收藏 分销(赏)
立即下载 开通VIP

2024年可信研发运营安全能力成熟度水位图报告.pdf

上传人:宇*** 文档编号:4526719 上传时间:2024-09-26 格式:PDF 页数:51 大小:1.29MB
下载 相关 举报
2024年可信研发运营安全能力成熟度水位图报告.pdf_第1页
第1页 / 共51页
2024年可信研发运营安全能力成熟度水位图报告.pdf_第2页
第2页 / 共51页
2024年可信研发运营安全能力成熟度水位图报告.pdf_第3页
第3页 / 共51页
2024年可信研发运营安全能力成熟度水位图报告.pdf_第4页
第4页 / 共51页
2024年可信研发运营安全能力成熟度水位图报告.pdf_第5页
第5页 / 共51页
点击查看更多>>
资源描述

1、 TSM可信研发运营安全能力成熟度可信研发运营安全能力成熟度水位图水位图报告报告(2023年年)云计算开源产业联盟云计算开源产业联盟 OpenSource Cloud Alliance for industry,OSCAR 2023年年12月月 引引 言言“安全左移”理念已诞生多年,安全左移强调进行安全早期介入,贯穿软件服务全生命周期,一方面将实现风险安全可控,做到风险漏洞早发现、早修复,降低成本,提高收益;另一方面将反向推动企业建立安全文化,提升研发、运营、安全团队协作意识。中国信息通信研究院自 2019 年起,牵头推进 可信研发运营安全能力成熟度模型标准制定,并依据标准开展评估测试,目前已

2、有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的 30 余家企业通过评估。本次相关团队分析评估细节,整理形成 TSM 可信研发运营安全能力成熟度水位图报告,旨在绘制 TSM 整体评估水位图,为企业提供参考,同时帮助企业对标业界优秀实践,将自身安全能力量化,探索构筑符合企业自身情况的全生命周期研发运营安全体系,提升企业产品市场竞争力。本报告首先明确 TSM(全称:Trustworthy evaluation of Security maturity Model)可信研发运营安全能力成熟度工作背景,梳理国内外研发运营安全现状并介绍中国信息通信研究院可信研发运营安全能力成熟度工作概况。其次

3、,从五大领域十七类子项详细介绍 TSM 水位图构成,明确水位图绘制依据。此外,报告团队对 30 余家企业 TSM评估情况进行分析,指出目前企业研发运营安全体系建设短板与优势并给出关注重点。最后,指出 TSM 水位图助力企业明确安全现状,完善改进计划。报告团队也将从完善 TSM 评估细节、优化报告内容、丰富行业数据、建立用户反馈机制四方面持续完善TSM 可信研发运营安全能力成熟度水位图报告,助力业界可信安全生态建设。目目 录录 一、整体概述.1(一)安全研发态势严峻,影响深远.1(二)安全左移成为业界常态.3(三)研发运营安全能力成为企业核心竞争力之一.4(四)中国信通院建立研发运营安全标准体系

4、,持续开展评估工作.5 二、TSM 可信研发运营安全能力成熟度水位图.8(一)TSM 水位图要素分为五大领域十七类子项.8(二)开源治理与安全数据管理为目前企业安全体系建设短板 10(三)企业安全管理工作推进应关注四方面重点.16(四)TSM 水位图助力企业明确安全现状,完善改进计划.20 三、TSM 水位图子项活动详解.25(一)体系(System).25(二)要求(Requirements).29(三)设计(Design).34(四)控制(Control).36(五)数据(Data).42 四、下一步工作计划.44 图图 目目 录录 图 1 2022 年漏洞影响对象占比图.2 图 2 新型

5、研发运营安全体系.4 图 3 不同修复阶段的修复成本.5 图 4 可信研发运营安全能力模型.6 图 5 TSM 可信研发运营安全能力成熟度水位模型图.10 图 6 TSM 可信研发运营安全能力成熟度水位图.14 图 7 示例企业 TSM 可信研发运营安全能力成熟度水位对比图.21 表表 目目 录录 表 1 TSM 可信研发运营安全能力成熟度水位图要素.8 表 2 TSM 可信研发运营安全能力成熟度企业总体得分.11 表 3 TSM 可信研发运营安全能力成熟度示例企业得分.22 1 1/4545 一、整体概述(一)(一)安全研发态势严峻,影响深远安全研发态势严峻,影响深远 数字化时代,软件已经成

