题为:软件资产安全性管理
要求:“制定方案,确保公司各配置库、软件产品源码和关键文档的安全性;并通过部门及应用领域总监、项目经理代表的最终评审。”
经分析,公司现在对软件资产安全没有明确的衡量标准和目标。
基于此,我们先从展现现有的安全性管理工作入手,然后向相关人征求意见,最后我们再针对意见制定方案。
作者:张**、王**
通过调研《产品配置管理流程》、《配置管理部工作规范》、《配置服务器清单》、《项目配置库清单》及相关技术文档,我们现有的软件资产安全管理工作有以下几个方面
1. 硬件
全部使用惠普/联想/曙光品牌机架式服务器
全部服务器都放在***A2地下机房中
2. 网络
配有公网ip的服务器都设置了iptables防火墙,只对***内网、公网中的特定vpn接入开放,其他公网ip全部屏蔽
只配有内网ip的服务器基于某些应用涉及使用动态端口,不设置iptables防火墙
3. 操作系统
所有服务器都采用redhat/centos/suse系统
4. 容灾
所有服务器都有备份服务器,每季度进行一次主备机切换测试
所有服务器硬盘都做raid5阵列,每天通过cron自动健康检查,检查结果自动mail通知
cvs/ftp服务每天通过cron自动进行7天循环增量备份,备份结果自动mail通知
其它服务配置信息每天通过cron自动进行1天循环备份,备份结果自动mail通知
所有编译虚机每月进行手动冷备份,后续计划升级xen,提供热备份功能
5. 服务器权限
SCM经理有配置库服务器root权限
SCM管理员只有配置库服务器的普通管理权限,没有cvs/ftp库的删除权限
其他人对配置库服务器无帐号,无权限
人员变动/离职时会删除相关帐号
6. 配置库权限
采用多配置库的形式存放不同产品,每个配置库有独立的帐号权限管理
每个配置库有默认的结构划分,有规则的存放不同的配置项
用户帐号采用实名制,以用户邮箱变换作为帐号名,密码随机生成
开通帐号/变更权限需要经过项目经理/产品经理审核同意,然后发邮件通知SCM管理员开通
每个配置库有默认的权限划分,根据调查,不同项目对安全性的需求差异很大,最终是由项目经理/产品经理确定按角色分配不同的权限,scm辅助实施,并有相关记录
人员变动/离职时会删除相关帐号
7. 版本
cvs库中的配置项的版本用带锁的tag标识,并有相关记录
ftp库中的配置项的版本用目录名标识,并有相关记录
8. 编译环境
SCM管理员负责根据编译手册管理编译环境
其它人只能通过编译web页使用编译环境