【文章內(nèi)容簡介】 商業(yè)軟件購買管理規(guī)范 安全需求分析 通過進行與需要采購的商業(yè)軟件產(chǎn)品的規(guī)模和復雜性相關(guān)的需求分析，企業(yè)在采購初期階段應確定對于所需 IT 系統(tǒng)的需求，并制定相應的文檔。安全需求分析是對業(yè)務需求中隱含的安全方面的需求的深入分析。在安全需求分析中必須根據(jù)以下步驟進行分析： a) 完整性、可用性和保密性需求分析 b) 進一步 完善敏感性評估 c) 安全需求等級分析 d) 風險評估 e) 相關(guān)機構(gòu)或授權(quán)人員審核 上面的步驟可作為安全需求分析的指導原則。根據(jù)初步敏感性評估確定的安全目標，制定所有必要的安全需求來解決相應的安全問題。將所有可能的安全威脅完整地對應到安全需求中去。 雖然這里以一系列步驟的方式來確定出安全需求分析的內(nèi)容，這些安全需求的執(zhí)行步驟也可進行調(diào)整。對安全要求特別高的商業(yè)軟件系統(tǒng)，需要循環(huán)使用這些步驟，直到制定出所有的安全要求。 完整性、可用性和保密性需求分析 a) 應確定需要進行保護的內(nèi)容。 這些分析將在業(yè)務需求分析階段的初步敏感性評估的 基礎上進行，但是將更為深入和具體。 b) 應 基于基本安全要求的法律和法規(guī)的符合性分析。 在這一過程中，和初始的需求定義階段不同，分析集中在要購買的商業(yè)軟件的安全相關(guān)的問題。同時應對于法律、功能和其他的 IT 安全需求都應形成具體的條目。 c) 對于復雜系統(tǒng)，宜進行多次的分析。 對于大多數(shù)系統(tǒng)至少都會有最基本的完整性和可用性的要求，這些特定方面的需求必須清晰的定義。安全性需求不 商業(yè)軟件購買管理規(guī)范 19 只是保密性，沒有保密性需求的系統(tǒng)也可能需要完整性和可用性方面的安全需求。 進一步完善敏感性評估 完成了完整性、可用性和保密性分析后，應在分析結(jié)果上完善敏 感性評估。 安全需求等級分析 a) 提出正確的完全的安全需求是有效的運用 IT 安全控制手段的基礎。 但理想化的安全需求往往無法在現(xiàn)實中達到。 因此安全需求等級分析是指軟件采購者須確認對于購買的商業(yè)軟件的安全要求和流程可以在多大程度上在系統(tǒng)環(huán)境中被正確和有效的執(zhí)行。 b) 確定安全需求等級是非常困難的，因為進行安全等級檢查可能非常昂貴并且很難對安全的各種需求其進行量化并加權(quán)評比出必須實現(xiàn)的安全需求。 這一步的分析應確定要購買的軟件的安全性必須在多大程度上被保證正確和有效的執(zhí)行。 這些分析將在法律和功能需求分析的基礎上進行，從而確 定需要什么類型以及何種程度的安全級別。 c) 正如安全的其他方面一樣，應考慮合理的性價比，并滿足保護機構(gòu)數(shù)據(jù)的保密性、完整性和可用性要求。 要求絕對的安全是無法達到的。在通常情況下都需要對系統(tǒng)的功能和 可 達到的安全能力之間進行平衡。 風險評估 a) 風險評估是采購規(guī)劃階段的重要步驟。可以用來確定哪些控制手段性價比比較合理，并且它也成為確定需要哪些強制和適當?shù)囊?guī)范的基礎。 風險評估應在批準設計規(guī)范前進行。 另外，風險評估在規(guī)范遭到反對時提供了證明的手段。 b) 對于商業(yè)軟件的風險評估不一定是一個復雜的過程，但是象其他風險分析一樣， 必須考慮相關(guān)的信息資產(chǎn)、對信息資產(chǎn)的威脅、潛在的問題以及解決問20 商業(yè)軟件購買管理規(guī)范 題的方法。 同時風險評估必須考慮現(xiàn)有的控制及它們的效果。風險評估需要其他功能部門的參與。