如何成为信息安全专家
2008-11-06 16:11
       这篇文章调侃性比较强,很久以前就看到过,不过没看懂。后来又看到了,觉得还是转一下,免得老有人觉得信息安全就是装个杀毒软件这么简单。个人觉得信息安全这玩意真是没法说,你说你懂多少多少标准,多少多少体系,说起来头头是道,可是让他处理几个牛一点的Rootkit他就傻了。你虽然知道怎么防病毒,你不懂那些乱糟的体系,你也不是安全专家。你自己是专家,你也是主管,可是该有病毒,该丢的信息照丢。君不见,网上所谓的***卖什么的都有,难道那些公司都没装什么防火墙、防毒墙?说穿了,那些东西都是忽悠人的,放在那里有个心理安慰罢了。
       这篇文章的作者也一定是个牛人,估计也是性情中人,才这么能调侃。我觉得啊,只有让大家的安全意识提高起来,才会有真正的信息安全。那个木桶原则想必大家都知道,有一个短板在,安全这桶水你就装不满。不过没关系。要是人们的意识上去了,ZF的预算往哪花?安全厂商都得去死。反正很多人觉得安全有没有什么重要的。
        如果成为信安专家(转载)
象眼一闭,忽地看到信息安全界的一大恶俗:卖弄。
1:最早似乎是PDR还是CC象无法考证了,反正从PDR卖弄了一堆东西出来了:P2DR、PDRR、...;CC那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。
2:SSE-CMM,其实那里面也有几张好图,不过这个过程稍嫌短了些;去年年底到今年是IATF,不过IATF技术东西稍微多了些,概念稍微少了些,好像很多人感觉有些怯怯的,没太敢大动,因此经常还见保留“飞地”这等中国人难以理解的字样。
3:然后是13335那几张著名的图(一般是图2图3)也被“创新”。目前是17799正被热抄/炒(不过好像好像没图)
4:预测:下一个被卖弄的一定是NIST SP800系列,已经见到迹象了。
那些目前还自觉不是信安专家的兄弟不要自惭形秽,没关系,我们有捷径:先从SP800看起:800-30,800-37,800-53,800-60,800-59,800-26,800-61,。。。,
如果有时间或下苦功夫的话,再查找并牢记一些相关的背景和知识知识,比如FISMA,OMB-130,NIST,FIPS,那就牛大发了,赶紧了。
看家明白了?其实专家还是蛮容易的。

象眼看事二:如何让别人觉得你像信安专家
让别人觉得你像专家还是有一定技巧的,尤其是成为一个真正的专家还很困难的时候。
1:用词:用词一定要讲究,尽量避免什么立体安全、主动安全这种普通人都能脱口而出的用语,显的不专业。要用纵深防御、深度防御之类的,一个是一般人说不出来,其次是让大家知道你对IATF很熟。再比如说NIST
SP800-53只说53就可以了,ISO/IEC 17799简化为7799等。
2:统计:对一些正热炒的东西,除了了解其内容以外,还要对其中一些数据加以统计,比如7799里有10个控制要项、36
个控制目标和127 个控制措施这些数据要张口就能来,当然如果知道7799新版有什么变化,一定要补充提到。
3:背景:对热点不能限于表面了解,必须挖据其背景,比如monitor reference model
是谁什么时候再什么文献里提出的。PDR同样如此。Fisma那张图了解了什么37、53、18、30就齐活了。
4:要对什么热点中的概念、图稍作改动(一般不会出问题),再找个什么场合“交流”一下。日后就可以大对人讲,我当年/时第一个提出。。。,当然说话要自然。这招好像坛子里已经有人用过。
5:如果有机会自己在那个信安的会上的PPT被哪个老人家索走(确实有老人家喜欢这个),那你就可以大讲了,谁谁谁专家很重视认可你的这个观点了,当年/时他。。。
。。。
象眼看事三:成为信安专家要参加哪些活动?
