软件产品如何减轻企业安全负担
近日,OWASP中国2013互联网安全技术创新与发展高峰论坛在上海召开。用友公司集团UAP中心受邀参加此次峰会,高级安全技术设计师杨黎与大家共享了用友在企业安全领域的经验,通过分析企业面临的安全挑战以及
近日,OWASP中国2013互联网安全技术创新与发展高峰论坛在上海召开。用友公司集团UAP中心受邀参加此次峰会,高级安全技术设计师杨黎与大家共享了用友在企业安全领域的经验,通过分析企业面临的安全挑战以及采取的应对措施,如何使安全不再成为企业的负担。
作为软件提供商,首先要保证提供的软件产品自身的安全。杨黎分享了用友UAP所采用的安全保证过程。用友UAP采用安全开发保证过程,这个过程包括安全培训、要求、设计、实施、验证、发布等阶段。每个阶段都标出了主要的安全活动。用友UAP通过各个阶段的安全活动来保证软件的质量。杨黎强调,企业一定要通过建立专门的安全组织保证这个过程的有效性。
杨黎表示,应用软件必须建立安全框架用于支撑企业信息化安全。用友UAP的安全框架主要包括四层,一是软件生命周期安全二是基础设施安全;三是身份和访问管理;四是合规。同时,用友UAP通过开放的软件框架支持安全厂商的产品,可以简单快速地在软件中加入这些安全产品。
杨黎指出,安全应以企业业务为本,以支持企业业务持续性为重点。另外,让风险可管理,让软件满足如信息安全等级保护、企业内部控制基本规范、SOX、ISO 2700X等要求。
目前,企业在安全方面已经做了不少工作,比如做了合理的安全域规划;建立了有效的安全策略,;建立了信息系统安全管理等。那么,为安全做了这些是否已经足够了呢?杨黎表示,调查数据表明,这还不够。这体现在一些企业在安全上过于自信,缺乏考虑企业整体安全,同时还面临缺乏专业安全人员,安全投入是否有效的问题。这些都是企业在安全上的困境。
杨黎表示,用友通过一系列的工作帮助企业摆脱安全困境:在软件产品上提供统一的安全配置管理、提高默认安全配置的安全级别、将一些可选项变为强制、提供多种不同安全级别的预置配置供选择;提供工具和服务,帮助企业通过安全检查来评估当前的安全状态,如安全配置检查、补丁检查、关键代码检查等等;此外,用友还提供企业提高其自身安全的方法,如建立安全知识库,帮助企业解决安全知识匮乏、经验不足的问题。通过这些安全服务帮助企业持续建设信息系统安全。
此外,从企业信息安全建设全局考虑,为了解决目前很多企业由于信息系统复杂性形成的安全孤岛、防御体系脆弱的问题,用友UAP提出一个企业信息安全框架。杨黎表示,这个框架不同于前面提到的应用软件安全框架,它着眼于企业整体安全。用友UAP是通过分析企业信息安全构成要素,并根据业界信息安全标准以及多个企业的经验,提出这个经过高度抽象的、适用于各种类型企业的信息安全框架,并充分考虑了灵活性、可扩展性。该框架可以帮助企业了解自身信息安全的现状,便于企业分析安全建设的需求,为企业信息安全建设规划和实施提供指导和参照。为了最大程度地支撑企业信息安全框架,用友UAP统一应用平台对企业信息安全框架中应用安全、数据安全、终端安全、网络安全提供支持,并为安全运维和安全管理提供支撑。并且企业可以基于这个安全框架结合OWASP的项目快速建设自己的信息安全。(OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。它的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。
杨黎强调,信息安全建设是一个持续的过程,已经建立信息安全框架的企业仍要关注不断变化的安全风险。企业需要通过自我评估、持续学习、持续改进等措施保持企业信息安全框架的有效性。
用友公司集团UAP中心高级安全技术设计师杨黎
企业面临着来自外部和内部的双重挑战,调查显示,企业面临的最大安全挑战包括,预防安全漏洞的出现、管理安全问题的复杂性、提高用户安全意识等。除此之外,企业还会面临如各种法案、法规、准则等合规要求。还有如移动技术、云计算、社交媒体等各种新技术,同样会为企业带来安全问题。杨黎表示,这是因为这些新技术有一个共同点,那就是突破了企业传统的安全边界。作为软件提供商,首先要保证提供的软件产品自身的安全。杨黎分享了用友UAP所采用的安全保证过程。用友UAP采用安全开发保证过程,这个过程包括安全培训、要求、设计、实施、验证、发布等阶段。每个阶段都标出了主要的安全活动。用友UAP通过各个阶段的安全活动来保证软件的质量。杨黎强调,企业一定要通过建立专门的安全组织保证这个过程的有效性。
