350 likes | 622 Views
信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构. 魏忠 博士 上海三零卫士信息安全有限公司. 从标准架构 看信息安全专业架构. 问题的提出:什么是信息安全. Confidentiality Integrity Availability Safety Secret Dependability Trust Security Survivability Safeguard Assurance protect. =. 信息安全 ?. 信息安全与计算机技术的并行融合发展:. 计算机技术.
E N D
信息安全--------从标准架构看专业架构 和从专业架构看能力架构 魏忠 博士 上海三零卫士信息安全有限公司
从标准架构 看信息安全专业架构 .....
问题的提出:什么是信息安全 Confidentiality Integrity Availability Safety Secret Dependability Trust Security Survivability Safeguard Assurance protect = 信息安全?
信息安全与计算机技术的并行融合发展: 计算机技术 assurance protect framework assurance safeguard survivability survivability dependability security 信息安全的发展 trust Safety Secret
全 面 地 做 信息安全的思潮进化总结: 立 体 地 做 价值保护 系 统 地 做 有 效 地 做 assurance 威胁 安 全 地 做 framework 可 靠 地 做 safeguard 秘 密 地 做 survivability security trust Secret 对策
安全因素 assurance 安全功能 Protect frame safeguard survivability security trust secret 安全过程 信息安全各思路发展内容:
业界信息安全未来五年发展趋势研究 • 现有安全技术将进一步综合化 • “内容安全”成为重点 • 新应用产生信息安全新技术 • 无线网络安全将成为关注的重点
本人从事信息安全的一些回顾 • 2000年进入信息安全行业 • 经历从技术干部-----管理干部的转变 • 处在信息安全蓬勃发展的时期,机会也比较好 • 由于30机构在国内信息安全龙头地位,因此有机会进入核心讨论 • 作为主要起草者参与:iso17799/iso13335/sse-cmm/计算机安全工程等级/安全监理/保密测评细则等7个国家标准 • 作为主要起草者参与:北京市党政/上海市工程/杭州/公安部等8个部和地市标准 • 直接或间接参与总计3亿和400个信息安全项目经验
国际标准概况:ISO/IEC JTC1 • JTC1 SC27 信息技术 安全技术 • WG 1: 要求、安全服务和指南 • WG2: 安全技术和机制 • WG3: 安全评估准则 • 制定和正在制定的标准75个 • 主要标准:iso13335/iso17799/sse-cmm/cc • 主要派别:欧,美
国内情况 • 全国信息安全标准化技术委员会(全国安标委,TC260) • 公安部信息系统安全标准化技术委员会 • 中国通信标准化协会网络与信息安全技术工作委员会(TC8) • 全国电子政务标准化委员会信息安全组 • 制定和正在制定的标准公安都在几十个 • 主要基础标准:tcsec/iso13335/iso17799/sse-cmm/cc • 主要派别:公/保/机/丁/国信/地方/条线部门
从标准化看专业之一:双驱动 • 应用拉动:电信/银行/骨干大企业/电力 • 政策拉动:军队/电子政务/金字工程 • 中国信息安全产业政策拉动主导作用明显 • 由于关心的层面不一样,参与方不一样 • 产品和电信:大厂商 • 国标:势力各方 • 特殊标准:内定参与或不公开
从标准化看专业之二:条块分隔 • 公安部. • 国家保密局. • 中央机要局/商密办 • 国家安全部 • 各地政府 • 解放军 • 国信办 • 各大学和研究机构 • 奇怪现象:产品标准不吵架,系统标准吵架
从标准化看专业之三:多起源 • 曾经各政策垄断研究所:30,56,418,15,51 • 各大学和后生研究机构:川大/交大/中科/吉大/山大/清华 • 各上市公司:清华系/东大/东软/联想/华源 • 国外背景:CA/赛门铁克/安氏/ • 主管部门支持:启明星晨/维豪/各地测评机构 • 十年树树,百年树人 • 安全圈子实际上很小 • 越来越感觉圈子人再自己跟自己玩
从标准化看专业之四:药效两说 • 三流企业做工程/二流企业做服务/一流企业做标准 • 三流做得起工程/二流做地起服务/一流做得起标准 • 国家对标准化投入很大 • 绝大多数标准睡觉,少数标准参考 • 标准对于提高行业的作用:方案\实施\市场\核心竞争能力
从标准化看专业之五:人才 • 标准化和信息安全人才结构断档 • 普适性人才太多,专业化人才太少 • 人才浮燥 • 人才产业环境:规模 • 专与博之间的平衡 • 政策对于人才的副作用 • 忧心如焚
从标准化看专业之六:产业链 • 芯片 ¥ • 操作系统 ¥ • 数据库 ¥ • 产品:安全三大件:加密/病毒/防火墙$ $ $ $ $ $ $ • 安全服务 $ $ • 安全集成$ $ $ • 测评和认证 $ $ $ $ $ $ $ • 安全不成产业
从标准化看专业之七:管理 • 误区一:用技术解决政治问题 • 误区二:用产品解决管理问题 • 误区三:行政管理解决专业管理问题 • 误区四:重产品,轻系统;重技术,轻管理; 17799 10大类,127个控制措施,软投入占绝大多数
从标准化看专业之八:国际化与本土化 • 2002年起,30等单位代表中国连续参加sc27年会讨论 • 目前主流的信息安全标准已经全部成为国家标准 • 去年,17799主要起草人泰勒应邀来到北京 • 很多单位第一时间得到和翻译最新标准 • BSI组织加强在中国活动,很多企业得到认证 • 国家已经立项百余个信息安全自主标准 • 已经确定等级保护思路
从标准化看专业之九:综合和附属 • 安全与网络的接口 • 安全服务与系统运维 • 专业咨询和技术应用 • 管理和技术 • 高层面和可操作性
信息安全 ..... 从专业看知识架构
信息安全 ..... 从专业看能力架构
如何解决问题一:围绕价值 • 价值在哪里? • 脆弱点在那里? • 威胁有哪些? • 解决手段如何? • 效果是否满意? • 是否有隐忧? • 是否需要专业咨询或评估? • 代价准备多少?
