摘要：盡管多數(shù)受訪企業(yè)對(duì)自己的信息安全很有信心，但是實(shí)際上企業(yè)信息安全的狀況并不樂(lè)觀。用友UAP安全專家楊黎表示，這一方面是由于企業(yè)在人員、流程及技術(shù)在安全方面的結(jié)合上依然滯后，另一方面隨著新技術(shù)的出現(xiàn)也為企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)。

隨著信息化的加快，近年來(lái)企業(yè)信息安全越來(lái)越受到重視。盡管多數(shù)受訪企業(yè)對(duì)自己的信息安全很有信心，但是實(shí)際上企業(yè)信息安全的狀況并不樂(lè)觀。用友UAP安全專家楊黎表示，這一方面是由于企業(yè)在人員、流程及技術(shù)在安全方面的結(jié)合上依然滯后，另一方面隨著新技術(shù)的出現(xiàn)也為企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)。

從Ernst &Young的全球信息安全調(diào)查中可以看到，有63%的企業(yè)沒(méi)有正式的安全框架，多數(shù)企業(yè)為了滿足短期的信息安全需求，使用修補(bǔ)或簡(jiǎn)單疊加的變通方案。這樣拼湊起來(lái)的防御體系松散、復(fù)雜且十分脆弱，存在巨大的安全隱患，使得變通方案難以理解、采用或升級(jí)。此外，受經(jīng)濟(jì)環(huán)境的影響，企業(yè)在安全方面的投入出現(xiàn)停滯或者減少，這使得企業(yè)信息安全能力在未來(lái)呈現(xiàn)下降的趨勢(shì)。用友UAP安全專家楊黎指出，就目前而言，企業(yè)信息安全現(xiàn)狀主要存在三個(gè)方面的挑戰(zhàn)：企業(yè)信息系統(tǒng)缺乏完整有效的安全技術(shù)、缺少完善的信息安全管理制度、員工安全意識(shí)有待加強(qiáng)。

新技術(shù)的使用，如云計(jì)算、移動(dòng)應(yīng)用、社交等，對(duì)企業(yè)信息化帶來(lái)很多新的應(yīng)用和創(chuàng)新模式。“但同時(shí)，新技術(shù)對(duì)企業(yè)信息安全也產(chǎn)生巨大影響，這點(diǎn)是企業(yè)不可忽視的“用友UAP安全專家楊黎強(qiáng)調(diào)。

云計(jì)算能夠讓企業(yè)基于云服務(wù)的靈活性和適應(yīng)性，提高企業(yè)解讀和應(yīng)對(duì)市場(chǎng)情況變化的能力。云計(jì)算創(chuàng)造眾多市場(chǎng)機(jī)會(huì)的同時(shí)，也帶來(lái)了新的風(fēng)險(xiǎn)。研究機(jī)構(gòu)Gartner的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估報(bào)告稱，云計(jì)算需要進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的領(lǐng)域包括：數(shù)據(jù)完整性、數(shù)據(jù)恢復(fù)及隱私等。此外，還需對(duì)電子檢索、可監(jiān)管性及審計(jì)問(wèn)題進(jìn)行法律方面的評(píng)價(jià)。報(bào)告還列出了云計(jì)算面臨的七大風(fēng)險(xiǎn)：特權(quán)用戶的接入、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持、長(zhǎng)期生存性。

隨著移動(dòng)技術(shù)的進(jìn)步，能夠訪問(wèn)電子郵件和企業(yè)業(yè)務(wù)數(shù)據(jù)的移動(dòng)應(yīng)用得到廣泛使用，是否在辦公室辦公已變得不那么重要，員工可以在移動(dòng)設(shè)備上訪問(wèn)、存儲(chǔ)敏感的企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)。移動(dòng)技術(shù)給企業(yè)帶來(lái)機(jī)遇的同時(shí)也帶來(lái)了新的威脅，如：移動(dòng)設(shè)備的數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊、惡意軟件、設(shè)備丟失。

社交媒體已經(jīng)成為產(chǎn)品開(kāi)發(fā)、反饋、消費(fèi)者交流與參與的關(guān)鍵渠道。它改變了企業(yè)與客戶的聯(lián)系方式，幫助企業(yè)建立品牌忠誠(chéng)并實(shí)現(xiàn)更有效的營(yíng)銷，通過(guò)客戶反饋幫助企業(yè)持續(xù)改進(jìn)市場(chǎng)戰(zhàn)略與定位。然而社交媒體在創(chuàng)造眾多機(jī)遇的同時(shí)，也帶來(lái)許多新的挑戰(zhàn)，包括數(shù)據(jù)安全、隱私、監(jiān)管與合規(guī)要求，以及員工在工作時(shí)間使用工作設(shè)備登錄社交媒體產(chǎn)生的風(fēng)險(xiǎn)。

