關(guān)于企業(yè)信息系統(tǒng)開發(fā)安全的思考

■ 福建 林郁 陳瑋

隨著網(wǎng)絡(luò)安全提升到國家安全戰(zhàn)略高度，在國家的大力支持和全民網(wǎng)絡(luò)安全意識(shí)不斷提高的背景下，網(wǎng)絡(luò)安全產(chǎn)業(yè)一片欣欣向榮，日益壯大，網(wǎng)絡(luò)安全在思想、理念、理論和技術(shù)等方面都取得了長足的進(jìn)步。

但是信息系統(tǒng)開發(fā)由于時(shí)間跨度長、涉及人員多、涉及知識(shí)廣，開發(fā)安全一直以來是企業(yè)信息化建設(shè)面臨的一大難題。企業(yè)很難找到既具備開發(fā)能力又掌握開發(fā)安全知識(shí)的系統(tǒng)開發(fā)公司。

因此，本文以項(xiàng)目為主線，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，結(jié)合日常工作實(shí)踐，從立項(xiàng)、招標(biāo)（或自主開發(fā)）、實(shí)施、試運(yùn)行和驗(yàn)收五個(gè)階段進(jìn)行討論，分別提出各階段安全開發(fā)管理的步驟，進(jìn)一步減少后期大幅返工整改甚至重建的工作量，確保新建信息系統(tǒng)的合規(guī)性、安全性和穩(wěn)定性。

以信息系統(tǒng)建設(shè)為例，在立項(xiàng)階段應(yīng)做好定級(jí)和備案，在招標(biāo)（或自主開發(fā)）階段應(yīng)做好對(duì)開發(fā)方的約束，在實(shí)施階段應(yīng)按照網(wǎng)絡(luò)安全“三同步”原則設(shè)計(jì)、開發(fā)和使用信息系統(tǒng)，在試運(yùn)行階段應(yīng)關(guān)注信息系統(tǒng)各項(xiàng)性能指標(biāo)，在驗(yàn)收階段應(yīng)做好文檔移交。

通過上述五個(gè)階段一環(huán)扣一環(huán)地執(zhí)行，可較好地提高信息系統(tǒng)的合規(guī)性。在這五個(gè)階段如不注意，將會(huì)造成返工、工期延遲甚至不予驗(yàn)收等危害。

立項(xiàng)階段

在項(xiàng)目立項(xiàng)環(huán)節(jié)，業(yè)務(wù)主管部門應(yīng)評(píng)估新建信息系統(tǒng)應(yīng)用情況，提出安全保護(hù)需求，信息化部門協(xié)同業(yè)務(wù)主管部門初步確定新建信息系統(tǒng)的安全保護(hù)等級(jí)。按照定級(jí)要素，一般可選擇性地將具有公民個(gè)人信息、可互聯(lián)網(wǎng)訪問的信息系統(tǒng)定為三級(jí)系統(tǒng)，來加強(qiáng)防護(hù)。其他系統(tǒng)視情況定為二級(jí)系統(tǒng)或一級(jí)系統(tǒng)。特別地，如信息系統(tǒng)涉及人財(cái)物的內(nèi)容，則該系統(tǒng)還應(yīng)增加按照三級(jí)系統(tǒng)防護(hù)的要求。

新建信息系統(tǒng)安全保護(hù)等級(jí)經(jīng)業(yè)務(wù)主管部門確認(rèn)后，應(yīng)按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，組織專家對(duì)定級(jí)系統(tǒng)進(jìn)行評(píng)審，出具最終評(píng)審意見。憑評(píng)審意見、定級(jí)報(bào)告和定級(jí)備案表，到屬地公安機(jī)關(guān)備案。獲取備案號(hào)后，方可進(jìn)行后續(xù)測評(píng)。

招標(biāo)（或自主開發(fā)）階段

近幾年國家主管部門對(duì)網(wǎng)絡(luò)安全的監(jiān)管要求日益提高，在招標(biāo)采購環(huán)節(jié)加入開發(fā)安全要求勢在必行。特別地，在項(xiàng)目驗(yàn)收前，明確要求通過具有相關(guān)安全評(píng)估資質(zhì)的第三方安全評(píng)估并完成整改后，才可驗(yàn)收。

綜合考慮上述要求，為避免因安全要求不達(dá)標(biāo)，導(dǎo)致信息系統(tǒng)無法如期上線，造成不必要的損失，必須將安全要求前移。如自主開發(fā)，則在設(shè)計(jì)階段就應(yīng)遵循網(wǎng)絡(luò)安全相關(guān)要求，制定開發(fā)規(guī)則；如是招標(biāo)，可在標(biāo)書和合同中，增加相關(guān)內(nèi)容進(jìn)行約束，具體內(nèi)容包括：

1.最終交付物須滿足對(duì)應(yīng)國家信息系統(tǒng)安全等級(jí)保護(hù)要求。

2.在系統(tǒng)設(shè)計(jì)、開發(fā)、實(shí)施、驗(yàn)收等各環(huán)節(jié)，應(yīng)根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等開展各項(xiàng)工作。

3.開發(fā)方主要人員應(yīng)簽訂保密協(xié)議書，明確在開發(fā)過程中的保密責(zé)任。開發(fā)中使用的平臺(tái)、工具和軟件應(yīng)遵循國家軟件正版化的相關(guān)要求，嚴(yán)禁使用盜版平臺(tái)、工具和軟件。