杨黎表示,应用软件必须建立安全框架用于支撑企业信息化安全。用友UAP的安全框架主要包括四层,一是软件生命周期安全二是基础设施安全;三是身份和访问管理;四是合规。同时,用友UAP通过开放的软件框架支持安全厂商的产品,可以简单快速地在软件中加入这些安全产品。
杨黎指出,安全应以企业业务为本,以支持企业业务持续性为重点。另外,让风险可管理,让软件满足如信息安全等级保护、企业内部控制基本规范、SOX、ISO 2700X等要求。
目前,企业在安全方面已经做了不少工作,比如做了合理的安全域规划;建立了有效的安全策略,;建立了信息系统安全管理等。那么,为安全做了这些是否已经足够了呢?杨黎表示,调查数据表明,这还不够。这体现在一些企业在安全上过于自信,缺乏考虑企业整体安全,同时还面临缺乏专业安全人员,安全投入是否有效的问题。这些都是企业在安全上的困境。
杨黎表示,用友通过一系列的工作帮助企业摆脱安全困境:在软件产品上提供统一的安全配置管理、提高默认安全配置的安全级别、将一些可选项变为强制、提供多种不同安全级别的预置配置供选择;提供工具和服务,帮助企业通过安全检查来评估当前的安全状态,如安全配置检查、补丁检查、关键代码检查等等;此外,用友还提供企业提高其自身安全的方法,如建立安全知识库,帮助企业解决安全知识匮乏、经验不足的问题。通过这些安全服务帮助企业持续建设信息系统安全。
此外,从企业信息安全建设全局考虑,为了解决目前很多企业由于信息系统复杂性形成的安全孤岛、防御体系脆弱的问题,用友UAP提出一个企业信息安全框架。杨黎表示,这个框架不同于前面提到的应用软件安全框架,它着眼于企业整体安全。用友UAP是通过分析企业信息安全构成要素,并根据业界信息安全标准以及多个企业的经验,提出这个经过高度抽象的、适用于各种类型企业的信息安全框架,并充分考虑了灵活性、可扩展性。该框架可以帮助企业了解自身信息安全的现状,便于企业分析安全建设的需求,为企业信息安全建设规划和实施提供指导和参照。为了最大程度地支撑企业信息安全框架,用友UAP统一应用平台对企业信息安全框架中应用安全、数据安全、终端安全、网络安全提供支持,并为安全运维和安全管理提供支撑。并且企业可以基于这个安全框架结合OWASP的项目快速建设自己的信息安全。(OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。它的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。
杨黎强调,信息安全建设是一个持续的过程,已经建立信息安全框架的企业仍要关注不断变化的安全风险。企业需要通过自我评估、持续学习、持续改进等措施保持企业信息安全框架的有效性。
责任编辑:何健
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
曹志刚:我们期待风电成为中国的主力能源
2020-11-17风电,能源,主力能源 -
张钧:未来配电网内涵特征与发展框架研究
2020-11-03配电网,智能配电网,智能配电网建设研讨会 -
习近平:持续增强电力装备、新能源等领域的全产业链优势
2020-11-02电力装备,新能源,通信设备
-
曹志刚:我们期待风电成为中国的主力能源
2020-11-17风电,能源,主力能源 -
张钧:未来配电网内涵特征与发展框架研究
2020-11-03配电网,智能配电网,智能配电网建设研讨会 -
杜祥琬:创新观念,推动能源高质量发展
2020-09-28能源,创新,观点
-
PPT丨王继业:电力系统储能发展与挑战
2020-10-14储能,电力储能,储能应用 -
奋斗姿态书写人生底色 银隆储能“小哥哥”的职场进击姿势
2020-10-12银隆新能源,储能,新能源汽车 -
邹骥:通过发展清洁能源 提高中国公信力
2020-06-28邹骥,清洁能源,绿色低碳能源
-
习近平:持续增强电力装备、新能源等领域的全产业链优势
2020-11-02电力装备,新能源,通信设备 -
重磅 | 发改委发文7月起电价降5%
2020-06-29国家发改委,企业,用电成本,电费 -
李克强:放宽配售电业务市场准入 推动建立市场决定能源价格机制
2019-10-12配售电业务市场准入