高級(jí)持續(xù)性威脅(APT：Advanced Persistent Threat)是指組織或者小團(tuán)體使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。用友UAP安全專家楊黎介紹，APT的主要特征是潛伏性和持續(xù)性。潛伏性是指APT可能在企業(yè)環(huán)境中存在一年以上或更久，攻擊者不斷收集各種信息，直到收集到重要情報(bào)。持續(xù)性是指APT攻擊為期幾個(gè)月甚至長(zhǎng)達(dá)數(shù)年的特征，這讓企業(yè)的管理人員無(wú)從察覺(jué)。針對(duì)APT攻擊的特點(diǎn)，企業(yè)需要建立全面的安全防御體系，消除安全孤島，使用強(qiáng)身份認(rèn)證、敏感信息防泄露、網(wǎng)絡(luò)立體監(jiān)控和取證、安全事件監(jiān)控響應(yīng)、邊界安全管控、漏洞掃描與發(fā)現(xiàn)、全系統(tǒng)日志收集和智能分析、反網(wǎng)絡(luò)欺詐等多種手段防御APT攻擊。然而，在GISS2012調(diào)查中，83%被調(diào)查的中國(guó)企業(yè)認(rèn)為APT攻擊將是企業(yè)的一個(gè)潛在安全問(wèn)題，但只有不到28%的公司制定和實(shí)施了針對(duì)APT攻擊的防護(hù)措施。

[page]

這些新技術(shù)之所以給企業(yè)帶來(lái)新的威脅，原因在于它們有一個(gè)共同特點(diǎn)，那就是突破了企業(yè)傳統(tǒng)的安全邊界。

通過(guò)分析企業(yè)面臨的安全威脅、企業(yè)信息安全現(xiàn)狀、國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)，以及新技術(shù)對(duì)企業(yè)信息安全的影響，用友UAP提出一個(gè)企業(yè)信息安全框架，用于解決企業(yè)的信息安全問(wèn)題。該框架著眼于企業(yè)整體安全，包括安全管理、安全運(yùn)維、安全技術(shù)三個(gè)方面。用友UAP安全框架能夠幫助企業(yè)了解自身信息安全的現(xiàn)狀，便于企業(yè)分析安全建設(shè)的需求，為企業(yè)信息安全建設(shè)規(guī)劃和實(shí)施提供指導(dǎo)和參照。同時(shí)，避免企業(yè)為了滿足短期的信息安全需求而使用修補(bǔ)或簡(jiǎn)單疊加的方案，導(dǎo)致建立的信息安全體系松散、復(fù)雜、脆弱。

用友UAP信息安全框架

信息安全框架經(jīng)過(guò)高度的抽象，適用于各種類型的企業(yè)或組織。該框架基于安全體系的基本要素(安全管理、安全運(yùn)維、安全技術(shù))建立，并充分考慮靈活性、可擴(kuò)展性。信息安全建設(shè)是一個(gè)持續(xù)的過(guò)程，已經(jīng)建立信息安全框架的企業(yè)仍要關(guān)注不斷變化的安全風(fēng)險(xiǎn)。企業(yè)需要通過(guò)自我評(píng)估、持續(xù)學(xué)習(xí)、持續(xù)改進(jìn)等措施保持信息安全框架的有效性。

用友UAP作為支撐大型企業(yè)和組織的計(jì)算平臺(tái)，為信息安全提供全面支撐。在安全方面，用友UAP自身的設(shè)計(jì)、實(shí)現(xiàn)以及功能遵從行業(yè)標(biāo)準(zhǔn)和政府法規(guī)，如ISO/IEC 15408、信息安全等級(jí)保護(hù)(GB 17859)、信息技術(shù)安全性評(píng)估準(zhǔn)則(GB/T 18336)、OWASP ASVS(應(yīng)用安全驗(yàn)證標(biāo)準(zhǔn))安全要求，并采用基于微軟的安全開(kāi)發(fā)生命周期作為UAP開(kāi)發(fā)安全保證過(guò)程，以此保證軟件產(chǎn)品安全質(zhì)量。

在信息安全框架下，基于用友UAP搭建的信息系統(tǒng)并結(jié)合信息安全框架描述的其它安全措施，可以為企業(yè)或組織提供全面完整的安全保障。用友UAP通過(guò)自身的安全能力和安全特性，以及對(duì)企業(yè)信息安全框架的良好支持，可以有效降低企業(yè)的整體成本。用友UAP的安全特性包括安全功能、軟件安全保證、安全服務(wù)等各方面的內(nèi)容，涵蓋了端到端的安全、軟件生命周期安全。對(duì)企業(yè)信息安全框架的應(yīng)用安全、數(shù)據(jù)安全、終端安全、網(wǎng)絡(luò)安全提供支持，并為安全運(yùn)維和安全管理提供支撐。

此外，據(jù)楊黎介紹，近期通過(guò)第三方的獨(dú)立測(cè)評(píng)機(jī)構(gòu)中國(guó)信息安全測(cè)評(píng)中心依據(jù)國(guó)標(biāo)GB/T 18336—2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》對(duì)用友UAP進(jìn)行分級(jí)評(píng)估，并獲得了中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的《信息技術(shù)產(chǎn)品安全測(cè)評(píng)證書，級(jí)別：EAL3+》。