毕博—石油国际全套咨询商业软件购买管理规范

毕博—石油国际全套咨询商业软件购买管理规范内容摘要：

商业软件购买管理规范 安全需求分析 通过进行与需要采购的商业软件产品的规模和复杂性相关的需求分析，企业在采购初期阶段应确定对于所需 IT 系统的需求，并制定相应的文档。 安全需求分析是对业务需求中隐含的安全方面的需求的深入分析。 在安全需求分析中必须根据以下步骤进行分析： a) 完整性、可用性和保密性需求分析 b) 进一步 完善敏感性评估 c) 安全需求等级分析 d) 风险评估 e) 相关机构或授权人员审核 上面的步骤可作为安全需求分析的指导原则。 根据初步敏感性评估确定的安全目标，制定所有必要的安全需求来解决相应的安全问题。 将所有可能的安全威胁完整地对应到安全需求中去。 虽然这里以一系列步骤的方式来确定出安全需求分析的内容，这些安全需求的执行步骤也可进行调整。 对安全要求特别高的商业软件系统，需要循环使用这些步骤，直到制定出所有的安全要求。 完整性、可用性和保密性需求分析 a) 应确定需要进行保护的内容。 这些分析将在业务需求分析阶段的初步敏感性评估的 基础上进行，但是将更为深入和具体。 b) 应 基于基本安全要求的法律和法规的符合性分析。 在这一过程中，和初始的需求定义阶段不同，分析集中在要购买的商业软件的安全相关的问题。 同时应对于法律、功能和其他的 IT 安全需求都应形成具体的条目。 c) 对于复杂系统，宜进行多次的分析。 对于大多数系统至少都会有最基本的完整性和可用性的要求，这些特定方面的需求必须清晰的定义。 安全性需求不 商业软件购买管理规范 19 只是保密性，没有保密性需求的系统也可能需要完整性和可用性方面的安全需求。 进一步完善敏感性评估 完成了完整性、可用性和保密性分析后，应在分析结果上完善敏 感性评估。 安全需求等级分析 a) 提出正确的完全的安全需求是有效的运用 IT 安全控制手段的基础。 但理想化的安全需求往往无法在现实中达到。 因此安全需求等级分析是指软件采购者须确认对于购买的商业软件的安全要求和流程可以在多大程度上在系统环境中被正确和有效的执行。 b) 确定安全需求等级是非常困难的，因为进行安全等级检查可能非常昂贵并且很难对安全的各种需求其进行量化并加权评比出必须实现的安全需求。 这一步的分析应确定要购买的软件的安全性必须在多大程度上被保证正确和有效的执行。 这些分析将在法律和功能需求分析的基础上进行，从而确 定需要什么类型以及何种程度的安全级别。 c) 正如安全的其他方面一样，应考虑合理的性价比，并满足保护机构数据的保密性、完整性和可用性要求。 要求绝对的安全是无法达到的。 在通常情况下都需要对系统的功能和 可 达到的安全能力之间进行平衡。 风险评估 a) 风险评估是采购规划阶段的重要步骤。 可以用来确定哪些控制手段性价比比较合理，并且它也成为确定需要哪些强制和适当的规范的基础。 风险评估应在批准设计规范前进行。 另外，风险评估在规范遭到反对时提供了证明的手段。 b) 对于商业软件的风险评估不一定是一个复杂的过程，但是象其他风险分析一样， 必须考虑相关的信息资产、对信息资产的威胁、潜在的问题以及解决问20 商业软件购买管理规范 题的方法。 同时风险评估必须考虑现有的控制及它们的效果。 风险评估需要其他功能部门的参与。 风险评估将使用完整性、可用性和保密性需求分析的结果，并确定信息资产的价值以及安全问题会对它们造成的影响。 具体的风险评估的方法的相应的规范可以参照《风险评估规范》。 相关机构或授权人员审核 a) 根据商业软件系统的大小和作用范围不同，应建立相关的机构或职能小组来对于商业软件的安全需求进行审核，该类人员的审核对于商业软件的安全需求的确认将很有帮助。 即使对于比较小的软件 系统，也应引入相应的的审核机制。 b) 该小组或机构应包括一些不同背景的人员，如软件最终使用者、采购项目经理和采购需求的发起人；系统及相关软件安全的管理员；安全官员或专家，包括 Camp。 A（经过认证和授权）代表；以及系统和应用分析人员。 c) 在安全需求分析阶段后期引入审核机制可降低整个商业软件购买周期的成本，并且在较早的时候变更需求也比较容易。 