信息安全 -------- 从标准架构看专业架构和从专业架构看能力架构

Shanghai 30wish Information Security Co., Ltd.

信息安全 --------从标准架构看专业架构和从专业架构看能力架构

魏忠博士上海三零卫士信息安全有限公司

2 上海三零卫士信息安全有限公司30wish Information Security

从标准架构看信息安全专业架构从标准架构看信息安全专业架构


问题的提出：什么是信息安全Confidentiality

Integrity

Availability

Safety

Secret

Dependability

Trust

Security

Survivability

Safeguard

Assurance

protect


信息安全与计算机技术的并行融合发展：

Secret

trust

security

survivability

safeguard

protect framework

assurance

dependability

Safety

survivability

assurance计算机技术

计算机技术

信息安全的发展

信息安全的发展


信息安全的思潮进化总结：信息安全的思潮进化总结：

秘密地做

威胁

对策

可靠地做

安全地做

有效地做

系统地做

全面地做

立体地做

Secret

trust

security

survivability

safeguard

framework

assurance

价值保护


信息安全各思路发展内容：信息安全各思路发展内容：

assurance

Protect framesafeguard

survivability

security

trust

安全过程secret

安全功能安全因素


业界信息安全未来五年发展趋势研究

现有安全技术将进一步综合化 “内容安全”成为重点新应用产生信息安全新技术无线网络安全将成为关注的重点

ITIT机构机构

ITIT系统系统

解决方案解决方案

安全服务安全服务

内部治理内部治理

生存环境

整体组织整体组织

安全产品安全产品

主机主机系统系统运行运行战略战略管理管理


本人从事信息安全的一些回顾 2000 年进入信息安全行业经历从技术干部 ----- 管理干部的转变处在信息安全蓬勃发展的时期 , 机会也比较好由于 30 机构在国内信息安全龙头地位 , 因此有机会

进入核心讨论作为主要起草者参与 :iso17799/iso13335/sse-cmm/

计算机安全工程等级 / 安全监理 / 保密测评细则等 7个国家标准

作为主要起草者参与 : 北京市党政 / 上海市工程 / 杭州 / 公安部等 8 个部和地市标准

直接或间接参与总计 3 亿和 400 个信息安全项目经验


国际标准概况 :ISO/IEC JTC1

• JTC1 SC27 信息技术安全技术 WG 1: 要求、安全服务和指南 WG2: 安全技术和机制 WG3: 安全评估准则

制定和正在制定的标准 75 个主要标准 :iso13335/iso17799/

sse-cmm/cc 主要派别 : 欧 , 美


国内情况

全国信息安全标准化技术委员会（全国安标委， TC260 ）公安部信息系统安全标准化技术委员会中国通信标准化协会网络与信息安全技术工作委员会（ TC8 ）全国电子政务标准化委员会信息安全组

制定和正在制定的标准公安都在几十个主要基础标准 :tcsec/iso13335/iso17799/sse-

cmm/cc 主要派别 : 公 /保 /机 /丁 / 国信 / 地方 / 条线部门


从标准化看专业之一：双驱动应用拉动 : 电信 / 银行 / 骨干大企业 / 电力政策拉动 : 军队 / 电子政务 / 金字工程

中国信息安全产业政策拉动主导作用明显由于关心的层面不一样 , 参与方不一样产品和电信 : 大厂商国标 : 势力各方特殊标准 : 内定参与或不公开


从标准化看专业之二：条块分隔

公安部 . 国家保密局 . 中央机要局 / 商密办国家安全部各地政府解放军国信办各大学和研究机构

奇怪现象 : 产品标准不吵架 , 系统标准吵架


从标准化看专业之三：多起源曾经各政策垄断研究所 :30,56,418,15,51 各大学和后生研究机构 : 川大 / 交大 / 中科 / 吉大 / 山大 / 清华

各上市公司 : 清华系 / 东大 / 东软 / 联想 / 华源国外背景 :CA/ 赛门铁克 / 安氏 / 主管部门支持 : 启明星晨 / 维豪 / 各地测评机构

十年树树，百年树人安全圈子实际上很小越来越感觉圈子人再自己跟自己玩


从标准化看专业之四：药效两说

三流企业做工程 / 二流企业做服务 / 一流企业做标准三流做得起工程 / 二流做地起服务 / 一流做得起标准国家对标准化投入很大绝大多数标准睡觉 ,少数标准参考

标准对于提高行业的作用 : 方案 \ 实施 \ 市场 \ 核心竞争能力


从标准化看专业之五：人才标准化和信息安全人才结构断档普适性人才太多 , 专业化人才太少人才浮燥人才产业环境 :规模专与博之间的平衡政策对于人才的副作用

忧心如焚


从标准化看专业之六：产业链芯片　　 ¥ 操作系统　 ¥ 数据库　 ¥ 产品 : 安全三大件 :加密 /病毒 /防火墙 $ $ $ $ $

$ $ 安全服务　 $ $ 　　安全集成 $ $ $ 测评和认证　　 $ $ $ $ $ $ $

安全不成产业


从标准化看专业之七：管理误区一：用技术解决政治问题误区二：用产品解决管理问题误区三：行政管理解决专业管理问题误区四：重产品，轻系统；重技术，轻管理；

17799 10 大类， 127 个控制措施，软投入占绝大多数


从标准化看专业之八：国际化与本土化

2002 年起， 30 等单位代表中国连续参加 sc27年会讨论

目前主流的信息安全标准已经全部成为国家标准去年， 17799 主要起草人泰勒应邀来到北京很多单位第一时间得到和翻译最新标准 BSI组织加强在中国活动，很多企业得到认证

