如何成为信息安全专家.doc

1、（一）忽地看到信息安全界的一大恶俗：卖弄。1：最早似乎是 PDR 还是 CC 象无法考证了，反正从 PDR 卖弄了一堆东西出来了：P2DR、PDRR、.；CC 那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。2：SSE-CMM，其实那里面也有几张好图，不过这个过程稍嫌短了些；去年年底到今年是 IATF，不过 IATF 技术东西稍微多了些，概念稍微少了些，好像很多人感觉有些怯怯的，没太敢大动，因此经常还见保留“飞地” 这等中国人难以理解的字样。3：然后是 13335 那几张著名的图（一般是图 2 图 3）也被“创新”。目前是 17799 正被热抄/炒（不过好像好像没图）4：预测：下一

2、个被卖弄的一定是 NIST SP800 系列，已经见到迹象了。那些目前还自觉不是信安专家的兄弟不要自惭形秽，没关系，我们有捷径：先从 SP800 看起：800-30，800-37，800-53 ，800-60，800-59，800-26 ，800-61 ， 。 。 。 ，如果有时间或下苦功夫的话，再查找并牢记一些相关的背景和知识，比如 FISMA，OMB-130，NIST，FIPS，那就牛大发了，赶紧了。看家明白了？其实专家还是蛮容易的。 （二）让别人觉得你像专家还是有一定技巧的，尤其是成为一个真正的专家还很困难的时候。1：用词：用词一定要讲究，尽量避免什么立体安全、主动安全这种普通人都能脱口

3、而出的用语，显的不专业。要用纵深防御、深度防御之类的，一个是一般人说不出来，其次是让大家知道你对 IATF很熟。再比如说 NIST SP800-53 只说 53 就可以了，ISO/IEC 17799 简化为 7799 等。2：统计：对一些正热炒的东西，除了了解其内容以外，还要对其中一些数据加以统计，比如 7799 里有 10 个控制要项、36 个控制目标和 127 个控制措施这些数据要张口就能来，当然如果知道 7799新版有什么变化，一定要补充提到。3：背景：对热点不能限于表面了解，必须挖据其背景，比如monitor reference model 是谁什么时候再什么文献里提出的。PDR 同样

4、如此。 Fisma 那张图了解了什么 37、53 、18、30 就齐活了。4：要对什么热点中的概念、图稍作改动（一般不会出问题） ，再找个什么场合“交流” 一下。日后就可以大对人讲，我当年/ 时第一个提出。 。 。 ，当然说话要自然。这招好像坛子里已经有人用过。5：如果有机会自己在那个信安的会上的 PPT 被哪个老人家索走（确实有老人家喜欢这个） ，那你就可以大讲了，谁谁谁专家很重视认可你的这个观点了，当年/时他。（三）光了解了那些标准并会说了一些行话外，要成为信安专家还得参加活动，建立人脉。1：初期一定要多参加各种各样的大会，了解大家都在炒作什么。这种会现在比较多，尤其在京沪广地区，如果是其

5、它地方这个机会就少了，不过没关系，坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。2：一个阶段后重点注意大专家们的观点，比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国家信息中心、国家测评中心、 。 。 。等人在说什么，一定要细发掘，比如你可以看到测评中心那帮人天天就是 CC、培训，因为他们靠这些挣大钱，信息中心在谈评估等等。要尽量能和他们认识，技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。3：参加相关机构的各种课题和项目组，比如编本书、起草个标准什么的，这在北京不算太难的事。因为这些机构缺人又不想花

6、钱，一招呼就会有各个公司忙不迭地跑去自掏钱地参与，如果你有幸在这些公司并傍进去了，以后就可以在外面吹吹什么的，哪怕心里明白在里面自己其实啥也不是。有时这还要用到第二点的人脉，比如跟那些老师表达你多么多么想参加这些课题等等的，这些老师心地都满善良的，耳朵有的也挺软的。4：无论如何不能让别人知道你在这些项目组里的真实状况，包括你的老板、同事什么的。一定要牛 XX 的那样。5：要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员，如果偶尔在表露出你可以推荐推荐他们，那你就成他们眼里的神了，其实说说而已。6：写些玩概念、标准、模型的文章，没关系，信息安全就是模糊美，不用担心别人说你不懂，

7、当然涉及密码技术你就不要谈了，你要真懂密码，那就不用看我这些速成指南了。 （四）做信安专家当然要有研究，否则还只是停留在中级。但是研究也得选个好的题目，要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾，因为我们是在速成，那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向：1：SOC 之类的东西，与此相关的有安全审计平台、事件关联等等，这类东西所讲的理想目标目前事不可能实现的，它们的基础支撑理论，即人工智能技术，目前是不会有什么突破的。因此这个方向基本是人有多大胆，它就有多大。 。 。 ，充分发挥您的想像，实现上嘛可以用什么 syslog

