在過去的十幾年里，隨著信息技術(shù)的高速發(fā)展和企業(yè)信息化步伐的深入，企業(yè)在利用信息技術(shù)實(shí)現(xiàn)其商業(yè)目標(biāo)的同時(shí)也變得越來越依賴于信息技術(shù)。以銀行業(yè)為例，為了降低運(yùn)營成本，提高用戶滿意度，今天的銀行普遍利用信息技術(shù)支持的電話銀行、ATM及網(wǎng)絡(luò)銀行系統(tǒng)為客戶提供個(gè)性化、差異化的服務(wù)。另外，銀行也在不斷利用信息技術(shù)收集和分析大量的與客戶有關(guān)的數(shù)據(jù)和信息，為新產(chǎn)品開發(fā)提供決策支持，從而達(dá)到提高盈利水平的目標(biāo)。在今天的企業(yè)信息環(huán)境里，如何保證信息系統(tǒng)以及信息本身的安全性已然變得至關(guān)重要了。事實(shí)上，在今天具有一定規(guī)模的企業(yè)的IT環(huán)境里往往存在著少則幾百個(gè)多則上千個(gè)大大小小的業(yè)務(wù)應(yīng)用（Line of Business Applications），小到支持幾個(gè)人的小規(guī)模團(tuán)隊(duì)的協(xié)同應(yīng)用，大到貫穿于一個(gè)企業(yè)生產(chǎn)、經(jīng)營、管理全過程的企業(yè)級(jí)應(yīng)用。如何降低信息技術(shù)給企業(yè)帶來的各種安全風(fēng)險(xiǎn)呢？無疑已成為當(dāng)今所有企業(yè)面臨的新挑戰(zhàn)。

企業(yè)信息安全的涵蓋面非常廣，涉及到人員、流程和技術(shù)等諸多方面的因素。正因?yàn)槿绱?，一方面信息安全越來越受到廣泛的關(guān)注，并且企業(yè)在信息安全方面的投入不斷增加，而另一方面各種給企業(yè)造成負(fù)面影響的安全事件卻層出不窮。單純的技術(shù)手段往往無法幫助企業(yè)徹底消除存在的諸多安全問題，只有建立起一整套安全策略和流程，通過合理地資源配置并且充分利用各種技術(shù)和非技術(shù)手段，企業(yè)才有可能更加有效地管理各類安全風(fēng)險(xiǎn)。

信息安全包括安全體系的構(gòu)建和管理、物理和環(huán)境安全、數(shù)據(jù)中心和網(wǎng)絡(luò)安全、系統(tǒng)開發(fā)和維護(hù)安全等多方面內(nèi)容。今天我們在這里討論的話題將主要圍繞安全系統(tǒng)開發(fā)，即企業(yè)在業(yè)務(wù)應(yīng)用的開發(fā)過程中應(yīng)該如何應(yīng)對(duì)各種可能對(duì)應(yīng)用造成影響的安全性問題。微軟看來，保證和提高應(yīng)用安全性的最佳時(shí)機(jī)是在應(yīng)用的開發(fā)階段。微軟信息安全部門的ACE團(tuán)隊(duì)通過多年來在應(yīng)用安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn)，創(chuàng)建了一整套安全開發(fā)流程，即信息技術(shù)安全開發(fā)生命周期流程（Secure Development Lifecycle for Information Technology，縮寫為SDL-IT）。該流程包含有一系列的最佳實(shí)踐和工具，多年以來不僅被用于微軟內(nèi)部業(yè)務(wù)應(yīng)用的開發(fā)過程中，而且也被成功地應(yīng)用在許多微軟客戶的開發(fā)項(xiàng)目中。

SDL-IT流程涵蓋了軟件開發(fā)生命周期的整個(gè)過程。目的是通過在軟件開發(fā)生命周期的每個(gè)階段執(zhí)行必要的安全控制或任務(wù)，保證應(yīng)用安全最佳實(shí)踐得以很好地應(yīng)用。SDL-IT強(qiáng)調(diào)在業(yè)務(wù)應(yīng)用的開發(fā)和部署過程中對(duì)應(yīng)用安全給予充分的關(guān)注，通過預(yù)防、檢測和監(jiān)控措施相結(jié)合的方式，從而降低應(yīng)用安全開發(fā)和維護(hù)的總成本。

SDL-IT流程的第一步首先是對(duì)所要開發(fā)的應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。根據(jù)應(yīng)用的風(fēng)險(xiǎn)和影響程度確定在整個(gè)軟件開發(fā)生命周期過程中需要采取的安全控制。在對(duì)應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)需要考慮的因素包括應(yīng)用本身，應(yīng)用存儲(chǔ)和處理的數(shù)據(jù)類型（比如是否涉及高業(yè)務(wù)影響數(shù)據(jù)或個(gè)人身份信息等）以及應(yīng)用的部署環(huán)境（比如Internet、Intranet或Extranet應(yīng)用）等。評(píng)估通常是以問卷形式開展的，根據(jù)開發(fā)團(tuán)隊(duì)調(diào)查問卷的結(jié)果計(jì)算加權(quán)得分，確定應(yīng)用的安全風(fēng)險(xiǎn)等級(jí)。微軟的安全策略明確規(guī)定了不同安全風(fēng)險(xiǎn)等級(jí)的應(yīng)用所需采取的安全控制。