金飛：拿什么拯救你，信息安全

2013-10-16 17:35:12 EP電力信息化網(wǎng)　點(diǎn)擊量：評論 (0)

國家信息安全顧問金飛博士金飛指出當(dāng)前針對WEB應(yīng)用進(jìn)行攻擊的手段越來越多，

國家信息安全顧問金飛博士

金飛指出當(dāng)前針對WEB應(yīng)用進(jìn)行攻擊的手段越來越多，而我國目前百分之九十二的Web應(yīng)用存在著安全缺陷，其中跨站腳本漏洞占到80%，SQL注入漏洞占到62%，參數(shù)篡改漏洞占到60%，Cookies毒化占到37%。2009年針對智能電表的蠕蟲病毒已經(jīng)出現(xiàn)，可以實(shí)現(xiàn)大面積供電系統(tǒng)癱瘓。智能電網(wǎng)所涉及的信息安全和設(shè)備安全已經(jīng)成為一個必須應(yīng)對的現(xiàn)實(shí)威脅。
金飛博士認(rèn)為信息安全涉及企業(yè)各個方面和領(lǐng)域及崗位，內(nèi)部管理所有環(huán)節(jié)都與信息安全息息相關(guān)。做好企業(yè)應(yīng)用安全防護(hù)，必須建立在全生命周期信息安全運(yùn)維模型方法論上。要制定好企業(yè)信息安全的目標(biāo)，為組織內(nèi)的軟件安全建立統(tǒng)一的戰(zhàn)略路線圖，衡量數(shù)據(jù)和軟件資產(chǎn)的相對價值，并選擇風(fēng)險容忍度，使安全成本與相關(guān)業(yè)務(wù)指標(biāo)和資產(chǎn)價值相一致。
企業(yè)全生命周期信息安全運(yùn)維要依托以下五步來實(shí)現(xiàn)。第一步要進(jìn)行信息安全戰(zhàn)略因素分析，要涉及企業(yè)業(yè)務(wù)運(yùn)營與發(fā)展、企業(yè)風(fēng)險抵御、行業(yè)監(jiān)管政策與法規(guī)、企業(yè)信息技術(shù)環(huán)境的四個方面。第二步信息安全治理和企業(yè)安全管理組織建設(shè)，企業(yè)安全組織要由企業(yè)領(lǐng)導(dǎo)、信息官、業(yè)務(wù)代表、法律代表、信息人員以及外部專家組成。第三步信息安全績效評價，借鑒國際最佳實(shí)踐“平衡計分卡”的理念，并從信息安全角度進(jìn)行客戶化，構(gòu)建由財務(wù)、客戶、內(nèi)部業(yè)務(wù)流程、學(xué)習(xí)與成長等相互聯(lián)系的四個維度組成的績效評價體系。第四步建設(shè)安全管理架構(gòu)，從信息安全的方針、策略到安全管理的規(guī)范、程序、管理辦法，再至信息安全的細(xì)則、指南、手冊，最后是是信息安全政策和標(biāo)準(zhǔn)的實(shí)際執(zhí)行結(jié)果的痕跡，解決的是安全管理落地的問題。

中國惠普公司技術(shù)服務(wù)部信息安全服務(wù)經(jīng)理陳顥明做了“從IT全生命周期談信息安全”主題演講，從IT全生命周期及企業(yè)實(shí)踐的角度再一次產(chǎn)品信息安全的周期性。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