一、 软件项目安全保障体系 1.1 安全建设原则 系统安全保障体系涉及到整个工程的各个层次,网络和信息安全的建设应该遵循以下原则: 1)整体安全 信息化是一个复杂的工程,必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务应用系统提供全方位的安全服务。 2)有效管理 系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理(如密钥定期更新、防火墙监控、审计日志的分析等),才能保证这些安全控制机制真正有效地发挥作用。 3)合理折衷 在系统建设中,安全与投资、系统性能、易用性、管理的复杂性都是矛盾的,安全保障体系的建设应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因使用和管理的复杂而影响整个系统的快速反应和高效运行的总体目标。 4)适应一致 安全管理模式应该尽量与行业核心需求相一致,既要保证行业上下级之间的统一领导、统一管理,同时又给基层单位以足够的灵活性,以保障业务系统的高效运行。 5)综合治理 各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。 1.2 安全管理体系 包括安全管理机构、安全管理人员、安全管理制度、安全管理策略的设计。主要安全制度:人员安全管理制度、操作安全管理制度、场地与设施安全管理制度、设备安全使用管理制度、操作系统和数据库安全管理制度、运行日志安全管理、备份安全管理、异常情况管理、系统安全恢复管理、安全软件版本管理制度、技术文档安全管理制度、应急管理制度、审计管理制度、运行维护安全规定、第三方服务商的安全管理、对系统安全状况的定期评估策略、技术文档报废管理制度。 1.3 安全管理规范 安全规范主要涵盖为系统平台建设提供各种安全保障的技术和管理方面的标准规范,其中包括为建设项目的网络系统、应用系统、关键数据、备份系统等提供安全保障的各种技术标准和规范,以及对建设项目的网络系统、应用系统、关键数据、容灾备份和重大突发事件等进行有效管理,以达到安全目的的各种管理标准和规范。 1.4 数据安全保障措施 1.4.1 数据库安全保障 数据库系统存储着全部资料数据,是安全保障系统的核心。其安全性是各应用系统稳定运行的关键。我们在数据传输过程采取加密等安全措施,保证数据传输过...
