智能終端時代，企業如何構筑安全體系保護數據安全？

2021-08-10 09:21

BSIMM主要是衡量軟件安全的標尺,將OPPO的安全方案與其他公司正在開展的安全工作進行比較。BSIMM也可用作SSI路線圖,OPPO可以確定自己的目標和行為,然后參考BSIMM來確定哪些額外活動對公司有意義,從而有規劃地改善SSI。

文︱郭紫文

圖︱新思科技、OPPO

Omiai服務器遭入侵、蘋果代工廠設計圖紙被竊、6億條個人信息被肆意販賣、日產公司20GB源代碼遭泄露……僅2021年上半年,全球數據泄露事件便發生了數十起。在全球數字化趨勢下,數據價值越來越高,也面臨著更高的泄露風險。

以智能手機為例,手機APP從衣食住行到理財娛樂,涵蓋了社會生活的方方面面。這也意味著,個人的一切信息都集中在一部手機中,一旦丟失,將面臨嚴重的個人隱私泄露和財產安全風險。因此,如何構筑安全的網絡環境、保護用戶數據隱私不被泄露,成為當前各行各業關注的重點。

如楊國梁所言,一個應用程序就是一片樹葉,如今枝繁葉茂的應用程序,威脅也不盡相同,正如世界上絕對沒有兩片一模一樣的葉子。統計數據表明,應用程序面臨的安全漏洞在整個安全漏洞中占比很大。

圖:新思科技軟件質量與安全部門高級安全架構師楊國梁

對于手機廠商來說,如何規避風險,為消費者市場交付安全的終端產品,成為企業研發的重點。以OPPO為例,該公司多款手機產品均搭載網絡安全態勢感知、網絡攻擊識別算法等技術,具備網站檢測、財產風險提示等功能,保護用戶隱私及數據安全。此外,OPPO密切關注自身產品安全問題,采用新思科技軟件安全構建成熟度模型(BSIMM)評估并改進,提升整體安全水平。

OPPO終端安全總監王安宇表示:“一直以來,OPPO關注用戶的信息泄露焦慮和隱私保護訴求。在當前形勢下,OPPO將持續加強安全隱私領域的技術積累,不斷更新和升級用戶的隱私安全體驗,結合智能和互聯場景,逐步構建在安全隱私方面的品牌競爭力,在用戶心中建立可信賴的品牌形象,為企業健康長久發展提供堅實保障。”

技術演進是雙刃劍

2007年,蘋果發布了其第一代iPhone手機,改變了智能手機領域的游戲規則,從此掀起了智能手機的浪潮。然而,智能手機應用和游戲逐漸豐富,也引發了數字化信任的萌芽和發展。如果智能手機引起了用戶對于應用程序及云端服務的可靠性擔憂,那么在智慧手機時代,更多的交互方式和更精確的交互體驗強烈激發了消費者對于數字化信任的訴求。

人工智能、物聯網、大數據、云計算等技術將物理世界與數字世界進一步融合,未來智能終端產業將進入泛在融合時代。這種泛在物聯的趨勢下,安全邊界變得越來越模糊,稍有不慎,便面臨在互聯網上“裸奔”的危險。

王安宇表示,數字化時代不斷演進,用戶面臨的安全隱私風險也隨之升級。首先,技術的更新迭代一方面讓用戶生活更加便捷,另一方面技術漏洞和新技術對傳統技術的威脅使得隱私泄露概率大幅提升,如量子計算將會威脅到傳統密鑰基礎設施;其次,基于AI的語音助手、自動回復、人臉識別的誤用和濫用,以及大數據上云等新業務場景,也讓消費者懷有更多對隱私安全的依賴和擔憂。

對于OPPO而言,其終端業務已經滲透至全球四十多個國家,在歐洲、南美、東南亞等地都有研發和市場布局。由于當地監管機構以及行業生態各不相同,終端產品的安全隱私保護及合規均面臨著巨大的挑戰。王安宇表示,對于手機廠商來講,消費者給予的信任機會只有一次。為應對這些可能的風險和挑戰,OPPO從消費者的需求出發,構筑數字化可信任體系,保障終端用戶的安全和隱私。

此外,企業需要將安全前置,從產品研發生命周期開始構筑安全能力與整體可信的工程能力,而不是依賴后端的整改。

衡量軟件安全的標尺

如前所述,數字化時代面臨著如此多安全和隱私泄露風險,企業應該采取一些措施來保障用戶數據的安全。正如王安宇所說,“我們需要一把標尺,衡量我們安全計劃的進度以及OPPO軟件安全能力在業界的水平,以有方向地提升安全�！�

對于這把衡量軟件安全的標尺,OPPO的選擇便是新思科技BSIMM評估。對于企業自身來說,其應對安全風險的行動,構建數字化信任的方案都無法準確定位,而BSIMM通過觀察、評估和描述企業的軟件安全方案(SSI)的真實狀態,將其安全方案與數據池企業樣本展開對比,對企業軟件工程體系整體評估,確定企業軟件成熟度水平并給出相應的軟件安全計劃。

BSIMM架構包含了管理、情報、SSDL觸點和部署四個領域,這四個領域又分為12個實踐,覆蓋面廣泛。自2008年以來,新思科技共對200多家企業展開了約500次BSIMM測評,擁有大量的數據評估基礎。本次OPPO采用的BSIMM11版本數據池包括了來自各個垂直市場的130多家公司,開展訪談活動并對樣本企業進行評分。綜合評分結果,得出蛛網圖、水位圖等具有實際意義的數據,并揭示垂直市場發展的新興趨勢。

圖:BSIMM 軟件安全框架(SSF)蛛網圖

新思科技軟件質量與安全部門高級安全架構師楊國梁介紹道:“通過這些訪談,我們了解到OPPO對其SSI的當前運作方式及未來目標運作方式的想法。BSIMM主要是衡量軟件安全的標尺,將OPPO的安全方案與其他公司正在開展的安全工作進行比較。BSIMM也可用作SSI路線圖,OPPO可以確定自己的目標和行為,然后參考BSIMM來確定哪些額外活動對公司有意義,從而有規劃地改善SSI�！�

事實證明,經過BSIMM評估,OPPO軟件開發安全體系在很多領域得到明顯提升。同時,借助該評估模型,OPPO已經制定了SSI增強方案,持續優化軟件安全實踐,完善OPPO軟件安全能力,建立可信任的產品體系。

構筑零信任架構

自1989年起,數字化信任的概念便開始興起。基于計算的信任、基于可信權威第三方的信任、基于聲譽的信任共同構筑了互聯網時代信任的基礎。在目前智能終端市場上,用戶要求產品在安全、隱私保護、可靠性、物理安全性以及不良條件下的韌性各方面都要具備一定可信任水平。OPPO秉持“零信任”原則,從身份、終端/OS、應用、基礎設施、網絡、數據等六個維度去構筑信任體系。