关注研发安全,深度解析中国信通院《面向云计算的可信研发运营安全能力成熟度模型》

当前,5G、云计算、大数据等新技术迅速发展,为人类社会带来了无限发展机遇。随着数字化、新基建的推进,云计算已经成为基础设施,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,其自身的安全问题也愈发成为业界关注的焦点。近年来,安全事件频发,究其原因,软件服务应用自身存在安全漏洞,被黑客利用攻击是导致安全事件发生的关键因素之一。

研发运营指涉及需求、设计、研发、验证、发布、运营、下线的软件应用服务全生命周期。传统研发运营安全,针对软件应用服务自身的安全漏洞检测修复,通常是在系统搭建或者功能模块构建完成之后以及应用服务上线运营之后,安全介入,进行安全扫描,威胁漏洞修复,相对滞后。根据美国国家标准与技术研究所(NIST)、IBM、Fortify等统计数据显示,在软件需求分析阶段就开始避免漏洞的成本比发布后修复成本低50~100倍。安全左移,解决需求、设计、研发阶段代码层面安全问题,构架新型研发运营安全模式是至关重要,也是势在必行的。

以此为背景,由中国信息通信研究院牵头,华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、京东云计算(北京)有限公司、北京金山云网络技术有限公司、北京百度网讯科技有限公司、深圳华大生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限公司、悬镜安全、新思科技(上海)有限公司、杭州安恒信息技术股份有限公司、中兴通讯股份有限公司、普元信息技术股份有限公司、新华三技术有限公司、中国信息通信科技集团有限公司共同参与,制订了《面向云计算的可信研发运营安全能力成熟度模型》行业标准。

该标准规定了面向云计算的可信研发运营安全能力成熟度模型参考框架,强调安全左移,关注需求、设计、研发安全,分为管理制度以及涉及软件应用服务全生命周期的要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段和下线阶段九大部分,每个部分提取了关键安全要素,规范了企业研发运营安全能力的成熟度水平,自低向高依次分为基础级、增强级和先进级。标准适用于企业在落地实践研发运营安全时进行参考与评价,也可为第三方机构对于企业的研发运营安全能力审查和评估提供标准依据。

四大特点,九大部分详解研发运营安全体系

经与各企业专家广泛交流研讨,《面向云计算的可信研发运营安全能力成熟度模型》标准提出并构建研发运营安全体系,下图为具体框架图。

面向云计算的可信研发运营安全能力成熟度模型

该模型概括总结具有四大特点,九大部分。

四大特点

1、覆盖范围更广,强调安全左移并延伸至停用下线阶段,覆盖软件应用服务从需求到下线的全生命周期;

2、更具普适性,抽取关键安全要素,不依托于任何开发模式与体系;

3、不止强调安全工具,同样注重安全管理,强化人员安全能力;

4、进行运营安全数据反馈,形成安全闭环,不断优化研发运营流程实践。

九大部分

1、管理制度,管理制度是落实可信研发运营安全的基础保障,具体指标包括组织架构、制度流程、安全培训及第三方管理,行为涵盖建立合适的人员组织架构与制度流程,保证研发运营流程安全的具体实施,针对人员进行安全培训,增强安全意识,进行相应考核管理;

2、要求阶段,明确研发运营安全的基线,具体指标包括设立安全门限要求、项目角色及权限管理、安全审计、环境管理、变更管理、开源及第三方组件管理、安全研发测试要求,行为涵盖针对具体项目明确安全要求,进行权限设置,安全审计,环境管理,对于开源及第三方组件进行统一安全管理等;

3、安全需求分析阶段,具体指标包括安全需求分析及安全需求知识库,行为涵盖基于合规需求、隐私需求、安全功能需求进行需求分析,同时构建完善安全需求知识库,形成组织级知识复用;

4、设计阶段,具体指标包括安全设计原则、受攻击面分析以及威胁建模,行为涵盖基于安全设计原则,持续利用受攻击面分析、威胁建模等工具手段进行整体安全设计;

5、研发阶段,关注代码安全,具体指标包括安全编码、管理开源及第三方组件安全风险以及变更管理,行为涵盖利用安全工具确保编码实际安全,同时对于开源及第三方组件进行风险管理,对于变更进行统一管理,与版本系统保持同步;

6、验证阶段,进行代码安全再次确认与安全风险检测,具体指标包括代码安全审查、开源及第三方组件确认、配置审计、安全隐私测试、漏洞扫描、模糊测试、渗透测试,行为涵盖进行代码安全审查,针对安全、隐私问题进行全面、深度的测试;

7、发布阶段,上线前进行安全二次确认与加固,连接研发运营全流程,具体指标包括发布管理、安全性检查与事件响应计划,具体行为涵盖上线发布前进行完整性审查以及安全加固,制定事先响应计划,确保发布安全;

8、运营阶段,确保上线服务安全可靠,进行安全数据反馈,优化研发运营全流程,具体指标包括安全监控与防护、安全运营、风险评估、应急响应、升级与变更管理、服务与技术支持、运营反馈,行为涵盖进行安全监控防护与安全运营,通过渗透测试等手段进行风险评估,针对突发事件进行应急响应,并及时复盘,构建处理知识库,同时汇总安全问题数据,形成反馈机制,优化研发运营全流程;

9、服务下线阶段,实现研发运营安全闭环,确保用户隐私与数据安全,具体包括制定服务下线方案与计划,明确隐私保护合规方案,确保数据留存符合最小化原则。

依据标准进行的首批评估工作正式启动

首批可信研运安全能力成熟度评估将于2020年12月中旬正式启动,评估将依据《面向云计算的可信研发运营安全能力成熟度模型》行业标准,针对具体项目对于企业的研发运营安全能力进行全生命周期的评估,具体报名及联系方式见下方。

报名时间:即日起-12月底
评估时间:12月底-1月下旬
专家评审时间:2021年1月底
结果发布:2021年2月初

报名方式:

请发送报名邮件至wujiangwei@caict.ac.cn,邮件主题为面向云计算的可信研发运营安全能力成熟度评估报名,正文应至少包括企业名称、联系人、联系方式等内容。

联系人:吴江伟
联系方式:wujiangwei@caict.ac.cn

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@youkuaiyun.com。本站原创内容未经允许不得转载,或转载时需注明出处::优快云资讯门户 » 关注研发安全,深度解析中国信通院《面向云计算的可信研发运营安全能力成熟度模型》

赞 (0)