展望2012您的企業網絡安全計劃定好了
回顧即將過去的2011年,隨著企業所面臨的網絡安全環境越來越復雜,各種新的安全風險時刻威脅著企業的網絡安全,如何保證在網絡安全環境更加復雜多變的2012年的企業IT的安全性,成了企業CIO、CISO們頭疼的話題。本文借鑒國外CISO們的做法,為廣大的CIO、CISO們在制定明年計劃如何保證企業網絡安全的一個參考!
這里先給出一開始問題的答案:其實提高企業安全性最有效的辦法就是更緊密地與軟件開發人員合作。在本文中我們不會列出IT安全部門為了新的一年做出的全面清單,而是與大家分享那些經常被忽略的計劃清單。
了解你的開發人員
很多時候,企業IT安全人員和軟件開發人員甚至都不知道對方是誰,我們需要改變這種狀況。不管你的企業開發人員是內部人員還是外包人員,都應該試著與他們交談,試著去了解他們。你可能會問,你們應該討論什么?從你們都知道的東西談起:應用程序日志。
畢竟,當安全事故發生時,你需要使用這些應用程序日志來找出發生了什么事情。嘗試與開發人員討論哪些東西應該進行日志記錄。跟他們解釋說,當涉及功能問題時,業務所有者是他們的客戶,但是在涉及安全日志記錄時,IT安全團隊是日志信息的最終使用者。讓他們知道常見應用程序攻擊,以及你進行調查工作所需要的業務相關信息,因為很多時候,開發人員并沒有充分考慮實際安全情況。
了解你的技術
你有沒有發現自己將應用程序平臺當作“黑盒”,而沒有真正了解它們的內部運作情況?那么你需要改變這種狀態。不管你是將移動應用程序還是web應用程序,請深入研究這些技術平臺,再安裝,再配置,然后將應用程序加載(或者甚至寫入)到技術平臺上。檢查安全日志,盡可能地檢查安全設置。虛擬機可以很好地完成這些工作。
當然,你并不需要精通所有事情,不過你需要花時間了解這些技術平臺。這樣當晚上出現突發事故時,你能夠利用這些知識迅速對事故作出響應。
制定編碼指南
軟件開發人員往往很擅長開發符合他們功能規格的東西,但是當涉及安全問題時,他們似乎經常犯一些小錯誤。最應該做的事情就是為軟件開發人員制定一套共同安全機制庫來幫助他們編碼。
有很多“積木”需要在不同的應用程序上重復搭建,例如身份驗證機制、數據庫連接器、輸入驗證、輸出編碼器等。
與你的軟件開發人員合作制定一套共同安全機制庫。IT安全團隊可能不需要建立這樣的指南,但是他們也可以參與進來,確保指南涵蓋了所有必要的安全機制。
另外,還要確保安全機制庫是很好理解的,單靠說明是不夠的,例如“為SQL連接使用PreparedStatement或者其他不可改的API”。雖然這很有用,你還應該利用這個機會解釋為什么要使用不可改變的SQLAPI--來防止SQL注入攻擊。
安全測試
滲透測試應該測試應用程序安全性最糟糕的方式,但是這種測試是必要的。當然,市面上還有很多其他形式的安全測試可以用來測試應用程序是否能夠用于你的企業。
例如,動態驗證測試,是從一份安全假設清單開始的,如“會話證書在通過網絡傳輸時必須全程加密”。然后,對測試的應用程序設置一些儀器,動態觀察會話證書的加密情況,這能夠幫助確保應用程序能夠在一個開放網絡運行,例如不安全的無線網絡。
這里的重點是不要只進行滲透測試,應該將視野擴大到其他安全測試上。嘗試一些其他的安全測試方法。
在建立應用程序之前對應用程序設計進行審查是確保應用程序能夠抵御各種威脅的最有效的方法之一。雖然設計審查并不是很常見,因為還沒有引起大家的重視。你需要與你的軟件開發人員合作,盡早地對軟件設計進行一些關鍵審查。威脅建模是進行設計審查的有效方法,而且不需要花費大量時間和精力。IT安全和軟件開發團隊之間的協作將在這方面發揮重要作用。
【編輯推薦】
