用友公司集團UAP中心高級安全技術設計師楊黎

       企業面臨著來自外部和內部的雙重挑戰，調查顯示，企業面臨的最大安全挑戰包括，預防安全漏洞的出現、管理安全問題的復雜性、提高用戶安全意識等。除此之外，企業還會面臨如各種法案、法規、準則等合規要求。還有如移動技術、云計算、社交媒體等各種新技術，同樣會為企業帶來安全問題。楊黎表示，這是因為這些新技術有一個共同點，那就是突破了企業傳統的安全邊界。
       作為軟件提供商，首先要保證提供的軟件產品自身的安全。楊黎分享了用友UAP所采用的安全保證過程。用友UAP采用安全開發保證過程，這個過程包括安全培訓、要求、設計、實施、驗證、發布等階段。每個階段都標出了主要的安全活動。用友UAP通過各個階段的安全活動來保證軟件的質量。楊黎強調，企業一定要通過建立專門的安全組織保證這個過程的有效性。
       楊黎表示，應用軟件必須建立安全框架用于支撐企業信息化安全。用友UAP的安全框架主要包括四層，一是軟件生命周期安全二是基礎設施安全;三是身份和訪問管理;四是合規。同時，用友UAP通過開放的軟件框架支持安全廠商的產品，可以簡單快速地在軟件中加入這些安全產品。
       楊黎指出，安全應以企業業務為本，以支持企業業務持續性為重點。另外，讓風險可管理，讓軟件滿足如信息安全等級保護、企業內部控制基本規范、SOX、ISO 2700X等要求。
       目前，企業在安全方面已經做了不少工作，比如做了合理的安全域規劃;建立了有效的安全策略，;建立了信息系統安全管理等。那么，為安全做了這些是否已經足夠了呢？楊黎表示，調查數據表明，這還不夠。這體現在一些企業在安全上過于自信，缺乏考慮企業整體安全，同時還面臨缺乏專業安全人員，安全投入是否有效的問題。這些都是企業在安全上的困境。
       楊黎表示，用友通過一系列的工作幫助企業擺脫安全困境：在軟件產品上提供統一的安全配置管理、提高默認安全配置的安全級別、將一些可選項變為強制、提供多種不同安全級別的預置配置供選擇;提供工具和服務，幫助企業通過安全檢查來評估當前的安全狀態，如安全配置檢查、補丁檢查、關鍵代碼檢查等等;此外，用友還提供企業提高其自身安全的方法，如建立安全知識庫，幫助企業解決安全知識匱乏、經驗不足的問題。通過這些安全服務幫助企業持續建設信息系統安全。
       此外，從企業信息安全建設全局考慮，為了解決目前很多企業由于信息系統復雜性形成的安全孤島、防御體系脆弱的問題，用友UAP提出一個企業信息安全框架。楊黎表示，這個框架不同于前面提到的應用軟件安全框架，它著眼于企業整體安全。用友UAP是通過分析企業信息安全構成要素，并根據業界信息安全標準以及多個企業的經驗，提出這個經過高度抽象的、適用于各種類型企業的信息安全框架，并充分考慮了靈活性、可擴展性。該框架可以幫助企業了解自身信息安全的現狀，便于企業分析安全建設的需求，為企業信息安全建設規劃和實施提供指導和參照。為了最大程度地支撐企業信息安全框架，用友UAP統一應用平臺對企業信息安全框架中應用安全、數據安全、終端安全、網絡安全提供支持，并為安全運維和安全管理提供支撐。并且企業可以基于這個安全框架結合OWASP的項目快速建設自己的信息安全。(OWASP是一個開源的、非盈利的全球性安全組織，致力于應用軟件的安全研究。它的使命是使應用軟件更加安全，使企業和組織能夠對應用安全風險作出更清晰的決策。
       楊黎強調，信息安全建設是一個持續的過程，已經建立信息安全框架的企業仍要關注不斷變化的安全風險。企業需要通過自我評估、持續學習、持續改進等措施保持企業信息安全框架的有效性。