YD∕T 3763.6-2021 研发运营一体化(DevOps)能力成熟度模型 第6部分:安全及风险管理(通信).pdf
《YD∕T 3763.6-2021 研发运营一体化(DevOps)能力成熟度模型 第6部分:安全及风险管理(通信).pdf》由会员分享,可在线阅读,更多相关《YD∕T 3763.6-2021 研发运营一体化(DevOps)能力成熟度模型 第6部分:安全及风险管理(通信).pdf(26页珍藏版)》请在咨信网上搜索。
1、 ICS 35.020 L70 YD 中华人民共和国通信行业标准 YD/T 3764.620XX 代替 YD/T 研发运营一体化(DevOps)能力成熟度模型 第 6 部分:安全及风险管理 The capability maturity model of devopsPart 6 :security risk management (报批稿) 点击此处添加本稿完成日期 -发布 -实施 中华人民共和国工业和信息化部 发 布 YD/T 3763.620XXI 目次 目次 前言 .IIIY 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 缩略语 .3 5 安全及风险管理 .3 6
2、 研发运营一体化控制通用风险 .4 6.1 组织建设和人员管理 .4 6.2 安全工具链 .4 6.3 基础设施管理 .4 6.4 第三方管理 .4 6.5 数据管理 .5 6.6 度量与反馈改进 .5 7 研发运营一体化控制开发过程风险 .8 7.1 需求管理 .8 7.2 设计管理 .8 7.3 开发过程管理 .8 8 研发运营一体化控制交付过程风险 .10 8.1 配置管理 .10 8.2 构建管理 .10 YD/T 3763.620XXII8.3 测试管理 .10 8.4 部署与发布管理 .10 9 研发运营一体化控制技术运营过程的安全风险 .12 9.1 安全监控 .13 9.2 运
3、营安全 .13 9.3 应急响应 .13 9.4 运营反馈 .13 YD/T 3763.620XXIII 前言 本标准是研发运营一体化(DevOps)能力成熟度模型系列标准之一。该系列标准的结构及名称如下: 研发运营一体化(DevOps)能力成熟度模型 第1部分:总体架构 研发运营一体化(DevOps)能力成熟度模型 第2部分:敏捷开发管理 研发运营一体化(DevOps)能力成熟度模型 第3部分:持续交付 研发运营一体化(DevOps)能力成熟度模型 第4部分:技术运营 研发运营一体化(DevOps)能力成熟度模型 第5部分:应用设计 研发运营一体化(DevOps)能力成熟度模型 第6部分:安
4、全及风险管理 研发运营一体化(DevOps)能力成熟度模型 第7部分:评估方法 研发运营一体化(DevOps)能力成熟度模型 第8部分:系统和工具技术要求 本部分是第6部分:安全及风险管理 本部分按照GB/T 1.12009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国通信标准化协会提出并归口。 本部分起草单位:中国信息通信研究院、北京华佑科技有限公司、腾讯云计算(北京)有限责任公司、阿里巴巴(中国)有限公司、OPPO广东移动通信有限公司、奇安信科技集团股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、杭州安恒信息技术股份有限公
5、司、北京金山云网络技术有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、普元信息技术股份有限公司、畅捷通信息技术股份有限公司、苏宁消费金融有限公司、中软国际科技服务有限公司 本部分主要起草人:牛晓玲、萧田国、刘凯铃、景韵、张嵩、赵锐、韩方、韩晓光、庄飞、李青、李滨、张祖优、武鑫、程岩、袁明坤、杨廷峰、毛茂德、陈雪秀、郑锐、王广清、郭雪、张娜、邸望春、王晓翔、侯大鹏、公丽丽、王永霞、程莹、张婷婷、叶林、周麟、王浏明、李明亮、王迪、李卜、熊昌伟、戚文平、顾黄亮、王云峰、马婷、李励立 YD/T 3763.620XXIV YD/T 3764.620XX1 1范围 本部分规定了IT软件或
6、相关服务在采用研发运营一体化(DevOps)统一开发模式下,如何保障IT软件和相关服务的安全,进行风险管理。 本部分适用于具备IT软件研发交付运营能力的组织实施IT软件开发和服务过程的能力进行评价和指导;可供其他相关行业或组织进行参考;也可作为第三方权威评估机构衡量软件开发交付成熟的标准依据。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 1GB/T 25069-2010 信息安全技术 术语 2GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型
