软件项目工作组织及质量保障方案.pdfVIP

软件项目工作组织及质量保障方案

1.软件项目工作组织及质量保障方案

1.1安全保障体系

本项目作为政务息化支撑平台，息的安全尤为重要，须

建立一套统一的安全策略、防御体系、监察体系和响应体系，

在安全策略的指导下，防御、监察和响应组成一个完整的、动

态的安全循环，保证息资源的安全风险最小。

1.1.1建设目标

安全系统的建设目标是运用系统工程的观点、方法，对平

台进行整体、系统的安全性设计，并严格遵循息安全等级保护

三级标准的原则和国家的各种法律法规的要求，为其系统安全、

可靠运行提供技术保障支撑，既使系统具备抵御各种攻击的能

力，又不能因为安全系统的建立而严重影响系统的整体运行效

率，同时还要考虑到系统的投资，根据实际工作需要，设计严

谨、合理的安全技术方案。

LL2安全体系组成

息资源安全框架体系一般包括物理安全、网络安全、主机

安全、应用安全、数据安全五个安全层次，同时遵循一定的安

全策略，并由安全管理和安全服务做支撑，如下图所示：

安全策略

数据安全

安

全

管

理

应用安全

主机安全性

网络安全性

人身安全

安

全

衣服

事务

安全标准

1.121物理安全设计

物理安全主要指系统的周围环境和物理特性，是整个系统

安全的前提。通常，物理安全的隐患大多是人为因素或自然灾

害造成的。对于这种级别的安全问题，可以通过对网络设施和

周边环境的合理规划和科学管理来有效解决。

1.1.2.2网络安全设计

网络安全主要分为设备的安全保护和网络链路的安全防护,

主要从网络设备安全、路由安全、接入安全、访问控制和监测、

日志记录、业务隔离等方面进行考虑。配置防火墙，实现安全

代理、息包过滤、内外地址绑定等，防止非授权用户非法访问。

1.123主机安全设计

主机系统除服务器外还应包括存储系统等应选择安全级别

高、可控的操作系统；并且都应该具有身份识别功能，可以对

登陆操作系统的用户身份进行识别和区别，对于管理员用户应

具有复杂的口令要求和定更换的制度保证。

L124应用安全设计

应用安全主要是对网络应用系统的有效进行控制,

管理和控制什么用户对应用系统功能具有什么权限，

其主要功能是防止用户身份假冒、非授权的访问和数

据的非法窃取与篡改，所以需要通过必要的应用安全

审计，来进行基本的访问行为控制和管理。

1.125数据安全设计

对业务数据、统计数据等重要息在传输过程中的完整性建

立检查和校验机制(如CRC等)，对数据存储的安全性和完

整性建立必要的数据备份和归档流程。

对于重要数据的存储将采用加密技术进行，保证数据安全。

对于重要数据的冬份还将采用多次冗余备份的方式进行。

1.1.3安全保障实施

LL3I用户身份认证

平台须结合安全体系，对用户实现统一的管理，实现用户

息的身份识别、权限控制。要求授权用户只有提供密码，进行

验证通过后方可进入平台系统。用户可以进行的操作也是受到

权限控制的，保证息在适当范围内的流动。

(1)用户统一管理

该项目平台包含多个应用系统，由于所处理的业务性质，

这些应用系统都具有用户管理功能。从系统运行和维护的角度

来看，如果不同应用系统的身份管理部分是相互独立的，那么

对于同一个用户的管理来说，管理员和用户之间的关系就更加

密切

(2)身份认证

传统形式下办公，办事双方要经过现实中的实际接触，双

方的身份比较容易得到保证；而通过网络办公，双方互不见面,

息通过网络进行传递，真实性难以保证。因此平台的首要需求

就是要解决身份认证的可靠性问题，必须能够对登录系统的各

类用户的真实性进行有效鉴别。

本项目主要对登录用户进行身份认证和密码保护，防止未

经授权的用户登录系统进行非法操作，防止账号和密码