您的位置:首页>>人物动态

用友UAP杨黎:警惕新技术中潜在的安全问题

发布时间:2014-09-02 12:17:25  来源:互联网    采编:即时新闻  背景:

  摘 要:尽管多数受访企业对自己的信息安全很有信心,但是实际上企业信息安全的状况并不乐观。用友UAP安全专家杨黎表示,这一方面是由于企业在人员、流程及技术在安全方面的结合上依然滞后,另一方面随着新技术的出现也为企业带来了新的风险。

  随着信息化的加快,近年来企业信息安全越来越受到重视。尽管多数受访企业对自己的信息安全很有信心,但是实际上企业信息安全的状况并不乐观。用友UAP安全专家杨黎表示,这一方面是由于企业在人员、流程及技术在安全方面的结合上依然滞后,另一方面随着新技术的出现也为企业带来了新的风险。

  从Ernst & Young的全球信息安全调查中可以看到,有63%的企业没有正式的安全框架,多数企业为了满足短期的信息安全需求,使用修补或简单叠加的变通方案。这样拼凑起来的防御体系松散、复杂且十分脆弱,存在巨大的安全隐患,使得变通方案难以理解、采用或升级。此外,受经济环境的影响,企业在安全方面的投入出现停滞或者减少,这使得企业信息安全能力在未来呈现下降的趋势。用友UAP安全专家杨黎指出,就目前而言,企业信息安全现状主要存在三个方面的挑战:企业信息系统缺乏完整有效的安全技术、缺少完善的信息安全管理制度、员工安全意识有待加强。

  新技术的使用,如云计算、移动应用、社交等,对企业信息化带来很多新的应用和创新模式。“但同时,新技术对企业信息安全也产生巨大影响,这点是企业不可忽视的“用友UAP安全专家杨黎强调。

  云计算能够让企业基于云服务的灵活性和适应性,提高企业解读和应对市场情况变化的能力。云计算创造众多市场机会的同时,也带来了新的风险。研究机构Gartner的云计算安全风险评估报告称,云计算需要进行安全风险评估的领域包括:数据完整性、数据恢复及隐私等。此外,还需对电子检索、可监管性及审计问题进行法律方面的评价。报告还列出了云计算面临的七大风险:特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持、长期生存性。

  随着移动技术的进步,能够访问电子邮件和企业业务数据的移动应用得到广泛使用,是否在办公室办公已变得不那么重要,员工可以在移动设备上访问、存储敏感的企业数据和个人数据。移动技术给企业带来机遇的同时也带来了新的威胁,如:移动设备的数据泄露、网络攻击、恶意软件、设备丢失。

  社交媒体已经成为产品开发、反馈、消费者交流与参与的关键渠道。它改变了企业与客户的联系方式,帮助企业建立品牌忠诚并实现更有效的营销,通过客户反馈帮助企业持续改进市场战略与定位。然而社交媒体在创造众多机遇的同时,也带来许多新的挑战,包括数据安全、隐私、监管与合规要求,以及员工在工作时间使用工作设备登录社交媒体产生的风险。

  高级持续性威胁(APT:Advanced Persistent Threat)是指组织或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。用友UAP安全专家杨黎介绍,APT的主要特征是潜伏性和持续性。潜伏性是指APT可能在企业环境中存在一年以上或更久,攻击者不断收集各种信息,直到收集到重要情报。持续性是指APT攻击为期几个月甚至长达数年的特征,这让企业的管理人员无从察觉。针对APT攻击的特点,企业需要建立全面的安全防御体系,消除安全孤岛,使用强身份认证、敏感信息防泄露、网络立体监控和取证、安全事件监控响应、边界安全管控、漏洞扫描与发现、全系统日志收集和智能分析、反网络欺诈等多种手段防御APT攻击。然而,在GISS2012调查中,83%被调查的中国企业认为APT攻击将是企业的一个潜在安全问题,但只有不到28%的公司制定和实施了针对APT攻击的防护措施。

  这些新技术之所以给企业带来新的威胁,原因在于它们有一个共同特点,那就是突破了企业传统的安全边界。

 

  通过分析企业面临的安全威胁、企业信息安全现状、国内外信息安全标准,以及新技术对企业信息安全的影响,用友UAP提出一个企业信息安全框架,用于解决企业的信息安全问题。该框架着眼于企业整体安全,包括安全管理、安全运维、安全技术三个方面。用友UAP安全框架能够帮助企业了解自身信息安全的现状,便于企业分析安全建设的需求,为企业信息安全建设规划和实施提供指导和参照。同时,避免企业为了满足短期的信息安全需求而使用修补或简单叠加的方案,导致建立的信息安全体系松散、复杂、脆弱。

  用友UAP信息安全框架

  信息安全框架经过高度的抽象,适用于各种类型的企业或组织。该框架基于安全体系的基本要素(安全管理、安全运维、安全技术)建立,并充分考虑灵活性、可扩展性。信息安全建设是一个持续的过程,已经建立信息安全框架的企业仍要关注不断变化的安全风险。企业需要通过自我评估、持续学习、持续改进等措施保持信息安全框架的有效性。

  用友UAP作为支撑大型企业和组织的计算平台,为信息安全提供全面支撑。在安全方面,用友UAP自身的设计、实现以及功能遵从行业标准和政府法规,如ISO/IEC 15408、信息安全等级保护(GB 17859)、信息技术安全性评估准则(GB/T 18336)、OWASP ASVS(应用安全验证标准)安全要求,并采用基于微软的安全开发生命周期作为UAP开发安全保证过程,以此保证软件产品安全质量。

