软件资产安全性管理

最新推荐文章于 2024-07-30 20:23:09 发布
最新推荐文章于 2024-07-30 20:23:09 发布
阅读量175 收藏 1
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/tadcat/blog/148930
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

题为:软件资产安全性管理

要求:“制定方案,确保公司各配置库、软件产品源码和关键文档的安全性;并通过部门及应用领域总监、项目经理代表的最终评审。”

经分析,公司现在对软件资产安全没有明确的衡量标准和目标。

基于此,我们先从展现现有的安全性管理工作入手,然后向相关人征求意见,最后我们再针对意见制定方案。

作者:张**、王**

通过调研《产品配置管理流程》、《配置管理部工作规范》、《配置服务器清单》、《项目配置库清单》及相关技术文档,我们现有的软件资产安全管理工作有以下几个方面

1. 硬件

全部使用惠普/联想/曙光品牌机架式服务器

全部服务器都放在***A2地下机房中

2. 网络

配有公网ip的服务器都设置了iptables防火墙,只对***内网、公网中的特定vpn接入开放,其他公网ip全部屏蔽

只配有内网ip的服务器基于某些应用涉及使用动态端口,不设置iptables防火墙

3. 操作系统

所有服务器都采用redhat/centos/suse系统

4. 容灾

所有服务器都有备份服务器,每季度进行一次主备机切换测试

所有服务器硬盘都做raid5阵列,每天通过cron自动健康检查,检查结果自动mail通知

cvs/ftp服务每天通过cron自动进行7天循环增量备份,备份结果自动mail通知

其它服务配置信息每天通过cron自动进行1天循环备份,备份结果自动mail通知

所有编译虚机每月进行手动冷备份,后续计划升级xen,提供热备份功能

5. 服务器权限

SCM经理有配置库服务器root权限

SCM管理员只有配置库服务器的普通管理权限,没有cvs/ftp库的删除权限

其他人对配置库服务器无帐号,无权限

人员变动/离职时会删除相关帐号

6. 配置库权限

采用多配置库的形式存放不同产品,每个配置库有独立的帐号权限管理

每个配置库有默认的结构划分,有规则的存放不同的配置项

用户帐号采用实名制,以用户邮箱变换作为帐号名,密码随机生成

开通帐号/变更权限需要经过项目经理/产品经理审核同意,然后发邮件通知SCM管理员开通

每个配置库有默认的权限划分,根据调查,不同项目对安全性的需求差异很大,最终是由项目经理/产品经理确定按角色分配不同的权限,scm辅助实施,并有相关记录

人员变动/离职时会删除相关帐号

7. 版本

cvs库中的配置项的版本用带锁的tag标识,并有相关记录

ftp库中的配置项的版本用目录名标识,并有相关记录

8. 编译环境

SCM管理员负责根据编译手册管理编译环境

其它人只能通过编译web页使用编译环境

转载于:https://my.oschina.net/tadcat/blog/148930

weixin_33895604
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件研发资产管理过程.docx
11-21
软件研发资产管理过程》文档详细阐述了如何管理和保护软件研发资产,确保其完整性和安全性,以促进知识积累、保护知识产权并维护企业的核心竞争力。以下是该文档中涉及的主要知识点: 1. **资产管理的目的**:...
固定资产管理软件专项方案.doc
12-06
"固定资产管理软件专项方案" 本方案旨在为 XXX 企业提供一套完整的固定资产管理软件解决方案,以满足企业对固定资产管理需求。该方案通过引入条码管理体制,利用条码信息的唯一性、正确性和关联性,实时采集固定...
应用安全:确保软件和应用程序的安全性
禅与计算机程序设计艺术
12-27 650
1.背景介绍 应用安全是一种关注于确保软件和应用程序不被恶意利用的技术。在今天的互联网世界中,应用安全变得至关重要,因为恶意攻击者不断地尝试找到软件和应用程序的漏洞,以便进行恶意活动。这些漏洞可能包括代码漏洞、配置漏洞、系统漏洞等。应用安全涉及到多个领域,包括密码学、网络安全操作系统安全、数据库安全、应用程序安全等。 在本文中,我们将讨论应用安全的核心概念、算法原理、具体操作步骤、数学模型、...
研发体系核心代码和文档安全保护方案
liwenxiang629的博客
01-22 2926
最近调研了一下研发资产安全保护方案,简单地说就是,如何避免开发人员把核心代码和核心资料据为己有,离职时偷偷带走!网上有好多人认为这个东西没有必要做,或者根本不能根本杜绝。认为现在的软件产品拼的是业务和运营,代码真心不重要,即使把微信的源码给某某公司,又能怎么样呢?你能防住手抄写或者拍照吗?其实想想是这个道理,光有源码没有用户有何用啊!有同学认为,源码泄漏出去也没关系,自带混淆不说,搞懂的effort远大于再造一套新的代码的effort!更有同学表示大多数软件公司是依靠程序员的自尊心…泄露出去了实在特么丢人啊
软件资产管理(SAM)助力企业网络安全
weixin_34353714的博客
07-03 397
一提到“软件”,人们通常会立即想到自己电脑桌面上的那些常用软件图标。虽然软件早已经成为释放人类和社会的重要生产力、推动社会飞速前进的历史助推器,但人们对软件之重要意义的认识与理解却仍是不足——很显然,软件的范畴远远超出了电脑桌面上那些用于网页浏览、办公操作与社会交往的应用软件的范围。 软件:被低估的效用 在某种意义上,软件决定了我们如何获得储存信息、如何...
IT资产管理中的安全管理
weixin_33898876的博客
09-02 174
