?linux系统学习

    Shell脚本开发基本规范和习惯有哪些?Shell脚本的开发规范及习惯非常重要,虽然这些规范不是必须要遵守的,但有了好的规范和习惯,可以大大提升开发效率,并能在后期降低对脚本的维护成本.让自己养成一个 ...

  • 直播电商、直播购物,商城系统开发模式详解

    商城直播系统是在直播系统与商城系统的基础上开发出的一种新的模式,利用直播带货商城源码,可以搭建购物商城直播平台,这样做可以让消费者实现在看视频直播的同时看到自己喜欢的商品直接下单消费的功能. 电商平台 ...

  • 直播卖货系统开发,直播卖货的实现有哪几种形式

    除了我们熟知的直播卖货系统开发外,直播卖货的实现方式还有很多种,在短视频平台.小程序中经常也能看到直播卖货的身影,针对不同的使用场景,直播卖货系统的实现形式也不一样,今天我们来说一下现在直播卖货系统开 ...

  • 网页即时聊天源码,直播系统开发,直播平台搭建的二三事儿

    目前直播的应用场景已经无法估量,游戏.户外.赛事.新闻发布会等,场景的增多代表更多的需求,直播平台源代码的需求量增多,也使整个直播行业保持着受欢迎的热度. 但随着用户红利的逐渐减退,内容垂直化或将成为 ...

  • 脚手架搭设安全怎么管?就查这八项!附脚手架安全管理规范PPT下载!

    施工安全技术与管理 1篇原创内容 公众号 编制:三鑫幕墙.筑龙论坛 如有侵权,请联系删除 一.资质 二.未要求材料送检的资料 三.要求材料送检的资料 四.进场材料要求 五.搭设人员 六.脚手架搭设 七 ...

  • 语音社交APP,语音聊天交友系统开发,语音平台源码

    语音社交APP是指人们可以通过网络收听到远端正在进行的音频实况,比如课程教学.歌唱.闲聊等,且两端能够实现实时互动.其核心是利用既有的网络条件实现对音频信号的实时传输,并且能够在远端(手机端或PC端) ...

  • 网络视频直播系统,直播系统开发团队的选择标准有哪些

    网络视频直播系统需要开发团队的技术支持和开发才能实现各项功能的使用,对想要开发进行网络视频直播系统开发的客户来说,是不可省去的必要步骤.一般客户在寻找开发团队时除了关注价格问题和是否支持二次开发外,还 ...

  • 2021养老机构服务标准体系建设资料丨安全管理规范

    <养老服务标准体系建设指南> 对应全套现成文件资料 2021年3月29日,新版<养老机构服务标准体系建设指南>(MZ/T 170-2021)发布,我们团队第一时间进行对比分析, ...

  • 基于LVC的模拟训练系统开发构想

    李德志 摘 要 本文从系统开发的角度(需求分析,设计思路,体系结构和关键技术)探索了将LVC理念融入模拟训练系统的可能性,为基于LVC的模拟训练系统研发与运用打下了基础. 关键词 LVC 模拟训练系统 ...