如何成为信息安全专家.doc

《如何成为信息安全专家.doc》由会员分享，可在线阅读，更多相关《如何成为信息安全专家.doc（11页珍藏版）》请在金锄头文库上搜索。

1、（一）忽地看到信息安全界的一大恶俗：卖弄。1：最早似乎是PDR还是CC象无法考证了，反正从PDR卖弄了一堆东西出来了：P2DR、PDRR、.；CC那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。2：SSE-CMM，其实那里面也有几张好图，不过这个过程稍嫌短了些；去年年底到今年是IATF，不过IATF技术东西稍微多了些，概念稍微少了些，好像很多人感觉有些怯怯的，没太敢大动，因此经常还见保留“飞地”这等中国人难以理解的字样。3：然后是13335那几张著名的图（一般是图2图3）也被“创新”。目前是17799正被热抄/炒（不过好像好像没图）4：预测：下一个被卖弄的一定是NIST SP800

2、系列，已经见到迹象了。那些目前还自觉不是信安专家的兄弟不要自惭形秽，没关系，我们有捷径：先从SP800看起：800-30，800-37，800-53，800-60，800-59，800-26，800-61，。，如果有时间或下苦功夫的话，再查找并牢记一些相关的背景和知识，比如FISMA，OMB-130，NIST，FIPS，那就牛大发了，赶紧了。看家明白了？其实专家还是蛮容易的。 （二）让别人觉得你像专家还是有一定技巧的，尤其是成为一个真正的专家还很困难的时候。1：用词：用词一定要讲究，尽量避免什么立体安全、主动安全这种普通人都能脱口而出的用语，显的不专业。要用纵深防御、深度防御之类的，一个是一般

3、人说不出来，其次是让大家知道你对IATF很熟。再比如说NIST SP800-53只说53就可以了，ISO/IEC 17799简化为7799等。2：统计：对一些正热炒的东西，除了了解其内容以外，还要对其中一些数据加以统计，比如7799里有10个控制要项、36 个控制目标和127 个控制措施这些数据要张口就能来，当然如果知道7799新版有什么变化，一定要补充提到。3：背景：对热点不能限于表面了解，必须挖据其背景，比如monitor reference model 是谁什么时候再什么文献里提出的。PDR同样如此。Fisma那张图了解了什么37、53、18、30就齐活了。4：要对什么热点中的概念、图稍

4、作改动（一般不会出问题），再找个什么场合“交流”一下。日后就可以大对人讲，我当年/时第一个提出。，当然说话要自然。这招好像坛子里已经有人用过。5：如果有机会自己在那个信安的会上的PPT被哪个老人家索走（确实有老人家喜欢这个），那你就可以大讲了，谁谁谁专家很重视认可你的这个观点了，当年/时他。（三）光了解了那些标准并会说了一些行话外，要成为信安专家还得参加活动，建立人脉。1：初期一定要多参加各种各样的大会，了解大家都在炒作什么。这种会现在比较多，尤其在京沪广地区，如果是其它地方这个机会就少了，不过没关系，坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。2：一个阶段后重点

5、注意大专家们的观点，比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国家信息中心、国家测评中心、。等人在说什么，一定要细发掘，比如你可以看到测评中心那帮人天天就是CC、培训，因为他们靠这些挣大钱，信息中心在谈评估等等。要尽量能和他们认识，技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。3：参加相关机构的各种课题和项目组，比如编本书、起草个标准什么的，这在北京不算太难的事。因为这些机构缺人又不想花钱，一招呼就会有各个公司忙不迭地跑去自掏钱地参与，如果你有幸在这些公司并傍进去了，以后就可以在外面吹吹什么的，哪怕心里明白在里面自己其实啥

