ITPUX技术网

交流 . 资讯 . 分享
Make progress together!
Oracle数据库DBA高级工程师培训视频
Oracle数据库培训-备份恢复-性能优化-集群容灾
mysql数据库视频教程

IT人才人力外包:让安全成为IT系统的基础属性

内容发布:好哈林| 发布时间:2015-9-11 11:41:20
      为了保障企业的IT系统的安全性,it项目外包服务商除了要完善自己技术人才的专业技术能力,更要针对下述几个方面进行监督和维护:
  1、 IT系统自主开发的代码必须达到一定安全度:针对IT系统的代码安全漏洞发起攻击日益成为当前针对IT系统发起远程攻击的重要手段。相对来说:管理等问题带来的侵害基本都是接触式的攻击,而远程侵害基本都需要配合IT系统的安全漏洞来发起。而安全开发的意识基本还未普遍形成,导致安全漏洞在IT系统中大量存在。必须强化系统设计与开发人员的意识,采用一定的技术手段,来降低IT系统开发时引入大量的安全漏洞和其他各种安全问题。这点对于it项目外包很重要。
  2、 针对IT系统的外部来源组件必须有一定的安全监控和管理手段:IT系统是在一个开放式架构复杂组合而成,大多数IT系统必然需要采购或者本身就是建立在其他第三方的外部组件之上来构建的。针对这些第三方来源的组件,必须有一套准入、验收、保证、响应与追责的体系,来保证第三方来源的组件进入时初步的安全,安全问题产生时的快速响应与修复,对第三方来源的组件的安全问题追责和管理。
  3、用安全开发过程(SDL)来保障代码安全:微软从2003年开始认识到必须改进自身开发产品的安全性必须从开发过程着手,之后引入了安全开发过程(SDL),WIN7、OFFICE2010、IE8等产品都是在SDL过程下开发出来的。这些产品虽然未能完全解决安全漏洞,但是相对于以前的系统,安全性得以大幅度的提高,在安全业界也获得了好评。微软的实践证实:即使是在超大型软件开发背景下,通过安全开发过程的管控,结合安全能力与安全意识的培育,是可能在开发级上就非常有效的提升IT系统的安全性的。当然采用SDL意味着需要付出很大的成本,而且对既有的开发模式、人员冲击都比较大。可以通过采用循序渐进的方式,但是基础的人员安全能力与意识的培训、系统上线前的安全测试、漏洞及时响应修复与公告等措施还是必须具备的。
  4、建立供应链安全管理体系:供应链安全最近越来越被注重,但如何控制好供应链的安全还需要各种各样的管理规范和技术体系支撑,但至少,要求供应商承诺实施安全开发过程、对安全漏洞实施响应承诺是必须的,在此基础上,还需要对供应商交付的组件特别是非大众公共的组件实施必要的安全验收和安全监理,依据供应商自身组件安全问题和响应评估供应商的安全能力和安全性,顶起淘汰不合格的供应商。才能有效地在供应链源头控制安全风险。
    5、外部防御体系需要不断依据攻防发展作出技术变革:针对现有防护体系的不足,IT界已经在反思,从技术到策略都在作出调整。下一代防护墙(NGFW),下一代入侵检测系统(NGIDS)都提出了应对IT安全问题的新策略,他们都在综合安全事件智能分析、对未知安全漏洞攻击的检测、对未知入侵事件的及时感知等能力上有所加强。配合这些外部防御体系,可以更有效地对IT系统当前的安全状态进行感知和发现基于未知漏洞的攻击。
  6、实现防护方共享攻击信息机制:安全本身是一种状态,当用比较低的成本垒高攻击者攻击成本导致攻击者收益小于攻击者成本时可以获得最高的安全性。从防护者角度,要每个IT系统都单独且面面俱到发现IT系统的所有未知安全问题并及时分析响应作出对抗策略需要付出太高的成本而且高端安全人力资源也极为短缺,如果防御方能共享攻击信息,共享专业安全攻防团队的分析和响应支持,可以大大降低所有IT系统防护未知安全问题和攻防对抗的成本,针对黑客最新的攻击手法和安全漏洞作出快速响应,以较小的代价变相推高攻击者成本来实现IT系统的安全性,这在IT人才人力外包服务中也是很需要注意的。
  无论如何,二十一世纪是信息网络时代的世纪,在这个世纪,架构在互联网之上的各种IT系统将更加深刻的勾画人类的未来,无论移动互联、物联网、云计算,安全会成为这些IT系统面临的最迫切需要改进的问题。努力让安全成为IT系统的基础属性,或许会付出很高昂的代价,但是相对未来可能因安全问题引起的损失,是我们必须要面对和付出的努力。这对IT人才人力外包服务商也是一个严峻的考验。






上一篇:米鼠网软件服务外包平台
下一篇:史上最强免费网管软件-WeADMIN ITOSS
回复

使用道具 举报

1框架
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表