用友UAP杨黎：警惕新技术中潜在的安全问题

　　摘 要：尽管多数受访企业对自己的信息安全很有信心，但是实际上企业信息安全的状况并不乐观。用友UAP安全专家杨黎表示，这一方面是由于企业在人员、流程及技术在安全方面的结合上依然滞后，另一方面随着新技术的出现也为企业带来了新的风险。

　　随着信息化的加快，近年来企业信息安全越来越受到重视。尽管多数受访企业对自己的信息安全很有信心，但是实际上企业信息安全的状况并不乐观。用友UAP安全专家杨黎表示，这一方面是由于企业在人员、流程及技术在安全方面的结合上依然滞后，另一方面随着新技术的出现也为企业带来了新的风险。

　　从Ernst & Young的全球信息安全调查中可以看到，有63%的企业没有正式的安全框架，多数企业为了满足短期的信息安全需求，使用修补或简单叠加的变通方案。这样拼凑起来的防御体系松散、复杂且十分脆弱，存在巨大的安全隐患，使得变通方案难以理解、采用或升级。此外，受经济环境的影响，企业在安全方面的投入出现停滞或者减少，这使得企业信息安全能力在未来呈现下降的趋势。用友UAP安全专家杨黎指出，就目前而言，企业信息安全现状主要存在三个方面的挑战：企业信息系统缺乏完整有效的安全技术、缺少完善的信息安全管理制度、员工安全意识有待加强。

　　新技术的使用，如云计算、移动应用、社交等，对企业信息化带来很多新的应用和创新模式。“但同时，新技术对企业信息安全也产生巨大影响，这点是企业不可忽视的“用友UAP安全专家杨黎强调。

　　云计算能够让企业基于云服务的灵活性和适应性，提高企业解读和应对市场情况变化的能力。云计算创造众多市场机会的同时，也带来了新的风险。研究机构Gartner的云计算安全风险评估报告称，云计算需要进行安全风险评估的领域包括：数据完整性、数据恢复及隐私等。此外，还需对电子检索、可监管性及审计问题进行法律方面的评价。报告还列出了云计算面临的七大风险：特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持、长期生存性。

　　随着移动技术的进步，能够访问电子邮件和企业业务数据的移动应用得到广泛使用，是否在办公室办公已变得不那么重要，员工可以在移动设备上访问、存储敏感的企业数据和个人数据。移动技术给企业带来机遇的同时也带来了新的威胁，如：移动设备的数据泄露、网络攻击、恶意软件、设备丢失。

　　社交媒体已经成为产品开发、反馈、消费者交流与参与的关键渠道。它改变了企业与客户的联系方式，帮助企业建立品牌忠诚并实现更有效的营销，通过客户反馈帮助企业持续改进市场战略与定位。然而社交媒体在创造众多机遇的同时，也带来许多新的挑战，包括数据安全、隐私、监管与合规要求，以及员工在工作时间使用工作设备登录社交媒体产生的风险。

　　高级持续性威胁(APT：Advanced Persistent Threat)是指组织或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。用友UAP安全专家杨黎介绍，APT的主要特征是潜伏性和持续性。潜伏性是指APT可能在企业环境中存在一年以上或更久，攻击者不断收集各种信息，直到收集到重要情报。持续性是指APT攻击为期几个月甚至长达数年的特征，这让企业的管理人员无从察觉。针对APT攻击的特点，企业需要建立全面的安全防御体系，消除安全孤岛，使用强身份认证、敏感信息防泄露、网络立体监控和取证、安全事件监控响应、边界安全管控、漏洞扫描与发现、全系统日志收集和智能分析、反网络欺诈等多种手段防御APT攻击。然而，在GISS2012调查中，83%被调查的中国企业认为APT攻击将是企业的一个潜在安全问题，但只有不到28%的公司制定和实施了针对APT攻击的防护措施。

　　这些新技术之所以给企业带来新的威胁，原因在于它们有一个共同特点，那就是突破了企业传统的安全边界。

　　通过分析企业面临的安全威胁、企业信息安全现状、国内外信息安全标准，以及新技术对企业信息安全的影响，用友UAP提出一个企业信息安全框架，用于解决企业的信息安全问题。该框架着眼于企业整体安全，包括安全管理、安全运维、安全技术三个方面。用友UAP安全框架能够帮助企业了解自身信息安全的现状，便于企业分析安全建设的需求，为企业信息安全建设规划和实施提供指导和参照。同时，避免企业为了满足短期的信息安全需求而使用修补或简单叠加的方案，导致建立的信息安全体系松散、复杂、脆弱。

　　用友UAP信息安全框架

　　信息安全框架经过高度的抽象，适用于各种类型的企业或组织。该框架基于安全体系的基本要素(安全管理、安全运维、安全技术)建立，并充分考虑灵活性、可扩展性。信息安全建设是一个持续的过程，已经建立信息安全框架的企业仍要关注不断变化的安全风险。企业需要通过自我评估、持续学习、持续改进等措施保持信息安全框架的有效性。

　　用友UAP作为支撑大型企业和组织的计算平台，为信息安全提供全面支撑。在安全方面，用友UAP自身的设计、实现以及功能遵从行业标准和政府法规，如ISO/IEC 15408、信息安全等级保护(GB 17859)、信息技术安全性评估准则(GB/T 18336)、OWASP ASVS(应用安全验证标准)安全要求，并采用基于微软的安全开发生命周期作为UAP开发安全保证过程，以此保证软件产品安全质量。

　　在信息安全框架下，基于用友UAP搭建的信息系统并结合信息安全框架描述的其它安全措施，可以为企业或组织提供全面完整的安全保障。用友UAP通过自身的安全能力和安全特性，以及对企业信息安全框架的良好支持，可以有效降低企业的整体成本。用友UAP的安全特性包括安全功能、软件安全保证、安全服务等各方面的内容，涵盖了端到端的安全、软件生命周期安全。对企业信息安全框架的应用安全、数据安全、终端安全、网络安全提供支持，并为安全运维和安全管理提供支撑。

　　此外，据杨黎介绍，近期通过第三方的独立测评机构中国信息安全测评中心依据国标GB/T 18336—2008《信息技术 安全技术 信息技术安全性评估准则》对用友UAP进行分级评估，并获得了中国信息安全测评中心颁发的《信息技术产品安全测评证书，级别：EAL3+》。