6、为日常生产生活必备要素之一,渗透到各个重要行业和领域。随着数字化转型进程的推进,容器、中间件、微服务、DevOps 等新技术理念的演进。软件行业在快速发展的同时,软件安全事件发生次数也呈逐年上升趋势。根据 Splunk2022 年全球网络安全态势报告,65%的受访者表示攻击者试图进行安全攻击的频率逐渐增多,64%的受访者表示近年的安全要求越来越高,难以达到,整体安全形势未有明显改善。全球软件漏洞安全事件频发,对国家社会安全构成严峻挑战。2022 年,HP 发现其 OMEN 驱动程序软件中存在一个严重漏洞(CVE-2021-3437),允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式

7、,从而进行禁用安全产品、覆盖系统组件,甚至执行破坏操作系统的操作,影响全球数百万台游戏计算机。Wormhole 于 2022年发现平台中存在一个安全漏洞,攻击者利用该漏洞成功窃取了价值3260 万美元的加密货币。企业软件产品漏洞安全事件频发,软件安全问题层出不穷,严重危害国家、社会、个人信息安全。软件应用服务自身安全漏洞被黑客利用攻击是是安全事件频发的关键诱因之一。根据 Gartner 统计数据显示,超过 75%的安全攻击发生在代码应用层面。美国国家标准技术研究院(NIST)的统计数据显示 92%的漏洞属于应用层而非网络层。在云原生应用导致的安全事 2 2/4545 件中,利用内部开发代码中的

8、已知漏洞进行的攻击占比 37%,而未知的零日漏洞攻击占比 27%。Verizon 2023 年的研究报告Data Breach Investigations Report总结了从 2021 年 11 月至 2022 年 11 月近 6000起安全事件,结果显示漏洞利用是造成安全事件的前三途径之一。在所有调研的安全事件中,有关 Web 应用程序的事件占比 80%,其中50%的 Web 应用程序安全事件是由未修补的漏洞造成的。2022 年网络安全漏洞态势报告中将 2022 年漏洞按照影响对象进行统计,Web 应用类漏洞占比最高,达到 41.6%,其次是应用软件漏洞,占比22.3%,如图 1 所示。

9、二者相加占比超过 73%,充分说明安全漏洞大多存在于软件应用服务本身。来源:H3C,2022 年网络安全漏洞态势报告,2023 年 3 月 图 1 2022 年漏洞影响对象占比图 企业研发运营安全能力不足,是导致漏洞引入的关键痛点。根据2022 年 8 月 Synopsys 针对美国企业 350 名 IT 与网络安全人员的调研结果发现,45%的软件发布前未经过安全检查与测试,36%的开发 3 3/4545 团队缺乏一致性安全流程,35%的版本部署到生产环境时存在漏洞,甚至有 32%的开发人员直接跳过安全流程。此外,部分企业由于安全研发流程管控不足,代码包甚至未经测试就直接上线。由此可见,在业界

10、研发能力不断增强的同时,研发运营安全能力的相对落后带来的安全隐患问题依然存在。(二二)安全左移成为业界常态安全左移成为业界常态 传统研发运营安全模式中,安全介入相对滞后。传统研发运营安全,针对服务应用自身的安全漏洞检测修复,通常是在系统搭建或者功能模块构建完成以及服务应用上线运营之后,安全介入,进行安全扫描,威胁漏洞修复。如当前的大多安全手段,防病毒、防火墙、入侵检测等,都是关注软件交付运行之后的安全问题,属于被动防御性手段。这种模式便于软件应用服务的快速研发部署,但安全介入相对滞后,并无法覆盖研发阶段代码层面的安全,安全测试范围相对有限,安全漏洞修复成本也更大。降低潜在的安全风险,进行安全左

11、移已成行业共识。新型研发运营安全体系强调安全左移,暨在软件开发生命周期的早期阶段就引入安全,这并不意味着安全合规只是早期嵌入到研发流程中,而是始终存在于研发流程的每个步骤,以确保在整个开发过程中安全性得到充分考虑和实现,如图 2 所示。这种方式可以大大减少在软件开发后期或发布后发现安全漏洞和风险的可能性,从而降低成本和风险,全方面提升服务应用安全。现阶段安全左移工作投入不足,企业研发运营安全体系建设缓慢。根据 Deep Instinct 网络 4 4/4545 安全生命周期中预防的经济价值研究显示,安全左移这项动作的价值凸显,但总体投入不足,以网络钓鱼攻击为例,企业平均总投入成本为 832,5

12、00 美元,其中 82%用于检测、遏制、恢复和补救,只有 18%用于预防该类安全攻击。造成该类结果的核心因素是企业未完全将安全左移作为组织级策略、安全投入与重视度不足、安全类人才紧缺等。来源:中国信息通信研究院 图 2 新型研发运营安全体系(三)(三)研发运营研发运营安全能力成为企业核心竞争力之一安全能力成为企业核心竞争力之一 企业建设研发运营安全体系进行安全左移,有助于降低安全问题修复成本。代码是软件应用服务开发的最初形态,其缺陷或漏洞是导致安全问题的直接根源,尽早发现源码缺陷能够大大降低安全问题的修复成本。根据美国国家标准与技术研究所(NIST)统计,在发布后执行代码修复,其修复成本相当于