   对于看过我上篇博文--- “IT资产管理演变”的朋友,希望它给您提供了一些关于IT资产管理战略方面的启示,并对您IT资产管理战略制定有所帮助。我希望这篇补充博文将能帮助您了解合适的IT资产管理策略,还能提供一个支持您IT安全管理的有用工具。    您可能还记得我说过IT资产管理工具的核心是资产数据库,在1999年年底前,资产数据就已经被用来判断所有Y2K风险。此博文将阐述,在1...
IT软件资产管理流程梳理介绍
ITIL之家公众号
09-05 1802
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩分享软件资产管理流程主要目标与用途软件资产管理流程是一套指导企业在组织内部对软件资产进行有效管理、控制和保护的基础架构和流程,其目的是通过完善的管理模式和适当的技术支持体系,将软件作为企业的资产加以统筹管理,即将企业所拥有的软件纳入企业资产管理程序,使得系统中的软件得以保护,并了解企业IT系统软件所处的位置、运行的情况、所拥有的软件许可...
软件开发安全管理规定
05-22
然后,需求分析人员应根据业务安全需求,进行资产识别、资产分析和风险分析,确定软件安全需求。 软件安全设计 软件安全设计是软件开发过程中的另一个重要步骤。在设计阶段,设计人员应根据安全目标进行安全设计...
内网信息安全管理软件.doc
11-18
它能对移动存储设备进行严格的管理和控制,确保数据在各种工作场景下的安全性。 3. 可信网络认证子系统:此系统用于验证用户身份和权限,确保只有经过授权的用户和服务器可以执行特定操作。通过统一的身份识别,...
Linux Vim教程(十一):高效导航与标记
07-29 757
在使用 Vim 进行文本编辑时,高效的导航和标记功能是提高工作效率的关键。Vim 提供了一系列强大的命令和技巧,使用户可以快速移动到文件的任意位置,并设置标记以便于重复访问。本文将深入探讨 Vim 的高效导航与标记功能,帮助用户掌握这些高级技巧,提高文本编辑效率。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 359
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
linux操作系统_TCP
最新发布
hkhkhkhkh123的博客
07-30 663
1)三次握手和四次挥手机制 2) 确认应答:TCP将每个字节的数据都进行了编号,即为序列号。每一个ACK都带有对应的确认序列号,保证数据不丢失的按序到达 3)超时重传:当发送端发送的数据在网络中丢失时,在一定时间内没有收到接收端的ACK,则发送端会重新发送丢失数据。2. ACK: 确认应答标志 3. PSH: 表示发送数据,提示接收端从TCP接收缓冲区中读走数据,为接收后续数据腾出空间 4. RST: 重置连接标志 5. SYN: 表示请求建立一个连接 6. FIN: finish标志, 表示释放连接。
Linux安全检测工具--运行即可抓到多数僵尸程序
博大汽车信息安全
07-30 517
本文将详细介绍作者开发的 Linux 安全检测工具的功能,包括进程分析、网络分析、日志分析、文件分析、利用现有检测工具、容器分析、数据库分析、环境变量分析、启动脚本分析、启动服务分析、账号密码配置分析、账号权限配置分析、预加载库/动态链接器/动态链接库分析、内核模块分析、敏感目录下异常文件分析等,帮助用户更好地了解和选择合适的 Linux 安全检测工具。进程分析是 Linux 安全检测工具的核心功能之一,主要用于检测系统中是否存在可疑或恶意的进程。# ... 其他进程分析代码 ...# 伪装内核进程检测。
Linux 三剑客之 grep
Tallbo的博客
07-26 817
grep 是 Linux 中用于文本搜索的强大工具,可以在文件中搜索指定的模式,并输出包含该模式的行。
正点原子imx6ull-mini-Linux驱动LED(新字符设备驱动)(3)
NEWEVA__zzera22的博客
07-29 844
宏 NEWCHRLED_CNT 表示设备数量,在申请设备号或者向 Linux 内核添加字 符设备的时候需要设置设备数量,一般我们一个驱动一个设备,所以这个宏为 1。宏 NEWCHRLED_NAME 表示设备名字,本实验的设备名为“newchrdev”,为了 方便管理,所有使用到设备名字的地方统一使用此宏,当驱动加载成功以后就生成 /dev/newchrled 这个设备文件。#define NEWCHRLED_CNT 1 /* 设备号个数 */
基于宝塔的 Bytebase 可视化安装、配置、部署教程
Bytebase的博客
07-26 387
Bytebase是一款使用Go语言开发的开源数据库管理软件,旨在为DBA(数据库管理员)、开发人员和平台工程师提供一个基于Web的协作工作区,用于管理数据库的整个生命周期。本文将介绍如何在宝塔面板上可视化安装、部署、配置Bytebase教程。
为什么Linux系统重启后激活anaconda需要执行 “source anaconda3/bin/activate” 命令?
qq_43799400的博客
07-29 119
Linux系统重启后激活anaconda需要执行 “source anaconda3/bin/activate” 命令
《汇编语言 基于x86处理器》- 读书笔记 - 第3章-汇编语言基础
灵台方寸山斜月三星洞
07-28 693
本章首先介绍了基本语言元素,包括整数和实数常量、字符和字符串常量、保留字、标识符、伪指令和指令格式。接着,通过示例程序演示了整数加减法的操作。还详细解释了汇编、链接和运行程序的整个流程,包括源代码编写、编译/汇编、链接和加载执行。还有如何定义数据,包括内部数据类型、数据定义语句和符号常量。最后还涉及了64位编程。
"固定资产管理系统解决方案:自动化、准确性、安全性软件工程样本
5. 数据安全和权限管理:系统应该具备完善的数据安全机制,包括数据备份、恢复和权限控制等功能,确保数据的安全性和完整性。 通过使用固定资产管理系统,企业可以实现对固定资产的全面管理和掌控,提高资产的利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值