在過去的十幾年里，隨著信息技術(shù)的高速發(fā)展和企業(yè)信息化步伐的深入，企業(yè)在利用信息技術(shù)實現(xiàn)其商業(yè)目標(biāo)的同時也變得越來越依賴于信息技術(shù)。以銀行業(yè)為例，為了降低運(yùn)營成本，提高用戶滿意度，今天的銀行普遍利用信息技術(shù)支持的電話銀行、ATM及網(wǎng)絡(luò)銀行系統(tǒng)為客戶提供個性化、差異化的服務(wù)。另外，銀行也在不斷利用信息技術(shù)收集和分析大量的與客戶有關(guān)的數(shù)據(jù)和信息，為新產(chǎn)品開發(fā)提供決策支持，從而達(dá)到提高盈利水平的目標(biāo)。在今天的企業(yè)信息環(huán)境里，如何保證信息系統(tǒng)以及信息本身的安全性已然變得至關(guān)重要了。事實上，在今天具有一定規(guī)模的企業(yè)的IT環(huán)境里往往存在著少則幾百個多則上千個大大小小的業(yè)務(wù)應(yīng)用（Line of Business Applications），小到支持幾個人的小規(guī)模團(tuán)隊的協(xié)同應(yīng)用，大到貫穿于一個企業(yè)生產(chǎn)、經(jīng)營、管理全過程的企業(yè)級應(yīng)用。如何降低信息技術(shù)給企業(yè)帶來的各種安全風(fēng)險呢？無疑已成為當(dāng)今所有企業(yè)面臨的新挑戰(zhàn)。

企業(yè)信息安全的涵蓋面非常廣，涉及到人員、流程和技術(shù)等諸多方面的因素。正因為如此，一方面信息安全越來越受到廣泛的關(guān)注，并且企業(yè)在信息安全方面的投入不斷增加，而另一方面各種給企業(yè)造成負(fù)面影響的安全事件卻層出不窮。單純的技術(shù)手段往往無法幫助企業(yè)徹底消除存在的諸多安全問題，只有建立起一整套安全策略和流程，通過合理地資源配置并且充分利用各種技術(shù)和非技術(shù)手段，企業(yè)才有可能更加有效地管理各類安全風(fēng)險。

信息安全包括安全體系的構(gòu)建和管理、物理和環(huán)境安全、數(shù)據(jù)中心和網(wǎng)絡(luò)安全、系統(tǒng)開發(fā)和維護(hù)安全等多方面內(nèi)容。今天我們在這里討論的話題將主要圍繞安全系統(tǒng)開發(fā)，即企業(yè)在業(yè)務(wù)應(yīng)用的開發(fā)過程中應(yīng)該如何應(yīng)對各種可能對應(yīng)用造成影響的安全性問題。微軟看來，保證和提高應(yīng)用安全性的最佳時機(jī)是在應(yīng)用的開發(fā)階段。微軟信息安全部門的ACE團(tuán)隊通過多年來在應(yīng)用安全領(lǐng)域的實踐經(jīng)驗，創(chuàng)建了一整套安全開發(fā)流程，即信息技術(shù)安全開發(fā)生命周期流程（Secure Development Lifecycle for Information Technology，縮寫為SDL-IT）。該流程包含有一系列的最佳實踐和工具，多年以來不僅被用于微軟內(nèi)部業(yè)務(wù)應(yīng)用的開發(fā)過程中，而且也被成功地應(yīng)用在許多微軟客戶的開發(fā)項目中。

SDL-IT流程涵蓋了軟件開發(fā)生命周期的整個過程。目的是通過在軟件開發(fā)生命周期的每個階段執(zhí)行必要的安全控制或任務(wù)，保證應(yīng)用安全最佳實踐得以很好地應(yīng)用。SDL-IT強(qiáng)調(diào)在業(yè)務(wù)應(yīng)用的開發(fā)和部署過程中對應(yīng)用安全給予充分的關(guān)注，通過預(yù)防、檢測和監(jiān)控措施相結(jié)合的方式，從而降低應(yīng)用安全開發(fā)和維護(hù)的總成本。

SDL-IT流程的第一步首先是對所要開發(fā)的應(yīng)用進(jìn)行安全風(fēng)險評估。根據(jù)應(yīng)用的風(fēng)險和影響程度確定在整個軟件開發(fā)生命周期過程中需要采取的安全控制。在對應(yīng)用進(jìn)行安全風(fēng)險評估時需要考慮的因素包括應(yīng)用本身，應(yīng)用存儲和處理的數(shù)據(jù)類型（比如是否涉及高業(yè)務(wù)影響數(shù)據(jù)或個人身份信息等）以及應(yīng)用的部署環(huán)境（比如Internet、Intranet或Extranet應(yīng)用）等。評估通常是以問卷形式開展的，根據(jù)開發(fā)團(tuán)隊調(diào)查問卷的結(jié)果計算加權(quán)得分，確定應(yīng)用的安全風(fēng)險等級。微軟的安全策略明確規(guī)定了不同安全風(fēng)險等級的應(yīng)用所需采取的安全控制。