商业银行信息系统研发风险管控指南

1.安全需求概述

安全需求贯穿于信息系统建设的各个技术领域，与安全相关的系统组成要素包括：

1）主要硬件设备的选型。

2）操作系统和数据库的选型。

3）网络拓扑结构的选型。

4）数据存储方案和存储设备的选型。

5）安全设备的选型。

6）应用软件开发平台的选型。

7）应用软件系统结构的确定。

如何在信息系统建设之初确定安全需求，对设计和开发出安全稳定的信息系统具有重要的意义。安全人员认为安全需求是私密性、完整性以及需要保护个体的可用性。需求分析人员认为安全需求是系统功能上的限制要求。这个定义比较抽象。在某些文献中，安全需求被描述成比功能需求更高一个层次的需求。尽管安全需求的定义并不明确，但很多安全人员指出：在信息系统研发生命周期中考虑安全需求，对于确保信息系统安全水平是非常重要的。

安全需求通常描述为某种功能限制，用来达到安全的目标。几个简单的限制例子如下：

1）系统不能向人力资源部门以外的人提供个人信息。

2）系统不能在正常的工作时间之外提供个人信息。

3）系统不能向任何一个以前已经访问过有关竞争对手机构信息的人提供组织机构的信息。

从这些例子中可以看出安全需求具有动态性的特点，即不管在什么时候，一旦一个新的功能需求被提出，安全的目标可能有变化，就必须评估安全需求。即使安全目标没有改变，当额外的功能被引进时，也需要添加额外的安全需求。同时，安全需求必须考虑到所有的安全目标，例如不能一味强调保密性而放弃可用性目标。在信息系统建设过程中，安全需求必须作为一个系统工程难题来考虑，这是因为安全需求分析需要同时考虑多个领域。同时，安全目标不同于功能目标，它们必须在开发活动的每个迭代过程都被考虑。

2.安全需求指南的制定

安全需求分析是研发风险管控工作的首要任务，也是最基础的任务。加强商业银行的研发风险管控需要开展两个方面的工作：一是建立一种机制，以防研发人员在构建系统时引入类似于栈溢出与弱加密这样的错误；二是建立一种用于对安全需求进行监控、响应以及改变的机制。制定安全需求指南恰好能够满足这两方面的需求。此外，安全需求指南还能简化安全需求分析过程，降低安全需求分析工作量，提高工作效率。(www.zuozong.com)

当前，企业信息系统安全需求大致来源于四个方面：国家信息安全法律法规对建设信息系统的安全要求、企业的信息系统安全规划、企业业务性质确定的特殊要求、风险评估结果。安全需求指南的制定需要充分依据以上需求来源内容，同时要借鉴信息安全标准和业界最佳实践，形成完善的安全需求指标。在制定指南的过程中需要体现“适度安全”的原则，通过划分不同信息系统等级、设置安全基线等措施，对重要系统进行重点保护，力争达到安全和效率、资源之间的平衡。

安全需求指南制定后需要经过组织的评审才能正式发布，一旦发布，必须作为企业的安全标准严格执行。为了确保执行效果，需要开展相关培训，提高需求分析人员的安全意识和安全需求分析水平。

在安全需求指南的使用过程中，必须根据企业的实际情况不断更新维护。首先要尽可能快地得到关于漏洞、事件原因、监管新规等信息，并且最好在媒体或是攻击者之前得到这些信息；第二要有能力对这些信息进行相应的分析、处理和响应；第三要快速传达这些信息，包括漏洞信息和如何防护这些漏洞，在最短的时间内采取修复或防护措施。

3.安全需求指南的主要内容

根据信息系统安全建设需要，安全需求指南一般包括如下信息：

（1）信息系统建设项目信息 该信息包括信息系统安全保护等级、信息系统建设时间、信息系统主管部门及各参与方信息。

（2）安全需求列表 该列表是供安全需求分析人员勾选的安全需求清单，是安全需求指南的核心内容。

（3）安全需求说明信息 该信息标注了每一项安全需求的适用范围、是否为需求基线、可供裁剪的条件、具体设计实现方法等信息。

（4）安全需求指南使用说明 该说明介绍了指南的制定依据、使用方法和使用要求，明确在信息系统建设需求分析阶段，应根据该指南提出信息系统的安全需求。

“安全需求列表”作为指南的核心内容，详细列举了信息系统建设过程中各技术领域、各种类型的安全需求。例如参考信息系统安全保护等级标准，可以将信息系统安全需求分为物理、网络、系统、应用、数据5类。每一类中列举从与研发风险管控相关的法律、法规、政策、标准，以及企业安全规划、企业业务特性、风险评估结果、信息安全事件原因中提炼出的安全需求。

在5类安全需求中，物理安全需求、网络安全需求、系统安全需求是关于信息系统资源的需求，它们不但是信息系统建设过程中的安全需求，而且是信息系统运行维护过程中的安全需求。目前我国商业银行的IT组织架构较为成熟，物理、网络、系统的运行维护一般由专门的运维团队统一负责，因此与这3类有关的安全需求一般由研发部门向运维管理部门提出，由运维管理部门统一配置维护即可。研发部门关注的重点应该是研发过程中可能引入的风险，即应用和数据两方面的安全需求。以应用安全需求为例，应关注包括关于身份鉴别、访问控制、安全审计、通信完整性和保密性、存储完整性和保密性、抗抵赖、软件容错、资源控制、剩余信息保护等方面的需求。其中身份鉴别又具体分为鉴别技术、口令保护、登录失败处理等内容^[41]，见表4-6。限于篇幅原因，其他安全需求不一一列举。

表4-6 安全需求模板示例

（续）