7、3术语、定义及缩略语 3.1术语及定义 下列术语和定义适用于本文件。 3.1.1 安全基线 security baseline 为了明确应用需要满足的最基本的安全防护能力而制定的一系列安全配置基准。 3.1.2 安全门限 security threshold 研发运营一体化(DevOps)能力成熟度模型 第 6 部分:安全及风险管理 YD/T 3764.620XX2用于确定安全质量的最低可接受风险级别。 3.1.3 安全态势感知 security situation awareness 基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、分析、
8、响应处置能力的一种方式。 3.1.4 安全需求基线 security requirements baseline 经过攻击面分析及威胁建模,确定的满足软件安全风险管理的基本安全需求清单。 3.1.5 安全需求标准库 security requirements standard library 基于信息安全相关的国家法律、法规,行业监管要求,公司的策略与实践,以及信息安全业界的最佳实践,形成的安全的功能需求、功能性的安全需求以及非功能性安全需求的标准集合。 3.1.6 暴力破解 brute force attack 攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性
9、破解用户的账户名、密码等敏感信息。 3.1.7 分布式拒绝服务攻击 distributed denial of service;DDoS 处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。拒绝服务指一种系统失去可用性的攻击。GB/T 25069-2010 3.1.8 攻击面分析 attack surface analysis 程序任何能被用户或者其它程序所访问到的部分,这些暴露给用户的地方往往也是最可能被恶意攻击者攻击的地
10、方。攻击面分析就是枚举所有访问入库、接口、协议以及可执行代码等的过程。 3.1.9 YD/T 3764.620XX3工作项 work item 项目研发过程中的需求、任务、缺陷等。 3.1.10 黑盒安全测试 black-box security test 也称为动态应用安全测试,在测试或运行阶段分析应用程序的动态运行状态。模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该应用是否易受攻击。 3.1.11 红蓝对抗 reds vs. blues 攻守双方在实际环境中进行网络进攻和防御的一种网络安全攻防演练。 3.1.12 基础设施即代码 infrastructure as co
11、de 基于软件开发实践的基础设施自动化方法,强调系统及其配置的日常置备和变更具有一致性和可重复性。 3.1.13 金丝雀发布 canary release 可以降低在生产环境中引入新软件版本的风险的技术,先将新版本发布给小部分用户,逐渐发布到整体基础设施并且将新版本发布给所有用户。 3.1.14 蓝绿部署 blue-green deployment 可以保证系统在不间断提供服务的情况下上线的部署方式。 3.1.15 逆向攻击 reverse attack 对软件等进行逆向破解以进行黑客攻击的一种手段。 3.1.16 渗透测试 penetration test YD/T 3764.620XX4以
12、未经授权的动作绕过某一系统的安全机制的方式,检查数据处理系统的安全功能,以发行信息系统安全问题的手段。也成渗透性测试或逆向测试。GB/T 25069-2010 信息安全技术 术语 3.1.17 威胁建模 threat modeling 通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 3.1.18 研发安全运营一体化 DevSecOps 全新的安全及风险管理理念与模式,是指将安全内嵌到应用的全生命周期中,在这种模式下安全是每个人的责任。 3.1.19 资产 asset 对组织具有价值的任何东西。GB/T 25069-2010 3.1.20 资
13、产动态感知 asset dynamic awareness 基于资产探测、自动化关联分析等手段,实现对资产变化的动态检测,实时感知设备、端口、服务等资产的变化。 3.1.21 资产风险管理 asset risk management 通过全面识别企业it资产,通过漏洞扫描、漏洞情报等手段及时识别资产的安全风险,并进行响应,实现资产风险的有效管理。 3.1.22 注入攻击 injection attacks 将不受信任的数据作为命令或查询的一部分发送到解析器时攻击手段,其本质是把用户输入的数据当做代码执行,如:SQL注入、XML注入、命令注入、CRLF注入等。 3.2缩略语 YD/T 3764.
