用友UAP:信息安全从自主可控的信息系统做起

  【天极网服务器频道】用友公司董事长王文京在2014年两会的建议案中指出，国家应尽快出台世界各国通行的信息安全审查制度;积极实施国家和国计民生重要信息系统的国产化替代策略，增强产业自主可控能力。用友UAP认为，国家加强信息安全管理，一方面从国家层面干预和监控，提供安全的信息环境;二是企业应从自我着手，建立自主可控的信息系统。

  大量事实和数据表明，信息安全已经从以往单一的软件攻击时代发展到目前的软件攻击和硬件并存的时代。如果构成信息系统的硬件和软件本身不安全，要靠安全产品去解决安全问题是没有用的，因为系统本身就可以形成安全隐患。因此，用友UAP建议，企业信息系统要选择自主可控的产品;同时系统本身要具备完整的安全体系。

  我国大多数信息化建设，关键技术应用受制于微软、IBM、Oracle、谷歌、苹果等国外公司，尤其在通讯、金融、电力等行业90%以上使用国外产品。这些国外公司控制的不仅是我们的信息系统，其实还有我们的信息安全。从早期微软操作系统导致的“黑屏事件”，给我们带来的警示。再到去年的“棱镜门事件”，让我们更加意识到国外信息系统所存在着的强大的安全隐患。它不仅仅是控制我们的电脑那么简单，我们存储在系统里的一切重要信息，重要数据将不再有秘密可言。因此，自主技术、自主品牌、自主标准对于我国信息产业乃至整个社会稳定和经济发展都至关重要。如果我国信息化应用不是自主可控，就不可能安全。

  自主可控还表现在系统本身的安全保障，用友UAP表示，软件系统必须建立安全框架用于支撑企业信息化安全。调查显示，企业面临的最大安全挑战包括，预防安全漏洞的出现、管理安全问题的复杂性、提高用户安全意识等。那么信息系统如何应对这些问题，则需要系统提供商做好相应的安全框架和安全设置。

  记者了解到，用友UAP大型企业与组织计算平台，设置了四层应用软件安全框架：一是软件生命周期安全;二是基础设施安全;三是身份和访问管理;四是合规。同时，用友UAP通过开放的软件框架支持安全厂商的产品，可以简单快速地在软件中加入这些安全产品。

  除了应用软件安全框架，用友UAP还提出企业信息安全框架，着眼于企业整体信息安全。该框架可以帮助企业了解自身信息安全的现状，便于企业分析安全建设的需求，为企业信息安全建设规划和实施提供指导和参照。为了最大程度地支撑企业信息安全框架，用友UAP对企业信息安全框架中的应用安全、数据安全、终端安全、网络安全提供支持，并为安全运维和安全管理提供支撑。并且企业可以基于这个安全框架结合OWASP的项目快速建设自己的信息安全。

  移动技术、云计算、社交媒体等各种新技术的出现，使企业信息系统处于更复杂的使用环境，同样会为企业带来安全问题。针对移动应用，用友UAP采用业界成熟的安全开发生命周期SDL作为软件开发的安全保证过程，遵循国家信息系统安全保护等级(GB 17859)和国际标准(ISO/IEC 15408)等安全标准。提供从移动设备端到移动应用服务器，再到后端业务系统全面、统一、完整的安全机制。同时提供了相应的安全监控、安全管理工具支撑企业运维、信息安全管理。

  在云计算方面，用友UAP提供云平台的安全组。每个账户默认拥有一个安全组，并可以再创建新的安全组;通过安全策略规则限制一组VM的访问方式;可基于IP CIDR，云管理的账户进行限制，支持TCP、UDP、ICMP协议;基于iptables/ebtables实现安全策略，支持KVM和XenServer。

  工信部部长苗圩表示，要加快完善信息安全审查制度框架，有计划地开展信息安全审查试点。据了解，刚刚成立的中央网络安全和信息化领导小组已经将通过立法保护网络和关键信息基础设施安全作为重要工作内容，中国信息安全立法呼之欲出。从国家层面有法律和政策保障，从企业方面，加强自主可控的信息系统管理，双向发力，保障我国企业和国家信息安全。

  原文出自【比特网】，转载请保留原文链接：//info.chinabyte.com/158/12882158.shtml