国家信息安全顾问金飞博士
金飞指出当前针对WEB应用进行攻击的手段越来越多,而我国目前百分之九十二的Web应用存在着安全缺陷,其中跨站脚本漏洞占到80%,SQL注入漏洞占到62%,参数篡改漏洞占到60%,Cookies毒化占到37%。2009年针对智能电表的蠕虫病毒已经出现,可以实现大面积供电系统瘫痪。智能电网所涉及的信息安全和设备安全已经成为一个必须应对的现实威胁。
金飞博士认为信息安全涉及企业各个方面和领域及岗位,内部管理所有环节都与信息安全息息相关。做好企业应用安全防护,必须建立在全生命周期信息安全运维模型方法论上。要制定好企业信息安全的目标,为组织内的软件安全建立统一的战略路线图,衡量数据和软件资产的相对价值,并选择风险容忍度,使安全成本与相关业务指标和资产价值相一致。
企业全生命周期信息安全运维要依托以下五步来实现。第一步要进行信息安全战略因素分析,要涉及企业业务运营与发展、企业风险抵御、行业监管政策与法规、企业信息技术环境的四个方面。第二步信息安全治理和企业安全管理组织建设,企业安全组织要由企业领导、信息官、业务代表、法律代表、信息人员以及外部专家组成。第三步信息安全绩效评价,借鉴国际最佳实践“平衡计分卡”的理念,并从信息安全角度进行客户化,构建由财务、客户、内部业务流程、学习与成长等相互联系的四个维度组成的绩效评价体系。第四步建设安全管理架构,从信息安全的方针、策略到安全管理的规范、程序、管理办法,再至信息安全的细则、指南、手册,最后是是信息安全政策和标准的实际执行结果的痕迹,解决的是安全管理落地的问题。
中国惠普公司技术服务部信息安全服务经理陈颢明做了“从IT全生命周期谈信息安全”主题演讲,从IT全生命周期及企业实践的角度再一次产品信息安全的周期性。