8、,snmp 等收集的信息一放就可以了。数据简化、关联、挖掘、可视化这些个概念出了多少博士、教授，还在乎我们这些速成专家码？2：风险评估。牢记 R=f(V,T,P,I)，当然这个函数是可以如象二中加以积极修改的。然后 7799、13335、30 一把，必要的话可以加上前面回复贴中的那些补充标准。因为这行没人敢说它出的东西有什么用（象哥调查过） ，因此您就大胆地研究。在这个研究中，一定要充分实践象一、二、三的建议。3：等级保护。27 号文出来以后开始火起来了，按照国家要求，三年是一个阶段，在这个阶段里您还有充足的时间，相关的文档可以参考 18、30、37、53、60 、59，TCSEC、CC 也可

9、以参考一下。千万注意，不要去傻读苦读这些标准，那就上了专家的大当了，我们哪有那么多时间？但一定要搞清楚它们的结构、目的、相互关系，并按照象一、二要求牢记一些重点词汇、内容，尤其要注意的是，一定要记准文档名字（要不就只记准编号） ，否则就让人乐不可支了。有些机构就是把 7799、IATF、SSE-CMM 直接剪贴就成了等级保护，参考某著名权威测评机构。4：多听其它专家的报告，要与时俱进。 （五）象一、二、三、四中对有些内容没说很清楚，尤其是火候掌握上。1：千万不要盲目的通读象哥推荐的标准，否则真像复贴兄弟所说的两年出不了被窝，那不是我们的初衷。2：专家的用心就是让我们通读这些标准，等我们懵懵地读

10、完这些标准的时候，那些标准又都已经被修改了，你苦哈哈读完的那些东西正好被他们引用，你永远只是苦力，而且显的没他们高。相信象哥，这些满嘴标准的人没几个真把 13335、CC、IATF 读完的，一般是头一二部分。3：搞清楚这些标准的目的、作用、适用范围、大致框架，对自己感兴趣的东西可以细细琢磨一番。4：速成专家的目的不是为了当专家，当然如果不小心被人当专家了，那也是意外收获。速成专家是为了提高我们的智慧和辨识能力，不要被那些满嘴火车的人所吓倒；是为了更好地帮助我们控制安全项目的效果和效率；是为了帮助我们对国内安全界有一个更清醒更完整的认识和思想准备，避免因为希望过高而至失望至极。5：速成专家是为了

11、让我们把安全的注意力更快地转向以业务/应用安全为目标的轨道上，而不是以标准、流程为目标的陷阱中。6：想必到今天大家是明白象哥的为人了，象哥不是消极之人，象哥有一颗想为现在不是专家却被专家明面暗地里欺负的兄弟/姐妹出点小主意的炙热之心。 （六）象哥一向是积极人生的，因此才有心给大家伙提点建议，聊聊想法，本无所谓什么目标和志向的，虽然有时候语气掌握的不是很准，给人一种调侃的感觉，但象哥的心事在象五里应该可以略见一二的吧，并非只揭疮疤不治病的人。和 Qiezz 也不认识，只是在想象六该谈点什么，正好就想到了他/ 她，可以拿他/她做个分析，绝不是和他/ 她有什么过不去的，如果Qiezz 有什么误会的话

12、，那就先说声对不起了。从言谈中可以看到，Qiezz 是一个非常合格的信安专家：1：熟知标准。17799 、13335 、ISO9000、SSE-CMM、ITIL、BS15000、1x044 （象哥注：X 是 8）2：术语专业。如 SOA、Lead Auditor、Seminar、DNV、 BSI、IDS 从 PDR 这样的高层（虚）模型等、 “IATF 把我们的网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等 4 个类型，这种划分方法非常经典” 。3：重视统计：“ 如果只说 7799 有 10 大类 36 个控制目标 127 个控制点，听众不会以为你是专家的。你如果能够将 10

13、 类的结构关系将清楚，那么算有本事。如果能够把 36 个控制目标的 20 个背着讲出了就可以称为专家了”、 “今年 7799 有了一个新的草案。 10 类变成了 11 类， ”4：背景知识丰富：“- 7799，为什么不讲 17799 而说 7799，因为有 BS7799 和 ISO17799，为了方便，将二者说在一起”。5：活动广泛：“ 前些天，刚刚听了一个 Seminar。听说了个标准好像是 1x044 吧”。6：结识专家多，而且是别人不一定能请到的：“如果是产品厂商还是要好好读读 CC，或者请测评中心的王主任、李主任、离开的黄博士等给你讲讲（如果你请得到） ”。7：研究方向。 “如果有了这