14、620XX5下列缩略语适用于本文件。 API 应用程序编程接口 Application Programming Interface CD 持续交付 Continuous Delivery CI 持续集成 Continuous Integration CSRF 跨站点请求伪造 Cross Site Request Forgery IDE 集成开发环境 Integrated Development Environment MTTR 平均修复时长 Mean Time To Repair RASP 应用运行时自我保护 Runtime Application Self-Protection SDK 软件
15、开发工具包 Software Development Kit XSS 跨站点脚本 Cross-Site Scripting 4安全及风险管理 本标准规定了IT软件或相关服务在采用研发安全运营一体化(DevSecOps)的开发模式下,相比于传统开发模型发生变化,安全融入每个阶段过程,开发、安全、运营各部门紧密合作。DevSecOps强调在安全风险可控的前提下,帮助企业提升IT效能,更好地实现研发运营一体化。 安全及风险管理分级技术要求包括:控制通用风险、控制开发过程风险、控制交付过程风险、控制运营过程风险,如表1所示。 表 1 安全及风险管理分级技术要求 安全及风险管理 控制通用风险 控制开发过
16、程风险 控制交付过程风险 控制运营过程风险 组织建设和人员管理 需求管理 配置管理 监控管理 安全工具链 设计管理 构建管理 运营安全 基础设施管理 开发过程管理 测试管理 应急响应 第三方管理 部署与发布管理 运营反馈 数据管理 YD/T 3764.620XX6度量与反馈改进 5研发运营一体化控制通用风险 在 DevOps 模式下,安全内建于开发、交付、运营过程中,通用风险覆盖三个过程中的共性安全要求,包括:组织建设和人员管理、安全工具链、基础设施管理、第三方管理、数据管理、度量与反馈改进,具体要求如表 2 所示。 5.1组织建设和人员管理 组织建设和人员管理指组织在将安全内建到DevOps
17、过程中时,需要建设对应的组织负责不同的安全职责与工作,需要建设组织级的安全文化以及对研发人员、测试人员、技术运营人员等进行安全管理,包括第三方机构和人员,实现每个人都为安全负责。 5.2安全工具链 安全工具链,关注研发运营一体化过程中与应用相关的安全工具。安全工具链建设过程中,一方面,将安全左移研发过程(DevSec),并强化运营过程安全(SecOps),实现将安全工具内嵌到DevOps全生命周期;另一方面,安全工具由人工化、单一化向自动化、多元化及智能化方向发展。 5.3基础设施管理 基础设施作为应用的载体,包括基础资源层、操作系统层、应用中间件层等,基础设施的安全性、一致性、可靠性与稳定性
18、为应用的安全及风险管理提供基础支撑。 5.4第三方管理 第三方管理是指围绕应用安全对合作的第三方机构、人员、软件、服务进行安全管理,包括:接入控制、日常管理与监控、安全风险评估等,第三方机构包括:监管机构、供应商、合作伙伴等。 5.5数据管理 数据管理是指在研发运营一体化过程中,对从采集、存储、传输、处理、交换到销毁的整个数据生命周期过程中涉及的各类数据进行安全及合规管理,利用制度、流程及工具等手段保护数据的机密性、完整性和可用性。GB/T 37988-2019 5.4 6.1 注: 关于数据安全生命周期及数据分类分级可以参考信息安全技术 数据安全能力成熟度模型。 5.6度量与反馈改进 度量与
19、反馈改进是指通过对应用的研发、交付、运营过程的安全风险进行度量、展示并反馈给团队处理和改进的机制。设立清晰可量化的安全度量指标模型并可视化展示度量数据,有助于团队共享YD/T 3764.620XX7信息、识别改进方向并衡量改进效果。另外,设立及时有效的反馈机制,可以加快信息传递速率与准确性,有助于尽早地发现问题、分析问题、反馈问题、解决问题。度量与反馈改进可以保证整个团队内部安全信息获取的及时性和一致性,实现基于度量的持续改进。如表2所示: 表 2 研发运营一体化控制通用风险要求 级别级别 组织建设和人组织建设和人员管理员管理 安全工具链安全工具链 基础设施管理基础设施管理 第三方管理第三方管
