偉創(chuàng)軟件：辦公軟件專家

在線OA協(xié)同辦公系統(tǒng)專題

在線OA協(xié)同辦公系統(tǒng)：企業(yè)如何進(jìn)行信息安全實(shí)踐

    企業(yè)安全建設(shè)主要有以下兩個(gè)重點(diǎn)：一是，要很清楚的明白公司的業(yè)務(wù)是在做什么的，安全關(guān)注的業(yè)務(wù)是在哪幾個(gè)方面。二是，技術(shù)體系建設(shè)。技術(shù)體系主要是有幾個(gè)方面：PDR、DID、SAS以及流程保證，還有包括組織體系、管理體系，意思就是人、技術(shù)、流程。就是通過這幾個(gè)方面，如果你能做的比較好，能夠把這幾個(gè)方面貫徹的比較好，你的企業(yè)安全應(yīng)該會(huì)做的不錯(cuò)。

    安全對(duì)于小公司來說有些奢侈，不像大公司已盈利。所以小公司們?cè)撊绾慰紤]做安全呢？其實(shí)，無論是大公司還是小公司，做安全都要考慮哪些業(yè)務(wù)對(duì)公司來說是至關(guān)重要的，那這些業(yè)務(wù)就是安全防護(hù)的重點(diǎn)，需要優(yōu)先給予安全保障。因此，這時(shí)公司就需要做一個(gè)業(yè)務(wù)分析。

     ◆掃描

    掃描的進(jìn)化是一個(gè)很有意思的過程。首先是系統(tǒng)層面的，主要針對(duì)系統(tǒng)的安全漏洞。然后，進(jìn)入web2.0時(shí)代后，針對(duì)應(yīng)用層面的掃描較多。還有一個(gè)，就是關(guān)于這種被動(dòng)式的掃描，被動(dòng)的掃描主要是給產(chǎn)品測試人員，通過提供一個(gè)代理的方式，它把瀏覽器的代理，或者一些開發(fā)軟件的代理，設(shè)置到我們的掃描接口來，掃描AI上或者接口上，我們能夠抓到所有的鏈接之后，并且能夠獲得他的，如果你登陸了就有一些授權(quán)信息，那這些授權(quán)信息去做這種被動(dòng)掃描。

    ◆SAS 安全即服務(wù)

    什么叫安全即服務(wù)呢？將安全能力安全產(chǎn)品輸出出去，服務(wù)給公司。比如把掃描的API接口開放給業(yè)務(wù)線。那業(yè)務(wù)線實(shí)際上在開發(fā)產(chǎn)品過程中，就直接可以使用這個(gè)API了。如果你在做監(jiān)控，你監(jiān)控已經(jīng)累積了大量的原始數(shù)據(jù)，包括攻擊的數(shù)據(jù)，惡意用戶、惡意IP，這些都可以輸出出去。既然你在做安全，你有這個(gè)優(yōu)勢(shì)，你為什么不能把這個(gè)東西當(dāng)做一個(gè)服務(wù)提供出去呢？

    ◆SAS 服務(wù)即安全

    為什么說服務(wù)即安全呢？吳老師表示，就是希望把產(chǎn)品做的更安全一些，就是把一些安全能力加入到我們現(xiàn)有的技術(shù)架構(gòu)當(dāng)中。比如說現(xiàn)在其實(shí)像安全CDN這個(gè)東西，也不是一個(gè)非常新鮮的概念了，前兩年已經(jīng)非常成熟了，我要把第一層的防御放在我的入口處，要放在CDN處。為什么要做在這兒呢？因?yàn)樵趙eb前端的，CDN或者應(yīng)用層的監(jiān)控或者保護(hù)，可能沒有及時(shí)的發(fā)現(xiàn)這個(gè)攻擊。但是你會(huì)在越接近數(shù)據(jù)的地方，越容易發(fā)現(xiàn)攻擊，因?yàn)樗鼪]有什么特別多的語法或者詞法的解析了，也不存在規(guī)則的問題。更多的就在于數(shù)據(jù)層，是不是注入，在這個(gè)地方，它會(huì)起碼很全面，當(dāng)然你的規(guī)則就取決于你的規(guī)則實(shí)現(xiàn)了。如果你的規(guī)則，誤報(bào)太多了，就需要做優(yōu)化了，但是不會(huì)有漏報(bào)，所以你只會(huì)有誤報(bào)，不會(huì)有漏報(bào)。

    云計(jì)算和大數(shù)據(jù)時(shí)代的到來，給安全防護(hù)工作帶來了新的挑戰(zhàn)和機(jī)會(huì)。