国家已经立项百余个信息安全自主标准已经确定等级保护思路


从标准化看专业之九：综合和附属安全与网络的接口安全服务与系统运维专业咨询和技术应用管理和技术高层面和可操作性


信息安全信息安全


信息安全信息安全


•法律环境•知识产权•人权法•隐私权•合同法•…

•文化环境•安全环境•…

•组织安全文化•群体价值观•个体价值观

信息安全体系战略决策

•结构形式•流程规范

•绩效评估•能力评估•审计方法论

外部环境

内部环境

•风险规避•定位•一致性策略•隐私策略

组织设计

绩效产出

•核心领导安全•绝密会议管理•NOTES安全•Email安全•B2B安全•IO管理方案

•客户端安全•即时通信安全•数据库安全•网络安全•应用系统安全•第三方互联安全

策略实现

面向全球化环境的面向全球化环境的

华为信息安全管理体系建设流程华为信息安全管理体系建设流程


如何解决问题一：围绕价值

价值在哪里？脆弱点在那里？威胁有哪些？解决手段如何？效果是否满意？是否有隐忧？是否需要专业咨询或评估？代价准备多少？


如何解决问题二：全套考虑

管理与技术相结合咨询与行动相结合规定动作与自选特色相结合规范性与先进性相结合常态与应急相结合


如何解决问题三：全生命周期

安全通告安全通告

政务应用规划安全管理咨询安全管理咨询

风险评估

工程实施服务

应急响应应急响应培训服务培训服务

认证辅导

定制开发服务

运行运行

升级升级

建设建设工程监理

设计设计

产品服务

用户核心利益用户核心利益

规划服务

信息化需求分析

安全体系规划网络结构规划


如何解决问题四：全方位接触界面

800 邮件短信人员界面

支持系统技术体系

调度考核培训

质量管理

成本控制

工具开发

试验测试

用户

攻防研究

网站


如何解决问题五：从规划开始电子政务应用为例

中办发【 2002 】 17 号：国家信息化领导小组关于我国电子政务建设指导意见

国信办【 2003 】 2 号：电子政务工程技术指南国标委：电子政务标准化指南中办发【 2003 】 27 号：国家信息化领导小组关于加强信息

安全保障工作的意见


如何解决问题六：遵从各方指南安全信息系统集成设计和实施遵循的国家标准

国家标准 GB 17859-1999 《计算机信息系统安全保护等级划分准则》国家标准 GB18336 <CC> 《信息技术安全技术信息技术安全性评估准则》国家保密局 BMZ1-2000 《涉及国家秘密的计算机信息系统保密技术要求》国家保密局 BMZ2－ 2001 《涉及国家秘密的计算机信息系统安全保密方案设计指南

》国家保密局 BMZ3-2001 是《涉及国家秘密的计算机信息系统安全保密测评指南》公安部 GA 216.1-1999 《计算机信息系统安全》信息系统安全风险分析评估方法 OCTAVE 方法（ The Operationally Critical Threat, Asset, and Vulnerability

Evaluation）《可操作的关键威胁、资产和弱点评估》信息系统安全工程管理体系

SSE-CMM（ Systems Security Engineering – Capability Maturity Model）《系统安全工程 - 能力成熟度模型》

BS7799， ISO/IEC 17799 《信息安全管理实用规则》 BSI 联邦信息安全保护手册《 IT 基准保护手册安全措施标准》 ISO13335《 IT 安全管理指南》系列标准

安全保障技术 IATF（ Information Assurance Technical Framework）《信息保障技术框架》


如何解决问题七：外包过程标准化

专业的安全服务 ITIL（ Information Technology Infrastructure Library） IT

服务管理知识框架体系系列标准 Vrije 大学《 IT 服务能力成熟度模型》 OMSS（ Outsourcing Managed Security Service）《可管

理安全外包服务》 CSIRTs （计算机安全事件响应小组）工作手册


如何解决问题八：建立自己标准化指南

应用规划网络规划风险评估漏洞扫描安全加固产品咨询实施监理培训应急响应

•OCTAVE风险评估方法•BS7799， ISO/IEC 17799 安全管理•GBxxxx 信息安全风险评估指南

•IATF 信息保障技术框架•GB 17859-1999 等级划分准则•GB18336 <CC> 评估准则•BMZ1-2000、 BMZ2-2001、 BMZ3-2001•电子政务系统安全测评、验收规范

•ITIL IT服务管理知识框架体系系列标准•IT服务能力成熟度模型•OMSS可管理安全外包服务•CSIRTs 计算机安全事件响应小组工作手册•电子政务信息系统安全服务规范

•国家信息化领导小组关于我国电子政务建设指导意见•电子政务标准化指南


从专业架构看能力架构一：广度

网络知识应用知识计算机知识安全知识管理学系统学知识法律知识文学社会学知识


从专业架构看能力架构一：深度

CCIE、 CCNP、 CCNA CMM、 C、 J2EE、数据库、操作系统计算机维护、硬件、原理 CC、 7799、 SSE-CMM、黑客、病毒、防火墙控制论、系统论、管理学隐私、知识产权心理学、文字、计算机制图


从专业架构看能力架构一：速度

学习能力跨行工作能力跨专业协调能力妥协能力合作团队能力独立工作能力洞察能力


谢谢

Documents

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构

信息安全 -------- 从标准架构看专业架构和从专业架构看能力架构