返回
摆事实讲道理 论数据安全防护的“表里”难关

摆事实讲道理 论数据安全防护的“表里”难关

ID:17472359

大小:304.00 KB

页数:4页

时间:2018-09-02

摆事实讲道理 论数据安全防护的“表里”难关_第1页
摆事实讲道理 论数据安全防护的“表里”难关_第2页
摆事实讲道理 论数据安全防护的“表里”难关_第3页
摆事实讲道理 论数据安全防护的“表里”难关_第4页
资源描述:

《摆事实讲道理 论数据安全防护的“表里”难关》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、摆事实讲道理论数据安全防护的“表里”难关信息时代,由于信息技术和互联网的不断深入,人们逐渐开始认识到自身数据与信息安全的重要性。而作为信息时代的企业,依靠数据、利用数据成了向前发展的必要手段。而国家,在这个时代可称之为一个数据与信息的结合体,防护国家的信息与数据的安全成了一个国家的国防新标准。虽然数据安全同信息技术与互联网一样正在深入更多的领域,但其真正问题也或许来自于此,由于不断深入不同的领域,数据安全问题正变得越来越多样,而在不同领域,数据安全防护的需求也各有不同,这也给与之相对应的信息安全技术与数据防护技术提出了更高的要求。面对如此的状况,数据安全该

2、如何应对?下面就让这方面的专家山丽网安来告诉您吧。就数据安全本身来说有“表”“里”两大难关需要攻克其实在数据安全领域,早有人把问题分为“内”“外”来加以区分,“外”是指来自外部的入侵,主要是黑客攻击、网络攻击、病毒入侵等;而“内”主要来自系统的漏洞或者内鬼。这样的分类固然符合现在的防护现状,但却忽略重要的一点,那就是排除“人”的因素。众所周知,“人”是最难以控制,不管是外部的黑客还是内鬼,因为你永远不知道黑客拥有怎样的攻克技术,内鬼的级别到底多高,潜伏到底多深。所以通过防护“人”与管理“人”来达到数据安全的防护,往往只能达到相对安全的标准。不过,一旦排除了

3、人的部分,或者说只剩下客观的数据与信息的话,防护标准或者方法就变得相对简单和清晰了。而在这种情况下,其实也分为两层,姑且我们称之为“表”和“里”吧。表层问题——数据安全正遭遇更多种类的外部袭击即使排除了变化最多的黑客因素,客观的外部数据安全问题依然变化多样。以前IP的网络环境,计算环境还是满简单的。自从接入互联网之后,各个方面的安全威胁将企业内外部的混杂在一起,传统的安全老三样已经不能很好的解决安全问题,这些安全威胁都跟经济利益相关,跟国家利益相关。包括移动接入,BYOD、云服务等,IT基础架构的变革带来整个市场需求的变化。同时,网络威胁给全球带来巨大威胁

4、,全球损失了4450亿美元,网络威胁给经济带来的损害越来越严重,过去国内的网络安全还为上升层面,随着网络信息安全领导小组的成立,今年开始,各个省市在落实地方的网络信息化安全领导小组。国家整体注重网络安全,对厂商、集成商、代理商来说都是非常好的机会。里层问题——漏洞仍是最大的威胁在内部虽然内鬼神秘莫测,但个人、企业甚至政府机构使用的各种软件所具有的“漏洞”依然是必须首要解决的问题。为了更好的说明这个问题,下面引述一段“软件安全老兵”的对话。即使是最好的软件也有漏洞,但通过在开发周期早期阶段的关键控制,企业可以像进行功能测试和质量保证一样检查安全漏洞。现在很多

5、企业安全人员没有时间顾及应用安全性,而健康保险公司Aetna首席信息安全官JamesRouth已经在引领开发第五个软件安全程序。总是有些人反对软件安全程序。我肯定你也听到过他们的反对意见,他们常说:我们不能慢下来,我们不能受到限制。你如何应对这些反对意见?JamesRouth:人们真的很难会反对省钱、提高质量和降低风险的程序。我摆出了简单的事实,说明每个属性和承诺,这件事情我常常做,所以比较容易。现在开发人员并没有异议,但项目经理仍然怨声载道,他们还没有明白这样做的好处。我现在使用的很多移动应用工具并不知名,所以我通常是从不熟悉它们的移动开发人员那里获得反

6、馈。在这些情况下,我只是使用行业可用的数据来说明攻击者可以非常容易地感染移动应用,以及通过二级渠道传播它。现在发现的大多数漏洞都是移动软件分发过程受到攻击的结果。底线是,当你使用经济利益作为推动因素时,推动软件安全程序会变成简单的工作。成功部署程序更多是关于改变行为,而不是部署技术,因此,我们将安全作为软件质量的属性重新明确了开发领导者的角色(掌握过程和结果),而安全部门则负责设计控制和衡量有效性,这主要也是为了有助于开发领导者的工作。让我惊讶的事情是你在使用数据指标,而不只是口头上说,“这是我们应该做的事情”,你可以解释它如何能节省资金来避免损失和周期外

7、维护。你能否告诉我你的数据指标有哪些?JamesRouth:当安全控制部署到开发过程时,主要有两个提高生产效率的基本驱动力:首先,企业安全API(EnterpriseSecurityAPI)等框架和开源组件选择及静态分析工具,可以防止漏洞进入应用构建过程,这消除了修复漏洞和缺陷的成本。其次,与在生产过程中发现漏洞相比,在质量保证中检测到漏洞,然后修复高优先级的缺陷,在时间方面更节省时,且成本更低。我计算了修复生产后期漏洞所需时间(高度复杂漏洞修复=8小时;中等复杂程度=4小时;简单修复=2小时),并比较开发过程中修复漏洞所需时间,然后乘以高风险漏洞的数量。

8、我使用每小时标准恢复量作为成本,例如125美元,这是FTE开发人员

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。