軟件產(chǎn)品如何減輕企業(yè)安全負(fù)擔(dān)
近日,OWASP中國2013互聯(lián)網(wǎng)安全技術(shù)創(chuàng)新與發(fā)展高峰論壇在上海召開。用友公司集團(tuán)UAP中心受邀參加此次峰會(huì),高級安全技術(shù)設(shè)計(jì)師楊黎與大家共享了用友在企業(yè)安全領(lǐng)域的經(jīng)驗(yàn),通過分析企業(yè)面臨的安全挑戰(zhàn)以及
近日,OWASP中國2013互聯(lián)網(wǎng)安全技術(shù)創(chuàng)新與發(fā)展高峰論壇在上海召開。用友公司集團(tuán)UAP中心受邀參加此次峰會(huì),高級安全技術(shù)設(shè)計(jì)師楊黎與大家共享了用友在企業(yè)安全領(lǐng)域的經(jīng)驗(yàn),通過分析企業(yè)面臨的安全挑戰(zhàn)以及采取的應(yīng)對措施,如何使安全不再成為企業(yè)的負(fù)擔(dān)。
作為軟件提供商,首先要保證提供的軟件產(chǎn)品自身的安全。楊黎分享了用友UAP所采用的安全保證過程。用友UAP采用安全開發(fā)保證過程,這個(gè)過程包括安全培訓(xùn)、要求、設(shè)計(jì)、實(shí)施、驗(yàn)證、發(fā)布等階段。每個(gè)階段都標(biāo)出了主要的安全活動(dòng)。用友UAP通過各個(gè)階段的安全活動(dòng)來保證軟件的質(zhì)量。楊黎強(qiáng)調(diào),企業(yè)一定要通過建立專門的安全組織保證這個(gè)過程的有效性。
楊黎表示,應(yīng)用軟件必須建立安全框架用于支撐企業(yè)信息化安全。用友UAP的安全框架主要包括四層,一是軟件生命周期安全二是基礎(chǔ)設(shè)施安全;三是身份和訪問管理;四是合規(guī)。同時(shí),用友UAP通過開放的軟件框架支持安全廠商的產(chǎn)品,可以簡單快速地在軟件中加入這些安全產(chǎn)品。
楊黎指出,安全應(yīng)以企業(yè)業(yè)務(wù)為本,以支持企業(yè)業(yè)務(wù)持續(xù)性為重點(diǎn)。另外,讓風(fēng)險(xiǎn)可管理,讓軟件滿足如信息安全等級保護(hù)、企業(yè)內(nèi)部控制基本規(guī)范、SOX、ISO 2700X等要求。
目前,企業(yè)在安全方面已經(jīng)做了不少工作,比如做了合理的安全域規(guī)劃;建立了有效的安全策略,;建立了信息系統(tǒng)安全管理等。那么,為安全做了這些是否已經(jīng)足夠了呢?楊黎表示,調(diào)查數(shù)據(jù)表明,這還不夠。這體現(xiàn)在一些企業(yè)在安全上過于自信,缺乏考慮企業(yè)整體安全,同時(shí)還面臨缺乏專業(yè)安全人員,安全投入是否有效的問題。這些都是企業(yè)在安全上的困境。
楊黎表示,用友通過一系列的工作幫助企業(yè)擺脫安全困境:在軟件產(chǎn)品上提供統(tǒng)一的安全配置管理、提高默認(rèn)安全配置的安全級別、將一些可選項(xiàng)變?yōu)閺?qiáng)制、提供多種不同安全級別的預(yù)置配置供選擇;提供工具和服務(wù),幫助企業(yè)通過安全檢查來評估當(dāng)前的安全狀態(tài),如安全配置檢查、補(bǔ)丁檢查、關(guān)鍵代碼檢查等等;此外,用友還提供企業(yè)提高其自身安全的方法,如建立安全知識庫,幫助企業(yè)解決安全知識匱乏、經(jīng)驗(yàn)不足的問題。通過這些安全服務(wù)幫助企業(yè)持續(xù)建設(shè)信息系統(tǒng)安全。
