金飛：拿什么拯救你，信息安全

2013-10-16 17:35:12 EP電力信息化網　點擊量：評論 (0)

國家信息安全顧問金飛博士金飛指出當前針對WEB應用進行攻擊的手段越來越多，

國家信息安全顧問金飛博士

金飛指出當前針對WEB應用進行攻擊的手段越來越多，而我國目前百分之九十二的Web應用存在著安全缺陷，其中跨站腳本漏洞占到80%，SQL注入漏洞占到62%，參數篡改漏洞占到60%，Cookies毒化占到37%。2009年針對智能電表的蠕蟲病毒已經出現，可以實現大面積供電系統(tǒng)癱瘓。智能電網所涉及的信息安全和設備安全已經成為一個必須應對的現實威脅。
金飛博士認為信息安全涉及企業(yè)各個方面和領域及崗位，內部管理所有環(huán)節(jié)都與信息安全息息相關。做好企業(yè)應用安全防護，必須建立在全生命周期信息安全運維模型方法論上。要制定好企業(yè)信息安全的目標，為組織內的軟件安全建立統(tǒng)一的戰(zhàn)略路線圖，衡量數據和軟件資產的相對價值，并選擇風險容忍度，使安全成本與相關業(yè)務指標和資產價值相一致。
企業(yè)全生命周期信息安全運維要依托以下五步來實現。第一步要進行信息安全戰(zhàn)略因素分析，要涉及企業(yè)業(yè)務運營與發(fā)展、企業(yè)風險抵御、行業(yè)監(jiān)管政策與法規(guī)、企業(yè)信息技術環(huán)境的四個方面。第二步信息安全治理和企業(yè)安全管理組織建設，企業(yè)安全組織要由企業(yè)領導、信息官、業(yè)務代表、法律代表、信息人員以及外部專家組成。第三步信息安全績效評價，借鑒國際最佳實踐“平衡計分卡”的理念，并從信息安全角度進行客戶化，構建由財務、客戶、內部業(yè)務流程、學習與成長等相互聯(lián)系的四個維度組成的績效評價體系。第四步建設安全管理架構，從信息安全的方針、策略到安全管理的規(guī)范、程序、管理辦法，再至信息安全的細則、指南、手冊，最后是是信息安全政策和標準的實際執(zhí)行結果的痕跡，解決的是安全管理落地的問題。

中國惠普公司技術服務部信息安全服務經理陳顥明做了“從IT全生命周期談信息安全”主題演講，從IT全生命周期及企業(yè)實踐的角度再一次產品信息安全的周期性。