14、样一个国际标准，对于 IDS 从 PDR 这样的高层（虚）模型，对于用户获得更加有实效的结果会有一定的帮助。大家可以一起关注一下”。 。 。 。只不过 Qiezz 要注意的是，你可能真的在误导我的读者。你给人的感觉是你至少花了两年的时间才成为目前这样子的信安专家，象哥怎么能让大家有速成之术呢？象哥不是想让大家都成为您那样的专家。象哥的速成涵义在象五中有讲。象哥也斗胆提几条建议，如有不妥之处还请见谅：1：看得出您好像对 7799 看过不下三遍，但除了背诵其中 20 个控制目标外，还要了解其目标和适用范围。即使您是和 XXX 女士一起深入探讨过 7799 的深刻内容，您还是要注意到他们的商业目的，

15、不要照搬。2：您有创新的冲动，仅从一个“ 晒眯哪”上听到一个 1X044 的报告就会联想到 IDS 的新方向，但是真的，您有时候也要站在地上看看。3：您认识的专家听起来还不算太高。象哥身份低微、学识浅薄，没有哪个主任博士屑于开化象哥，但象哥还是晓得如果玩唏唏（CC）连个屁屁（PP）都没有，怎么评估产品？麻烦您告诉一下主任博士，如果他们没有屁屁可以直接翻译 IATF 网站上的屁屁，如果自己不会或没时间翻译，可以找公司，他们的 CISP 教材也是找别人攒的嘛。象哥多少听说过有些专家对钱看得过重。永远记住很多专家都很纯洁高尚，但很多还是不能表示全部。4：建议您还是抽出宝贵时间读一下象四、五篇。专家要

16、么不说，要谈标准就得说准了，尤其是编号名称的。另外列出目录不表示大家都能真懂了，真的！5：CISSP。不知道您是不是 CISSP，象哥不是，但这不表明CISSP 就可以说象哥不理解 CISSP。象哥是应试专家，年轻的时候，因此确实没觉得 CISSP 本身就意味着什么。尤其是国产的CISP，那简直就是误人子弟，诓人钱财。象哥在这里发些帖子虽然不怎么招专家待见，可自觉得要比 CISP 有实用意义的多。6：狂一点就是信安专家的一个典型特征，因为以为别人都不懂那些标准、术语，都不认识那些专家，都不能背那 20 个控制目标，都不。 。 。 ，这也是象哥发帖的一个原因所在。 （七）1 如象五所说的那样，象

17、哥并不消极人生，也不愤青。象哥之所以揭疮，是为了让我等懵懂之辈不至于被人卖了还帮人数钱，至少让专家也觉得我们还有点智商，不是个什么也不懂的东西。2 如果专家觉得我们还有点智慧，就会认真地考虑我们的需求，而不是仅仅拿几个标准来糊弄我们3 如果专家认真考虑我们的需求，就会迅速将标准流程等深入到我们的业务和系统层面，结合我们的具体需求来给出/讨论方案4 标准指南是一定要读的，尤其是那些与实际工作紧密相关的，因为他们也是前人经验的积累，我们在琢磨标准指南的时候一定要带着一个思想，即如何在工作中体现出来。其实象五中间说得也是一个建议，象哥一开始面对那么多的东西也是只有那么去实践的。但还是一个要“思” ，

18、学而不思则。 。 。 ，5 象哥从坛子里下载了不知是哪个专家的“BOSS 系统安全框架”，看后差点晕倒。除了列出一堆的标准、概念，没见到一丝与BOSS 有关的东东。你可以只替换“BOSS”就可以当另外一个什么“PLMM”的安全框架了。客观地说，这个框架好像是 2002 年的，可能相关专家早已摒弃不用了或是用来迷惑我等学识浅薄之辈，如果这样，象心还多少能宽慰一些。不过象哥这两天看到一些 PPT，真地认为还是有人在考虑用户的业务，据象哥经验判断，应该与上述作者有一定关系的。象心甚慰啊！6 Cynic（我也学学专家多用英文词）永远不是我等能消用的起的。我们是要解决问题的，有些专家却不一定是这样想的。7 象哥这些日子也忒直了些，象哥明白。象哥这几篇看事得罪了不少专家，但决不是成心的，因为象哥不才，的确很苦恼怎么去解决实际的安全问题；象哥这些东西多少肯定会影响某些专家从前对本坛的好感，因此象哥决定封笔一些日子，大家要骂要打要建议要商量都尽可以上，象哥还是有机会看到的。8 再见！再向 Qiezz 道歉，象哥真地不知道您是谁，有些话象哥太尖酸了，不应该的。