13、在设计阶段执行修复的 30 倍。具体数据如图 3 所示。IBM 和 HP 研究数据显示成本相差在 30 到 50 倍之间,而 Fortify 认为在软件需求分析阶段就开始避免漏洞的成本比发布后修复成本低 100 倍。安全左移助力企业排除安全隐患、减少安全事故发生率、提升交付效率。企业通过前置安全工作使得在设计开发阶段就关注安全问题,能够节约大量资源,同时避免上线部署发现 5 5/4545 问题后付出高昂的修复成本。建设研发运营安全体系可加速项目的交付效率,通过早期发现安全问题,避免后期的返工与修改。较高的研发安全运营水平可帮助企业提升市场竞争力与信任度。现阶段,软件需求方不仅会验证交付物的安全

14、,更会优先选择研发运营安全能力优秀的企业作为其供应商,软件供应商建设自身研发运营安全能力、实践安全左移逐步成为提高市场认可的必经之路。来源:美国国家标准与技术研究所(NIST)图 3 不同修复阶段的修复成本(四)中国信通院建立(四)中国信通院建立研发运营安全研发运营安全标准体系,持续开展标准体系,持续开展评估评估工作工作 中国信通院牵头制定研发运营安全标准体系,构建可信研发运营安全能力成熟度模型。可信研发运营安全是指在涉及需求、设计、研发、验证、发布、运营、下线的软件应用服务全生命周期之中,从初期便引入安全,采取相关技术与管理手段,避免漏洞与威胁的产生,加固应用服务安全,提升软件质量安全。中国

15、信通院自 2019 年起,牵头推进可信研发运营安全能力成熟度模型标准制定,广泛邀请 6 6/4545 包括金融、互联网、运营商、软件厂商、安全厂商、工具厂商等各行业领域专家参与,调研参考业界优秀实践经验,覆盖应用服务全生命周期,搭建通用可信研发运营安全体系架构,抽取关键安全要素,建立可信研发运营安全能力成熟度模型,见图 4。来源:中国信息通信研究院 图 4 可信研发运营安全能力模型 标准覆盖应用服务全生命周期安全,强调安全左移。标准结合人员管理体系和制度流程,从需求分析设计、编码阶段便引入安全,覆盖软件应用服务全生命周期,整体提升安全性。可信研发运营安全体系具有四大特点,一是覆盖范围更广,延伸

16、至下线停用阶段,覆盖软件应用服务全生命周期。二是更具普适性,抽取关键要素,不依托于任何开发模式与体系。三是不止强调安全工具,同样注重安全管理,强化人员安全能力。四是进行运营安全数据反馈,形成安全闭环,不断优化流程实践。7 7/4545 中国信通院依据标准开展测试评估工作,目前已有多家企业通过相关评估。TSM 评估依据 可信研发运营安全能力成熟度模型 标准展开,划分为管理制度以及要求阶段、安全需求分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、运营阶段、停用下线阶段 9 个子域,具体指标项包括组织架构、制度流程、安全培训、第三方管理、安全门限要求、项目角色及权限管理、安全审计、环境管理、配置管

17、理、变更管理等 38 大子项,根据各领域指标项分级能力要求,将企业整体研发运营安全能力划分为基础级、增强级、先进级三个级别。目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的30 余家企业通过评估。企业可通过参与评估,从三大角度助力企业建设可信研发运营安全体系,提升企业安全管理水平。一是对标业界优秀实践,帮助企业构筑全生命周期安全体系。标准制定过程参考调研大量业界已有优秀实践,通过参评对标业界优秀实践,同时与同行业企业对比,探索构筑符合企业自身情况的全生命周期安全体系,提升企业自身市场竞争力。二是量化企业安全水平,明确企业安全现状和后续改进计划。企业通过参与评估将自身安全水平进行

18、量化,明确企业在同行业中安全所处水平和现状,帮助企业明确后续改进方向和实施计划。三是建立行业互信机制,构建安全可信生态,助力企业业务发展。通过中国信通院组织的相关评估,意味企业组织内部已建立研发运营安全体系,实现安全全流程覆盖。企业可向客户呈现评估结果,证明软件生产过 8 8/4545 程的安全性、透明性,从而建立互信机制,构建安全可信生态,进一步助力企业业务发展。二、TSM 可信研发运营安全能力成熟度水位图(一)(一)TSM 水位图水位图要素要素分为五大领域十七类子项分为五大领域十七类子项 在本报告中,测评团队梳理标准测试要求,整理分析已有评估记录,最终形成 TSM 可信研发运营安全能力成熟

