系统安全应该从源头上着手。
中国的商业银行信息科技风险管理指引和国家一级保护的要求指出,银行必须建立一个完整的开发安全管理系统实现对信息系统整个生命周期的控制。这个系统应该从需求分析,安全管理系统的设计,编码实现,测试线的整体生命周期。软件工程的相关研究表明,它是更有效和成本有效的软件开发周期的早期阶段的安全漏洞修复。因此,在防范金融风险的过程中,银行必须重视安全管理系统的发展,展控制具体应用系统的开发过程,同步安全建设,避免应用系统完成后出现的安全问题。开发安全从规范开始
在建设应用系统安全管理系统的过程中,首先要考虑制定相应的系统和流程,通过对各类应用系统开发过程的研究,发现安全性和通用性都面临着各种各样的问题。银行需要制定相应的发展,这些问题的安全规范,确保安全不容忽视。安全标准的发展应与组织的总体政策和业务目标一致,和其他文档的引用(如通用的参考标准,安全标准,组织过程资产和最佳实践等在)识别和控制风险,并提出了相关的安全指导方针、发展目标、指标、过程和程序。
总的来说,发展安全标准包括安全需求分析指导,安全技术方案设计规范、安全规范和安全测试规范。根据开发安全规范,银行应该在应用系统开发的各个阶段控制的安全问题,以确保在开发应用系统安全管理。
全生命周期的安全规划与管理
应用系统开发阶段是其生命周期的重要阶段。在这个阶段,应用软件的应用分析、设计、实现和测试将完成。这一阶段的工作将在很大程度上决定了系统本身的安全。因此,我们需要确保安全的实现和在每一个具体的工作过程,在这一阶段实施,以安全性高的特点,提供应用软件,并为未来的应用系统的安全运行奠定了坚实的基础。
(i)需求分析阶段
安全技术人员在需求分析阶段主要对文件中的安全需求进行分析,重点是信息系统或数据、安全威胁和安全系统基于环境需求的角度,全面分析安全需求和完整性。
在安全功能方面的要求,身份认证要求,认证和授权,输入和数据验证,敏感数据的安全性,会话管理,异常管理应该详细解释。以电子银行的数据安全为例,敏感数据需要特殊保护。这些数据的传输、存取和存储必须受到加密措施的保护,这些加密措施只能由内置的硬件和软件加密解密模块控制。
(二)方案的设计阶段
设计阶段是整个生命周期中最重要的部分,在这一阶段,不仅应该包括功能、性能、开发系统的成本和周期的要求,但也规定了系统的安全性要求,并确定所采取的安全控制措施,如处理强度设计、用户认证系统认证失败在设计。
在设计阶段,相应的安全控制方法的选择应根据安全技术规范的安全要求设计。安全技术人员主要对系统设计文档的安全设计的完整性和合理性,分析是否安全设计能满足安全需求,以及是否达到相应的安全强度。
(三)编码的实施阶段
程序员可以使用各种通用的和特定的编程指南来防止开发中常见的安全问题。具体的编程指南,主要集中在perl、java和C / C++语言。在大多数情况下,这些程序使用指南,可以避免很多错误,会造成安全漏洞,例如非法数据录入、缓冲区溢出、SQL注入和其他常见问题。
在编码实现阶段,它的重点是由程序员的有意或无意的编码引起的安全缺陷的重要。安全技术人员需要检查的重要代码安全分析,确认是否满足规范相应的编码的安全规范,以及是否存在安全编码缺陷。
(四)安全测试阶段
应用系统应该是正式启动验证应用系统的安全性是否符合安全设计和安全要求的安全测试。在系统测试阶段,我们的重点应该放在应用系统的安全功能的测试,确保安全功能测试的全面性。在用户管理方面,我们需要从一些关键点的测试,如用户角色,权限的账户、密码保护、弱密码检测、密码修改等。因此,在实际测试中,准确和细致的测试计划和测试脚本是必需的,和验收标准必须非常详细。
测试过程中,测试软件和实际应用场景的硬件环境应进行严格控制和保护,并应进行。如果实际数据的需要,系统测试应该对这些数据严格控制这些数据的操作。在互操作性测试与其他系统,其他系统影响应充分考虑,并应选择适当的时间和方式。
应用系统的安全性不应该看,不应该是空中楼阁。信心安全应该从识别、风险的关注,我们准备在整个生命周期中,银行可以建立安全管理体系,加强应用开发的安全管理,提高制度化和银行应用系统的安全性管理的规范化水平,提高银行信息安全管理体系。