• 《网络安全法》第三十三条

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

• 《关键信息基础设施安全保护条例》

凡是定义为关键信息基础设施范围内的系统都需要实现的安全保护义务，在满足等级保护要求的同时还要满足设计规划阶段要求：系统建设与安全建设同步规划、同步建设、同步运维，即三同步原则。

三同步原则对应用系统开发流程的全生命周期管理提出了更高的安全要求。如何落地三同步原则，满足法律法规要求，是关键信息基础设施相关单位面临的难题。本文将以一家大型国有企业为例，解析默安如何帮助他们实践安全开发流程管理中的“三同步原则”。

在三同步流程管理平台落地之前，该企业面临：分支机构众多，内外部开发项目数量庞大，角色和权限分布复杂；管理人员手动跟进开发流程，安全专职人员较少；业务和资产信息变化快，审批流程和规则较复杂等现状。

凭借在SDL全流程解决方案的丰富经验积累，默安科技帮助该企业成功建设“三同步流程管理平台”。该平台是安全开发管理实践、安全合规建设与安全技术能力的成熟结合，是汇聚了SDL先进技术的开发项目全生命周期管理中台。该平台能够助力用户实时掌握项目开发过程中的安全动态，并对业务系统运营风险进行监测和情报分析，打通安全规划、安全建设、安全运营的全流程。

安全定级、安全设计：将安全前置到系统开发的早期阶段，实现真正的安全左移，根据不同的行业特性提供相应的安全需求分析和安全架构设计服务，从源头保障业务的安全监管工作。

代码安全审计、等级保护、安全评估：严格把控业务系统上线运营的最后一环，为项目研发组提供自助式代码审计服务，从白盒、黑盒、资产角度全面分析安全现状，并提供该环节的全流程审批追溯能力。

常规漏洞扫描、数据安全评估、应急预案：从同步运营的角度建设个性化的阶段任务工作流，覆盖应用、主机、网络等多维度的安全评估，全面覆盖线上运营环境的业务安全场景。

三同步流程管理平台功能概览

结合该企业的开发安全管理流程，向各个分支提供自助式的安全提测服务，以单个开发项目为最小单元进行统一流转和管理。

面向该企业安全部门提供统一的管理出口，把控从业务系统初始建设到上线运营环境的安全监管节点，实现安全“左移”的严格管理。

通过黑盒、白盒、灰盒等安全工具能力，结合企业组织架构权限，进行漏洞下发、指派、修复跟踪，形成漏洞管理的全生命周期时间轴。

根据统一的业务标准，提供统一的技术接口和业务接口，横向扩展安全工具能力，实现统一纳管分析。

1. 从容应对数量庞大的开发项目

对接项目管理系统，并通过手动补充完善；提高角色权限划分的细粒度与全面性。

2. 平台自动化，弥补安全专职人员缺口

建设完整的安全开发流程管理平台，充分考虑日常工作便利性，实现最大程度的自动化调用。

3. 资产管理不再混乱

通过资产池方式进行管理，确定各个资产归属与相应负责人，并对违规行为进行自动化检测。

4. 流程更加便捷

针对核心流程执行自动化编排，支持审批流自定义、工作流自定义，同时对每个环节设计“计时/催促、待办”等功能。

5. 漏洞管理不再难

涵盖独立的漏洞管理平台，能够在各开发项目中实现工具的统一调用、漏洞汇集、自动触发、自动复查、自动推送、全流程自定义通知和待办。

6. 向监管层汇报更直观高效

自动上报各个开发项目的安全态势，可视化呈现内容丰富，同时能够支持监管人员的一键复查。