19、度水位图。水位图要素由报告团队依据可信研发运营安全能力成熟度模型标准和企业评估情况提炼得出,分为 5 大领域 17 类子项。5 大领域分别为体系、要求、设计、控制和数据,17 类子项分别为 1)安全组织、2)制度流程、3)培训赋能、4)标准规范、5)安全门限要求、6)身份与访问管理、7)安全审计、8)环境安全、9)变更升级和配置管理、10)安全需求分析、11)安全设计、12)开源治理、13)安全编码、14)安全测试、15)安全发布、16)安全监控运营、17)安全数据管理,具体如表 1 所示。表 1 TSM 可信研发运营安全能力成熟度水位图要素 领域领域 序号序号 指标指标 英文缩写英文缩写 体

20、系(System)1 安全组织 SO 2 制度流程 RP 3 培训赋能 TE 4 标准规范 SS 要求(Requirements)5 安全门限要求 STR 6 身份与访问管理 IAM 7 安全审计 SA 9 9/4545 8 环境安全 ES 9 变更升级和配置管理 CCM 设计(Design)10 安全需求分析 SRA 11 安全设计 SD 控制(Control)12 开源治理 OG 13 安全编码 SC 14 安全测试 ST 15 安全发布 SR 16 安全监控运营 SMO 数据(Data)17 安全数据管理 SDM 来源:中国信息通信研究院 其中体系代表企业建设研发运营安全体系的整体结构和

21、框架,包括组织的安全架构、整体安全管理流程、培训赋能、标准规范等。要求代表企业针对研发运营全流程通用的安全要求,包括安全门限、身份与访问控制、安全审计、环境安全、变更升级等。设计代表企业在研发和运营过程中,在设计阶段充分考虑安全性,包括进行安全需求分析、安全架构设计、安全功能设计等方面。控制代表企业在研发运营安全实践中实施的各种安全控制措施,包括开源治理、安全编码、安全测试、安全发布、安全监控运营等。数据代表企业针对研发运营过程中涉及的各类安全数据进行统一收集管理,包括对安全事件日志、威胁情报、身份认证数据、访问控制数据等多种安全相关数据的整合和管理。关于 17 类子项活动在本报告第三章进行完

22、整介绍,在此不做过多赘述。目前企业评估水位图情况结果使用蛛网图进行表示,具有 17 根 1010/4545 轴线,由内到外划分为 5 个圈层。如下图 5 所示。17 根轴线代表 TSM活动的 17 类子项,蛛网图由内到外分为 5 层,代表 0-10 分,用来表示企业在特定维度的得分情况。来源:中国信息通信研究院 图 5 TSM 可信研发运营安全能力成熟度水位模型图(二)(二)开源治理与安全数据管理为目前企业安全体系建设开源治理与安全数据管理为目前企业安全体系建设短板短板 本报告中,我们针对包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的 26 家企业的 TSM 可信研发运营安全能力成熟

23、度测评情况进行了分析,总体情况如表 2 所示。1111/4545 表 2 TSM 可信研发运营安全能力成熟度企业总体得分 体系体系(System)安全组织 考察项 企业得分 考察项 企业得分 SO 1.1-26 SO 1.2-16 SO 1.3-16 SO 1.4-16 SO 1.5-16 制度流程 RP 2.1-18 RP 2.2-22 RP 2.3-26 RP 2.4-23 RP 2.5-25 RP 2.6-16 RP 2.7-15 培训赋能 TE 3.1-26 TE 3.2-26 TE 3.3-26 TE 3.4-26 TE 3.5-14 TE 3.6-16 TE 3.7-13 标准规范

24、 SS 4.1-26 SS 4.2-25 SS 4.3-26 SS 4.4-14 SS 4.5-16 SS 4.6-15 SS 4.7-26 要求要求(Requirements)安全门限要求 STR 5.1-22 STR 5.2-14 STR 5.3-16 身份与访问管理 IAM 6.1-26 IAM 6.2-26 IAM 6.3-26 IAM 6.4-25 IAM 6.5-26 IAM 6.6-15 IAM 6.7-12 安全审计 SA 7.1-26 SA 7.1-26 SA 7.3-12 SA 7.4-15 SA 7.5-15 1212/4545 环境安全 ES 8.1-25 ES 8.2