  在信息安全框架下,基于用友UAP搭建的信息系统并结合信息安全框架描述的其它安全措施,可以为企业或组织提供全面完整的安全保障。用友UAP通过自身的安全能力和安全特性,以及对企业信息安全框架的良好支持,可以有效降低企业的整体成本。用友UAP的安全特性包括安全功能、软件安全保证、安全服务等各方面的内容,涵盖了端到端的安全、软件生命周期安全。对企业信息安全框架的应用安全、数据安全、终端安全、网络安全提供支持,并为安全运维和安全管理提供支撑。

  此外,据杨黎介绍,近期通过第三方的独立测评机构中国信息安全测评中心依据国标GB/T 18336—2008《信息技术 安全技术 信息技术安全性评估准则》对用友UAP进行分级评估,并获得了中国信息安全测评中心颁发的《信息技术产品安全测评证书,级别:EAL3+》。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
观脉科技CTO苗权:SD-WAN的本质是“技术+产品+服务+运营+销售”
SD-WAN,即软件定义广域网,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔...
日期:11-23
百度首席安全科学家韦韬做客第一财经:数据安全AI捍卫
AI时代,互联网和大数据已然融入到你我工作、生活之中,带来便利的同时,公众对于包括个人隐私在内...
日期:11-22
出门问问工程副总裁黄美玉博士入选IEEE Fellow
IEEE(国际电子电气工程协会)2019年的Fellow(院士)评选结果将于2019年1月1日正式生效,但记者刚刚获...
日期:11-22
今日头条CEO陈林:头条内部没有广告KPI ,欢迎行业良性竞争
11月17日,今日头条“创作者大会”更名为“生机大会”之后首次举办。在生机大...
日期:11-21
途鸽创始人、董事长张衡荣获 “企业家年度人物”
9月8日-9日,华中科技大学第11届校友企业家论坛暨第四届互联网论坛在北京举行,主题为“变化与...
日期:11-21
罗永浩回应酷派子公司起诉;华为已出货1万个5G基站
最近风波不断的锤子科技又被报道遭到了酷派旗下子公司宇龙的起诉,罗永浩昨晚发微博称“正在和...
日期:11-21
马化腾:腾讯走到今天,首先应该归功于这个时代
今年全国两会期间,腾讯公司董事会主席兼首席执行官马化腾称,微信全球月使用活跃用户数已突破10亿...
日期:11-20
今日头条CEO陈林:优质内容将胜出,低质信息将无路可走
11月17日,今日头条CEO陈林在生机大会上发表主题演讲,表示:随着内容行业的发展,优质内容将胜出,...
日期:11-20
华为王安宇:推动安卓绿色联盟成为行业标准,让技术服务于人
11月16日,首届安卓绿色联盟开发者大会在北京圆满落下帷幕。本届大会可谓是精英云集,阵容豪华。作...
日期:11-20
陈生强:共建才能发挥“产业X科技”的乘数效应
11月20日,由京东集团、京东金融联合主办的JDD-2018京东数字科技全球探索者大会隆重开幕。来自科技...
日期:11-20
今日头条CEO陈林:今日头条的关键词是“价值”
11月17月,今日头条生机大会在京举办。今日头条CEO陈林在大会上透露了,2018年4月,今日头条升级slo...
日期:11-20
今日头条CEO陈林:用户对优质内容的需求不断在提升
近日,2018今日头条生机大会举办。今日头条CEO陈林发表主题演讲,分享了他对内容行业的观察认知。陈...
日期:11-20
51Talk 人力副总裁王嵋GET大会剖析在线教育企业管理之道
11月15日,GET 2018教育科技大会在京闭幕,来自全球34个国家的328位教育领袖及数万名行业人员出席,...
日期:11-20
再获殊荣!e成科技CEO及总裁荣膺中国人力资源科技TOP人物
11月16日,e成科技受邀参加HRTech China在上海举办的的2018中国人力资源科技博览会。在活动当日进行...
日期:11-19
苹果CEO库克:科技公司不可为所欲为
一直以来,苹果在一些事情的处理器都严格执行着自己的底线,比如不会给政府留数据后门,比如对用户...
日期:11-19
百度安全马杰:AI思维重塑安全边界 七种武器助力开放生态
AI会让世界变得更好吗?
  这是11月16日,百度安全总经理马杰在天府2018国际网络安全高峰论坛...
日期:11-16
51Talk CEO黄佳佳出席GET大会:普惠式教育是在线教育的未来
11月13日,备受瞩目的GET2018教育科技大会在北京国际会议中心拉开序幕,GET大会由教育科技媒体芥末...
日期:11-16
广东省委书记李希、省长马兴瑞一行调研佳都科技
11月12日,中央政治局委员、广东省委书记李希,广东省委副书记、省长马兴瑞等领导在陪同河北省党政...
日期:11-16
联想常程:Z5Pro在加紧备货 发誓不做猴王
11月16日,上个月底,三款采用了滑盖结构的智能手机小米MIX3、荣耀Magic2以及联想Z5Pro相继发布。其...
日期:11-16
亚马逊CEO贝佐斯:亚马逊终会失败,我们的工作是尽可能拖延它
11月16日,近日,亚马逊CEO杰夫·贝佐斯向全体员工表示了自己对于亚马逊未来的想法。在上周四...
日期:11-16