6、也不是。有时这还要用到第二点的人脉，比如跟那些老师表达你多么多么想参加这些课题等等的，这些老师心地都满善良的，耳朵有的也挺软的。4：无论如何不能让别人知道你在这些项目组里的真实状况，包括你的老板、同事什么的。一定要牛XX的那样。5：要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员，如果偶尔在表露出你可以推荐推荐他们，那你就成他们眼里的神了，其实说说而已。6：写些玩概念、标准、模型的文章，没关系，信息安全就是模糊美，不用担心别人说你不懂，当然涉及密码技术你就不要谈了，你要真懂密码，那就不用看我这些速成指南了。 （四）做信安专家当然要有研究，否则还只是停留在中级。但是研究也得选个

7、好的题目，要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾，因为我们是在速成，那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向：1：SOC之类的东西，与此相关的有安全审计平台、事件关联等等，这类东西所讲的理想目标目前事不可能实现的，它们的基础支撑理论，即人工智能技术，目前是不会有什么突破的。因此这个方向基本是人有多大胆，它就有多大。，充分发挥您的想像，实现上嘛可以用什么syslog,snmp等收集的信息一放就可以了。数据简化、关联、挖掘、可视化这些个概念出了多少博士、教授，还在乎我们这些速成专家码？2：风险评估。牢记R=f(V,T,P

8、,I)，当然这个函数是可以如象二中加以积极修改的。然后7799、13335、30一把，必要的话可以加上前面回复贴中的那些补充标准。因为这行没人敢说它出的东西有什么用（象哥调查过），因此您就大胆地研究。在这个研究中，一定要充分实践象一、二、三的建议。3：等级保护。27号文出来以后开始火起来了，按照国家要求，三年是一个阶段，在这个阶段里您还有充足的时间，相关的文档可以参考18、30、37、53、60、59，TCSEC、CC也可以参考一下。千万注意，不要去傻读苦读这些标准，那就上了专家的大当了，我们哪有那么多时间？但一定要搞清楚它们的结构、目的、相互关系，并按照象一、二要求牢记一些重点词汇、内容，尤

9、其要注意的是，一定要记准文档名字（要不就只记准编号），否则就让人乐不可支了。有些机构就是把7799、IATF、SSE-CMM直接剪贴就成了等级保护，参考某著名权威测评机构。4：多听其它专家的报告，要与时俱进。 （五）象一、二、三、四中对有些内容没说很清楚，尤其是火候掌握上。1：千万不要盲目的通读象哥推荐的标准，否则真像复贴兄弟所说的两年出不了被窝，那不是我们的初衷。2：专家的用心就是让我们通读这些标准，等我们懵懵地读完这些标准的时候，那些标准又都已经被修改了，你苦哈哈读完的那些东西正好被他们引用，你永远只是苦力，而且显的没他们高。相信象哥，这些满嘴标准的人没几个真把13335、CC、IATF读

10、完的，一般是头一二部分。3：搞清楚这些标准的目的、作用、适用范围、大致框架，对自己感兴趣的东西可以细细琢磨一番。4：速成专家的目的不是为了当专家，当然如果不小心被人当专家了，那也是意外收获。速成专家是为了提高我们的智慧和辨识能力，不要被那些满嘴火车的人所吓倒；是为了更好地帮助我们控制安全项目的效果和效率；是为了帮助我们对国内安全界有一个更清醒更完整的认识和思想准备，避免因为希望过高而至失望至极。5：速成专家是为了让我们把安全的注意力更快地转向以业务/应用安全为目标的轨道上，而不是以标准、流程为目标的陷阱中。6：想必到今天大家是明白象哥的为人了，象哥不是消极之人，象哥有一颗想为现在不是专家却被专

11、家明面暗地里欺负的兄弟/姐妹出点小主意的炙热之心。（六）象哥一向是积极人生的，因此才有心给大家伙提点建议，聊聊想法，本无所谓什么目标和志向的，虽然有时候语气掌握的不是很准，给人一种调侃的感觉，但象哥的心事在象五里应该可以略见一二的吧，并非只揭疮疤不治病的人。和Qiezz也不认识，只是在想象六该谈点什么，正好就想到了他/她，可以拿他/她做个分析，绝不是和他/她有什么过不去的，如果Qiezz有什么误会的话，那就先说声对不起了。从言谈中可以看到，Qiezz是一个非常合格的信安专家：1：熟知标准。17799、13335、ISO9000、SSE-CMM、ITIL、BS15000、1x044（象哥注：X是