25、-23 ES 8.3-26 ES 8.4-25 ES 8.5-26 ES 8.6-15 ES 8.7-15 ES 8.8-13 变更升级和配置管理 CCM 9.1-26 CCM 9.2-26 CCM 9.3-24 CCM 9.4-26 CCM 9.5-24 CCM 9.6-24 CCM 9.7-24 CCM 9.8-23 CCM 9.9-16 CCM 9.10-14 CCM 9.11-16 CCM 9.12-15 CCM 9.13-7 CCM 9.14-12 设计设计(Design)安全需求分析 SRA 10.1-21 SRA 10.2-22 SRA 10.3-14 SRA 10.4-16 S

26、RA 10.5-23 安全设计 SD 11.1-25 SD 11.2-24 SD 11.3-23 SD 11.4-24 SD 11.5-24 SD 11.6-14 SD 11.7-13 SD 11.8-14 SD 11.9-15 SD 11.10-15 SD 11.11-11 SD 11.12-11 控制控制(Control)开源治理 OG 12.1-22 OG 12.2-24 OG 12.3-17 OG 12.4-11 OG 12.5-13 OG 12.6-13 OG 12.7-15 OG 12.8-8 OG 12.9-15 OG 12.10-14 OG 12.11-14 OG 12.12-

27、16 1313/4545 安全编码 SC 13.1-26 SC 13.2-24 SC 13.3-26 SC 13.4-26 SC 13.5-25 SC 13.6-11 SC 13.7-13 SxC 13.8-15 安全测试 ST 14.1-26 ST 14.2-24 ST 14.3-24 ST 14.4-23 ST 14.5-26 ST 14.6-25 ST 14.7-15 ST 14.8-14 ST 14.9-16 ST 14.10-9 ST 14.11-15 安全发布 SR 15.1-24 SR 15.2-26 SR 15.3-26 SR 15.4-26 SR 15.5-16 SR 15.

28、6-12 SR 15.7-13 SR 15.8-13 SR 15.9-12 安全监控运营 SMO 16.1-17 SMO 16.2-19 SMO 16.3-24 SMO 16.4-23 SMO 16.5-26 SMO 16.6-24 SMO 16.7-26 SMO 16.8-13 SMO 16.9-10 SMO 16.10-10 数据数据(Data)安全数据管理 SDM 17.1-22 SDM 17.2-25 SDM 17.3-20 SDM 17.4-14 SDM 17.5-11 SDM 17.6-12 SDM 17.7-15 SDM 17.8-14 SDM 17.9-9 SDM 17.10-

29、6 来源:中国信息通信研究院 报告团队整理分析原始记录,通过加权归一化等方式对于整体结 1414/4545 果在蛛网图中进行表示,最终形成目前 TSM 可信研发运营安全能力成熟度评估整体水位图,如下图 6 所示。来源:中国信息通信研究院 图 6 TSM 可信研发运营安全能力成熟度水位图 从当前 TSM 可信研发运营安全能力成熟度评估整体水位图中可以看出,开源治理和安全数据管理平均得分最低,为目前企业安全建设短板。满分 10 分,开源治理和安全数据管理得分分别为 5.83 和5.69。开源治理重点关注开源软件的统一管理、使用,以及对于开源安全问题的认知程度和处置能力。尽管开源软件的使用为企业在成

30、本效益方面提供了优势,但其广泛使用也引发了一系列的安全挑战。首先,开源软件通常由社区维护,缺乏明确的责任方,企业往往难以及时获取关键安全更新,使得系统容易受到已知漏洞的攻击。其次,开源软件的生态系统复杂,存在各种依赖关系,一旦其中的某个组件存在漏洞,整个系统的安全性都可能受到威胁。企业在处理开源组件时缺乏全面的治理策略,容易忽视对依赖关系的有效管控,从而形成了 1515/4545 安全上的短板。最后,开源软件的使用往往超出了企业内部的直接控制范围,企业难以确保从开源社区到内部开发过程的每个环节都经过了充分的安全审查,这使得潜在的威胁在不为人察觉的情况下渗透到企业系统中。安全数据管理重点关注研发

31、运营过程中产生的安全相关数据的统一管理以及利用数据实现安全流程优化闭环。在当前企业中,安全数据通常分散存储于不同的系统、平台和应用中,导致了安全数据管理的碎片化和混乱。其次,分散的数据降低了对整体数据安全性的掌控,增加了潜在的数据泄漏和滥用的风险。同时分散的数据管理使得对数据访问和控制变得更加困难。企业需要在不同系统中维护各自的用户访问权限,增加了管理的复杂性,也为内部和外部威胁创造了漏洞。缺乏统一的安全数据管理策略,企业很难实现对安全数据的有效利用,优化从研发运营全安全流程。身份与访问管理和环境安全平均得分最高,业界相关技术已发展相对成熟。满分 10 分,身份与访问管理和环境安全得分分别为

