慧聪网首页慧聪IT网首页行业资讯技术中心产品透视热点人物热点专题专家在线市场研究找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

知道创宇陆宝华:网络空间安全需要大批明白人

http://www.it.hc360.com2015年04月03日17:59T|T

    随着世界科技的发展进步,现实社会与网络社会的联系越来也紧密,我国网民规模已达到6.32亿,手机用户14亿。网络社会和现实社会相互影响、相互作用,并将越来越多地影响现实社会。因此,网络空间安全对国家安全、政治安全和政权安全的影响越来越重要。保障网络空间的安全,特别是关键基础设施与关键行业的网络空间安全,成为当下越来越迫切需要解决的难题。网络空间安全当然需要有一大批人才来维护,人的问题是网络空间安全首要问题。

    知道创宇资深安全顾问陆宝华

    就网络空间安全人才的话题,笔者此次有幸邀请到北京知道创宇资深安全顾问陆宝华老师,为我们进一步解答网络空间安全的相关问题。以下是本次访谈内容的整理:

    笔者:陆老师您好,您认为保障网络空间安全最需要什么样的人呢?

    陆宝华:需要的是明白人。明白人才能少干糊涂事,糊涂人很少把事做明白。我想许多人会同意我的这个观点。网络空间安全同样需要明白人来干,才能减少不必要的损失。以其昏昏能使人昭昭吗?

    笔者:现在高校不是每年都会许多的人才毕业吗?这些人不是您说的明白人吗?

    陆宝华:多年来我国的院校已经培养许多优秀的人才,研究单位也有了不少的成果,安全厂商也造就了相当多的人才。这些,我都不否认。但是,一方面这些人还不能满足目前网络空间安全方面的需求量;另一方面,也确实有些人名不符实;还有些可能是放错了地方也不能都算是明白人。

    笔者:在您看来,什么样的人才算网络空间安全的明白人?

    陆宝华:明白人未必都是技术专家,我认为的明白人应该是这样的:清楚自己的任务目标,掌握完成此任务并能实现其目标的相关知识,清楚应该利用哪些资源并且知道如何利用。这样的人才能算是明白人。当然,如果能有相应的谋略,能掌握实施过程当然就更好了。

    笔者:那我们分别来谈,比如说,在信息化应用单位,什么样的算是明白人呢?

    陆宝华:对于信息化应用单位来说,不同角色,需要相应不同的明白人。前不久政协委员北京启明科技有限公司的严望佳总裁,曾提出在重要的部门设立首席安全官议案。受到了业内广泛的关注。应当说这是一个非常好的建议。但是,如果这个首席安全官不是个明白人,那也是比较麻烦的。

    笔者:作为明白人的首席安全官,他应该具有哪些特点呢?

    首先,他必须要清楚,这个单位的信息化的使命是什么,网络空间需要保护的目标是什么,应该制定什么样的总的安全策略框架。内部人员与信息资产的所属关系,内部的人员哪些能胜任什么工作,外部资源与安全产品能解决哪些问题等。同时还应该清楚国家的法律法规要求、相应的文件要求等。与上级单位及相关监管单位的沟通渠道等。

    同时除了安全官,还要有相应的其他角色,如负责安全的技术人员。

    相应的负责的安全的技术人员,除了清楚以上的要求外,还要还要掌握相应的实施技术,能够制定本单位的信息资产的访问控制策略,及相关的制度。当然其他角色也要需要相应的实施技术,如对于审计员来说,就必须清楚日志分析,异常事件分析,事件追踪等。

    在这些要求中,对单位的信息化需要保护的目标是什么是首要的,不知道自己要保护什么,怎么可能制定出科学的安全策略呢。

    笔者:这是个问题吗?

    陆宝华:说起来,这些似乎不是什么问题,很多人可能会认为我在这里画蛇添足。

    但是我有十五年以上的网络空间安全的监管经历。接触过相当多数的单位,也包括相当多的厂商和服务单位。真正能非常清楚的自己所有单位信息化的保护目标并不多。

    笔者:能具体给我们说下信息化安全保护目标么?

    陆宝华:信息安全的保护目标,各个单位不同,会是千差万别的。但是,抽象出来只有两大类,一类是单位的业务数据,二是系统的服务功能。而往往业务数据又是系统服务功能的基础,所以保护单位的业务数据是第一位的。

    在网络空间中,存在有两大类数据,这些数据都是要保护的,一类是系统的安全功能数据,如对用户的身份识别,访问控制策略等。另一类是用户数据,用户数据包括两大方面,一方面是系统数据,如应用程序,另一方面就是用户的业务数据。对其他数据的保护是非常重要的,但是那些数据不是我们要保护目标,保护它们的目的仍然是要保护用户的业务数据。

    笔者:用户的业务数据需要保护,具体应该如何做呢?

