五角大樓：網絡安全測試越快越好

五角大樓：網絡安全測試越快越好

世界上最大規模的軟件測試運行的負責人之一向首席信息官們提供了改進他們IT系統安全性的建議：你越早開始安全測試，系統的安全性就越高。

    Steven Hutchison專門負責國防情報系統處的測試和評估，目前國防情報處擁有1300名軍事和合同制員工，每年的預算為1.7億美元。Hutchison的團隊主要負責國防部命令與控制及商業應用軟件的研發，運作的協同性和安全測試。

    Hutchison在最近的一次采訪中表示"這個工作量非常大，據我估計每年我們要執行400余種測試和評估活動"。

    網絡安全是奧巴馬政府安全議程的首選，他們制定的計劃包括任命一位聯邦網絡安全協調官，它將向國家安全局和國際經濟署匯報工作。奧巴馬政府也將提高對網絡戰爭攻擊的反應能力。

    國防情報處也越來越多的把重心放在其IT系統的測試上，希望能在軟件配置之前和配置之后發現和彌補其中的漏洞。

    Hutchison表示"網絡安全是各個部門都十分關心的一個領域。我們在軟件研發過程中就在應用環境中對我們的系統進行了大規模的測試來保證其安全性。一旦軟件到了操作人員手中，我們會培訓操作人員如何進行偵測，如何對發現的漏洞做出反饋和恢復系統的能力"。

    Hutchison表示他為企業首席信息官們提供的建議是讓安全測試專家盡可能早的參與到軟件研發的階段中來。

    "我們會從一開始就進行軟件的安全測試。我們正在運行測試，這樣就能盡早的發現和修正問題，這樣我們的系統在投入實際應用階段后，我們就會有充分的自信"。

    國防情報處包括其Net-Ready Key Performance Parameters的信息保證，這些是編寫在主要程序的要求之中。Hutchison表示"當我們制定測試計劃時，我們已經部署了安全測試和評估專業團隊"。

    國防情報處也會在所有的商用產品在國防部網絡上運行之前就進行安全測試。

    一旦系統開始運行后，國防情報處會使用被稱之為"紅隊"的內部黑客來繼續進行安全測試。紅隊會滲透進系統采取行動，諸如竊取數據等。Hutchison表示使用內部黑客絕對是他要推薦給首席信息官們的建議，這樣他們就能發現和修正自己系統中的漏洞。

    與最新的安全風險保持同步對于國防情報處的測試和評估團隊來說是很困難的。

    Hutchison稱"這對于我們的測試者的培訓和對新環境的準備來說都是個非常大的挑戰，我們也會堅持不懈的向程序中添加新的測試特性"。

    Hutchison認為聘用進行安全測試和評估的高端人才也是非常重要的。

    "我們的團隊非常喜歡現在的工作"Hutchison強調說"我認為我們在尋找新人來進入我們的團隊方面從來沒有碰到過麻煩，因為這份工作是如此的有趣"。

原文轉自：http://www.anti-gravitydesign.com