32、8.57和 8.08。身份与访问管理关注在研发运营流程中,通过人员、角色等方式,针对系统、平台和应用进行权限划分,确保只有授权用户能够访问企业资源,提升系统安全性。首先,IAM 系统在企业中已经广泛应用,通过集中管理和监控员工的身份认证和访问权限,有效地降低了潜在的安全风险。企业能够实现对员工的精确识别,确保只有授权人员能够获取敏感信息和关键系统。其次,IAM 系统基本功能完善,使得企业能够根据具体业务需求和角色分配进行权限管理。通过建立 1616/4545 角色模型和权限策略,企业能确保员工在其工作范围内获取必要的访问权限,同时避免了过度授权导致的潜在风险。最后,IAM 系统通常支持多因素身

33、份验证(MFA),进一步提升了身份验证的安全性。通过结合密码、生物特征、智能卡等多种因素,企业能够加强对员工身份的验证,降低被恶意入侵的可能性,提高整体安全性。(三三)企业安全管理工作推进应关注四方面重点企业安全管理工作推进应关注四方面重点 在整理 26 家企业 TSM 研发运营安全能力成熟度评估结果,形成水位图的同时,报告团队发现,在安全体系相对完善,安全工作落地相对充分的企业,有四方面显著特征,对于企业落地研发运营安全工作至关重要,同时可作为企业建设研发运营安全体系的参考,分别为:1.自上而下推动安全工作 领导层的支持是构建可信研发运营安全体系的基石。只有领导层对安全工作的高度重视,才能够

34、确保安全理念贯穿于整个组织。领导层的明确表态和资源投入能够为安全体系建设提供坚实的支持,鼓励员工积极参与和配合安全措施的实施。其次,上层的决策和规划对安全政策和流程的制定至关重要。通过制定明确的安全政策,能够为企业提供具体的指导方针,确保安全工作与企业战略目标相一致。合理的规划能够为安全体系提供长远的方向,使其与企业的发展相互促进,形成良性循环。同时,领导层的示范效应对企业文化的塑造有着深远的影响。当领导层本身对安全意识和实践具有鲜明的标杆作用时,员工更容易将安全融入到其日常工作中。领导层的积极参与安全培训和 1717/4545 实践活动有助于树立安全文化,形成整体组织对安全的共同认知和价值观

35、。最后,有效的沟通和反馈渠道是确保安全政策贯彻执行的关键。领导层应当建立畅通的沟通渠道,鼓励员工提出安全问题、建议和反馈。通过上层的敏锐感知和及时响应,可以更加迅速、准确地解决潜在的安全隐患,提高整个研发运营安全体系的落地性。2.建立调度及协作流程,协调人员与资源,规范人员操作 建立调度及协作流程是确保安全体系高效运转的基础。在研发运营安全环节中,往往涉及多部门、多任务,如果没有清晰的工作流程,容易导致信息混乱、任务交叉和责任不明。通过建立调度流程,能够明确每个任务的责任人、执行步骤以及所需资源,确保每个环节都能够按照规定的程序进行,减少操作失误和安全隐患。其次,不同的任务和项目需要不同专业背

36、景和技能的人员参与,通过建立协作机制,确保相关人员在合适的时间、地点参与工作,并明确资源的分配和使用计划。这样可以最大限度地发挥团队协同效应,提高整个体系的安全性和高效性。同时建立调度及协作流程、协调人员与资源、规范人员操作还能够帮助企业更好地应对突发事件。在安全体系中,对于潜在威胁的迅速响应至关重要。通过有序的流程和协作机制,企业能够更迅速、有效地应对安全事件,减轻潜在损失。最后,建立这些机制也有助于持续的改进。通过不断的调度和协作流程的执行,企业能够及时发现问题、总结经验,不断优化流程和提高运营效率。这种持续 1818/4545 改进的机制是安全体系长期稳定运行的基础。3.构建研发运营安全

37、工具平台与工具链,无缝嵌入现有研发流程 构建研发运营安全工具平台与工具链是可信研发运营安全体系落地的保障。可信研发运营安全体系落地的很大阻碍是企业研发人员与安全人员存在部门壁垒,安全工作参与意愿不高。构建安全工具平台,企业能够为研发人员提供安全解决方案。包括集成各种安全工具,如静态代码分析(SAST)、软件组成分析(SCA)、容器安全扫描等。通过一个统一的平台,研发人员能够更方便地获取安全检测结果、漏洞修复建议等信息,降低了使用门槛,提高了参与度。其次,建立工具链使得安全工作能够更好地融入到研发流程中。通过将安全工具嵌入到研发工具链中,如代码管理工具、持续集成/持续部署(CI/CD)工具等,能

