DoSECU 安全报道 6月17日消息:世界上最大规模的软件测试运行的负责人之一向首席信息官们提供了改进他们IT系统安全性的建议:你越早开始安全测试,系统的安全性就越高。
Steven Hutchison专门负责国防情报系统处的测试和评估,目前国防情报处拥有1300名军事和合同制员工,每年的预算为1.7亿美元。Hutchison的团队主要负责国防部命令与控制及商业应用软件的研发,运作的协同性和安全测试。
Hutchison在最近的一次采访中表示"这个工作量非常大,据我估计每年我们要执行400余种测试和评估活动"。
网络安全是奥巴马政府安全议程的首选,他们制定的计划包括任命一位联邦网络安全协调官,它将向国家安全局和国际经济署汇报工作。奥巴马政府也将提高对网络战争攻击的反应能力。
国防情报处也越来越多的把重心放在其IT系统的测试上,希望能在软件配置之前和配置之后发现和弥补其中的漏洞。
Hutchison表示"网络安全是各个部门都十分关心的一个领域。我们在软件研发过程中就在应用环境中对我们的系统进行了大规模的测试来保证其安全性。一旦软件到了操作人员手中,我们会培训操作人员如何进行侦测,如何对发现的漏洞做出反馈和恢复系统的能力"。
Hutchison表示他为企业首席信息官们提供的建议是让安全测试专家尽可能早的参与到软件研发的阶段中来。
"我们会从一开始就进行软件的安全测试。我们正在运行测试,这样就能尽早的发现和修正问题,这样我们的系统在投入实际应用阶段后,我们就会有充分的自信"。
国防情报处包括其Net-Ready Key Performance Parameters的信息保证,这些是编写在主要程序的要求之中。Hutchison表示"当我们制定测试计划时,我们已经部署了安全测试和评估专业团队"。
国防情报处也会在所有的商用产品在国防部网络上运行之前就进行安全测试。
一旦系统开始运行后,国防情报处会使用被称之为"红队"的内部黑客来继续进行安全测试。红队会渗透进系统采取行动,诸如窃取数据等。Hutchison表示使用内部黑客绝对是他要推荐给首席信息官们的建议,这样他们就能发现和修正自己系统中的漏洞。
与最新的安全风险保持同步对于国防情报处的测试和评估团队来说是很困难的。
Hutchison称"这对于我们的测试者的培训和对新环境的准备来说都是个非常大的挑战,我们也会坚持不懈的向程序中添加新的测试特性"。
Hutchison认为聘用进行安全测试和评估的高端人才也是非常重要的。
"我们的团队非常喜欢现在的工作"Hutchison强调说"我认为我们在寻找新人来进入我们的团队方面从来没有碰到过麻烦,因为这份工作是如此的有趣"。