4.信息系統(tǒng)上線前，要委托具有安全評(píng)估資質(zhì)的第三方對(duì)系統(tǒng)進(jìn)行安全評(píng)估，并積極針對(duì)評(píng)估中發(fā)現(xiàn)的問題，及時(shí)整改。不符合安全要求的系統(tǒng)不允許上線試運(yùn)行。

5.按照要求，適時(shí)開展信息系統(tǒng)等級(jí)保護(hù)測評(píng)工作。

實(shí)施階段

在實(shí)施階段，需關(guān)注如下方面：

一是在信息系統(tǒng)設(shè)計(jì)初期就應(yīng)按照“三同步”原則，提出安全整體設(shè)計(jì)規(guī)劃，并要求網(wǎng)絡(luò)安全員參與信息系統(tǒng)設(shè)計(jì)。

二是應(yīng)重視數(shù)據(jù)安全的保護(hù)工作，從完整性、保密性、備份恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)出發(fā)，細(xì)化對(duì)數(shù)據(jù)安全的防范措施，貫徹執(zhí)行。

三是應(yīng)遵循網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)要求，從身份鑒別、訪問控制、入侵防范、安全審計(jì)等方面出發(fā)，細(xì)化對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端和應(yīng)用系統(tǒng)的防范措施，貫徹執(zhí)行。

四是在代碼開發(fā)過程中，關(guān)注代碼漏洞的發(fā)現(xiàn)、分析及處理，有針對(duì)性的定期檢查SQL注入、越權(quán)漏洞、XSS漏洞、跨站點(diǎn)請(qǐng)求偽造（CSRF）等常見威脅，提高代碼的合規(guī)性。

五是在云計(jì)算安全、移動(dòng)安全和工業(yè)控制系統(tǒng)安全方面，也應(yīng)該按照相關(guān)規(guī)定，完善防范措施。

試運(yùn)行階段

系統(tǒng)試運(yùn)行前，必須通過有評(píng)估資質(zhì)的第三方公司的安全評(píng)估，方可進(jìn)行系統(tǒng)上線，否則不符合基線安全要求的系統(tǒng)不允許上線試運(yùn)行。

在系統(tǒng)試運(yùn)行時(shí)，重點(diǎn)關(guān)注系統(tǒng)運(yùn)行期間的指標(biāo)情況，如服務(wù)器CPU、內(nèi)存、存儲(chǔ)以及網(wǎng)絡(luò)的使用情況，系統(tǒng)自身功能以及身份鑒別、訪問控制、安全審計(jì)等安全功能的實(shí)現(xiàn)情況。如有異常，應(yīng)及時(shí)解決。

此外，在系統(tǒng)試運(yùn)行期間，應(yīng)當(dāng)詳細(xì)制定信息系統(tǒng)的管理制度、流程、操作手冊和應(yīng)急演練方案等，完善企業(yè)制度體系。一般情況下，應(yīng)開展一次應(yīng)急演練，檢驗(yàn)應(yīng)急演練方案。

驗(yàn)收階段

本階段是信息系統(tǒng)開發(fā)的最后一個(gè)階段，應(yīng)重點(diǎn)關(guān)注信息系統(tǒng)測評(píng)、數(shù)據(jù)資產(chǎn)的收集、弱口令檢查和驗(yàn)收文檔移交。具體如下：

一是等級(jí)保護(hù)測評(píng)。驗(yàn)收前，須按照國家要求，通過相應(yīng)信息系統(tǒng)等級(jí)的測評(píng)，并獲取國家相關(guān)主管部門認(rèn)可的相應(yīng)等級(jí)保護(hù)測評(píng)報(bào)告，和備案證明一并移交歸檔。

二是文檔更新。做好資產(chǎn)表的更新以及相關(guān)服務(wù)器、數(shù)據(jù)庫、中間件的監(jiān)控和備份的申請(qǐng)和配置，確定信息資產(chǎn)更新責(zé)任人；做好數(shù)據(jù)流圖的創(chuàng)建及更新，包括數(shù)據(jù)流向、端口、業(yè)務(wù)時(shí)間段及涉及系統(tǒng)等內(nèi)容，確定信息資產(chǎn)更新責(zé)任人。

三是開展全面的弱口令檢查，消除弱口令。同時(shí)，還應(yīng)做好開發(fā)人員各類賬號(hào)的降權(quán)和回收工作。

四是項(xiàng)目驗(yàn)收文檔的移交。驗(yàn)收文檔應(yīng)包括開發(fā)建設(shè)工程文檔、源代碼、用戶指南、系統(tǒng)管理員操作說明書及應(yīng)急演練方案等。其中，源代碼應(yīng)附有閱讀說明、版本編號(hào)規(guī)則以及版本編號(hào)。

總結(jié)

通過上述五個(gè)階段的實(shí)施，可切實(shí)提高信息系統(tǒng)的合規(guī)性。但安全是動(dòng)態(tài)發(fā)展的，貫穿信息系統(tǒng)從立項(xiàng)、建設(shè)到運(yùn)維全生命周期。信息系統(tǒng)建設(shè)的結(jié)束，也就是信息系統(tǒng)運(yùn)維的開始。此時(shí)更應(yīng)定期檢查各類安全設(shè)備日志和信息系統(tǒng)日志，及時(shí)發(fā)現(xiàn)存在的安全問題并整改，從而保證信息系統(tǒng)穩(wěn)定、安全地運(yùn)行。