相关的审核机构或授权审核人员能够：  验证这个项目的安全计划是否包含了和 IT 构架相一致的安全控制手段  确保安全计划能够管理风险，保护隐私和保密内容 d) 具有一定技术资格的授权人员应证明已经 提出的安全需求中的安全控制能够真正满足需求。 这种确认是允许商用软件系统为了某种特定的目的 ， 在一定的数据敏感度要求下运行的一种决策性的依据。 e) 由于授权人员需要对运行该系统带来的风险负责，因此如果系统最终运行带来的风险无法接受的话，授权人员可以向相关采购团队提出自己的建议。 与招标阶段、选择评估阶段以及合同管理等阶段相比，在商业软件采购的需求分析阶段，做出一些需求方面的修改是非常容易的。 商业软件购买管理规范 21 其它考虑因素 商业软件采购需求分析阶段有关信息安全的其他考虑因素： a) 商业软件系统的成本效益分析 —— 成本效益分析应利用需求分 析阶段的风险评估的结果信息。 如果在风险分析时没有考虑安全性因素，那么就有可能采用一套将来需要在安全方面升级的系统（这将提高系统成本）。 并且，这种成本效益分析有助于采用那些能够避免不必要失败风险的系统。 b) 软件更新转换考虑 —— 新购买的商业软件系统将可能会取代原有的旧的系统。 因此需要检查在新的硬件或软件平台上重新架构软件系统的成本，其中包括在新的系统上所需要的安全性能要求，以及在新旧系统转换过程中维护安全性能的成本。 c) 可替代方法分析 —— 可替代方法分析应对这些方法以及它们满足需求的能力进行比较，包括信息安全性。 d) 安 全资金分析 —— 当安全相关预算无法包括整个计划中的项目时，就需要进行相应的资金规划。 大多数商业软件购买项目在采购流程的购进阶段之前，就已经经过资金规划了。 在某些案例中，当实际的成本数据替代了初始阶段的预测时，资金规划会被重新修改和更新。 此外，当系统需求被明显调整并且这一调整将会对整个预算的成本带来明显影响时，资金规划也会被启动。 每一个组织都应在系统安全和能力方面启动相应的资金分配流程。 e) 市场调研 —— 包括意见搜集（ RFC）或者信息搜集（ RFI），应包括 IT 安全方面的需求的收集。 f) 在需求分析的最后阶段，决策机构将 决定需求内容以及以何种方式满足这些需求。 包括决定是通过购进还是内部开发来满足需求。 许多系统需要将这些方法结合起来，因为这个阶段对整个系统来说意义重大，系统安全性以及其他功能需求应被充分考虑。 g) 投资修正和资金规划应贯穿于整个需求分析阶段。 这个阶段采取的这些措施将会利于申请新的资金，以及后续的向该组织的 IT 投资审核委员会提交申请。 22 商业软件购买管理规范 申请的批准能够确保在实施整个商业软件系统的过程中以一种理性的 、基于风险的方法来规划系统的安全性，以防止由于资金短缺而放弃安全因素考虑的情况发生。 商业软件购买管理规范 23 采购招标阶段 采购的招标阶段主 要包括制定、发布软件采购招标书 (Request For Proposal)和接收供应商计划书。 所有和商业软件购买有关的考虑都应在这一阶段进行。 包括需要什么、如何获得、如何评估、测试和接收，以及协议应如何被监督。 采购招标书 用来确保决策机构能够根据供应商的计划书做出最有价值的决策。 RFP流程的优点之一就是它能够为决策机构和供应商进行谈判时提供灵活性，从而最好地满足决策机构的要求。 本规范主要作为制定 RFP 时需要考虑的，商业软件各方面所需要的信息安全性的特点、流程以及保障，一些系统功能上的考虑不在本规范考虑范围内。 同时本规范规定了软件系统供应商工作一览表 (SOW)中 IT安全部分的考虑或者规范，并且提供评估、测试以及接受 IT 安全特性时的一般性指导。 出于灵活性的考虑，我们无法在 IT 安全性考虑和通用的解决方案之间建立精确的映射关系，采购的相关人员应决定如何根据 RFP 中提供的诸多安全选项，来满足具体安全性的考虑。 商业软件中的安全特性需求 a) 商业软件的 IT 安全特性指的是软件中需要包含或者集成的特定功能。 在商业软件中需要使用到哪些安全特性需要考虑到以下因素：运作环境安全，软件处理或者传输的数据的敏感性，对软件可用性的需求或者其他风险因素。 