回顧即將過去的2011年，隨著企業(yè)所面臨的網(wǎng)絡(luò)安全環(huán)境越來越復(fù)雜，各種新的安全風(fēng)險(xiǎn)時(shí)刻威脅著企業(yè)的網(wǎng)絡(luò)安全，如何保證在網(wǎng)絡(luò)安全環(huán)境更加復(fù)雜多變的2012年的企業(yè)IT的安全性，成了企業(yè)CIO、CISO們頭疼的話題。本文借鑒國外CISO們的做法，為廣大的CIO、CISO們?cè)谥贫髂暧?jì)劃如何保證企業(yè)網(wǎng)絡(luò)安全的一個(gè)參考！

這里先給出一開始問題的答案：其實(shí)提高企業(yè)安全性最有效的辦法就是更緊密地與軟件開發(fā)人員合作。在本文中我們不會(huì)列出IT安全部門為了新的一年做出的全面清單，而是與大家分享那些經(jīng)常被忽略的計(jì)劃清單。

了解你的開發(fā)人員

很多時(shí)候，企業(yè)IT安全人員和軟件開發(fā)人員甚至都不知道對(duì)方是誰，我們需要改變這種狀況。不管你的企業(yè)開發(fā)人員是內(nèi)部人員還是外包人員，都應(yīng)該試著與他們交談，試著去了解他們。你可能會(huì)問，你們應(yīng)該討論什么?從你們都知道的東西談起：應(yīng)用程序日志。

畢竟，當(dāng)安全事故發(fā)生時(shí)，你需要使用這些應(yīng)用程序日志來找出發(fā)生了什么事情。嘗試與開發(fā)人員討論哪些東西應(yīng)該進(jìn)行日志記錄。跟他們解釋說，當(dāng)涉及功能問題時(shí)，業(yè)務(wù)所有者是他們的客戶，但是在涉及安全日志記錄時(shí)，IT安全團(tuán)隊(duì)是日志信息的最終使用者。讓他們知道常見應(yīng)用程序攻擊，以及你進(jìn)行調(diào)查工作所需要的業(yè)務(wù)相關(guān)信息，因?yàn)楹芏鄷r(shí)候，開發(fā)人員并沒有充分考慮實(shí)際安全情況。

了解你的技術(shù)

你有沒有發(fā)現(xiàn)自己將應(yīng)用程序平臺(tái)當(dāng)作“黑盒”，而沒有真正了解它們的內(nèi)部運(yùn)作情況?那么你需要改變這種狀態(tài)。不管你是將移動(dòng)應(yīng)用程序還是web應(yīng)用程序，請(qǐng)深入研究這些技術(shù)平臺(tái)，再安裝，再配置，然后將應(yīng)用程序加載(或者甚至寫入)到技術(shù)平臺(tái)上。檢查安全日志，盡可能地檢查安全設(shè)置。虛擬機(jī)可以很好地完成這些工作。

當(dāng)然，你并不需要精通所有事情，不過你需要花時(shí)間了解這些技術(shù)平臺(tái)。這樣當(dāng)晚上出現(xiàn)突發(fā)事故時(shí)，你能夠利用這些知識(shí)迅速對(duì)事故作出響應(yīng)。

制定編碼指南

軟件開發(fā)人員往往很擅長(zhǎng)開發(fā)符合他們功能規(guī)格的東西，但是當(dāng)涉及安全問題時(shí)，他們似乎經(jīng)常犯一些小錯(cuò)誤。最應(yīng)該做的事情就是為軟件開發(fā)人員制定一套共同安全機(jī)制庫來幫助他們編碼。

有很多“積木”需要在不同的應(yīng)用程序上重復(fù)搭建，例如身份驗(yàn)證機(jī)制、數(shù)據(jù)庫連接器、輸入驗(yàn)證、輸出編碼器等。

與你的軟件開發(fā)人員合作制定一套共同安全機(jī)制庫。IT安全團(tuán)隊(duì)可能不需要建立這樣的指南，但是他們也可以參與進(jìn)來，確保指南涵蓋了所有必要的安全機(jī)制。

另外，還要確保安全機(jī)制庫是很好理解的，單靠說明是不夠的，例如“為SQL連接使用PreparedStatement或者其他不可改的API”。雖然這很有用，你還應(yīng)該利用這個(gè)機(jī)會(huì)解釋為什么要使用不可改變的SQLAPI--來防止SQL注入攻擊。

安全測(cè)試

滲透測(cè)試應(yīng)該測(cè)試應(yīng)用程序安全性最糟糕的方式，但是這種測(cè)試是必要的。當(dāng)然，市面上還有很多其他形式的安全測(cè)試可以用來測(cè)試應(yīng)用程序是否能夠用于你的企業(yè)。

例如，動(dòng)態(tài)驗(yàn)證測(cè)試，是從一份安全假設(shè)清單開始的，如“會(huì)話證書在通過網(wǎng)絡(luò)傳輸時(shí)必須全程加密”。然后，對(duì)測(cè)試的應(yīng)用程序設(shè)置一些儀器，動(dòng)態(tài)觀察會(huì)話證書的加密情況，這能夠幫助確保應(yīng)用程序能夠在一個(gè)開放網(wǎng)絡(luò)運(yùn)行，例如不安全的無線網(wǎng)絡(luò)。

這里的重點(diǎn)是不要只進(jìn)行滲透測(cè)試，應(yīng)該將視野擴(kuò)大到其他安全測(cè)試上。嘗試一些其他的安全測(cè)試方法。

在建立應(yīng)用程序之前對(duì)應(yīng)用程序設(shè)計(jì)進(jìn)行審查是確保應(yīng)用程序能夠抵御各種威脅的最有效的方法之一。雖然設(shè)計(jì)審查并不是很常見，因?yàn)檫€沒有引起大家的重視。你需要與你的軟件開發(fā)人員合作，盡早地對(duì)軟件設(shè)計(jì)進(jìn)行一些關(guān)鍵審查。威脅建模是進(jìn)行設(shè)計(jì)審查的有效方法，而且不需要花費(fèi)大量時(shí)間和精力。IT安全和軟件開發(fā)團(tuán)隊(duì)之間的協(xié)作將在這方面發(fā)揮重要作用。

【編輯推薦】

1. 分層架構(gòu)企業(yè)網(wǎng)絡(luò)安全的研究
2. 教你改善企業(yè)網(wǎng)絡(luò)安全的八個(gè)技巧
3. 企業(yè)網(wǎng)絡(luò)安全三要素：評(píng)估、轉(zhuǎn)換與管理
4. 企業(yè)網(wǎng)絡(luò)：安全實(shí)現(xiàn)遠(yuǎn)程訪問的技巧