关键词:
我们需要一些让IT外包变得更安全的方法,建立或时刻准备建立不可或缺的内部IT力量就是解决方案之一。企业可以在IT外包过程中,从IT外包商处汲取知识和养分来培养自己的内部团队。需要注意的是,企业一定要和IT外包商明确定义作为关键目标来传递的知识和技能,这也是IT外包的核心价值之一。
为了保障企业的IT系统的安全性,IT外包服务商除了要完善自己技术人才的专业技术能力,更要针对下述几个方面进行监督和维护:
1、 IT系统自主开发的代码必须达到一定安全度:针对IT系统的代码安全漏洞发起攻击日益成为当前针对IT系统发起远程攻击的重要手段。相对来说:管理等问题带来的侵害基本都是接触式的攻击,而远程侵害基本都需要配合IT系统的安全漏洞来发起。而安全开发的意识基本还未普遍形成,导致安全漏洞在IT系统中大量存在。必须强化系统设计与开发人员的意识,采用一定的技术手段,来降低IT系统开发时引入大量的安全漏洞和其他各种安全问题。
2、 针对IT系统的外部来源组件必须有一定的安全监控和管理手段:IT系统是在一个开放式架构复杂组合而成,大多数IT系统必然需要采购或者本身就是建立在其他第三方的外部组件之上来构建的。针对这些第三方来源的组件,必须有一套准入、验收、保证、响应与追责的体系,来保证第三方来源的组件进入时初步的安全,安全问题产生时的快速响应与修复,对第三方来源的组件的安全问题追责和管理。
3、用安全开发过程(SDL)来保障代码安全:微软从2003年开始认识到必须改进自身开发产品的安全性必须从开发过程着手,之后引入了安全开发过程(SDL),WIN7、OFFICE2010、IE8等产品都是在SDL过程下开发出来的。这些产品虽然未能完全解决安全漏洞,但是相对于以前的系统,安全性得以大幅度的提高,在安全业界也获得了好评。微软的实践证实:即使是在超大型软件开发背景下,通过安全开发过程的管控,结合安全能力与安全意识的培育,是可能在开发级上就非常有效的提升IT系统的安全性的。当然采用SDL意味着需要付出很大的成本,而且对既有的开发模式、人员冲击都比较大。可以通过采用循序渐进的方式,但是基础的人员安全能力与意识的培训、系统上线前的安全测试、漏洞及时响应修复与公告等措施还是必须具备的。
4、建立供应链安全管理体系:供应链安全最近越来越被注重,但如何控制好供应链的安全还需要各种各样的管理规范和技术体系支撑,但至少,要求供应商承诺实施安全开发过程、对安全漏洞实施响应承诺是必须的,在此基础上,还需要对供应商交付的组件特别是非大众公共的组件实施必要的安全验收和安全监理,依据供应商自身组件安全问题和响应评估供应商的安全能力和安全性,顶起淘汰不合格的供应商。才能有效地在供应链源头控制安全风险。
5、外部防御体系需要不断依据攻防发展作出技术变革:针对现有防护体系的不足,IT界已经在反思,从技术到策略都在作出调整。下一代防护墙(NGFW),下一代入侵检测系统(NGIDS)都提出了应对IT安全问题的新策略,他们都在综合安全事件智能分析、对未知安全漏洞攻击的检测、对未知入侵事件的及时感知等能力上有所加强。配合这些外部防御体系,可以更有效地对IT系统当前的安全状态进行感知和发现基于未知漏洞的攻击。
6、实现防护方共享攻击信息机制:安全本身是一种状态,当用比较低的成本垒高攻击者攻击成本导致攻击者收益小于攻击者成本时可以获得最高的安全性。从防护者角度,要每个IT系统都单独且面面俱到发现IT系统的所有未知安全问题并及时分析响应作出对抗策略需要付出太高的成本而且高端安全人力资源也极为短缺,如果防御方能共享攻击信息,共享专业安全攻防团队的分析和响应支持,可以大大降低所有IT系统防护未知安全问题和攻防对抗的成本,针对黑客最新的攻击手法和安全漏洞作出快速响应,以较小的代价变相推高攻击者成本来实现IT系统的安全性。
今日,架构在互联网之上的各种IT系统将更加深刻的勾画人类的未来,无论移动互联、物联网、云计算,安全会成为这些IT系统面临的最迫切需要改进的问题。努力让安全成为IT系统的基础属性,或许会付出很高昂的代价,但是想想日后 如果因为不够安全,而带来的损失就会发现,现在为安全的付出与努力都是值得的!