软件产品如何减轻企业安全负担

用友公司集团UAP中心高级安全技术设计师杨黎

       企业面临着来自外部和内部的双重挑战，调查显示，企业面临的最大安全挑战包括，预防安全漏洞的出现、管理安全问题的复杂性、提高用户安全意识等。除此之外，企业还会面临如各种法案、法规、准则等合规要求。还有如移动技术、云计算、社交媒体等各种新技术，同样会为企业带来安全问题。杨黎表示，这是因为这些新技术有一个共同点，那就是突破了企业传统的安全边界。
       作为软件提供商，首先要保证提供的软件产品自身的安全。杨黎分享了用友UAP所采用的安全保证过程。用友UAP采用安全开发保证过程，这个过程包括安全培训、要求、设计、实施、验证、发布等阶段。每个阶段都标出了主要的安全活动。用友UAP通过各个阶段的安全活动来保证软件的质量。杨黎强调，企业一定要通过建立专门的安全组织保证这个过程的有效性。
       杨黎表示，应用软件必须建立安全框架用于支撑企业信息化安全。用友UAP的安全框架主要包括四层，一是软件生命周期安全二是基础设施安全;三是身份和访问管理;四是合规。同时，用友UAP通过开放的软件框架支持安全厂商的产品，可以简单快速地在软件中加入这些安全产品。
       杨黎指出，安全应以企业业务为本，以支持企业业务持续性为重点。另外，让风险可管理，让软件满足如信息安全等级保护、企业内部控制基本规范、SOX、ISO 2700X等要求。
       目前，企业在安全方面已经做了不少工作，比如做了合理的安全域规划;建立了有效的安全策略，;建立了信息系统安全管理等。那么，为安全做了这些是否已经足够了呢？杨黎表示，调查数据表明，这还不够。这体现在一些企业在安全上过于自信，缺乏考虑企业整体安全，同时还面临缺乏专业安全人员，安全投入是否有效的问题。这些都是企业在安全上的困境。
       杨黎表示，用友通过一系列的工作帮助企业摆脱安全困境：在软件产品上提供统一的安全配置管理、提高默认安全配置的安全级别、将一些可选项变为强制、提供多种不同安全级别的预置配置供选择;提供工具和服务，帮助企业通过安全检查来评估当前的安全状态，如安全配置检查、补丁检查、关键代码检查等等;此外，用友还提供企业提高其自身安全的方法，如建立安全知识库，帮助企业解决安全知识匮乏、经验不足的问题。通过这些安全服务帮助企业持续建设信息系统安全。
       此外，从企业信息安全建设全局考虑，为了解决目前很多企业由于信息系统复杂性形成的安全孤岛、防御体系脆弱的问题，用友UAP提出一个企业信息安全框架。杨黎表示，这个框架不同于前面提到的应用软件安全框架，它着眼于企业整体安全。用友UAP是通过分析企业信息安全构成要素，并根据业界信息安全标准以及多个企业的经验，提出这个经过高度抽象的、适用于各种类型企业的信息安全框架，并充分考虑了灵活性、可扩展性。该框架可以帮助企业了解自身信息安全的现状，便于企业分析安全建设的需求，为企业信息安全建设规划和实施提供指导和参照。为了最大程度地支撑企业信息安全框架，用友UAP统一应用平台对企业信息安全框架中应用安全、数据安全、终端安全、网络安全提供支持，并为安全运维和安全管理提供支撑。并且企业可以基于这个安全框架结合OWASP的项目快速建设自己的信息安全。(OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。它的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。
       杨黎强调，信息安全建设是一个持续的过程，已经建立信息安全框架的企业仍要关注不断变化的安全风险。企业需要通过自我评估、持续学习、持续改进等措施保持企业信息安全框架的有效性。