对国内目前信息安全专家与标准的理解

juan_5515 北京

反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从bs7799iso13335 ,SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。
可是这些标准究竟能给我们带来什么呢?无 庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过 这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推 广?
举几个标准做例子:
1 .BS 7799。首先BS7799源自英国,自然也深受英国文化和法律体系的影响,而安全不仅是技术问题,同时还是社会和法律问题,简单说,安全不仅是个人的事,还是国家的事,对BS7799 -1:1999投票的时候,西方7国除了英国,其他都极力反对,赞成的基本都是英联邦国家,或英国的文化殖民地,就说明了这一点;比如某些国家就指出, ISO17799的隐私部分就同他们的法律存在冲突,而隐私问题是一个十分敏感的问题; BS7799中包含的控制措施并不一定是你需要的,BS7799中不包含的也并非是你不需要的,而且BS7799是非过程的 ,并不具备严格的理论模 型,只是对各个领域最佳安全实践的高级别概括,BS7799中包含的最佳实践并没有被安全专家证明。你费了九牛二虎之力通过复杂的BS7799认证并不一定能保证安全,当您按照BS7799生搬硬造的设计checklist和安全政策时,是否能认真的想一想;
2 “得标准者得天下”也适用于信息安全,谁都想控制整个世界,标准也是一部分,占领了标准也就占领了制高点,可以抬高自己,打压别人 ,借以占领市场,信息安全事关国家利益,自然格外重要,标准是不发达国家抵抗发达国家信息侵略的最后一道门槛,这个门槛一旦丢了,你也就没有安全可言了 ,你用的是按国外标准研发测评的产品,经国外标准认证的系统,你还能做什么呢?
3 .NIST的FIPS 140-2是业界公认的密码模组标准,据说将来也会成为ISO标准,美国巴不得将FIPS推向世界,这样他们就知道你的系统采用的标准,算法强度,弱点,将来可以从容攻破;
4 .AS/NZS4360 1999是做风险评估的人讲的较多的一个,那它是否是一个适合信息安全的标准呢?首先看起源,AS/NZS4360来自于澳大利亚商业部等十几个部门为对 抗组织风险而制定,并非专为信息安全风险评估制定,自然也谈不到如何适合于信息安全,例如它对风险评估的介绍泛泛,也没有建立评估模型,可操作性同样不 强; 其次制定AS/NZS4360的时候比较早,那时候还没有太多风险管理标准,所谓先入为主,自然引起关注,同时由于受到其盟国如新西兰、 英国等的极力吹捧,导致AS/NZS4360扶摇直上,我就看到过多个安全厂商在其方案里直接引用或模仿此标准,至于作用,似乎大家都懒得去想,反正是外 国标准,总会比没有强吧?
5 .从沟通交流的角度说,最好全世界只有一个标准,从国家安全的角度说,最好所有的标准都和国外的不同,就像中国和俄罗斯之间的铁路一样,轨距是不同的。标 准意味着开放,互通,弱点公开,如果你自豪的宣称你的系统达到了CC EAL4安全级别,那就意味着你同时也具有EAL4级缺陷,采用EAL5分析方法就可以解决你;
6 .认证和检测机构可以信赖吗?
首先不谈那些做秀的商业测评,那根本是在用金钱收买;
那 么那些官方或半官方的机构呢,看看他们的所谓测评依据,要么是等同采用国际标准,要么是自己闭门造车,自相矛盾,五花八门,固然有历史原因,但同时也反映 出他们不可信赖,“5万买证”,“两万买证”并非空穴来风,他们同样也是赢利机构,他们需要靠出售XX证来养活自己;
一些值得深思的观点:
1 严格遵守安全标准就会安全;
2 经过认证的系统就会安全,不认为安全认证存在陷阱;
3 所谓第三方的认证检测机构可以信赖;

以上只是个人观点,想到哪就说到哪,希望能抛砖引玉,欢迎大家指正,深入讨论。

------------------------------------------------------

作者:易水寒江雪

象眼一闭,忽地看到信息安全界的一大恶俗:卖弄。

之一:如何成为信安专家

1:最早似乎是PDR还是CC象无法考证了,反正从PDR卖弄了一堆东西出来了:P2DR、PDRR、...;CC那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。
2:SSE-CMM,其实那里面也有几张好图,不过这个过程稍嫌短了些;去年年底到今年是IATF,不过IATF技术东西稍微多了些,概念稍微少了些,好像很多人感觉有些怯怯的,没太敢大动,因此经常还见保留“飞地”这等中国人难以理解的字样。
3:然后是13335那几张著名的图(一般是图2图3)也被“创新”。目前是17799正被热抄/炒(不过好像好像没图)
4:预测:下一个被卖弄的一定是NIST SP800系列,已经见到迹象了。

那些目前还自觉不是信安专家的兄弟不要自惭形秽,没关系,我们有捷径:先从SP800看起:800-30,800-37,800-53,800-60,800-59,800-26,800-61,。。。,
如果有时间或下苦功夫的话,再查找并牢记一些相关的背景和知识知识,比如FISMA,OMB-130,NIST,FIPS,那就牛大发了,赶紧了。
看家明白了?其实专家还是蛮容易的!