風險評估將使用完整性、可用性和保密性需求分析的結(jié)果，并確定信息資產(chǎn)的價值以及安全問題會對它們造成的影響。 具體的風險評估的方法的相應的規(guī)范可以參照《風險評估規(guī)范》 。 相關(guān)機構(gòu)或授權(quán)人員審核 a) 根據(jù)商業(yè)軟件系統(tǒng)的大小和作用范圍不同，應建立相關(guān)的機構(gòu)或職能小組來對于商業(yè)軟件的安全需求進行審核，該類人員的審核對于商業(yè)軟件的安全需求的確認將很有幫助。即使對于比較小的軟件 系統(tǒng)，也應引入相應的的審核機制。 b) 該小組或機構(gòu)應包括一些不同背景的人員，如軟件最終使用者、采購項目經(jīng)理和采購需求的發(fā)起人；系統(tǒng)及相關(guān)軟件安全的管理員；安全官員或?qū)＜?，包?Camp。A（經(jīng)過認證和授權(quán)）代表；以及系統(tǒng)和應用分析人員。 c) 在安全需求分析階段后期引入審核機制可降低整個商業(yè)軟件購買周期的成本，并且在較早的時候變更需求也比較容易。 相關(guān)的審核機構(gòu)或授權(quán)審核人員能夠： ? 驗證這個項目的安全計劃是否包含了和 IT 構(gòu)架相一致的安全控制手段 ? 確保安全計劃能夠管理風險，保護隱私和保密內(nèi)容 d) 具有一定技術(shù)資格的授權(quán)人員應證明已經(jīng) 提出的安全需求中的安全控制能夠真正滿足需求。 這種確認是允許商用軟件系統(tǒng)為了某種特定的目的 ， 在一定的數(shù)據(jù)敏感度要求下運行的一種決策性的依據(jù)。 e) 由于授權(quán)人員需要對運行該系統(tǒng)帶來的風險負責，因此如果系統(tǒng)最終運行帶來的風險無法接受的話，授權(quán)人員可以向相關(guān)采購團隊提出自己的建議。與招標階段、選擇評估階段以及合同管理等階段相比，在商業(yè)軟件采購的需求分析階段，做出一些需求方面的修改是非常容易的。 商業(yè)軟件購買管理規(guī)范 21 其它考慮因素 商業(yè)軟件采購需求分析階段有關(guān)信息安全的其他考慮因素： a) 商業(yè)軟件系統(tǒng)的成本效益分析 —— 成本效益分析應利用需求分 析階段的風險評估的結(jié)果信息。如果在風險分析時沒有考慮安全性因素，那么就有可能采用一套將來需要在安全方面升級的系統(tǒng)（這將提高系統(tǒng)成本）。 并且，這種成本效益分析有助于采用那些能夠避免不必要失敗風險的系統(tǒng)。 b) 軟件更新轉(zhuǎn)換考慮 —— 新購買的商業(yè)軟件系統(tǒng)將可能會取代原有的舊的系統(tǒng)。因此需要檢查在新的硬件或軟件平臺上重新架構(gòu)軟件系統(tǒng)的成本，其中包括在新的系統(tǒng)上所需要的安全性能要求，以及在新舊系統(tǒng)轉(zhuǎn)換過程中維護安全性能的成本。 c) 可替代方法分析 —— 可替代方法分析應對這些方法以及它們滿足需求的能力進行比較，包括信息安全性。 d) 安 全資金分析 —— 當安全相關(guān)預算無法包括整個計劃中的項目時，就需要進行相應的資金規(guī)劃。 大多數(shù)商業(yè)軟件購買項目在采購流程的購進階段之前，就已經(jīng)經(jīng)過資金規(guī)劃了。在某些案例中，當實際的成本數(shù)據(jù)替代了初始階段的預測時，資金規(guī)劃會被重新修改和更新。此外，當系統(tǒng)需求被明顯調(diào)整并且這一調(diào)整將會對整個預算的成本帶來明顯影響時，資金規(guī)劃也會被啟動。每一個組織都應在系統(tǒng)安全和能力方面啟動相應的資金分配流程。 