本规范规定了软件购买过程中的需要考虑的一些安全控制问题。 b) 对于许多软件，必须考虑多个安全特性，其中某些特性包含在操作系统或者应用中。 例如，额外的访问控制、对记录和记录项的控制和修改检查往往包含在软件的应用层。 而文件的访问仍然需要由操作系统来进行。 c) 对于特定的软件环境可能需要定制特定的安全需求。 如果直接采购市场的软件，必须进行软件的市场分析来确定当前商业市场上的相应软件种类有哪些可用的安全特性，然后根据情况进行定制。 24 商业软件购买管理规范 身份识别和认证 身份识别和认证是软件安全特性的基础之一。 对于许多软件，每个操作都必须由具体的用户进行。 要加强软件的使用控制，必须对所有用户进行身份识别和认证。 软件对身份识别和认证的基本要求包括： a) 在开始任何操作前应强制用户提供唯一识别身份的机制 b) 能够维护包括验证单独用户身份（如口令）的信息等认证数据 c) 应通过一定的安全机制保护认证数据不会被任何未授权用户访问 d) 应通过唯一 ID 识别每个用户，能够追究单独用户 的责任 e) 当发现有猜测认证信息的行为时应发出警报 . 访问控制 访问控制确保在需要的情况下，所有对资源的访问都经过了授权。 访问控制通过减少攻击可以使用的途径，简化了企业软件系统的安全维护工作。 访问授权可以仅由应用软件来完成，也可以由操作系统或以两者的结合的方式来完成。 中国石油应确保应用软件对 其 维护的数据具有足够的访问控制管理能力。 访问控制包括下面全部内容，或其中部分内容：知道试图进行访问的用户，根据相应规则控制访问，审计用户的行为，管理数据发送地点及发送的方式。 a) 软件应基于身份识别和认证数据来确定用户对信息 的访问权限。 b) 软件应能够定义和控制不同用户对不同信息的访问规则。 c) 访问控制的机制（例如用户 /用户组的公共控制、访问控制列表、角色）应能够让用户确定和控制信息被其他用户和用户组共享访问，并应提供防止访问权限被传播到其他地方的机制。 d) 访问控制机制应缺省（或者通过用户的操作）定义信息不能接受未授权的访问。 e) 访问控制应可对单个用户的访问进行授权，或取消其原有的授权。 商业软件购买管理规范 25 f) 只有特定的经授权的用户才能授权其他用户对本来没有访问权限的信息进行访问。 审计 审计能够记录一些重要的用户行为，并记录对行为负有责任的用户。 操作系统 、数据库和应用软件都可进行审计。 记录的审计数据能帮助确定安全问题是如何发生的并确定相应责任人员。 审计数据可用来阻止用户企图越权进行操作。 软件审计的一个关键好处是记录和分析有效的审计跟踪信息。 a) 对于被保护的信息对象，软件审计应建立、维护和保护这些信息对象的审计记录，防止它们被修改、未授权的访问或者破坏。 b) 保护审计数据只能由授权的用户访问。 c) 软件应能够记录以下类型的审计信息：身份识别和认证机制的使用，用户对象的访问（例如打开文件、启动程序），删除对象，用户、管理员和系统安全管理人员的行为，以及其他中国石油认为必 要的行为。 d) 对每个审计记录，应包括日期和时间、用户、操作的类型、操作成功还是失败。 e) 为了识别和认证审计事件，操作请求的来源（例如终端的 ID）应记录在审计日志中。 f) 对于用户访问的数据或程序对象，以及删除错作，审计记录应包含对象的名字和标识。 g) 管理员应能够基于人员身份和对象标识有选择地审计特定用户的行为。 h) 审计功能应在特定条件下发出警报，这些情况包括但不仅限于审计资源达到了某种限制或者审计功能被关闭（有意或无意）。 26 商业软件购买管理规范 加密 加密的目的在于保护中国石油的敏感数据。 软件加密的选择流程包括以下的步骤，对于特定功能的软 件产品，可以使用全部或者其中部分：  进行风险评估确定需要保护的相关信息、软件的弱点、以及由于弱点可能导致的威胁  确定软件采用的安全规则和政策  确定加密需求  确定解决以上加密需求的安全方案 如有需要，中国石油应确保软件提供了加密模块，包含了经过国家批准的加密算法。 对于所有加密算法和加密模块进行一致性检查。 加密模块和算法应由相应的合法的测试机构进行检查。 a) 数据认证 —— 当 中国石油 确定需要对数据源进。