如何解决问题二:全套考虑 • 管理与技术相结合 • 咨询与行动相结合 • 规定动作与自选特色相结合 • 规范性与先进性相结合 • 常态与应急相结合
如何解决问题三:全生命周期 工程实施服务 工程监理 认证辅导 建设 安全通告 安全体系规划 用户核心利益 网络结构规划 安全管理咨询 政务应用规划 设计 运行 应急响应 风险评估 培训服务 产品服务 信息化需求分析 升级 定制开发服务 规划服务
如何解决问题四:全方位接触界面 用户 界 面 800 网站 邮件 短信 人员 调度 考核 培训 质量 管理 成本 控制 工具 开发 试验 测试 攻防 研究 支 持 系 统 技术体系
如何解决问题五:从规划开始 • 电子政务应用为例 • 中办发【2002】17号:国家信息化领导小组关于我国电子政务建设指导意见 • 国信办【2003】2号:电子政务工程技术指南 • 国标委:电子政务标准化指南 • 中办发【2003】27号:国家信息化领导小组关于加强信息安全保障工作的意见
如何解决问题六:遵从各方指南 • 安全信息系统集成设计和实施遵循的国家标准 • 国家标准GB 17859-1999 《计算机信息系统 安全保护等级划分准则》 • 国家标准GB18336 <CC> 《信息技术 安全技术信息技术安全性评估准则》 • 国家保密局BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》 • 国家保密局BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 • 国家保密局BMZ3-2001是《涉及国家秘密的计算机信息系统安全保密测评指南》 • 公安部GA 216.1-1999 《计算机信息系统安全》信息系统安全风险分析评估方法 • OCTAVE方法(The Operationally Critical Threat, Asset, and Vulnerability Evaluation)《可操作的关键威胁、资产和弱点评估》 • 信息系统安全工程管理体系 • SSE-CMM(Systems Security Engineering – Capability Maturity Model)《系统安全工程-能力成熟度模型》 • BS7799,ISO/IEC 17799《信息安全管理实用规则》 • BSI联邦信息安全保护手册《IT基准保护手册安全措施标准》 • ISO13335《IT安全管理指南》系列标准 • 安全保障技术 • IATF(Information Assurance Technical Framework)《信息保障技术框架 》
如何解决问题七:外包过程标准化 • 专业的安全服务 • ITIL(Information Technology Infrastructure Library)IT服务管理知识框架体系系列标准 • Vrije大学《IT服务能力成熟度模型》 • OMSS(Outsourcing Managed Security Service)《可管理安全外包服务》 • CSIRTs(计算机安全事件响应小组)工作手册
如何解决问题八:建立自己标准化指南 • 国家信息化领导小组关于我国电子政务建设指导意见 • 电子政务标准化指南 • 应用规划 • 网络规划 • 风险评估 • 漏洞扫描 • 安全加固 • 产品咨询 • 实施监理 • 培训 • 应急响应 • OCTAVE风险评估方法 • BS7799,ISO/IEC 17799安全管理 • GBxxxx信息安全风险评估指南 • IATF信息保障技术框架 • GB 17859-1999等级划分准则 • GB18336 <CC>评估准则 • BMZ1-2000、BMZ2-2001、BMZ3-2001 • 电子政务系统安全测评、验收规范 • ITIL IT服务管理知识框架体系系列标准 • IT服务能力成熟度模型 • OMSS可管理安全外包服务 • CSIRTs计算机安全事件响应小组工作手册 • 电子政务信息系统安全服务规范
从专业架构看能力架构一 :广度 • 网络知识 • 应用知识 • 计算机知识 • 安全知识 • 管理学系统学知识 • 法律知识 • 文学社会学知识
从专业架构看能力架构一 :深度 • CCIE、CCNP、CCNA • CMM、C、J2EE、数据库、操作系统 • 计算机维护、硬件、原理 • CC、7799、SSE-CMM、黑客、病毒、防火墙 • 控制论、系统论、管理学 • 隐私、知识产权 • 心理学、文字、计算机制图
从专业架构看能力架构一 :速度 • 学习能力 • 跨行工作能力 • 跨专业协调能力 • 妥协能力 • 合作团队能力 • 独立工作能力 • 洞察能力