e) 市場調(diào)研 —— 包括意見搜集（ RFC）或者信息搜集（ RFI），應包括 IT 安全方面的需求的收集。 f) 在需求分析的最后階段，決策機構(gòu)將 決定需求內(nèi)容以及以何種方式滿足這些需求。包括決定是通過購進還是內(nèi)部開發(fā)來滿足需求。許多系統(tǒng)需要將這些方法結(jié)合起來，因為這個階段對整個系統(tǒng)來說意義重大，系統(tǒng)安全性以及其他功能需求應被充分考慮。 g) 投資修正和資金規(guī)劃應貫穿于整個需求分析階段。這個階段采取的這些措施將會利于申請新的資金，以及后續(xù)的向該組織的 IT 投資審核委員會提交申請。22 商業(yè)軟件購買管理規(guī)范 申請的批準能夠確保在實施整個商業(yè)軟件系統(tǒng)的過程中以一種理性的 、基于風險的方法來規(guī)劃系統(tǒng)的安全性，以防止由于資金短缺而放棄安全因素考慮的情況發(fā)生。 商業(yè)軟件購買管理規(guī)范 23 采購招標階段 采購的招標階段主 要包括制定、發(fā)布軟件采購招標書 (Request For Proposal)和接收供應商計劃書。所有和商業(yè)軟件購買有關(guān)的考慮都應在這一階段進行。包括需要什么、如何獲得、如何評估、測試和接收，以及協(xié)議應如何被監(jiān)督。 采購招標書 用來確保決策機構(gòu)能夠根據(jù)供應商的計劃書做出最有價值的決策。 RFP流程的優(yōu)點之一就是它能夠為決策機構(gòu)和供應商進行談判時提供靈活性，從而最好地滿足決策機構(gòu)的要求。本規(guī)范主要作為制定 RFP 時需要考慮的，商業(yè)軟件各方面所需要的信息安全性的特點、流程以及保障，一些系統(tǒng)功能上的考慮不在本規(guī)范考慮范圍內(nèi) 。 同時本規(guī)范規(guī)定了軟件系統(tǒng)供應商工作一覽表 (SOW)中 IT安全部分的考慮或者規(guī)范，并且提供評估、測試以及接受 IT 安全特性時的一般性指導。出于靈活性的考慮，我們無法在 IT 安全性考慮和通用的解決方案之間建立精確的映射關(guān)系，采購的相關(guān)人員應決定如何根據(jù) RFP 中提供的諸多安全選項，來滿足具體安全性的考慮。 商業(yè)軟件中的安全特性需求 a) 商業(yè)軟件的 IT 安全特性指的是軟件中需要包含或者集成的特定功能。在商業(yè)軟件中需要使用到哪些安全特性需要考慮到以下因素：運作環(huán)境安全，軟件處理或者傳輸?shù)臄?shù)據(jù)的敏感性，對軟件可用性的需求或者其他風險因素。本規(guī)范規(guī)定了軟件購買過程中的需要考慮的一些安全控制問題。 b) 對于許多軟件，必須考慮多個安全特性，其中某些特性包含在操作系統(tǒng)或者應用中。例如，額外的訪問控制、對記錄和記錄項的控制和修改檢查往往包含在軟件的應用層。而文件的訪問仍然需要由操作系統(tǒng)來進行。 c) 對于特定的軟件環(huán)境可能需要定制特定的安全需求。如果直接采購市場的軟件，必須進行軟件的市場分析來確定當前商業(yè)市場上的相應軟件種類有哪些可用的安全特性，然后根據(jù)情況進行定制。 24 商業(yè)軟件購買管理規(guī)范 身份識別和認證 身份識別和認證是軟件安全特性的基礎之一。對于許多軟件，每個操作都必須由具體的用戶進行。要加強軟件的使用控制，必須對所有用戶進行身份識別和認證。軟件對身份識別和認證的基本要求包括： a) 在開始任何操作前應強制用戶提供唯一識別身份的機制 b) 能夠維護包括驗證單獨用戶身份（如口令）的信息等認證數(shù)據(jù) c) 應通過一定的安全機制保護認證數(shù)據(jù)不會被任何未授權(quán)用戶訪問 d) 應通過唯一 ID 識別每個用戶，能夠追究單獨用戶 的責任 e) 當發(fā)現(xiàn)有猜測認證信息的行為時應發(fā)出警報 . 