本文作者:风月小轩

李先毅大连理工大学网络与信息化中心高级工程师近年来,大连理工大学管理规范

笙念 1 个月前 ( 2021-08-22 16:10:20 ) 0 抢沙发
李先毅大连理工大学网络与信息化中心高级工程师近年来,大连理工大学管理规范摘要: 近年来,大连理工大学开始探索对信息系统进行全生命周期内的网络安全管理,为此成立了网络安全部,负责整个信息化建设当中的安全管理与监督。管理规范主要分为三个部分,依次是总则、全生命周期各阶段网络安全建设和其他相关制度。第一,对信息系统全生命周期进行了明确的定义。全生命周期各阶段网络安全建设,内容如下。...

李先义,大连理工大学网络与信息中心高级工程师


近年来互联网知识管理,大连理工大学开始探索信息系统全生命周期的网络安全管理。为此,成立了网络安全部,负责整个信息化建设的安全管理和监督工作。 2018年网络安全部成立后,主要负责信息化项目网络安全建设管理规范的编制工作。管理规范主要分为三部分,依次是总则、全生命周期各阶段网络安全建设等相关制度。

一般规则包含四个方面。一是明确信息系统的整个生命周期。二是实行全生命周期安全管理部门职责分工,实行“谁负责、谁负责、运维谁负责、谁使用谁负责”的原则。三是网络安全一票否决制。四、制造商的安全记录制度。

全生命周期各个阶段的网络安全建设如下。

1 研究和项目预算阶段

包括保定级别(立项阶段确定安全级别)、Web测试等安全预算、资源和安全要求,以及网络安全建设的相关时间安排。

2 采购阶段

首先是采购文件,包括对制造商的安全能力和项目安全要求的要求;二是合同,包括项目交付前和信息系统全生命周期的安全监控。制造商必须对系统安全负责;三、保密协议根据项目具体情况确定。可能会有对数据和安全要求更高的项目,需要厂商签订保密协议。

3 施工阶段

这个阶段有六个阶段。

在需求分析链接中

要求必须是固定的,不能随意更改。如果有新的需求,可以分阶段、分阶段构建。

在设计过程中

主要有两个检查。一是审计设计文档,检查逻辑的合理性,尽量避免逻辑安全问题;另一个是了解和检查开发中使用的编程语言和开发框架,避免使用框架出现安全问题。

在开发过程中

主要是安全开发、版本管理和开源软件的二次开发。

在测试环节

首先,制造商必须完成完整的测试并提交明确的测试计划、用例和实施记录等;其次,在使用测试数据时,必须对真实数据进行脱敏处理;最后是代码审计,主要是代码的规范性、合理性,以及是否有冗余代码需要检查。

在部署和实施过程中

首先,生产服务器不得用于开发和测试,同时尽量减少部署;其次,在部署方案中,要求厂商明确规定服务器、软件环境、密码等;第三,在交付文件中提供了部署调整和关键过程,其他参数供后期运维阶段参考;最后是定义堡垒主机的使用和服务器操作要求和审核,要求所有厂商和第三方通过堡垒主机进行远程服务器操作。

在线试运行链接中

在系统调试前互联网知识管理,每个项目都需要进行第三方安全检查。

4 验收阶段

一方面是文件的验收。主要有两个文件,即第三方Web安全检查报告和学校安全检查报告。规范对第三方检验机构的资质和报告格式提出了明确的要求和标准。 ,且报告在接受和提交时不得存在高风险漏洞;另一方面,系统的验收需要对服务器进行安全检查,看是否存在冗余的软件代码、网络连接等。

5 运维阶段

规范要求对整个操作和维护阶段进行评估。首先是运维计划的评估,包括分工、bug修复等一系列内容要求,保证正常运维;二是运维作业评价,包括堡垒机运维作业的运行、上报、记录和最小化;三是升级工作评价,包括操作系统升级、硬件升级、补丁升级和重大系统升级。系统发生重大更新或升级时,必须由项目组提前制定升级计划,审核通过后,必须严格按照升级计划进行升级操作。

6 结束阶段

法规给出了项目结束的条件,包括不再使用、无法修复的故障或无法解决的安全问题、项目组人员不足导致系统失控、国家或学校规定要求系统离线。项目需尽快完成,避免安全隐患。

其他相关系统主要包括两个方面。首先是数据安全和个人信息保护。不得超出范围使用个人信息。使用的数据应进行加密和存储;对于数据,建议将数据存储在本地并进行中。删除操作时,项目组要慎重讨论和使用。二是使用正版软件。要求在整个建设过程中,不得使用来历不明的软件,尤其是破解版软件,避免未知软件带入恶意代码,尽量使用正版软件或官方开源版本。软件。

(本文整理自大连理工大学网络与信息技术中心高级工程师李宪义在“2018高校网络信息安全研讨会”上的演讲,主办:付涵)

文章投稿或转载声明:

来源:网络整理版权归原作者所有,转载请保留出处。本站文章发布于 1 个月前 ( 2021-08-22 16:10:20 )
温馨提示:文章内容系作者个人观点,不代表风月小轩对其观点赞同或支持。

    匿名评论
  • 评论
人参与,条评论