信息安全
This presentation is the property of its rightful owner.
Sponsored Links
1 / 34

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构 PowerPoint PPT Presentation


  • 92 Views
  • Uploaded on
  • Presentation posted in: General

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构. 魏忠 博士 上海三零卫士信息安全有限公司. 从标准架构 看信息安全专业架构. 问题的提出:什么是信息安全. Confidentiality Integrity Availability Safety Secret Dependability Trust Security Survivability Safeguard Assurance protect. =. 信息安全 ?. 信息安全与计算机技术的并行融合发展:. 计算机技术.

Download Presentation

信息安全 -------- 从标准架构看专业架构 和 从专业架构看能力架构

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


4519343

信息安全--------从标准架构看专业架构 和从专业架构看能力架构

魏忠 博士

上海三零卫士信息安全有限公司


4519343

从标准架构

看信息安全专业架构

.....


4519343

问题的提出:什么是信息安全

Confidentiality

Integrity

Availability

Safety

Secret

Dependability

Trust

Security

Survivability

Safeguard

Assurance

protect

=

信息安全?


4519343

信息安全与计算机技术的并行融合发展:

计算机技术

assurance

protect framework

assurance

safeguard

survivability

survivability

dependability

security

信息安全的发展

trust

Safety

Secret


4519343

信息安全的思潮进化总结:

价值保护

assurance

威胁

framework

safeguard

survivability

security

trust

Secret

对策


4519343

安全因素

assurance

安全功能

Protect

frame

safeguard

survivability

security

trust

secret

安全过程

信息安全各思路发展内容:


4519343

业界信息安全未来五年发展趋势研究

  • 现有安全技术将进一步综合化

  • “内容安全”成为重点

  • 新应用产生信息安全新技术

  • 无线网络安全将成为关注的重点


4519343

本人从事信息安全的一些回顾

  • 2000年进入信息安全行业

  • 经历从技术干部-----管理干部的转变

  • 处在信息安全蓬勃发展的时期,机会也比较好

  • 由于30机构在国内信息安全龙头地位,因此有机会进入核心讨论

  • 作为主要起草者参与:iso17799/iso13335/sse-cmm/计算机安全工程等级/安全监理/保密测评细则等7个国家标准

  • 作为主要起草者参与:北京市党政/上海市工程/杭州/公安部等8个部和地市标准

  • 直接或间接参与总计3亿和400个信息安全项目经验


Iso iec jtc1

国际标准概况:ISO/IEC JTC1

  • JTC1 SC27 信息技术 安全技术

    • WG 1: 要求、安全服务和指南

    • WG2: 安全技术和机制

    • WG3: 安全评估准则

  • 制定和正在制定的标准75个

  • 主要标准:iso13335/iso17799/sse-cmm/cc

  • 主要派别:欧,美


4519343

国内情况

  • 全国信息安全标准化技术委员会(全国安标委,TC260)

  • 公安部信息系统安全标准化技术委员会

  • 中国通信标准化协会网络与信息安全技术工作委员会(TC8)

  • 全国电子政务标准化委员会信息安全组

  • 制定和正在制定的标准公安都在几十个

  • 主要基础标准:tcsec/iso13335/iso17799/sse-cmm/cc

  • 主要派别:公/保/机/丁/国信/地方/条线部门


  • 4519343

    从标准化看专业之一:双驱动

    • 应用拉动:电信/银行/骨干大企业/电力

    • 政策拉动:军队/电子政务/金字工程

    • 中国信息安全产业政策拉动主导作用明显

    • 由于关心的层面不一样,参与方不一样

    • 产品和电信:大厂商

    • 国标:势力各方

    • 特殊标准:内定参与或不公开


    4519343

    从标准化看专业之二:条块分隔

    • 公安部.

    • 国家保密局.

    • 中央机要局/商密办

    • 国家安全部

    • 各地政府

    • 解放军

    • 国信办

    • 各大学和研究机构

    • 奇怪现象:产品标准不吵架,系统标准吵架


    4519343

    从标准化看专业之三:多起源

    • 曾经各政策垄断研究所:30,56,418,15,51

    • 各大学和后生研究机构:川大/交大/中科/吉大/山大/清华

    • 各上市公司:清华系/东大/东软/联想/华源

    • 国外背景:CA/赛门铁克/安氏/

    • 主管部门支持:启明星晨/维豪/各地测评机构

    • 十年树树,百年树人

    • 安全圈子实际上很小

    • 越来越感觉圈子人再自己跟自己玩


    4519343

    从标准化看专业之四:药效两说

    • 三流企业做工程/二流企业做服务/一流企业做标准

    • 三流做得起工程/二流做地起服务/一流做得起标准

    • 国家对标准化投入很大

    • 绝大多数标准睡觉,少数标准参考

    • 标准对于提高行业的作用:方案\实施\市场\核心竞争能力


    4519343

    从标准化看专业之五:人才

    • 标准化和信息安全人才结构断档

    • 普适性人才太多,专业化人才太少

    • 人才浮燥

    • 人才产业环境:规模

    • 专与博之间的平衡

    • 政策对于人才的副作用

    • 忧心如焚


    4519343

    从标准化看专业之六:产业链

    • 芯片   ¥

    • 操作系统  ¥

    • 数据库  ¥

    • 产品:安全三大件:加密/病毒/防火墙$ $ $ $ $ $ $

    • 安全服务  $ $

    • 安全集成$ $ $

    • 测评和认证  $ $ $ $ $ $ $

    • 安全不成产业


    4519343

    从标准化看专业之七:管理

    • 误区一:用技术解决政治问题

    • 误区二:用产品解决管理问题

    • 误区三:行政管理解决专业管理问题

    • 误区四:重产品,轻系统;重技术,轻管理;

      17799 10大类,127个控制措施,软投入占绝大多数


    4519343

    从标准化看专业之八:国际化与本土化

    • 2002年起,30等单位代表中国连续参加sc27年会讨论

    • 目前主流的信息安全标准已经全部成为国家标准

    • 去年,17799主要起草人泰勒应邀来到北京

    • 很多单位第一时间得到和翻译最新标准

    • BSI组织加强在中国活动,很多企业得到认证

    • 国家已经立项百余个信息安全自主标准

    • 已经确定等级保护思路


    4519343

    从标准化看专业之九:综合和附属

    • 安全与网络的接口

    • 安全服务与系统运维

    • 专业咨询和技术应用

    • 管理和技术

    • 高层面和可操作性


    4519343

    信息安全

    .....