20、理 数据管理数据管理 度量与反馈改度量与反馈改进进 1 有专职的安全管理岗位及人员。 具有漏洞扫描工 具 , 如 :Web 安全扫描工具、App 安全扫描工具、主机安全扫描工具等。 1) 生产环境的管理有安全管理规范与流程; 2) 生产环境具 有 安 全 基线。 具有第三方管理的安全规范与制度,明确人员管理、数据安全、服务器运维等安全要求。 数据管理具有基本的安全管理要求。 安全问题统计与报告以手工方式为主。 2 1) 有专门的安全管理团队与安全主管,如:安全部门等; 2) 有明确的组织内各角色的安全职责、权利和义务; 3) 研 发 人员、测试人员和技术运营人员的安全职责分离; 4) 有明确的
21、团队间安全协作 流 程 和 规范。 1) 确保安全工具的有效性及安全性,具有一定的安全规范和要求,如:定期规则升级、软件补丁升级、工具版本升级等; 2) 具有应用安全自动化测试工具及安全配 置 加 固 工具,包括但不限于:源代码安 全 检 测 工具、黑盒安全测试工具、安全基线检查工具、主机安全扫描工具等; 3) 具有自动化漏洞扫描平1) 基础设施的管理有安全规范与流程,如:云平台安全管理、中间件安全漏洞管理等; 2) 基础设施的管理有安全的工具系统; 3) 具有基础设施的安全基线; 4) 定期执行基础设施安全基线扫描,及时发现和处理安全风险。 1) 具有完善的第三方管理安全规范与制度,如:明确
22、的第三方人员引入和办公场所出入规则、第三方服务的访问控制等; 2) 第三方合作须签署相应的安全协议; 3) 控制第三方软件的接入风险,包括但不限于:第三方开源软件、第三方商业软件等。 1) 数据管理具有安全管理要求,覆盖运营过程,如:制 度 、 规 范等; 2) 具有明确的数据分类分级方法,对生成或收集的数据进行分类分级标识,如:通过打标签的方式等; 3) 对于不同环境、类别及级别的数据具有安全管控机制,如:访问控制、数据加解密、数据脱敏等。 1) 仅在局部领域定义部分安 全 度 量 指标; 2) 安全度量报告以自动化方式生成和展示,团队成员可查看报告; 3) 基于度量识别的安全问题纳入系统管
23、理,并定期反馈团队; 4) 团队定期实施改进并取得效果,如:每月/季度一次、应用上线前后等。 YD/T 3764.620XX8台,具备多维度扫描工具组合扫描,具备周期性巡检机制; 4) 具有软件组 成 分 析 工具,包括但不限于:开源组件安全风险检测工具等。 3 1) 同上,且需达到以下要求: 2) 有完善的安全管理体系与流程,如:参考行业的最佳实践和监管要求等; 3) 有高效的团队间安全协作机制,包括但不限于:虚拟安全小组、定期或不定期召开团队间会议、共同协作处理关键安全问题等; 4) 已建立安全专家组织,负责评审关键架构设计并建设安全、研发与运营团队的一 体 化 规 范等; 1) 同上,且
24、需达到以下要求: 2) 具有安全需 求 管 理 工具,并在集成完成前进行代码安全检测; 3) 具有威胁建模及安全需求管理自动化平台; 4) 具有开源组件许可证合规检测工具; 5) 具有应用安全自动化测试工具及安全配 置 加 固 工具,并集成到研发运营一体化平台; 6) 具有统一的漏洞管理平台,对漏洞进行汇聚及集中1) 同上,且需达到以下要求: 2) 具有统一的基础设施安全基线,包括但不限于:开发、测试、生产环境等; 3) 基础设施的管理采用基础设施即代码与自动化方式管理,实现管理低风险、可追 溯 、 可 审计; 4) 具有安全的开发环境与工具,包括但不限于:安全的开发工具、安全的开发配置 、
25、安 全 的CI/CD工 具等; 5) 基础设施1) 同上,且需达到以下要求: 2) 通过技术平台对第三方合作进行管理和监控,如:办公场所与机房人员出入、应用的访问和操作等; 3) 对于因第三方合作造成的安全事件、问题有应急响应措施; 4) 对第三方进行定期和按需的安全风险评估和审计,如:通过相关权威机构安全评测等。 1) 数据管理按数据生命周期进行管理,具有完善的安全管理要求及流程,包括但不限于制度、规范、流程、指南等; 2) 实现对数据分类分级的自动化标识、审核等,对于不同环境、类别及级别的数据具有自动化管控手段; 3) 具备自动化的数据安全相 关 管 理 工具,如:数据资产管理、数据脱敏、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YDT 3763.6-2021 研发运营一体化DevOps能力成熟度模型 第6部分:安全及风险管理通信 YD 3763.6 2021 研发 运营 一体化 DevOps 能力 成熟度 模型 部分
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/102859.html