1 / 34

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构. 魏忠 博士 上海三零卫士信息安全有限公司. 从标准架构 看信息安全专业架构. 问题的提出:什么是信息安全. Confidentiality Integrity Availability Safety Secret Dependability Trust Security Survivability Safeguard Assurance protect. =. 信息安全 ?. 信息安全与计算机技术的并行融合发展:. 计算机技术.

trella
Télécharger la présentation

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 信息安全--------从标准架构看专业架构 和从专业架构看能力架构 魏忠 博士 上海三零卫士信息安全有限公司

  2. 从标准架构 看信息安全专业架构 .....

  3. 问题的提出:什么是信息安全 Confidentiality Integrity Availability Safety Secret Dependability Trust Security Survivability Safeguard Assurance protect = 信息安全?

  4. 信息安全与计算机技术的并行融合发展: 计算机技术 assurance protect framework assurance safeguard survivability survivability dependability security 信息安全的发展 trust Safety Secret

  5. 面 地 做 信息安全的思潮进化总结: 立 体 地 做 价值保护 系 统 地 做 有 效 地 做 assurance 威胁 安 全 地 做 framework 可 靠 地 做 safeguard 秘 密 地 做 survivability security trust Secret 对策

  6. 安全因素 assurance 安全功能 Protect frame safeguard survivability security trust secret 安全过程 信息安全各思路发展内容:

  7. 业界信息安全未来五年发展趋势研究 • 现有安全技术将进一步综合化 • “内容安全”成为重点 • 新应用产生信息安全新技术 • 无线网络安全将成为关注的重点

  8. 本人从事信息安全的一些回顾 • 2000年进入信息安全行业 • 经历从技术干部-----管理干部的转变 • 处在信息安全蓬勃发展的时期,机会也比较好 • 由于30机构在国内信息安全龙头地位,因此有机会进入核心讨论 • 作为主要起草者参与:iso17799/iso13335/sse-cmm/计算机安全工程等级/安全监理/保密测评细则等7个国家标准 • 作为主要起草者参与:北京市党政/上海市工程/杭州/公安部等8个部和地市标准 • 直接或间接参与总计3亿和400个信息安全项目经验

  9. 国际标准概况:ISO/IEC JTC1 • JTC1 SC27 信息技术 安全技术 • WG 1: 要求、安全服务和指南 • WG2: 安全技术和机制 • WG3: 安全评估准则 • 制定和正在制定的标准75个 • 主要标准:iso13335/iso17799/sse-cmm/cc • 主要派别:欧,美

  10. 国内情况 • 全国信息安全标准化技术委员会(全国安标委,TC260) • 公安部信息系统安全标准化技术委员会 • 中国通信标准化协会网络与信息安全技术工作委员会(TC8) • 全国电子政务标准化委员会信息安全组 • 制定和正在制定的标准公安都在几十个 • 主要基础标准:tcsec/iso13335/iso17799/sse-cmm/cc • 主要派别:公/保/机/丁/国信/地方/条线部门

  11. 从标准化看专业之一:双驱动 • 应用拉动:电信/银行/骨干大企业/电力 • 政策拉动:军队/电子政务/金字工程 • 中国信息安全产业政策拉动主导作用明显 • 由于关心的层面不一样,参与方不一样 • 产品和电信:大厂商 • 国标:势力各方 • 特殊标准:内定参与或不公开

  12. 从标准化看专业之二:条块分隔 • 公安部. • 国家保密局. • 中央机要局/商密办 • 国家安全部 • 各地政府 • 解放军 • 国信办 • 各大学和研究机构 • 奇怪现象:产品标准不吵架,系统标准吵架

  13. 从标准化看专业之三:多起源 • 曾经各政策垄断研究所:30,56,418,15,51 • 各大学和后生研究机构:川大/交大/中科/吉大/山大/清华 • 各上市公司:清华系/东大/东软/联想/华源 • 国外背景:CA/赛门铁克/安氏/ • 主管部门支持:启明星晨/维豪/各地测评机构 • 十年树树,百年树人 • 安全圈子实际上很小 • 越来越感觉圈子人再自己跟自己玩

  14. 从标准化看专业之四:药效两说 • 三流企业做工程/二流企业做服务/一流企业做标准 • 三流做得起工程/二流做地起服务/一流做得起标准 • 国家对标准化投入很大 • 绝大多数标准睡觉,少数标准参考 • 标准对于提高行业的作用:方案\实施\市场\核心竞争能力

  15. 从标准化看专业之五:人才 • 标准化和信息安全人才结构断档 • 普适性人才太多,专业化人才太少 • 人才浮燥 • 人才产业环境:规模 • 专与博之间的平衡 • 政策对于人才的副作用 • 忧心如焚

  16. 从标准化看专业之六:产业链 • 芯片   ¥ • 操作系统  ¥ • 数据库  ¥ • 产品:安全三大件:加密/病毒/防火墙$ $ $ $ $ $ $ • 安全服务  $ $ • 安全集成$ $ $ • 测评和认证  $ $ $ $ $ $ $ • 安全不成产业

  17. 从标准化看专业之七:管理 • 误区一:用技术解决政治问题 • 误区二:用产品解决管理问题 • 误区三:行政管理解决专业管理问题 • 误区四:重产品,轻系统;重技术,轻管理; 17799 10大类,127个控制措施,软投入占绝大多数