    从专业看知识架构


    4519343

    信息安全

    .....

    从专业看能力架构


    4519343

    如何解决问题一:围绕价值

    • 价值在哪里?

    • 脆弱点在那里?

    • 威胁有哪些?

    • 解决手段如何?

    • 效果是否满意?

    • 是否有隐忧?

    • 是否需要专业咨询或评估?

    • 代价准备多少?


    4519343

    如何解决问题二:全套考虑

    • 管理与技术相结合

    • 咨询与行动相结合

    • 规定动作与自选特色相结合

    • 规范性与先进性相结合

    • 常态与应急相结合


    4519343

    如何解决问题三:全生命周期

    工程实施服务

    工程监理

    认证辅导

    建设

    安全通告

    安全体系规划

    用户核心利益

    网络结构规划

    安全管理咨询

    政务应用规划

    设计

    运行

    应急响应

    风险评估

    培训服务

    产品服务

    信息化需求分析

    升级

    定制开发服务

    规划服务


    4519343

    如何解决问题四:全方位接触界面

    用户

    800

    网站

    邮件

    短信

    人员

    调度

    考核

    培训

    质量

    管理

    成本

    控制

    工具

    开发

    试验

    测试

    攻防

    研究

    技术体系


    4519343

    如何解决问题五:从规划开始

    • 电子政务应用为例

      • 中办发【2002】17号:国家信息化领导小组关于我国电子政务建设指导意见

      • 国信办【2003】2号:电子政务工程技术指南

      • 国标委:电子政务标准化指南

      • 中办发【2003】27号:国家信息化领导小组关于加强信息安全保障工作的意见


    4519343

    如何解决问题六:遵从各方指南

    • 安全信息系统集成设计和实施遵循的国家标准

      • 国家标准GB 17859-1999 《计算机信息系统 安全保护等级划分准则》

      • 国家标准GB18336 <CC> 《信息技术 安全技术信息技术安全性评估准则》

      • 国家保密局BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》

      • 国家保密局BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》

      • 国家保密局BMZ3-2001是《涉及国家秘密的计算机信息系统安全保密测评指南》

      • 公安部GA 216.1-1999 《计算机信息系统安全》信息系统安全风险分析评估方法

      • OCTAVE方法(The Operationally Critical Threat, Asset, and Vulnerability Evaluation)《可操作的关键威胁、资产和弱点评估》

    • 信息系统安全工程管理体系

      • SSE-CMM(Systems Security Engineering – Capability Maturity Model)《系统安全工程-能力成熟度模型》

      • BS7799,ISO/IEC 17799《信息安全管理实用规则》

      • BSI联邦信息安全保护手册《IT基准保护手册安全措施标准》

      • ISO13335《IT安全管理指南》系列标准

    • 安全保障技术

      • IATF(Information Assurance Technical Framework)《信息保障技术框架 》


    4519343

    如何解决问题七:外包过程标准化

    • 专业的安全服务

      • ITIL(Information Technology Infrastructure Library)IT服务管理知识框架体系系列标准

      • Vrije大学《IT服务能力成熟度模型》

      • OMSS(Outsourcing Managed Security Service)《可管理安全外包服务》

      • CSIRTs(计算机安全事件响应小组)工作手册


    4519343

    如何解决问题八:建立自己标准化指南

    • 国家信息化领导小组关于我国电子政务建设指导意见

    • 电子政务标准化指南

    • 应用规划

    • 网络规划

    • 风险评估

    • 漏洞扫描

    • 安全加固

    • 产品咨询

    • 实施监理

    • 培训

    • 应急响应

    • OCTAVE风险评估方法

    • BS7799,ISO/IEC 17799安全管理

    • GBxxxx信息安全风险评估指南

    • IATF信息保障技术框架

    • GB 17859-1999等级划分准则

    • GB18336 <CC>评估准则

    • BMZ1-2000、BMZ2-2001、BMZ3-2001

    • 电子政务系统安全测评、验收规范

    • ITIL IT服务管理知识框架体系系列标准

    • IT服务能力成熟度模型

    • OMSS可管理安全外包服务

    • CSIRTs计算机安全事件响应小组工作手册

    • 电子政务信息系统安全服务规范


    4519343

    从专业架构看能力架构一 :广度

    • 网络知识

    • 应用知识

    • 计算机知识

    • 安全知识

    • 管理学系统学知识

    • 法律知识

    • 文学社会学知识


    4519343

    从专业架构看能力架构一 :深度

    • CCIE、CCNP、CCNA

    • CMM、C、J2EE、数据库、操作系统

    • 计算机维护、硬件、原理

    • CC、7799、SSE-CMM、黑客、病毒、防火墙

    • 控制论、系统论、管理学

    • 隐私、知识产权

    • 心理学、文字、计算机制图


    4519343

    从专业架构看能力架构一 :速度

    • 学习能力

    • 跨行工作能力

    • 跨专业协调能力

    • 妥协能力

    • 合作团队能力

    • 独立工作能力

    • 洞察能力


    4519343

    谢谢


  • Login