38、够实现在代码编写、提交、构建等各个环节实时进行安全检测。这种无缝集成的方式使得研发人员能够在熟悉的工作环境中直接获取安全反馈,加快漏洞修复的速度,降低了因漏洞滞留而带来的风险。第三,企业可以为研发人员针对工具平台和工具链,提供安全培训和知识分享,帮助研发人员不断提升安全意识和技能。最终建立一个学习型的安全文化,使得研发人员更主动地参与到安全工作中。另外,安全工具平台和工具链还能够提供实时的安全数据分析和报告,为研发人员提供直观的安全状况。通过可视化的报告,研发人员能够清晰了解项目的安全状况、风险点和改进方向。这种数据驱动的方式 1919/4545 有助于激发研发人员对安全问题的关注和解决欲望。

39、最后,通过构建统一的工具平台和工具链,企业能够更好地满足研发人员的多样性和分散性需求,确保研发和安全人员能够高效地落地安全工作。4.进行数据反馈,形成安全闭环,不断优化流程实践 数据反馈是实现可信研发运营安全体系闭环的关键。通过在研发和运营过程中收集、分析和反馈安全数据,企业能够更全面地了解安全状况,及时发现和纠正潜在的风险。这包括漏洞扫描结果、安全事件日志、用户行为数据等多方面的信息,为企业提供了一个全景视图,有助于深入理解安全问题的本质。其次,形成安全闭环意味着将数据反馈纳入研发运营安全的持续改进过程中。当安全数据指示出潜在问题或改进的空间时,企业应该采取相应的措施来解决这些问题。这可能包

40、括修改安全策略、调整安全流程、加强培训,甚至优化已有的工具和平台。通过将反馈数据纳入决策和实践,企业能够更加灵活地应对安全挑战,不断提升安全水平。第三,安全数据反馈的关键在于及时性和准确性。通过实时监控和分析安全数据,企业能够更早地发现潜在威胁,迅速做出反应,从而降低潜在的损失。准确的数据反馈有助于避免误报和漏报,确保企业做出的决策基于真实的安全状况,提高了决策的准确性和针对性。另外,数据反馈也有助于形成安全文化。通过及时共享安全数据,企业能够让所有涉及到安全的团队和个体了解安全状况,增强安全意识。这有助于建立一种全员参与、全员负责的安全文化,使得安全不再是独立团队的责任,而是贯穿于整个组织

41、2020/4545 的核心价值。最后,通过不断优化流程实践,企业能够更好地适应不断变化的威胁环境。安全体系的优化不应仅停留在技术层面,还需要涵盖流程和实践。通过分析数据反馈,企业能够发现现有流程中的瓶颈和不足,进而调整和优化流程,以提高效率和适应性。这种持续的流程优化是安全体系不断演进的关键推动力。(四四)TSM 水位图助力企业明确安全现状,完善改进计划水位图助力企业明确安全现状,完善改进计划 TSM 可信研发运营安全能力成熟水位图作为一种直观有效的可视化工具,可在企业安全管理中发挥重要作用。水位图是 TSM 可信研发运营安全能力成熟度评估的最终产物之一,通过结合 TSM 评估原始记录,水位图

42、可成为企业管理者了解安全现状、制定改进计划的有效手段之一。水位图提供了对企业安全现状的清晰认知。在可信研发运营安全能力成熟度模型中,涉及到诸多子域和具体指标,这些指标反映了企业在不同阶段的安全表现。水位图将这些指标以直观的方式呈现,通过得分高低,清晰地展示了各个子项在安全成熟度上的水平。管理者通过一张水位图即可全面把握企业在安全管理方面的强项和薄弱点,有助于形成整体认知。水位图为企业管理者提供明确的改进计划。通过对比不同子项的水位高低,管理者可以迅速识别出相对薄弱的子项,发现潜在的安全风险。一旦管理者了解了企业在各个安全子项的实际表现,就能有针对性地制定改进计划。水位图上低水位的子域和指标为改

43、进的重点,2121/4545 相对高水位的则为优势领域。基于实际得分的定向改进计划,能够更有效地推动企业安全能力的提升。水位图有助于为改进计划设立明确优先级。企业在制定改进计划时,往往会面临资源和时间有限的情况。水位图的呈现方式能够帮助企业管理者根据各个子域和指标的重要性,确定改进计划的优先级。这种有序的改进计划能够更好地适应企业的实际情况,最大程度地提高改进效益。水位图具有持续改进的特性。企业的安全状况和威胁环境都在不断变化,水位图的制定和更新是一个动态的过程。通过定期更新水位图,企业能够随时掌握自身的安全现状,及时调整改进计划,以适应新的挑战和威胁。这种持续改进的机制使得企业能够更加灵活地

