部署图
安全:配合等保测评方
维护阶段------运维
需求会议上,确定使用技术是否符合安全需求
4.2项目安全级别考量因素和等保关系
试运行月工作计划
8.3项目系统应用开放开放工作端口清单
zabbix监控清单
安全:标书是否包含安全要求
设计阶段
8.6系统资源申请清单
8.18故障报告
8.16安全整改通知邮件
8.4项目产品系统使用的公共/第三方技术清单
8.17故障处理预案
安全:评估使用技术是否满足安全需求
账号变更申请,变更记录权限变更申请,变更记录外部应用接入申请
测试:和开发沟通环境部署
jenkins项目打包环境(邮件通知)
运维:确认应用是否监控
测试:部署环境
上线阶段
开发阶段
安全事件记录(部署,网络端口,应用监控,日审)
8.9部署情况邮件通知
上线阶段------安全测试
上线阶段------环境安全
需求变更(文档,邮件,提测)
测试:检查开发阶段禅道缺陷记录
开发:应用安全整改
8.14安全事件处理流程
漏扫报告
8.8应用部署清单
测试:核对端口清单,在上线-部署阶段填入对应IP
安全:监督漏洞更新
账号变更权限变更外部应用接入
向客户解释引导安全需求,建议购买各项安全设备,建议各类安全工作列入项目预算各类安全设备记入采购成本
8.19安全事件记录
安全:应标文件是否包含安全内容项
漏洞扫描
1.定期漏扫,漏洞补丁,定期杀毒,更新病毒库2.应用版本/需求更新安全事件(部署,网络端口,应用监控,日志审计)3.故障发现,处理。4.审计备份情况(操作系统,应用日志,数据库)5.安全各项事件,记录入每月系统运行报告
检查方
维护阶段------运营
试运行------审计平台
售前阶段
上线阶段------应用监控
终验阶段
安全:确认是否满足安全需求
测试:接入审计应用
变更记录记入安全事件1.在线部署表格变更2.网络端口调用关系变更3.应用监控变更
安全:审计应用变更的安全事件
安全需求
测试:中间件环境安全整改
8.1安全需求模板
等保要求
试运行------应用变更
标书
8.7环境使用邮件通知
8.15安全整改报告
满足数据安全的技术解决办法
终验阶段------安全测试
安全工作内容
4.1现有产品线产品安全评估
确定故障相应小组
测试:提供审计情况给项目经理,记录入试运营报告-安全审计章节
运维:配置监控
8.13应用-端口-网络调用关系映射表
8.10版本提测邮件
代码安全审查记录(会议纪要)
故障响应小组:响应故障,处理故障
交付项目实施流程-安全落地规范
安全:加固环境
1.代码审查中增加安全审查工作2.执行定期sonar代码审查3.安全审查结果作为缺陷录入禅道管理
试运行
安全:安全渗透,应用扫描
8.5开发安全规范
开发:应用相关整改
漏洞补丁更新记录
试运行------故障演练/处理
试运行------等保测评
代码审查缺陷记录(禅道缺陷)
8.11数据库用户-实例-权限对应关系表
输入物
测试:环境中间件相关整改
输出物
维护阶段
安全需求,等保要求
1.应用接入-安全事件(网络端口,日志审计)2.账号,权限变更3.各项运营类工作,记录入每月系统运行报告
应标文件
测试:和开发沟通数据库用户和实例关系范围
8.2产品等保需求要求关系映射
试运行------定期漏扫
等保整改清单
测试:部署审计平台
8.12zabbix监控申请表
测试:检查安全加固情况