光了解了那些标准并会说了一些行话外,要成为信安专家还得参加活动,建立人脉。
1:初期一定要多参加各种各样的大会,了解大家都在炒作什么。这种会现在比较多,尤其在京沪广地区,如果是其它地方这个机会就少了,不过没关系,坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。
2:一个阶段后重点注意大专家们的观点,比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国家信息中心、国家测评中心、。。。等人在说什么,一定要细发掘,比如你可以看到测评中心那帮人天天就是CC、培训,因为他们靠这些挣大钱,信息中心在谈评估等等。要尽量能和他们认识,技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。
3:参加相关机构的各种课题和项目组,比如编本书、起草个标准什么的,这在北京不算太难的事。因为这些机构缺人又不想花钱,一招呼就会有各个公司忙不迭地跑去自掏钱地参与,如果你有幸在这些公司并傍进去了,以后就可以在外面吹吹什么的,哪怕心里明白在里面自己其实啥也不是。有时这还要用到第二点的人脉,比如跟那些老师表达你多么多么想参加这些课题等等的,这些老师心地都满善良的,耳朵有的也挺软的。
4:无论如何不能让别人知道你在这些项目组里的真实状况,包括你的老板、同事什么的。一定要牛XX的那样。
5:要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员,如果偶尔在表露出你可以推荐推荐他们,那你就成他们眼里的神了,其实说说而已。
6:写些玩概念、标准、模型的文章,没关系,信息安全就是模糊美,不用担心别人说你不懂,当然涉及密码技术你就不要谈了,你要真懂密码,那就不用看我这些速成指南了。

象眼看事四:信安专家要做哪些研究?
做信安专家当然要有研究,否则还只是停留在中级。但是研究也得选个好的题目,要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾,因为我们是在速成,那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向:
1:SOC之类的东西,与此相关的有安全审计平台、事件关联等等,这类东西所讲的理想目标目前事不可能实现的,它们的基础支撑理论,即人工智能技术,目前是不会有什么突破的。因此这个方向基本是人有多大胆,它就有多大。。。,充分发挥您的想像,实现上嘛可以用什么syslog,snmp等收集的信息一放就可以了。数据简化、关联、挖掘、可视化这些个概念出了多少博士、教授,还在乎我们这些速成专家码?
2:风险评估。牢记R=f(V,T,P,I),当然这个函数是可以如象二中加以积极修改的。然后7799、13335、30一把,必要的话可以加上前面回复贴中的那些补充标准。因为这行没人敢说它出的东西有什么用(象哥调查过),因此您就大胆地研究。在这个研究中,一定要充分实践象一、二、三的建议。
3:等级保护。27号文出来以后开始火起来了,按照国家要求,三年是一个阶段,在这个阶段里您还有充足的时间,相关的文档可以参考18、30、37、
53、60、59,TCSEC、CC也可以参考一下。千万注意,不要去傻读苦读这些标准,那就上了专家的大当了,我们哪有那么多时间?但一定要搞清楚它们的结构、目的、相互关系,并按照象一、二要求牢记一些重点词汇、内容,尤其要注意的是,一定要记准文档名字(要不就只记准编号),否则就让人乐不可支了。有些机构就是把7799、IATF、SSE-CMM直接剪贴就成了等级保护,参考某著名权威测评机构。
4:多听其它专家的报告,要与时俱进。

象眼看事五:信安专家速成要领补充

象一、二、三、四中对有些内容没说很清楚,尤其是火候掌握上。
1:千万不要盲目的通读象哥推荐的标准,否则真像复贴兄弟所说的两年出不了被窝,那不是我们的初衷。
2:专家的用心就是让我们通读这些标准,等我们懵懵地读完这些标准的时候,那些标准又都已经被修改了,你苦哈哈读完的那些东西正好被他们引用,你永远只是苦力,而且显的没他们高。相信象哥,这些满嘴标准的人没几个真把13335、CC、IATF读完的,一般是头一二部分。