44、维护和提升安全能力。来源:中国信息通信研究院 图 7 示例企业 TSM 可信研发运营安全能力成熟度水位对比图 图 7 为一个示例企业与增强级平均水位图的对比,从图中我们可 2222/4545 以看出,示例企业在安全需求分析、安全设计、安全数据管理方面相对薄弱,在安全编码和安全监控运营方面安全工作相对充分。后续可重点针对安全需求分析、安全设计、安全数据管理三方面进行工作完善,安全数据管理和安全需求分析优先级可相对靠前。同时,示例企业得分情况分布见表 3,供读者参考。表 3 TSM 可信研发运营安全能力成熟度示例企业得分 体系体系(System)安全组织 考察项 企业 得分 示例企业 考察项 企业

45、 得分 示例企业 SO 1.1-26 1 SO 1.2-16 1 SO 1.3-16 1 SO 1.4-16 1 SO 1.5-16 1 制度流程 RP 2.1-18 1 RP 2.2-22 1 RP 2.3-26 1 RP 2.4-23 1 RP 2.5-25 0 RP 2.6-16 1 RP 2.7-15 1 培训赋能 TE 3.1-26 1 TE 3.2-26 1 TE 3.3-26 1 TE 3.4-26 1 TE 3.5-14 1 TE 3.6-16 1 TE 3.7-13 0 标准规范 SS 4.1-26 1 SS 4.2-25 1 SS 4.3-26 1 SS 4.4-14 0

46、SS 4.5-16 1 SS 4.6-15 1 SS 4.7-26 1 1 要求要求(Requirements)安全门限STR 5.1-22 1 STR 5.2-14 1 2323/4545 要求 STR 5.3-16 1 身份与访问管理 IAM 6.1-26 1 IAM 6.2-26 1 IAM 6.3-26 1 IAM 6.4-25 1 IAM 6.5-26 1 IAM 6.6-15 1 IAM 6.7-12 1 安全审计 SA 7.1-26 1 SA 7.1-26 1 SA 7.3-12 1 SA 7.4-15 1 SA 7.5-15 1 环境安全 ES 8.1-25 1 ES 8.2-

47、23 1 ES 8.3-26 1 ES 8.4-25 1 ES 8.5-26 1 ES 8.6-15 1 ES 8.7-15 1 ES 8.8-13 1 变更升级和配置管理 CCM 9.1-26 1 CCM 9.2-26 1 CCM 9.3-24 1 CCM 9.4-26 0 CCM 9.5-24 0 CCM 9.6-24 1 CCM 9.7-24 1 CCM 9.8-23 1 CCM 9.9-16 1 CCM 9.10-14 1 CCM 9.11-16 0 CCM 9.12-15 1 CCM 9.13-7 0 CCM 9.14-12 1 设计设计(Design)安全需求分析 SRA 10.1

48、-21 1 SRA 10.2-22 1 SRA 10.3-14 0 SRA 10.4-16 1 SRA 10.5-23 1 安全设计 SD 11.1-25 1 SD 11.2-24 1 SD 11.3-23 1 SD 11.4-24 0 SD 11.5-24 0 SD 11.6-14 0 SD 11.7-13 1 SD 11.8-14 1 SD 11.9-15 1 SD 11.10-15 1 2424/4545 SD 11.11-11 1 SD 11.12-11 1 控制控制(Control)开源治理 OG 12.1-22 1 OG 12.2-24 1 OG 12.3-17 1 OG 12.4

49、-11 1 OG 12.5-13 1 OG 12.6-13 0 OG 12.7-15 1 OG 12.8-8 1 OG 12.9-15 1 OG 12.10-14 1 OG 12.11-14 1 OG 12.12-16 1 安全编码 SC 13.1-26 1 SC 13.2-24 1 SC 13.3-26 1 SC 13.4-26 1 SC 13.5-25 1 SC 13.6-11 1 SC 13.7-13 1 SC 13.8-15 1 安全测试 ST 14.1-26 1 ST 14.2-24 1 ST 14.3-24 1 ST 14.4-23 1 ST 14.5-26 1 ST 14.6-2

50、5 1 ST 14.7-15 1 ST 14.8-14 1 ST 14.9-16 1 ST 14.10-9 0 ST 14.11-15 1 安全发布 SR 15.1-24 1 SR 15.2-26 1 SR 15.3-26 1 SR 15.4-26 1 SR 15.5-16 1 SR 15.6-12 1 SR 15.7-13 1 SR 15.8-13 1 SR 15.9-12 1 安全监控运营 SMO 16.1-17 1 SMO 16.2-19 1 SMO 16.3-24 1 SMO 16.4-23 1 SMO 16.5-26 1 SMO 16.6-24 1 SMO 16.7-26 1 SMO

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服