回顾即将过去的2011年,随着企业所面临的网络安全环境越来越复杂,各种新的安全风险时刻威胁着企业的网络安全,如何保证在网络安全环境更加复杂多变的2012年的企业IT的安全性,成了企业CIO、CISO们头疼的话题。本文借鉴国外CISO们的做法,为广大的CIO、CISO们在制定明年计划如何保证企业网络安全的一个参考!
这里先给出一开始问题的答案:其实提高企业安全性最有效的办法就是更紧密地与软件开发人员合作。在本文中我们不会列出IT安全部门为了新的一年做出的全面清单,而是与大家分享那些经常被忽略的计划清单。
了解你的开发人员
很多时候,企业IT安全人员和软件开发人员甚至都不知道对方是谁,我们需要改变这种状况。不管你的企业开发人员是内部人员还是外包人员,都应该试着与他们交谈,试着去了解他们。你可能会问,你们应该讨论什么?从你们都知道的东西谈起:应用程序日志。
毕竟,当安全事故发生时,你需要使用这些应用程序日志来找出发生了什么事情。尝试与开发人员讨论哪些东西应该进行日志记录。跟他们解释说,当涉及功能问题时,业务所有者是他们的客户,但是在涉及安全日志记录时,IT安全团队是日志信息的最终使用者。让他们知道常见应用程序攻击,以及你进行调查工作所需要的业务相关信息,因为很多时候,开发人员并没有充分考虑实际安全情况。
了解你的技术
你有没有发现自己将应用程序平台当作“黑盒”,而没有真正了解它们的内部运作情况?那么你需要改变这种状态。不管你是将移动应用程序还是web应用程序,请深入研究这些技术平台,再安装,再配置,然后将应用程序加载(或者甚至写入)到技术平台上。检查安全日志,尽可能地检查安全设置。虚拟机可以很好地完成这些工作。
当然,你并不需要精通所有事情,不过你需要花时间了解这些技术平台。这样当晚上出现突发事故时,你能够利用这些知识迅速对事故作出响应。
制定编码指南
软件开发人员往往很擅长开发符合他们功能规格的东西,但是当涉及安全问题时,他们似乎经常犯一些小错误。最应该做的事情就是为软件开发人员制定一套共同安全机制库来帮助他们编码。
有很多“积木”需要在不同的应用程序上重复搭建,例如身份验证机制、数据库连接器、输入验证、输出编码器等。
与你的软件开发人员合作制定一套共同安全机制库。IT安全团队可能不需要建立这样的指南,但是他们也可以参与进来,确保指南涵盖了所有必要的安全机制。
另外,还要确保安全机制库是很好理解的,单靠说明是不够的,例如“为SQL连接使用PreparedStatement或者其他不可改的API”。虽然这很有用,你还应该利用这个机会解释为什么要使用不可改变的SQLAPI--来防止SQL注入攻击。
安全测试
渗透测试应该测试应用程序安全性最糟糕的方式,但是这种测试是必要的。当然,市面上还有很多其他形式的安全测试可以用来测试应用程序是否能够用于你的企业。
例如,动态验证测试,是从一份安全假设清单开始的,如“会话证书在通过网络传输时必须全程加密”。然后,对测试的应用程序设置一些仪器,动态观察会话证书的加密情况,这能够帮助确保应用程序能够在一个开放网络运行,例如不安全的无线网络。
这里的重点是不要只进行渗透测试,应该将视野扩大到其他安全测试上。尝试一些其他的安全测试方法。
在建立应用程序之前对应用程序设计进行审查是确保应用程序能够抵御各种威胁的最有效的方法之一。虽然设计审查并不是很常见,因为还没有引起大家的重视。你需要与你的软件开发人员合作,尽早地对软件设计进行一些关键审查。威胁建模是进行设计审查的有效方法,而且不需要花费大量时间和精力。IT安全和软件开发团队之间的协作将在这方面发挥重要作用。
【编辑推荐】