訪問控制 訪問控制確保在需要的情況下，所有對資源的訪問都經(jīng)過了授權(quán)。訪問控制通過減少攻擊可以使用的途徑，簡化了企業(yè)軟件系統(tǒng)的安全維護工作。訪問授權(quán)可以僅由應用軟件來完成，也可以由操作系統(tǒng)或以兩者的結(jié)合的方式來完成。 中國石油應確保應用軟件對 其 維護的數(shù)據(jù)具有足夠的訪問控制管理能力。訪問控制包括下面全部內(nèi)容，或其中部分內(nèi)容：知道試圖進行訪問的用戶，根據(jù)相應規(guī)則控制訪問，審計用戶的行為，管理數(shù)據(jù)發(fā)送地點及發(fā)送的方式。 a) 軟件應基于身份識別和認證數(shù)據(jù)來確定用戶對信息 的訪問權(quán)限。 b) 軟件應能夠定義和控制不同用戶對不同信息的訪問規(guī)則。 c) 訪問控制的機制（例如用戶 /用戶組的公共控制、訪問控制列表、角色）應能夠讓用戶確定和控制信息被其他用戶和用戶組共享訪問，并應提供防止訪問權(quán)限被傳播到其他地方的機制。 d) 訪問控制機制應缺?。ɑ蛘咄ㄟ^用戶的操作）定義信息不能接受未授權(quán)的訪問。 e) 訪問控制應可對單個用戶的訪問進行授權(quán)，或取消其原有的授權(quán)。 商業(yè)軟件購買管理規(guī)范 25 f) 只有特定的經(jīng)授權(quán)的用戶才能授權(quán)其他用戶對本來沒有訪問權(quán)限的信息進行訪問。 審計 審計能夠記錄一些重要的用戶行為，并記錄對行為負有責任的用戶。操作系統(tǒng) 、數(shù)據(jù)庫和應用軟件都可進行審計。記錄的審計數(shù)據(jù)能幫助確定安全問題是如何發(fā)生的并確定相應責任人員。審計數(shù)據(jù)可用來阻止用戶企圖越權(quán)進行操作。軟件審計的一個關(guān)鍵好處是記錄和分析有效的審計跟蹤信息。 a) 對于被保護的信息對象，軟件審計應建立、維護和保護這些信息對象的審計記錄，防止它們被修改、未授權(quán)的訪問或者破壞。 b) 保護審計數(shù)據(jù)只能由授權(quán)的用戶訪問。 c) 軟件應能夠記錄以下類型的審計信息：身份識別和認證機制的使用，用戶對象的訪問（例如打開文件、啟動程序），刪除對象，用戶、管理員和系統(tǒng)安全管理人員的行為，以及其他中國石油認為必 要的行為。 d) 對每個審計記錄，應包括日期和時間、用戶、操作的類型、操作成功還是失敗。 e) 為了識別和認證審計事件，操作請求的來源（例如終端的 ID）應記錄在審計日志中。 f) 對于用戶訪問的數(shù)據(jù)或程序?qū)ο?，以及刪除錯作，審計記錄應包含對象的名字和標識。 g) 管理員應能夠基于人員身份和對象標識有選擇地審計特定用戶的行為。 h) 審計功能應在特定條件下發(fā)出警報，這些情況包括但不僅限于審計資源達到了某種限制或者審計功能被關(guān)閉（有意或無意）。 26 商業(yè)軟件購買管理規(guī)范 加密 加密的目的在于保護中國石油的敏感數(shù)據(jù)。軟件加密的選擇流程包括以下的步驟，對于特定功能的軟 件產(chǎn)品，可以使用全部或者其中部分： ? 進行風險評估確定需要保護的相關(guān)信息、軟件的弱點、以及由于弱點可能導致的威脅 ? 確定軟件采用的安全規(guī)則和政策 ? 確定加密需求 ? 確定解決以上加密需求的安全方案 如有需要，中國石油應確保軟件提供了加密模塊，包含了經(jīng)過國家批準的加密算法。對于所有加密算法和加密模塊進行一致性檢查。 加密模塊和算法應由相應的合法的測試機構(gòu)進行檢查。 a) 數(shù)據(jù)認證 —— 當 中國石油 確定需要對數(shù)據(jù)源進