之二:如何让别人觉得你像信安专家

让别人觉得你像专家还是有一定技巧的,尤其是成为一个真正的专家还很困难的时候。
1: 用词:用词一定要讲究,尽量避免什么立体安全、主动安全这种普通人都能脱口而出的用语,显的不专业。要用纵深防御、深度防御之类的,一个是一般人说不出 来,其次是让大家知道你对IATF很熟。再比如说NIST SP800-53只说53就可以了,ISO/IEC 17799简化为7799等。
2:统计:对一些正热炒的东西,除了了解其内容以外,还要对其中一些数据加以统计,比如7799里有10个控制要项、36 个控制目标和127 个控制措施这些数据要张口就能来,当然如果知道7799新版有什么变化,一定要补充提到。
3:背景:对热点不能限于表面了解,必须挖据其背景,比如monitor reference model 是谁什么时候再什么文献里提出的。PDR同样如此。Fisma那张图了解了什么37、53、18、30就齐活了。
4:要对什么热点中的概念、图稍作改动(一般不会出问题),再找个什么场合“交流”一下。日后就可以大对人讲,我当年/时第一个提出。。。,当然说话要自然。这招好像坛子里已经有人用过。
5:如果有机会自己在那个信安的会上的PPT被哪个老人家索走(确实有老人家喜欢这个),那你就可以大讲了,谁谁谁专家很重视认可你的这个观点了,当年/时他。。。
。。。


之三:信安专家要参加哪些活动?

光了解了那些标准并会说了一些行话外,要成为信安专家还得参加活动,建立人脉。
1:初期一定要多参加各种各样的大会,了解大家都在炒作什么。这种会现在比较多,尤其在京沪广地区,如果是其它地方这个机会就少了,不过没关系,坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。
2: 一个阶段后重点注意大专家们的观点,比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国 家信息中心、国家测评中心、。。。等人在说什么,一定要细发掘,比如你可以看到测评中心那帮人天天就是CC、培训,因为他们靠这些挣大钱,信息中心在谈评 估等等。要尽量能和他们认识,技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。
3:参加相关机构的各种课题和项目组,比如编本书、起草 个标准什么的,这在北京不算太难的事。因为这些机构缺人又不想花钱,一招呼就会有各个公司忙不迭地跑去自掏钱地参与,如果你有幸在这些公司并傍进去了,以 后就可以在外面吹吹什么的,哪怕心里明白在里面自己其实啥也不是。有时这还要用到第二点的人脉,比如跟那些老师表达你多么多么想参加这些课题等等的,这些 老师心地都满善良的,耳朵有的也挺软的。
4:无论如何不能让别人知道你在这些项目组里的真实状况,包括你的老板、同事什么的。一定要牛XX的那样。
5:要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员,如果偶尔在表露出你可以推荐推荐他们,那你就成他们眼里的神了,其实说说而已。
6:写些玩概念、标准、模型的文章,没关系,信息安全就是模糊美,不用担心别人说你不懂,当然涉及密码技术你就不要谈了,你要真懂密码,那就不用看我这些速成指南了。


之四:信安专家做哪些研究?

做信安专家当然要有研究,否则还只是停留在中级。但是研究也得选个好的题目,要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾,因为我们是在速成,那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向:
1: SOC之类的东西,与此相关的有安全审计平台、事件关联等等,这类东西所讲的理想目标目前事不可能实现的,它们的基础支撑理论,即人工智能技术,目前是不 会有什么突破的。因此这个方向基本是人有多大胆,它就有多大。。。,充分发挥您的想像,实现上嘛可以用什么syslog,snmp等收集的信息一放就可以 了。数据简化、关联、挖掘、可视化这些个概念出了多少博士、教授,还在乎我们这些速成专家码?
2:风险评估。牢记R=f(V,T,P,I), 当然这个函数是可以如象二中加以积极修改的。然后7799、13335、30一把,必要的话可以加上前面回复贴中的那些补充标准。因为这行没人敢说它出的 东西有什么用(象哥调查过),因此您就大胆地研究。在这个研究中,一定要充分实践象一、二、三的建议。
3:等级保护。27号文出来以后开始火 起来了,按照国家要求,三年是一个阶段,在这个阶段里您还有充足的时间,相关的文档可以参考18、30、37、53、60、59,TCSEC、CC也可以 参考一下。千万注意,不要去傻读苦读这些标准,那就上了专家的大当了,我们哪有那么多时间?但一定要搞清楚它们的结构、目的、相互关系,并按照象一、二要 求牢记一些重点词汇、内容,尤其要注意的是,一定要记准文档名字(要不就只记准编号),否则就让人乐不可支了。有些机构就是把7799、IATF、SSE -CMM直接剪贴就成了等级保护,参考某著名权威测评机构。
4:多听其它专家的报告,要与时俱进。

------------------------------------------------------
作者:易水寒江雪

juan_5515 写到:

反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从BS7799到ISO13335
,SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不 成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。
可是这些标准究竟能给我们带来什么呢?无 庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过 这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推 广?