12、8）2：术语专业。如SOA、Lead Auditor、Seminar、DNV、 BSI、IDS从PDR这样的高层（虚）模型等、“IATF把我们的网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等4个类型，这种划分方法非常经典”。3：重视统计：“如果只说7799有10大类36个控制目标127个控制点，听众不会以为你是专家的。你如果能够将10类的结构关系将清楚，那么算有本事。如果能够把36个控制目标的20个背着讲出了就可以称为专家了”、“今年7799有了一个新的草案。10类变成了11类，”4：背景知识丰富：“- 7799，为什么不讲17799而说7799，因为有BS7799和ISO1

13、7799，为了方便，将二者说在一起”。5：活动广泛：“前些天，刚刚听了一个Seminar。听说了个标准好像是1x044吧”。6：结识专家多，而且是别人不一定能请到的：“如果是产品厂商还是要好好读读CC，或者请测评中心的王主任、李主任、离开的黄博士等给你讲讲（如果你请得到）”。7：研究方向。“如果有了这样一个国际标准，对于IDS从PDR这样的高层（虚）模型，对于用户获得更加有实效的结果会有一定的帮助。大家可以一起关注一下”。只不过Qiezz要注意的是，你可能真的在误导我的读者。你给人的感觉是你至少花了两年的时间才成为目前这样子的信安专家，象哥怎么能让大家有速成之术呢？象哥不是想让大家都成为您那样

14、的专家。象哥的速成涵义在象五中有讲。象哥也斗胆提几条建议，如有不妥之处还请见谅：1：看得出您好像对7799看过不下三遍，但除了背诵其中20个控制目标外，还要了解其目标和适用范围。即使您是和XXX女士一起深入探讨过7799的深刻内容，您还是要注意到他们的商业目的，不要照搬。2：您有创新的冲动，仅从一个“晒眯哪”上听到一个1X044的报告就会联想到IDS的新方向，但是真的，您有时候也要站在地上看看。3：您认识的专家听起来还不算太高。象哥身份低微、学识浅薄，没有哪个主任博士屑于开化象哥，但象哥还是晓得如果玩唏唏（CC）连个屁屁（PP）都没有，怎么评估产品？麻烦您告诉一下主任博士，如果他们没有屁屁可以

15、直接翻译IATF网站上的屁屁，如果自己不会或没时间翻译，可以找公司，他们的CISP教材也是找别人攒的嘛。象哥多少听说过有些专家对钱看得过重。永远记住很多专家都很纯洁高尚，但很多还是不能表示全部。4：建议您还是抽出宝贵时间读一下象四、五篇。专家要么不说，要谈标准就得说准了，尤其是编号名称的。另外列出目录不表示大家都能真懂了，真的！5：CISSP。不知道您是不是CISSP，象哥不是，但这不表明CISSP就可以说象哥不理解CISSP。象哥是应试专家，年轻的时候，因此确实没觉得CISSP本身就意味着什么。尤其是国产的CISP，那简直就是误人子弟，诓人钱财。象哥在这里发些帖子虽然不怎么招专家待见，可自觉

16、得要比CISP有实用意义的多。6：狂一点就是信安专家的一个典型特征，因为以为别人都不懂那些标准、术语，都不认识那些专家，都不能背那20个控制目标，都不。，这也是象哥发帖的一个原因所在。 （七）1 如象五所说的那样，象哥并不消极人生，也不愤青。象哥之所以揭疮，是为了让我等懵懂之辈不至于被人卖了还帮人数钱，至少让专家也觉得我们还有点智商，不是个什么也不懂的东西。2 如果专家觉得我们还有点智慧，就会认真地考虑我们的需求，而不是仅仅拿几个标准来糊弄我们3 如果专家认真考虑我们的需求，就会迅速将标准流程等深入到我们的业务和系统层面，结合我们的具体需求来给出/讨论方案4 标准指南是一定要读的，尤其是那些与实际工作紧密相关的