当前位置: 165平板网 > 微软平板 > 数码软件 > 正文

用友UAP杨黎:软件如何减轻企业安全负担

http://www.com165.com 时间:2013-07-27 09:17来源:IT168(北京)

  近日,OWASP中国2013互联网安全技术创新与发展高峰论坛在上海召开。用友公司集团UAP中心受邀参加此次峰会,高级安全技术设计师杨黎与大家共享了用友在企业安全领域的经验,通过分析企业面临的安全挑战以及采取的应对措施,如何使安全不再成为企业的负担。

  企业面临着来自外部和内部的双重挑战,调查显示,企业面临的最大安全挑战包括,预防安全漏洞的出现、管理安全问题的复杂性、提高用户安全意识等。除此之外,企业还会面临如各种法案、法规、准则等合规要求。还有如移动技术、云计算、社交媒体等各种新技术,同样会为企业带来安全问题。杨黎表示,这是因为这些新技术有一个共同点,那就是突破了企业传统的安全边界。

用友UAP杨黎:软件如何减轻企业安全负担
 

  用友公司集团UAP中心高级安全技术设计师杨黎

  作为软件提供商,首先要保证提供的软件产品自身的安全。杨黎分享了用友UAP所采用的安全保证过程。用友UAP采用安全开发保证过程,这个过程包括安全培训、要求、设计、实施、验证、发布等阶段。每个阶段都标出了主要的安全活动。用友UAP通过各个阶段的安全活动来保证软件的质量。杨黎强调,企业一定要通过建立专门的安全组织保证这个过程的有效性。

  杨黎表示,应用软件必须建立安全框架用于支撑企业信息化安全。用友UAP的安全框架主要包括四层,一是软件生命周期安全二是基础设施安全;三是身份和访问管理;四是合规。同时,用友UAP通过开放的软件框架支持安全厂商的产品,可以简单快速地在软件中加入这些安全产品。

  杨黎指出,安全应以企业业务为本,以支持企业业务持续性为重点。另外,让风险可管理,让软件满足如信息安全等级保护、企业内部控制基本规范、SOX、ISO 2700X等要求。

  目前,企业在安全方面已经做了不少工作,比如做了合理的安全域规划;建立了有效的安全策略,;建立了信息系统安全管理等。那么,为安全做了这些是否已经足够了呢?杨黎表示,调查数据表明,这还不够。这体现在一些企业在安全上过于自信,缺乏考虑企业整体安全,同时还面临缺乏专业安全人员,安全投入是否有效的问题。这些都是企业在安全上的困境。

  杨黎表示,用友通过一系列的工作帮助企业摆脱安全困境:在软件产品上提供统一的安全配置管理、提高默认安全配置的安全级别、将一些可选项变为强制、提供多种不同安全级别的预置配置供选择;提供工具和服务,帮助企业通过安全检查来评估当前的安全状态,如安全配置检查、补丁检查、关键代码检查等等;此外,用友还提供企业提高其自身安全的方法,如建立安全知识库,帮助企业解决安全知识匮乏、经验不足的问题。通过这些安全服务帮助企业持续建设信息系统安全。

  此外,从企业信息安全建设全局考虑,为了解决目前很多企业由于信息系统复杂性形成的安全孤岛、防御体系脆弱的问题,用友UAP提出一个企业信息安全框架。杨黎表示,这个框架不同于前面提到的应用软件安全框架,它着眼于企业整体安全。用友UAP是通过分析企业信息安全构成要素,并根据业界信息安全标准以及多个企业的经验,提出这个经过高度抽象的、适用于各种类型企业的信息安全框架,并充分考虑了灵活性、可扩展性。该框架可以帮助企业了解自身信息安全的现状,便于企业分析安全建设的需求,为企业信息安全建设规划和实施提供指导和参照。为了最大程度地支撑企业信息安全框架,用友UAP统一应用平台对企业信息安全框架中应用安全、数据安全、终端安全、网络安全提供支持,并为安全运维和安全管理提供支撑。并且企业可以基于这个安全框架结合OWASP的项目快速建设自己的信息安全。(OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。它的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。)

  杨黎强调,信息安全建设是一个持续的过程,已经建立信息安全框架的企业仍要关注不断变化的安全风险。企业需要通过自我评估、持续学习、持续改进等措施保持企业信息安全框架的有效性。

    【免责声明】本文仅代表作者个人观点,与165平板网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件内容有任何疑问或质疑,请联系本网将迅速给您回应并做处理。