关于标准的滞后问题我有这么几个想法:
1、从本质上来说,标准都是相对滞后的。这和大学里面的学到的知识一样,因为既然称之为标准,必然是经过实践检验之后的理念,那么相对而言,标准肯定是落后的。
2、 从政府机构的不作为说起。上次(似乎是去年10月吧)参加国家信息安全产品测评认证中心召开的CC标准的一个推广会(我们公司还参加了呢,在那里做了一天 的台『展台』),会上一个老头(年纪挺大、嗓门特高)在那里痛心疾首的叱责公安部采用的17859标准,并建议采用CC标准,说是那个标准(从彩虹系列而 来)是美国80年代中期的标准,而某些所谓的专家、权威居然还奉为葵花宝典,真是可悲、可怜、可叹啊。其实目前国外的N多标准都是由政府出资由有关的职能 团队开发而来的,等等,而目前我国在标准的制定及参与方面都有待于进一步的加强。一个标准的出台要酝酿好几年,最终成为国际标准,至少需要3年多的时间, 等成为国际标准后,国家正式决定采标,再进行翻译,然后正式出版,又大概需要2年的时间。所以大家纷纷研究国外的标准也就不奇怪了。大家可以想想,IT行 业发展多么迅速,如果你在标准方面就一直落后,那么如何赶超呢?那么赶超只是痴人说梦而已。还有,现在的国标买的贼贵,那里是卖啊,纯粹是抢钱啊,薄薄的 一本标准,居然要160多,呀的比抢银行的都赚。

------------------------------------------------------
作者:易水寒江雪

juan_5515 写到:
1 .BS 7799。首先BS7799源自英国,自然也深受英国文化和法律体系的影响,而安全不仅是技术问题,同时还是社会和法律问题,简单说,安全不仅是个人的 事,还是国家的事,对BS7799 -1:1999投票的时候,西方7国除了英国,其他都极力反对,赞成的基本都是英联邦国家,或英国的文化殖民地,就说明了这一点;比如某些国家就指出, ISO17799的隐私部分就同他们的法律存在冲突,而隐私问题是一个十分敏感的问题;
BS7799中包含的控制措施并不一定是你需要的,BS7799中不包含的也并非是你不需要的,而且BS7799是非过程的 ,并不具备严格的理论模
型,只是对各个领域最佳安全实践的高级别概括,BS7799中包含的最佳实践并没有被安全专家证明。你费了九牛二虎之力通过复杂的BS7799认
证并不一定能保证安全,当您按照BS7799生搬硬造的设计checklist和安全政策时,是否能认真的想一想;


关 于BS7799标准和13335标准的关系,我想就不再赘叙了。如果仅仅从标准或理论的角度来说的话,7799是无法和13335相提并论的,并且在以前 的讨论中colababy也进行了深入的讲解。但是因为13335不具有可认证性,因此目前只能是退而求其次,采用7799标准了。
7799标准的风行与BSI的努力是分不开的,毕竟目前国内市场上流行最广泛的标准还是BSI的ISO9000系列标准,并且二者之间具有较好的兼容性。
另,任何事情都是相对的,没有任何标准可以放之四海而皆准,在理解了标准所阐述的理念后,可根据组织的业务特点来进行调整。

关键词: iso13335 , bs7799 , 安全标准 , 工作 , 信息安全

上一篇: 伪造HTTP-REFERER方法及防止伪造REFERER方法探讨
下一篇: 技术只有满足需求才有价值

相关文章
访客评论
#1
回复 amxku 2007-10-22, 20:22:08
看了半天才看完,呼呼,比较实在
#2
回复 ossk 2007-10-23, 12:31:35
确定是比较实在。
#3
回复 ossk 2007-10-23, 12:38:08
但是现在国内有些方面就是这样,人啊。难啊
#4
回复 MuRraIn 2007-10-23, 19:25:04
写的比较切合实际,其实很多一下子搞出来一堆子理论,和实际的项目和环境都不沾边,只是一味的来标榜自己。这种现象在国内很普遍
#5
回复 kiki 2007-10-23, 21:10:14
现在就这样了,好像搞安全服务什么的就是忽悠人来着
#6
回复 路过 2007-10-25, 08:09:55
很实在,很现实
#7
回复 小菜 2008-01-03, 16:17:46
一针见血!服了!
发表评论

评论内容 (必填):