  18. 从标准化看专业之八:国际化与本土化 • 2002年起,30等单位代表中国连续参加sc27年会讨论 • 目前主流的信息安全标准已经全部成为国家标准 • 去年,17799主要起草人泰勒应邀来到北京 • 很多单位第一时间得到和翻译最新标准 • BSI组织加强在中国活动,很多企业得到认证 • 国家已经立项百余个信息安全自主标准 • 已经确定等级保护思路

  19. 从标准化看专业之九:综合和附属 • 安全与网络的接口 • 安全服务与系统运维 • 专业咨询和技术应用 • 管理和技术 • 高层面和可操作性

  20. 信息安全 ..... 从专业看知识架构

  21. 信息安全 ..... 从专业看能力架构

  22. 如何解决问题一:围绕价值 • 价值在哪里? • 脆弱点在那里? • 威胁有哪些? • 解决手段如何? • 效果是否满意? • 是否有隐忧? • 是否需要专业咨询或评估? • 代价准备多少?

  23. 如何解决问题二:全套考虑 • 管理与技术相结合 • 咨询与行动相结合 • 规定动作与自选特色相结合 • 规范性与先进性相结合 • 常态与应急相结合

  24. 如何解决问题三:全生命周期 工程实施服务 工程监理 认证辅导 建设 安全通告 安全体系规划 用户核心利益 网络结构规划 安全管理咨询 政务应用规划 设计 运行 应急响应 风险评估 培训服务 产品服务 信息化需求分析 升级 定制开发服务 规划服务

  25. 如何解决问题四:全方位接触界面 用户 界 面 800 网站 邮件 短信 人员 调度 考核 培训 质量 管理 成本 控制 工具 开发 试验 测试 攻防 研究 支 持 系 统 技术体系

  26. 如何解决问题五:从规划开始 • 电子政务应用为例 • 中办发【2002】17号:国家信息化领导小组关于我国电子政务建设指导意见 • 国信办【2003】2号:电子政务工程技术指南 • 国标委:电子政务标准化指南 • 中办发【2003】27号:国家信息化领导小组关于加强信息安全保障工作的意见

  27. 如何解决问题六:遵从各方指南 • 安全信息系统集成设计和实施遵循的国家标准 • 国家标准GB 17859-1999 《计算机信息系统 安全保护等级划分准则》 • 国家标准GB18336 <CC> 《信息技术 安全技术信息技术安全性评估准则》 • 国家保密局BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》 • 国家保密局BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 • 国家保密局BMZ3-2001是《涉及国家秘密的计算机信息系统安全保密测评指南》 • 公安部GA 216.1-1999 《计算机信息系统安全》信息系统安全风险分析评估方法 • OCTAVE方法(The Operationally Critical Threat, Asset, and Vulnerability Evaluation)《可操作的关键威胁、资产和弱点评估》 • 信息系统安全工程管理体系 • SSE-CMM(Systems Security Engineering – Capability Maturity Model)《系统安全工程-能力成熟度模型》 • BS7799,ISO/IEC 17799《信息安全管理实用规则》 • BSI联邦信息安全保护手册《IT基准保护手册安全措施标准》 • ISO13335《IT安全管理指南》系列标准 • 安全保障技术 • IATF(Information Assurance Technical Framework)《信息保障技术框架 》

  28. 如何解决问题七:外包过程标准化 • 专业的安全服务 • ITIL(Information Technology Infrastructure Library)IT服务管理知识框架体系系列标准 • Vrije大学《IT服务能力成熟度模型》 • OMSS(Outsourcing Managed Security Service)《可管理安全外包服务》 • CSIRTs(计算机安全事件响应小组)工作手册

  29. 如何解决问题八:建立自己标准化指南 • 国家信息化领导小组关于我国电子政务建设指导意见 • 电子政务标准化指南 • 应用规划 • 网络规划 • 风险评估 • 漏洞扫描 • 安全加固 • 产品咨询 • 实施监理 • 培训 • 应急响应 • OCTAVE风险评估方法 • BS7799,ISO/IEC 17799安全管理 • GBxxxx信息安全风险评估指南 • IATF信息保障技术框架 • GB 17859-1999等级划分准则 • GB18336 <CC>评估准则 • BMZ1-2000、BMZ2-2001、BMZ3-2001 • 电子政务系统安全测评、验收规范 • ITIL IT服务管理知识框架体系系列标准 • IT服务能力成熟度模型 • OMSS可管理安全外包服务 • CSIRTs计算机安全事件响应小组工作手册 • 电子政务信息系统安全服务规范

  30. 从专业架构看能力架构一 :广度 • 网络知识 • 应用知识 • 计算机知识 • 安全知识 • 管理学系统学知识 • 法律知识 • 文学社会学知识

  31. 从专业架构看能力架构一 :深度 • CCIE、CCNP、CCNA • CMM、C、J2EE、数据库、操作系统 • 计算机维护、硬件、原理 • CC、7799、SSE-CMM、黑客、病毒、防火墙 • 控制论、系统论、管理学 • 隐私、知识产权 • 心理学、文字、计算机制图

  32. 从专业架构看能力架构一 :速度 • 学习能力 • 跨行工作能力 • 跨专业协调能力 • 妥协能力 • 合作团队能力 • 独立工作能力 • 洞察能力

  33. 谢谢

More Related