此外,從企業(yè)信息安全建設(shè)全局考慮,為了解決目前很多企業(yè)由于信息系統(tǒng)復(fù)雜性形成的安全孤島、防御體系脆弱的問題,用友UAP提出一個(gè)企業(yè)信息安全框架。楊黎表示,這個(gè)框架不同于前面提到的應(yīng)用軟件安全框架,它著眼于企業(yè)整體安全。用友UAP是通過分析企業(yè)信息安全構(gòu)成要素,并根據(jù)業(yè)界信息安全標(biāo)準(zhǔn)以及多個(gè)企業(yè)的經(jīng)驗(yàn),提出這個(gè)經(jīng)過高度抽象的、適用于各種類型企業(yè)的信息安全框架,并充分考慮了靈活性、可擴(kuò)展性。該框架可以幫助企業(yè)了解自身信息安全的現(xiàn)狀,便于企業(yè)分析安全建設(shè)的需求,為企業(yè)信息安全建設(shè)規(guī)劃和實(shí)施提供指導(dǎo)和參照。為了最大程度地支撐企業(yè)信息安全框架,用友UAP統(tǒng)一應(yīng)用平臺對企業(yè)信息安全框架中應(yīng)用安全、數(shù)據(jù)安全、終端安全、網(wǎng)絡(luò)安全提供支持,并為安全運(yùn)維和安全管理提供支撐。并且企業(yè)可以基于這個(gè)安全框架結(jié)合OWASP的項(xiàng)目快速建設(shè)自己的信息安全。(OWASP是一個(gè)開源的、非盈利的全球性安全組織,致力于應(yīng)用軟件的安全研究。它的使命是使應(yīng)用軟件更加安全,使企業(yè)和組織能夠?qū)?yīng)用安全風(fēng)險(xiǎn)作出更清晰的決策。
楊黎強(qiáng)調(diào),信息安全建設(shè)是一個(gè)持續(xù)的過程,已經(jīng)建立信息安全框架的企業(yè)仍要關(guān)注不斷變化的安全風(fēng)險(xiǎn)。企業(yè)需要通過自我評估、持續(xù)學(xué)習(xí)、持續(xù)改進(jìn)等措施保持企業(yè)信息安全框架的有效性。
用友公司集團(tuán)UAP中心高級安全技術(shù)設(shè)計(jì)師楊黎
企業(yè)面臨著來自外部和內(nèi)部的雙重挑戰(zhàn),調(diào)查顯示,企業(yè)面臨的最大安全挑戰(zhàn)包括,預(yù)防安全漏洞的出現(xiàn)、管理安全問題的復(fù)雜性、提高用戶安全意識等。除此之外,企業(yè)還會(huì)面臨如各種法案、法規(guī)、準(zhǔn)則等合規(guī)要求。還有如移動(dòng)技術(shù)、云計(jì)算、社交媒體等各種新技術(shù),同樣會(huì)為企業(yè)帶來安全問題。楊黎表示,這是因?yàn)檫@些新技術(shù)有一個(gè)共同點(diǎn),那就是突破了企業(yè)傳統(tǒng)的安全邊界。作為軟件提供商,首先要保證提供的軟件產(chǎn)品自身的安全。楊黎分享了用友UAP所采用的安全保證過程。用友UAP采用安全開發(fā)保證過程,這個(gè)過程包括安全培訓(xùn)、要求、設(shè)計(jì)、實(shí)施、驗(yàn)證、發(fā)布等階段。每個(gè)階段都標(biāo)出了主要的安全活動(dòng)。用友UAP通過各個(gè)階段的安全活動(dòng)來保證軟件的質(zhì)量。楊黎強(qiáng)調(diào),企業(yè)一定要通過建立專門的安全組織保證這個(gè)過程的有效性。
楊黎表示,應(yīng)用軟件必須建立安全框架用于支撐企業(yè)信息化安全。用友UAP的安全框架主要包括四層,一是軟件生命周期安全二是基礎(chǔ)設(shè)施安全;三是身份和訪問管理;四是合規(guī)。同時(shí),用友UAP通過開放的軟件框架支持安全廠商的產(chǎn)品,可以簡單快速地在軟件中加入這些安全產(chǎn)品。
楊黎指出,安全應(yīng)以企業(yè)業(yè)務(wù)為本,以支持企業(yè)業(yè)務(wù)持續(xù)性為重點(diǎn)。另外,讓風(fēng)險(xiǎn)可管理,讓軟件滿足如信息安全等級保護(hù)、企業(yè)內(nèi)部控制基本規(guī)范、SOX、ISO 2700X等要求。
