大連理工大學從細節保障全生命周期管理

近年來，大連理工大學開始探索對信息系統進行全生命周期內的網絡安全管理，為此成立了網絡安全部，負責整個信息化建設當中的安全管理與監督。2018年網絡安全部成立后,主要負責編寫信息化項目網絡安全建設管理規范。管理規范主要分為三個部分，依次是總則、全生命周期各階段網絡安全建設和其他相關制度。

總則包含四個方面的內容。第一，對信息系統全生命周期進行了明確的定義。第二，對整個全生命周期安全管理中的部門進行了責任分工，秉持“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則。第三，網絡安全一票否決制。第四，廠商安全記錄制。

全生命周期各階段網絡安全建設，內容如下。

第一，調研立項預算階段。包括等保定級（項目立項階段確定安全水平）、Web檢測等安全預算、資源及安全需求和網絡安全建設相關時間進度。

第二，采購階段。一是采購文件，包括對廠商安全能力的要求和項目安全要求；二是合同，包括項目交付前的安全監測和整個信息系統全生命周期范圍內，廠商必須對系統安全負責；三是保密協議，根據項目具體情況決定，可能有對數據和安全要求較高的項目，需要廠商簽署保密協議。

第三，建設階段。這一階段有六個環節。

在需求分析環節，要求需求必須固定，不得隨意更改，如果有新的需求，可以分階段、分期建設。在設計環節，主要是兩個檢查，一是設計文檔的審計，檢查邏輯的合理性，盡量避免邏輯上的安全問題；二是對開發所使用的編程語言、開發框架等做了解和檢查，避免有安全問題的框架的使用。在開發環節，主要是安全開發、版本管理和開源軟件的二次開發。在測試環節，首先要求廠商必須完成完整的測試，提交明確的測試方案、用例和實施記錄等；其次在使用測試數據時，必須對真實數據做脫敏處理；最后是代碼審計，主要是對代碼的規范性、合理性以及是否存在冗余代碼進行檢查。在部署實施環節，首先要求生產服務器不得用于開發、測試，同時進行最小化部署；其次是在部署方案里要求廠商明確說明服務器、軟件環境、密碼等情況；再次是在交付文檔中提供部署調整、關鍵進程等參數，以供后期運維階段作為參考；最后是對堡壘機的使用和服務器操作要求及審計做出定義，要求所有的廠商、第三方對于服務器的遠程操作必須經過堡壘機。在上線試運行環節，要求在系統試運行之前，每個項目都要做第三方安全檢測。

第四，驗收階段。一方面是文檔的驗收，主要有兩個文檔，分別是第三方Web安全檢測報告和校方安全檢測處理情況報告，規范對第三方檢測機構的資質和報告格式提出了明確的要求和標準，且報告在驗收提交時均不得存在高危漏洞；另一方面是系統的驗收，要求對服務器進行安全檢查，看是否有冗余的軟件代碼、網絡連接等。

第五，運維階段。規范要求要對整個運維階段進行考核。首先是對運維方案的考核，包括分工、Bug修復等一系列的內容要求，以保障運維的正常進行；其次是對運維操作的考核，包括堡壘機的操作、報告與記錄和最小化的運維操作；再次是對升級工作的考核，包括操作系統升級、硬件升級、補丁升級和系統的重大升級，在系統進行重大更新或升級時，必須提前由項目組編制升級方案，審核通過后要嚴格按照升級方案進行升級操作。

第六，結束階段。規定給出了項目結束的條件，包括不再使用、出現故障無法修復或遇到安全問題無法解決、項目組人員不全致使系統失控失管和國家或學校規定要求系統下線，這時項目就需盡快結束，避免出現安全隱患。

其他相關制度主要包含兩方面的內容，第一是數據安全與個人信息保護，對于個人信息，不得超范圍使用，使用到的數據要加密存儲；對于數據，建議數據本地保存，在進行刪除操作時，項目組要經過討論，慎重使用。第二是正版軟件的使用，要求在整個建設過程中，不得使用來路不明的軟件，特別是破解版的軟件，避免惡意代碼隨來路不明軟件帶入，盡量使用正版軟件或官方版本的開源軟件。