    陆宝华:关于用户的业务数据的保护,好多教材和著作中都提到了C、I、A。C是指数据的机密性;I是指数据的完整性;A是指数据的可用性。实际上,在具体的信息系统中,我们只需要保护数据的机密性和完整性就够了,数据的可用性不需要对数据本身进行保护,我们保护了数据的机密性和完整性,实际上也相应的保护了数据的可用性。换句说,数据的可用性保护是以数据的机密性和完整性为基础的。试想一个数据泄密了,或者被篡改了,这个数据还可用吗?数据可用性的另个基础是对系统的保护。

    对于一个具体的数据来说,也并不是需要保护机密性和完整性两个属性,可能只需要保护其中的一个,如网站上公开的宣传的那些信息,还需要机密性保护吗?但是绝对不能允许被入侵者篡改。也就是说,这个网站只需要保护完整性就够了。还有些数据,只需要保护其机密性,而完整性则不那么重要。当然,确实存在一些数据,即要保护其机密性,也需要保护其完整性。

    只有详细的分析清楚了每个具体数据所需要保护的属性,才能算你是真的清楚了你所在单位的“数据”需要保护的目标了。你才能算是明白人。

    清楚了保护目标,还要清楚应该用什么样的策略来进行保护。一个组织的整体安全策略是多种的,我不可能在此都给说清楚了。但是,安全策略的核心是访问控制(包括对数据流的控制),其他的安全功能,要么是为访问控制服务的,要么是访问控制的补充。

    数据的不同的安全属性,其访问控制策略是不相同的,还存在着冲突。对于机密性保护需要用BLP策略,而对于完整性保护则需要用Biba等策略,或者其他的访问控制策略。我们在此不作技术方面的讨论,所以就不介绍这些模型了。有兴趣的人可以在许多著述中找到这类知识的介绍。

    不清楚保护目标,不采用针对其安全属性的保护策略,就可能是白花钱,甚至是“花钱买破坏”,曾经有一个部委的专家和我谈过,说他们采取了,“低安全级别的主体,不可以访问高安全级别的客体的访问控制策略”我当时就问他,所有高安全级别的主体都是可信的吗?他说不敢说。这实际上就存在着信息泄露的策略缺陷。当时他是当成是先进经验向我谈的。

    清楚一个单位的安全保护目标,不仅对信息化应用单位来说是重要的,对于“测评”、“检查”、“整改”等相关的服务和监管单位的人员来说也是重要的。特别是对于测评单位来说,如果,你对人家系统的测评没有很好结合人家系统的保护目标,人家要保护什么你都不知道,只是拿着标准死套,进行所谓的“合规”性检查,即便是“合规”了,能说是达到安全要求了吗?表面上合规了,实际上却是违规了。2013年十八大之前,某个二线城市的某重要单位的信息中心主任,请我帮他分析他们信息系统的安全状况,当时我发现了多处缺陷,当时就提出来了,他们也觉得我说的有道理,知道自己错在哪里了,可后来他告诉我,他们的系统刚经过测评并“达到了”三级的安全要求。可怕呀,无知者真的是无畏!当然,这只是个别现象。

    笔者:这么说,除了信息化单位,从事安全服务的单位也是需要明白人的。

    陆宝华:对,测评、检查、整改单位更需要明白人。他们是明白人,才能帮助信息化应用单位的人,理清思路,设计出更为科学合理的安全策略,并按这些策略进行实施。

    其实其他的相关的服务单位也应该是明白人当家才行,如培训,现在各类的培训不少,可确实存在相当一部分糊涂人在进行这样的培训。一些机构,社团在搞什么资质,认证培训,说起来,这些资质和认证确实是需要的,但是这也需要明白人来搞,如果不是明白人搞,结果就很难说了。2013夏,某机构搞某项IT服务企业的资质认证,条件列了一大堆,一级资质,二级的资质。什么注册资金、人员数量、技术人员数量、学历等等列了不少条件,可就是没有对网络空间安全理解程度的要求。他们也在搞安全培训,我应一些企业的请求,也去参加了这个培训。培训的老师,自己还不明白什么是网络空间安全呢,2个小时东拉西扯,真正有用内容不需要20分钟,而且错误不少。这样的培训,考试合格后认定出来的资质,对系统的安全集成能有好的作用吗?

    笔者:网络空间的监管是非常重要的一部分,是否更需要明白人?

    陆宝华:当然,网络空间的监管工作当然非有明白来作不可,监督、检查、指导是监管部门的职责,可自己还弄不明白呢,怎么来监督、检查和指导呢?甚至一些单位没有相关的法律依据,也在做这种监督、检查、指导工作。一些单位的信息中心的负责人和我谈,他们希望有人来检查,不管他们是不是穿制服的,只要通过检查能帮他们把把脉,开个药方,帮他们改进工作,他们都欢迎。可他们盼来的检查,只是搭上一顿好饭,什么他们都得不到。

责任编辑:王慧霞

【征稿电话:010-82297456 邮箱:qixc@hc360.com】

关注排行

  • 今日
  • 本周
  • 本月
  • 健康指南