用友uap杨黎：警惕新技术中潜在的安全问题.docx

用友UAP杨黎：警惕新技术中潜 在的安全问题 用友UAP杨黎：警惕新技术中潜 在的安全问题 关键词：用友 UAP ，杨黎，安全框架，安全认证 摘 要：尽管多数受访企业对自己的信息安全很有 信心，但是实际上企业信息安全的状况并不乐观。 用 友 UAP 安全专家杨黎表示，这一方面是由于企业在 人员、流程及技术在安全方面的结合上依然滞后， 另 一方面随着新技术的出现也为企业带来了新的风险。 随着信息化的加快， 近年来企业信息安全越来越受 到重视。尽管多数受访企业对自己的信息安全很有信 心，但是实际上企业信息安全的状况并不乐观。 用友 UAP 安全专家杨黎表示，这一方面是由于企业在人 员、流程及技术在安全方面的结合上依然滞后， 另一 方面随着新技术的出现也为企业带来了新的风险。 从 Ernst Young 的全球信息安全调查中可以看 到，有 63% 的企业没有正式的安全框架，多数企业 为了满足短期的信息安全需求， 使用修补或简单叠加 的变通方案。 这样拼凑起来的防御体系松散、 复杂且 十分脆弱， 存在巨大的安全隐患， 使得变通方案难以 理解、采用或升级。此外，受经济环境的影响，企业 在安全方面的投入出现停滞或者减少， 这使得企业信 息安全能力在未来呈现下降的趋势。用友 UAP 安全 专家杨黎指出， 就目前而言， 企业信息安全现状主要 存在三个方面的挑战： 企业信息系统缺乏完整有效的 安全技术、 缺少完善的信息安全管理制度、 员工安全 意识有待加强。 新技术的使用，如云计算、移动应用、社交等，对 企业信息化带来很多新的应用和创新模式。“但同 时，新技术对企业信息安全也产生巨大影响， 这点是 企业不可忽视的“用友 UAP 安全专家杨黎强调。 云计算能够让企业基于云服务的灵活性和适应性， 提高企业解读和应对市场情况变化的能力。 云计算创 造众多市场机会的同时， 也带来了新的风险。 研究机 构 Gartner 的云计算安全风险评估报告称，云计算 需要进行安全风险评估的领域包括： 数据完整性、 数 据恢复及隐私等。此外，还需对电子检索、可监管性 及审计问题进行法律方面的评价。 报告还列出了云计 算面临的七大风险：特权用户的接入、可审查性、数 据位置、数据隔离、数据恢复、调查支持、长期生存 性。 ， 如：移动设备的数据恶意软件、设备丢失。 反馈、消费者交流与 ， 如：移动设备的数据 恶意软件、设备丢失。 反馈、消费者交流与 、 、 —— —— 」 .、 联系方式， 营销， 通过客 。 然而社交 社交媒体已经成为产品开发、 参与的关键渠道。它改变了企业与客户的联系方式 帮助企业建立品牌忠诚并实现更有效的 户反馈帮助企业持续改进市场战略与定位 媒体在创造众多机遇的同时，也带来许多新的挑战， 包括数据安全、隐私、监管与合规要求，以及员工在 工作时间使用工作设备登录社交媒体产生的风险。 在一年以上或更久， 攻击者不断收集各种信息，直到高级持续性威胁( APT ： Advanced Persistent Threat )是指组织或者小团体使用先进的攻击手段 对特定目标进行长期持续性网络攻击的攻击形式。 用 友 UAP 安全专家杨黎介绍， APT 的主要特征是潜伏 性和持续性。潜伏性是指 APT 可能在企业环境中存 在一年以上或更久， 攻击者不断收集各种信息， 直到 网络立体监控和取证、 安全事件监控响收集到重要情报。持续性是指 APT 攻击为期几个月 甚至长达数年的特征，这让企业的管理人员无从察 觉。针对 APT 攻击的特点，企业需要建立全面的安 全防御体系，消除安全孤岛，使用强身份认证、敏感 信息防泄露、 网络立体监控和取证、 安全事件监控响 应、边界安全管控、漏洞扫描与发现、全系统日志收 集和智能分析、反网络欺诈等多种手段防御 APT 攻 击。然而，在 GISS2012 调查中， 83% 被调查的中 国企业认为 APT 攻击将是企业的一个潜在安全问 题，但只有不到 28% 的公司制定和实施了针对 APT 攻击的防护措施。 网络立体监控和取证、 安全事件监控响 这些新技术之所以给企业带来新的威胁， 原因在于 它们有一个共同特点， 那就是突破了企业传统的安全 边界。 通过分析企业面临的安全威胁、亠企业信息安全现、 状、国内外信息安全标准 以及新技术对企业信息安 全的影响，用友、UAP提出一个企业信息安全框架， 用于解决企业的信息安全冋题。该框架着眼于企业整 体安全，包括安全管理、安全运维、安全技术三个方 面。用友UAP安全框架能够帮助企业了解自身信息 安全骨理 安全佥规 安伞韻略轻瑾 凤笳墀 安全运维 安全事件管雀 合作和洶通 揑 斑H■（铀 翌全嘲牛审 It 安全检直 空妙㈣艮务 空全何豳吿 安全技术 槪理安全 网络克全 应用安全 數鹽安全 址端