01.
软件开发生命周期及安全活动
在软件需求与设计阶段进行的安全活动:安全开发培训、安全风险评估、安全需求分析、安全目标确定、安全需求审查、安全设计、设计审查。
在软件实现阶段进行的安全活动:安全设备采购、安全编码、安全测试、代码审查、过程文档审查。
在软件上线阶段进行的安全活动:配置检查、工具扫描、渗透测试。
在软件的运维阶段进行的安全活动:安全设计、安全管理培训、管理流程检查、工具扫描、渗透测试、安全监控、日志审查、风险分析、安全运行管理。
02.
软件需求阶段安全管理策略
软件安全需求是为保障实现业务功能而对安全需求分析和安全需求方案制定提出机密性、完整性和可用性的要求。
在安全需求分析阶段,需进行业务安全性和合规性分析,确定软件的业务安全需求。在安全需求方案制定阶段,软件开发人员通过风险分析,提出软件的安全目标并最终体现在安全需求方案中。在软件安全需求阶段的主要安全活动有:
开发安全培训:对业务人员及技术人员提供安全需求、安全控制、开发流程、安全意识、安全技术方面的必要培训。
业务需求分析: 业务人员提出综合业务的合规性和安全性方面的需求,包括但不限于:数据安全需求、访问控制需求、交易安全需求、审计要求等。
安全风险评估:针对系统运行环境、业务合规性和安全性的需求进行分析,对系统进行初步风险评估:分析安全环境、标识资产及其面临的威胁、确定初步的安全目标。
安全需求目标:结合业务安全需求和合规性要求,提出应用系统的安全目标,形成安全需求方案报告。
03.
软件设计阶段安全管理策略
详细设计阶段作为安全功能的程序设计阶段,应当直接指导安全功能的编码工作。包括但不限于:模块设计、内部处理流程、数据结构、输入/输出项、算法、逻辑流程图等。
在软件设计阶段的安全活动主要有:
设计审查:检查安全设计是否符合安全需求。
04.
软件实现阶段安全管理策略
在软件开发与测试阶段的安全活动主要有:
开发文档检查:包括风险分析报告、需求规格书、概要设计、版本控制、测试报告等。
05.
软件上线试运行阶段安全管理策略
应用系统通过用户验收,并且在相关配套资源到位后,需求部门依据验收报告,提出系统上线申请,与运行部门、使用部门、开发部门会签后,方可实施上线。上线一般包括上线申请、上线审批、数据转换、上线试运行三个阶段。
在软件上线阶段的安全活动主要有:
配置检查:软件环境配置检查(如:操作系统/应用平台/网络/物理)、软件配置检查、数据库配置检查、密码设备/模块配置检查。
建立试运行环境:在系统初始上线时,应当把应用系统部署在试运行环境之中,利用真实的数据及生产环境进行最后适用性测试。
维护性开发:为确保系统的正确运行,在上线后的一段时间内,软件开发部门派人到运行现场参与维护,现场维护期的长短可根据系统运行的实际状况而定。
工具扫描:在试运行阶段,对网络、系统/平台、数据库、应用进行工具扫描,以发现生产环境可能存在的风险。
应用系统安全检查:对应用系统从系统开发、部署与运行管理、身份鉴别、访问控制、交易安全、数据保密性、备份与故障恢复、日志与审计等方面进行安全评估。
06.
软件正式运维阶段安全管理策略
日志审查:网络设备日志、安全设备日志、系统平台日志、应用日志。
07.
软件废弃阶段安全管理策略
软件剩余信息检查:检查废弃系统或设备中是否含有敏感信息。
联系客服