3:搞清楚这些标准的目的、作用、适用范围、大致框架,对自己感兴趣的东西可以细细琢磨一番。
4:速成专家的目的不是为了当专家,当然如果不小心被人当专家了,那也是意外收获。速成专家是为了提高我们的智慧和辨识能力,不要被那些满嘴火车的人所吓倒;是为了更好地帮助我们控制安全项目的效果和效率;是为了帮助我们对国内安全界有一个更清醒更完整的认识和思想准备,避免因为希望过高而至失望至极。
5:速成专家是为了让我们把安全的注意力更快地转向以业务/应用安全为目标的轨道上,而不是以标准、流程为目标的陷阱中。
6:想必到今天大家是明白象哥的为人了,象哥不是消极之人,象哥有一颗想为现在不是专家却被专家明面暗地里欺负的兄弟/姐妹出点小主意的炙热之心。
象眼看事六:信安专家特征分析和控制建议

象哥一向是积极人生的,因此才有心给大家伙提点建议,聊聊想法,本无所谓什么目标和志向的,虽然有时候语气掌握的不是很准,给人一种调侃的感觉,但象哥的心事在象五里应该可以略见一二的吧,并非只揭疮疤不治病的人。
和Qiezz也不认识,只是在想象六该谈点什么,正好就想到了他/她,可以拿他/她做个分析,绝不是和他/她有什么过不去的,如果Qiezz有什么误会的话,那就先说声对不起了。
从言谈中可以看到,Qiezz是一个非常合格的信安专家:
1:熟知标准。17799、13335、ISO9000、SSE-CMM、ITIL、BS15000、1x044(象哥注:X是8)
2:术语专业。如SOA、Lead Auditor、Seminar、DNV、
BSI、IDS从PDR这样的高层(虚)模型等、“IATF把我们的网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等4个类型,这种划分方法非常经典”。
3:重视统计:“如果只说7799有10大类36个控制目标127个控制点,听众不会以为你是专家的。你如果能够将10类的结构关系将清楚,那么算有本事。如果能够把36个控制目标的20个背着讲出了就可以称为专家了”、“今年7799有了一个新的草案。10类变成了11类,”
4:背景知识丰富:“-
7799,为什么不讲17799而说7799,因为有BS7799和ISO17799,为了方便,将二者说在一起”。
5:活动广泛:“前些天,刚刚听了一个Seminar。听说了个标准好像是1x044吧”。
6:结识专家多,而且是别人不一定能请到的:“如果是产品厂商还是要好好读读CC,或者请测评中心的王主任、李主任、离开的黄博士等给你讲讲(如果你请得到)”。
7:研究方向。“如果有了这样一个国际标准,对于IDS从PDR这样的高层(虚)模型,对于用户获得更加有实效的结果会有一定的帮助。大家可以一起关注一下”
。。。。
只不过Qiezz要注意的是,你可能真的在误导我的读者。你给人的感觉是你至少花了两年的时间才成为目前这样子的信安专家,象哥怎么能让大家有速成之术呢?象哥不是想让大家都成为您那样的专家。象哥的速成涵义在象五中有讲。
象哥也斗胆提几条建议,如有不妥之处还请见谅:
1:看得出您好像对7799看过不下三遍,但除了背诵其中20个控制目标外,还要了解其目标和适用范围。即使您是和XXX女士一起深入探讨过7799的深刻内容,您还是要注意到他们的商业目的,不要照搬。
2:您有创新的冲动,仅从一个“晒眯哪”上听到一个1X044的报告就会联想到IDS的新方向,但是真的,您有时候也要站在地上看看。
3:您认识的专家听起来还不算太高。象哥身份低微、学识浅薄,没有哪个主任博士屑于开化象哥,但象哥还是晓得如果玩唏唏(CC)连个屁屁(PP)都没有,怎么评估产品?麻烦您告诉一下主任博士,如果他们没有屁屁可以直接翻译IATF网站上的屁屁,如果自己不会或没时间翻译,可以找公司,他们的CISP教材也是找别人攒的嘛。象哥多少听说过有些专家对钱看得过重。永远记住很多专家都很纯洁高尚,但很多还是不能表示全部。
4:建议您还是抽出宝贵时间读一下象四、五篇。专家要么不说,要谈标准就得说准了,尤其是编号名称的。另外列出目录不表示大家都能真懂了,真的!
