近日，OWASP中国2013互联网安然手艺立异与成长岑岭论坛在上海召开。用友公司集体UAP中间受邀插手此次峰会，高级安然手艺设计师杨黎与大年夜家共享了用友在企业安然范畴的经验，经由过程阐发企业面对的安然挑战和采纳的应对办法，若何使安然不再成为企业的承担。

　　用友公司集体UAP中间高级安然手艺设计师杨黎

　　企业面对着来自外部和内部的两重挑战，查询拜访显示，企业面对的最大年夜安然挑战包含，预防安然缝隙的呈现、治理安然标题问题标复杂性、进步用户安然意识等。除此以外，企业还接见会面对如各类法案、律例、准则等合规要求。还有如移动手艺、云计较、社交媒体等各类新手艺，一样会为企业带来安然标题问题。杨黎暗示，这是因为这些新手艺有一个共同点，那就是冲破了企业传统的安然鸿沟。

　　作为软件供给商，起首要包管供给的软件产品本身的安然。杨黎分享了用友UAP所采取的安然包管过程。用友UAP采取安然开辟包管过程，这个过程包含安然培训、要求、设计、实施、验证、发布等阶段。每个阶段都标出了首要的安然勾当。用友UAP经由过程各个阶段的安然勾当来包管软件的质量。杨黎夸大年夜，企业必然要经由过程成立专门的安然组织包管这个过程的有效性。

　　杨黎暗示，利用软件必需成立安然框架用于撑持企业信息化安然。用友UAP的安然框架首要包含四层，一是软件生命周期安然二是根本举措措施安然;三是身份和拜候治理;四是合规。同时，用友UAP经由过程开放的软件框架撑持安然厂商的产品，可以简单快速地在软件中加进这些安然产品。

　　杨黎指出，安然应以企业营业为本，以撑持企业营业延续性为重点。别的，让风险可治理，让软件知足如信息安然等第呵护、企业内部节制根基规范、SOX、ISO 2700X等要求。

　　今朝，企业在安然方面已做了良多工作，好比做了合理的安然域打算;成立了有效的安然策略，;成立了信息系统安然治理等。那么，为安然做了这些是不是已足够了呢？杨黎暗示，查询拜访数据表白，这还不敷。这表此刻一些企业在安然上过于自傲，贫乏考虑企业整体安然，同时还面对贫乏专业安然人员，安然投进是不是有效的标题问题。这些都是企业在安然上的窘境。

　　杨黎暗示，用友经由过程一系列的工作帮忙企业摆脱安然窘境：在软件产品上供给统一的安然建设治理、进步默许安然建设的安然级别、将一些可选项变成强迫、供给多种不合安然级别的预置建设供选择;供给东西和办事，帮忙企业经由过程安然查抄来评估当前的安然状况，如安然建设查抄、补丁查抄、关头代码查抄等等;别的，用友还供给企业进步其本身安然的编制，如成立安然常识库，帮忙企业解决安然常识匮乏、经验不足的标题问题。经由过程这些安然办事帮忙企业延续扶植信息系统安然。

　　别的，从企业信息安然扶植全局考虑，为体味决今朝良多企业因为信息系统复杂性构成的安然孤岛、防御系统脆弱的标题问题，用友UAP提出一个企业信息安然框架。杨黎暗示，这个框架不合于前面提到的利用软件安然框架，它着眼于企业整体安然。用友UAP是经由过程阐发企业信息安然构成要素，并按照业界信息安然尺度和多个企业的经验，提出这个经太高度抽象的、合用于各类类型企业的信息安然框架，并充分考虑了矫捷性、可扩大性。该框架可以帮忙企业体味本身信息安然的近况，便于企业阐发安然扶植的需求，为企业信息安然扶植打算和实施供给指导和参照。为了最大年夜程度地撑持企业信息安然框架，用友UAP统一利用平台对企业信息安然框架中利用安然、数据安然、终端安然、收集安然供给撑持，并为安然运维和安然治理供给撑持。并且企业可以基于这个安然框架连络OWASP的项目快速扶植本身的信息安然。(OWASP是一个开源的、非盈利的全球性安然组织，致力于利用软件的安然研究。它的任务是使利用软件加倍安然，使企业和组织可以或许对利用安然风险作出更清晰的决定计划。)

　　杨黎夸大年夜，信息安然扶植是一个延续的过程，已成立信息安然框架的企业仍要存眷不竭改变的安然风险。企业需要经由过程自我评估、延续进修、延续改进等办法保持企业信息安然框架的有效性。