项目研发安全管理模式探索

殷树刚 马宗超 刘锋 张津铭 南淑君

随着企业业务应用的不断拓展、信息化程度的不断提高，企业的生产经营活动对信息系统和网络的依赖程度越来越高，然而软件和互联网技术的高速发展也带来了新的威胁，病毒和黑客攻击层出不穷，零日漏洞和后门事件频繁发生，直接影响企业的正常生产经营和业务运作。特别是对于作为关系国家能源安全和国民经济命脉的国家电网公司而言，系统安全至关重要，这就要求信息系统研发单位应加强项目研发过程中的安全管控，尽可能地减少系统出厂缺陷和漏洞，提高系统的安全性和稳定性。

从源头解决安全隐患

微软等公司的研究和经验表明，在应用系统发布后发现漏洞的成本是开发期间的30倍。因此，要实现信息系统的安全开发，最有效的方法就是减少在系统开发期间的编码错误数量，并尽早发现在系统开发生命周期出现的问题。越早发现项目研发安全反馈信息，越有利于项目以更低成本修复。与其依赖于项目后期的出厂安全测试，不如在整个项目开发全过程中的各环节引入安全实践，如在分析业务需求的同时主动进行威胁建模，分析安全需求；在系统功能架构设计时主动进行安全防护架构设计；在系统实现过程中引入代码安全检查机制，及时检查代码缺陷，通过这些手段，项目研发人员可以尽早地发现和解决系统安全问题，而不必依赖于通过最终的出厂安全测试才能知道安全问题。

为了尽可能减少系统出厂时的编码低级错误和系统漏洞，提高系统可用性和安全性，国网信息通信产业集团有限公司（下称“信通产业集团”）尝试在项目管理整个生命周期提前介入安全管理，组织集团各下属研发单位从安全组织措施和安全技术措施两方面开展项目过程研发安全管控工作，通过多种管理措施，从源头上尽早、尽快、持续地发现并解决系统安全问题。

加强组织管理

信通产业集团下属各单位结合自身项目特点，建立健全项目过程中研发安全管理机制，明确研发安全管理组织架构，常态开展研发安全检查。

明确项目过程研发安全管理要求

为保证项目过程研发安全管控工作有据可依，集团下属各单位需参照《中华人民共和国网络安全法》《国网信通部关于印发2016年公司信息系统研发安全工作要求的通知》（信通技术[2016]41号）《国网信息通信产业集团有限公司研发安全管理办法》（信通集团安质[2016]138号），结合集团下属各单位研发安全管控现状和自身项目特点，明确各自项目过程研发安全管理要求，建立健全本单位关于项目过程研发安全管控的制度流程，据此开展本单位项目过程研发安全管控工作。管理要求应明确、具体、可操作，如各单位所承建信息系统开发项目中的所有开发人员，均需签订网络安全及保密承诺书，对网络使用、数据共享等行为进行约束；明确开发人员的访问权限，做好人员权限记录，及时变更或清理离职人员账号，并保留相关记录等。

健全项目过程研发安全管控的组织机构

为确保项目研发安全，研发单位首先需健全项目研发安全管理组织机构，明确各级管理组织的职责要求，强化责任主体意识对项目安全管理的重要性，在项目研发过程中要求各责任主体各负其责、各司其职、密切协作，共同提高项目研发安全管理水平，避免系统出现低级缺陷或致命安全问题。

整个研发过程安全管理组织架构分安全开发决策层、安全开发管理层和安全开发执行层三个层级。其中，安全開发决策层的研发中心分管领导对安全开发负最终责任，负责推动研发中心安全工作，并对安全开发相关重大事宜进行决策、总体组织/协调、安全开发资源分配、安全开发整体监督和考核。

各单位所承建项目的项目经理应为该项目研发安全的第一责任人，对研发中心分管领导负责。项目经理负责总体协调项目过程研发安全管控工作。各单位所承建项目应明确一名项目研发安全专责（可兼职），研发安全专责负责本项目过程研发安全管理工作的具体执行，监督研发人员执行研发安全相关制度。

落实项目两级研发安全检查机制

为了保证研发安全相关要求和制度能够落地，加强项目过程研发安全管控，信通产业集团建立了各下属单位自查和集团本部抽查的两级安全检查机制，从组织管理和技术管理两个维度，设置研发安全管理制度、研发安全培训教育、研发人员安全管理、开发安全测试、开发环境安全、代码安全管理等几个检查项，对各单位研发安全工作开展情况及重点项目研发安全管控进行检查。即各单位应按照研发安全检查项常态开展本单位的项目过程研发安全管理自查，检查结果按季度上报集团项目管理中心。信通产业集团不定期组织开展项目过程研发安全管理抽查，对抽查结果进行通报并纳入考核。

提升安全技术水平

为了从技术上保证项目过程中的研发安全，应从整个项目全生命周期的各个阶段引入安全管理：项目规划阶段明确安全需求；项目设计阶段应充分考虑数据传输、处理、存储等各个过程中的安全要求，并对系统应用进行安全控制、设计等。信通产业集团特别针对项目设计、开发和测试三个阶段加强了研发安全管理，进一步提升项目安全防护方案质量、开发人员编码规范性和系统出厂安全测试通过率。

开展项目安全防护方案审查

在项目概要设计结束以后，根据系统定级编制相应的项目安全防护方案，并组织单位内部专家开展内部审查（即同行检查），以提高安全防范方案质量。对通过内部审查的项目，信通产业集团抽取满足条件的重点项目，邀请外部专家进行集中审查这些重点项目的安全防护方案（即专家审查），以协助下属各单位提升项目安全防护方案的质量和第三方评审通过率，对未通过第三方评审的项目进行通报并纳入考核。

加强开发环境安全管理

各单位按照信通产业集团相关要求加强对开发环境的安全管理，落实安全编码规范，提升代码安全性和规范性，具体技术措施如下：

（1）开发环境及测试环境必须与实际运行环境及办公环境安全隔离，严禁将开发环境擅自连接互联网。

（2）开发终端应专机专用，并针对不同的开发人员设置登陆密码和使用权限。

（3）开发工具原则上采用国家电网公司统一开发平台（SG-UAP）进行开发，如必须引入开源组件或第三方平台则需通过安全测评方可使用。

（4）设置专门的代码服务器并进行安全防护和访问权限设置。

除此之外，通过多年软件开发项目经验，信通产业集团总结编制公司统一编码规范，并要求各单位研发人员应严格按照安全编码规范进行编码，建立代码签名制，实现代码可追溯。

完善安全测试闭环管理机制

以安全测试为重要抓手，建立安全测试闭环管理，开展项目过程中代码安全检测，持续跟踪代码缺陷，直至完成缺陷整改验证，避免系统出现常见低级错误，如SQL注入、程序后门等。对多次测试未通过的代码或系统追究相关编码人员和负责人的安全责任，对其进行通报并纳入考核，以提升系统安全可靠性。

综上所述，通过建立以管理手段为抓手、以技术手段为支撑的项目安全管理体系，信通产业集团在项目全生命周期的各个阶段中实施研发过程安全管理，确保安全需求在项目中充分实施，满足集团整体安全策略的要求。