5:CISSP。不知道您是不是CISSP,象哥不是,但这不表明CISSP就可以说象哥不理解CISSP。象哥是应试专家,年轻的时候,因此确实没觉得
CISSP本身就意味着什么。尤其是国产的CISP,那简直就是误人子弟,诓人钱财。象哥在这里发些帖子虽然不怎么招专家待见,可自觉得要比CISP有实用意义的多。
6:狂一点就是信安专家的一个典型特征,因为以为别人都不懂那些标准、术语,都不认识那些专家,都不能背那20个控制目标,都不。。。,这也是象哥发帖的一个原因所在。
象眼看事七:结束篇

如象五所说的那样,象哥并不消极人生,也不愤青。象哥之所以揭疮,是为了让我等懵懂之辈不至于被人卖了还帮人数钱,至少让专家也觉得我们还有点智商,不是个什么也不懂的东西。
2. 如果专家觉得我们还有点智慧,就会认真地考虑我们的需求,而不是仅仅拿几个标准来糊弄我们
3. 如果专家认真考虑我们的需求,就会迅速将标准流程等深入到我们的业务和系统层面,结合我们的具体需求来给出/讨论方案
4.
标准指南是一定要读的,尤其是那些与实际工作紧密相关的,因为他们也是前人经验的积累,我们在琢磨标准指南的时候一定要带着一个思想,即如何在工作中体现出来。其实象五中间说得也是一个建议,象哥一开始面对那么多的东西也是只有那么去实践的。但还是一个要“思”,学而不思则。。。,
5.
象哥从坛子里下载了不知是哪个专家的“BOSS系统安全框架”,看后差点晕倒。除了列出一堆的标准、概念,没见到一丝与BOSS有关的东东。你可以只替换“BOSS”就可以当另外一个什么“PLMM”的安全框架了。客观地说,这个框架好像是2002年的,可能相关专家早已摒弃不用了或是用来迷惑我等学识浅薄之辈,如果这样,象心还多少能宽慰一些。不过象哥这两天看到一些PPT,真地认为还是有人在考虑用户的业务,据象哥经验判断,应该与上述作者有一定关系的。象心甚慰啊!!!
6. Cynic(我也学学专家多用英文词)永远不是我等能消用的起的。我们是要解决问题的,有些专家却不一定是这样想的。
7.
象哥这些日子也忒直了些,象哥明白。象哥这几篇看事得罪了不少专家,但决不是成心的,因为象哥不才,的确很苦恼怎么去解决实际的安全问题;象哥这些东西多少肯定会影响某些专家从前对本坛的好感,因此象哥决定封笔一些日子,大家要骂要打要建议要商量都尽可以上,象哥还是有机会看到的。
8. 再见!!!再向Qiezz道歉,象哥真地不知道您是谁,有些话象哥太尖酸了,不应该的。
补发一篇shotgun发的贴:
如何让别人觉得你像品酒专家
1、用词:用词一定要讲究,尽量避免什么白酒、红酒、黄酒这种普通人都能脱口而出的用语,显得不专业。要用喂司机、芝华士、黑方、沾边(特别是要国外的,国内的茅台、五粮液太口熟能详了),其次是让大家知道你对红酒的产区很熟悉,比如拨耳朵、拨根底都是一般,要说yy小产区、xx庄园;计量标准不能用斤(那是牛饮),也不能用两(太俗),要用昂死
2、统计:对于一些特别热门的酒,除了了解其内容外,还要对其中的一些数据进行统计,比如:那一年酿造、什么时候装桶,酒精度多少(啤酒还有麦芽度),如果知道主要成分就更加好了,比如啥啥红酒用的是赤霞珠的葡萄皮,啥啥喂司机用的是北美的玉米粒,啥啥鸡尾酒配料是什么,张口就出来,不由得别人不佩服你
3、背景:对热门的酒不能限于表面了解,必须挖掘其背景,比如干白配鹅肝,伏特加最好冻饮,威司机千万不要加可乐或者绿茶(俗,要加冰块,最好不加),干红绝对不能掺雪碧(吃饱了撑的人家就是没糖的才贵你还往里加糖);
4、要对某种调酒防是稍做改动(一般毒不死人),再找个什么酒会“交流”一下,日后就可以大对人讲:我当年/时第一个发明。。。酒,当然说话要自然。这个好像我自己已经用过了。
5、如果酒会上有某某名人,那你就可以大讲:我曾经跟某某促膝谈心,青梅煮酒,他对我调得酒很认可的说。。。。。。