用友公司集團UAP中心高級安全技術設計師楊黎

       企業(yè)面臨著來自外部和內部的雙重挑戰(zhàn)，調查顯示，企業(yè)面臨的最大安全挑戰(zhàn)包括，預防安全漏洞的出現(xiàn)、管理安全問題的復雜性、提高用戶安全意識等。除此之外，企業(yè)還會面臨如各種法案、法規(guī)、準則等合規(guī)要求。還有如移動技術、云計算、社交媒體等各種新技術，同樣會為企業(yè)帶來安全問題。楊黎表示，這是因為這些新技術有一個共同點，那就是突破了企業(yè)傳統(tǒng)的安全邊界。
       作為軟件提供商，首先要保證提供的軟件產(chǎn)品自身的安全。楊黎分享了用友UAP所采用的安全保證過程。用友UAP采用安全開發(fā)保證過程，這個過程包括安全培訓、要求、設計、實施、驗證、發(fā)布等階段。每個階段都標出了主要的安全活動。用友UAP通過各個階段的安全活動來保證軟件的質量。楊黎強調，企業(yè)一定要通過建立專門的安全組織保證這個過程的有效性。
       楊黎表示，應用軟件必須建立安全框架用于支撐企業(yè)信息化安全。用友UAP的安全框架主要包括四層，一是軟件生命周期安全二是基礎設施安全;三是身份和訪問管理;四是合規(guī)。同時，用友UAP通過開放的軟件框架支持安全廠商的產(chǎn)品，可以簡單快速地在軟件中加入這些安全產(chǎn)品。
       楊黎指出，安全應以企業(yè)業(yè)務為本，以支持企業(yè)業(yè)務持續(xù)性為重點。另外，讓風險可管理，讓軟件滿足如信息安全等級保護、企業(yè)內部控制基本規(guī)范、SOX、ISO 2700X等要求。
       目前，企業(yè)在安全方面已經(jīng)做了不少工作，比如做了合理的安全域規(guī)劃;建立了有效的安全策略，;建立了信息系統(tǒng)安全管理等。那么，為安全做了這些是否已經(jīng)足夠了呢？楊黎表示，調查數(shù)據(jù)表明，這還不夠。這體現(xiàn)在一些企業(yè)在安全上過于自信，缺乏考慮企業(yè)整體安全，同時還面臨缺乏專業(yè)安全人員，安全投入是否有效的問題。這些都是企業(yè)在安全上的困境。
       楊黎表示，用友通過一系列的工作幫助企業(yè)擺脫安全困境：在軟件產(chǎn)品上提供統(tǒng)一的安全配置管理、提高默認安全配置的安全級別、將一些可選項變?yōu)閺娭啤⑻峁┒喾N不同安全級別的預置配置供選擇;提供工具和服務，幫助企業(yè)通過安全檢查來評估當前的安全狀態(tài)，如安全配置檢查、補丁檢查、關鍵代碼檢查等等;此外，用友還提供企業(yè)提高其自身安全的方法，如建立安全知識庫，幫助企業(yè)解決安全知識匱乏、經(jīng)驗不足的問題。通過這些安全服務幫助企業(yè)持續(xù)建設信息系統(tǒng)安全。
       此外，從企業(yè)信息安全建設全局考慮，為了解決目前很多企業(yè)由于信息系統(tǒng)復雜性形成的安全孤島、防御體系脆弱的問題，用友UAP提出一個企業(yè)信息安全框架。楊黎表示，這個框架不同于前面提到的應用軟件安全框架，它著眼于企業(yè)整體安全。用友UAP是通過分析企業(yè)信息安全構成要素，并根據(jù)業(yè)界信息安全標準以及多個企業(yè)的經(jīng)驗，提出這個經(jīng)過高度抽象的、適用于各種類型企業(yè)的信息安全框架，并充分考慮了靈活性、可擴展性。該框架可以幫助企業(yè)了解自身信息安全的現(xiàn)狀，便于企業(yè)分析安全建設的需求，為企業(yè)信息安全建設規(guī)劃和實施提供指導和參照。為了最大程度地支撐企業(yè)信息安全框架，用友UAP統(tǒng)一應用平臺對企業(yè)信息安全框架中應用安全、數(shù)據(jù)安全、終端安全、網(wǎng)絡安全提供支持，并為安全運維和安全管理提供支撐。并且企業(yè)可以基于這個安全框架結合OWASP的項目快速建設自己的信息安全。(OWASP是一個開源的、非盈利的全球性安全組織，致力于應用軟件的安全研究。它的使命是使應用軟件更加安全，使企業(yè)和組織能夠對應用安全風險作出更清晰的決策。
       楊黎強調，信息安全建設是一個持續(xù)的過程，已經(jīng)建立信息安全框架的企業(yè)仍要關注不斷變化的安全風險。企業(yè)需要通過自我評估、持續(xù)學習、持續(xù)改進等措施保持企業(yè)信息安全框架的有效性。