目前,企業(yè)在安全方面已經(jīng)做了不少工作,比如做了合理的安全域規(guī)劃;建立了有效的安全策略,;建立了信息系統(tǒng)安全管理等。那么,為安全做了這些是否已經(jīng)足夠了呢?楊黎表示,調(diào)查數(shù)據(jù)表明,這還不夠。這體現(xiàn)在一些企業(yè)在安全上過于自信,缺乏考慮企業(yè)整體安全,同時(shí)還面臨缺乏專業(yè)安全人員,安全投入是否有效的問題。這些都是企業(yè)在安全上的困境。
楊黎表示,用友通過一系列的工作幫助企業(yè)擺脫安全困境:在軟件產(chǎn)品上提供統(tǒng)一的安全配置管理、提高默認(rèn)安全配置的安全級別、將一些可選項(xiàng)變?yōu)閺?qiáng)制、提供多種不同安全級別的預(yù)置配置供選擇;提供工具和服務(wù),幫助企業(yè)通過安全檢查來評估當(dāng)前的安全狀態(tài),如安全配置檢查、補(bǔ)丁檢查、關(guān)鍵代碼檢查等等;此外,用友還提供企業(yè)提高其自身安全的方法,如建立安全知識庫,幫助企業(yè)解決安全知識匱乏、經(jīng)驗(yàn)不足的問題。通過這些安全服務(wù)幫助企業(yè)持續(xù)建設(shè)信息系統(tǒng)安全。
此外,從企業(yè)信息安全建設(shè)全局考慮,為了解決目前很多企業(yè)由于信息系統(tǒng)復(fù)雜性形成的安全孤島、防御體系脆弱的問題,用友UAP提出一個(gè)企業(yè)信息安全框架。楊黎表示,這個(gè)框架不同于前面提到的應(yīng)用軟件安全框架,它著眼于企業(yè)整體安全。用友UAP是通過分析企業(yè)信息安全構(gòu)成要素,并根據(jù)業(yè)界信息安全標(biāo)準(zhǔn)以及多個(gè)企業(yè)的經(jīng)驗(yàn),提出這個(gè)經(jīng)過高度抽象的、適用于各種類型企業(yè)的信息安全框架,并充分考慮了靈活性、可擴(kuò)展性。該框架可以幫助企業(yè)了解自身信息安全的現(xiàn)狀,便于企業(yè)分析安全建設(shè)的需求,為企業(yè)信息安全建設(shè)規(guī)劃和實(shí)施提供指導(dǎo)和參照。為了最大程度地支撐企業(yè)信息安全框架,用友UAP統(tǒng)一應(yīng)用平臺對企業(yè)信息安全框架中應(yīng)用安全、數(shù)據(jù)安全、終端安全、網(wǎng)絡(luò)安全提供支持,并為安全運(yùn)維和安全管理提供支撐。并且企業(yè)可以基于這個(gè)安全框架結(jié)合OWASP的項(xiàng)目快速建設(shè)自己的信息安全。(OWASP是一個(gè)開源的、非盈利的全球性安全組織,致力于應(yīng)用軟件的安全研究。它的使命是使應(yīng)用軟件更加安全,使企業(yè)和組織能夠?qū)?yīng)用安全風(fēng)險(xiǎn)作出更清晰的決策。
楊黎強(qiáng)調(diào),信息安全建設(shè)是一個(gè)持續(xù)的過程,已經(jīng)建立信息安全框架的企業(yè)仍要關(guān)注不斷變化的安全風(fēng)險(xiǎn)。企業(yè)需要通過自我評估、持續(xù)學(xué)習(xí)、持續(xù)改進(jìn)等措施保持企業(yè)信息安全框架的有效性。
責(zé)任編輯:何健
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
曹志剛:我們期待風(fēng)電成為中國的主力能源
2020-11-17風(fēng)電,能源,主力能源 -
張鈞:未來配電網(wǎng)內(nèi)涵特征與發(fā)展框架研究
-
習(xí)近平:持續(xù)增強(qiáng)電力裝備、新能源等領(lǐng)域的全產(chǎn)業(yè)鏈優(yōu)勢
2020-11-02電力裝備,新能源,通信設(shè)備
-
曹志剛:我們期待風(fēng)電成為中國的主力能源
2020-11-17風(fēng)電,能源,主力能源 -
張鈞:未來配電網(wǎng)內(nèi)涵特征與發(fā)展框架研究
-
杜祥琬:創(chuàng)新觀念,推動(dòng)能源高質(zhì)量發(fā)展
2020-09-28能源,創(chuàng)新,觀點(diǎn)
