金飛：拿什么拯救你，信息安全

2013-10-16 17:35:12 EP電力信息化網(wǎng)　點擊量：評論 (0)

國家信息安全顧問金飛博士金飛指出當前針對WEB應(yīng)用進行攻擊的手段越來越多，

國家信息安全顧問金飛博士

金飛指出當前針對WEB應(yīng)用進行攻擊的手段越來越多，而我國目前百分之九十二的Web應(yīng)用存在著安全缺陷，其中跨站腳本漏洞占到80%，SQL注入漏洞占到62%，參數(shù)篡改漏洞占到60%，Cookies毒化占到37%。2009年針對智能電表的蠕蟲病毒已經(jīng)出現(xiàn)，可以實現(xiàn)大面積供電系統(tǒng)癱瘓。智能電網(wǎng)所涉及的信息安全和設(shè)備安全已經(jīng)成為一個必須應(yīng)對的現(xiàn)實威脅。
金飛博士認為信息安全涉及企業(yè)各個方面和領(lǐng)域及崗位，內(nèi)部管理所有環(huán)節(jié)都與信息安全息息相關(guān)。做好企業(yè)應(yīng)用安全防護，必須建立在全生命周期信息安全運維模型方法論上。要制定好企業(yè)信息安全的目標，為組織內(nèi)的軟件安全建立統(tǒng)一的戰(zhàn)略路線圖，衡量數(shù)據(jù)和軟件資產(chǎn)的相對價值，并選擇風險容忍度，使安全成本與相關(guān)業(yè)務(wù)指標和資產(chǎn)價值相一致。
企業(yè)全生命周期信息安全運維要依托以下五步來實現(xiàn)。第一步要進行信息安全戰(zhàn)略因素分析，要涉及企業(yè)業(yè)務(wù)運營與發(fā)展、企業(yè)風險抵御、行業(yè)監(jiān)管政策與法規(guī)、企業(yè)信息技術(shù)環(huán)境的四個方面。第二步信息安全治理和企業(yè)安全管理組織建設(shè)，企業(yè)安全組織要由企業(yè)領(lǐng)導(dǎo)、信息官、業(yè)務(wù)代表、法律代表、信息人員以及外部專家組成。第三步信息安全績效評價，借鑒國際最佳實踐“平衡計分卡”的理念，并從信息安全角度進行客戶化，構(gòu)建由財務(wù)、客戶、內(nèi)部業(yè)務(wù)流程、學習與成長等相互聯(lián)系的四個維度組成的績效評價體系。第四步建設(shè)安全管理架構(gòu)，從信息安全的方針、策略到安全管理的規(guī)范、程序、管理辦法，再至信息安全的細則、指南、手冊，最后是是信息安全政策和標準的實際執(zhí)行結(jié)果的痕跡，解決的是安全管理落地的問題。

中國惠普公司技術(shù)服務(wù)部信息安全服務(wù)經(jīng)理陳顥明做了“從IT全生命周期談信息安全”主題演講，從IT全生命周期及企業(yè)實踐的角度再一次產(chǎn)品信息安全的周期性。