关于信息安全短板的思考

时代在突飞猛进,随着互联网的高速发展,万物互联的时代到来,IT圈子开始变得不淡定了,信息安全渗透到了社会的方方面面。信 息安全成为当今互联网高速发展下的一个关注度相当高的命题是因为特殊时期下的特殊产物,只不过随着斯诺登实践的爆发和自我保护意识的逐渐上升对于信息安全 认知成井喷式发展。信息安全工作做了这么些年也认识了很多圈内朋友,这里想谈谈我对信息安全短板的一些思考,因为人无远虑必有近忧。

信息安全的短板“安全人才“

拜读过朋友killer的《新人如何从事信息安全》,很赞同他的观点:1.兴趣是最好的老师;2.责任心往往比专业更重要,You take it then you love it.

做IT的苦做信息安全的更苦,如果有好的兴趣是你坚持下去的唯一灯塔。有了这个做基础在工作中最重要的是责任心,因为责任心决定了你能做的信息安全的深 度、高度和广度,其实我们一直在告诫我们的受众方如何避免信息安全中人这个短板,可是却忽略了我们自身人员的短板,为什么这么说呢举 个例子:例如乙方安全服务人员离职了或者存在对甲方或乙方的不满等诸多因素导致危害呢,又或者是乙方人员本身只精通于某一个信息安全技术方面而其他方面未 考虑到造成的短板呢,再或者人员素质,经验等诸多因素带来的短板问题呢?这就导致了同一个网站检测报告产生出来不同的结果,因为专业和精通方向不一样。有 的人可能会想到可以到众测平台上进行评估,首先我想说众测是个很不错的平台,但是有些东西不是很适合放到平台上或者不是仅仅测试一个系统就能解决的。重点 是人这个短板如何规避,从凯文多米尼克开始到现在请问这个问题解决了吗?我们是否考虑到从人员素质、责任心、专业性等维度去不断去加强信息安全从业者水平呢?缺口这么大不是高校快速开设信息安全专业就可以了,还需要有实践机会和系统化培训。

信息安全的短板”安全产品“

拜读过朋友李宗洋的《由“XX泄密门”引发的数据安全治理的初步思考》文章,我觉得大数据时代应该是整体安全产品实现安全治理的概念,安 全产品各家专长都不一样,互相的兼容性等等带来了很多的问题,同时也造成了安全工作者很多麻烦,举个例子:例如一个安全分析师在做应急响应的时候如果恰巧 是一台市场上很少见或者该产品不对外提供更多详细日志等等诸多问题呢?那么请问如何做到快速应急响应如何追溯呢?我们是否考虑到新时代威胁的情报分享与专 业分析相结合呢?

信息安全的短板”用户体验“

一直替使用信息安全产品的用户感觉到同情,想到曹植的诗:本是同根生相煎何太急。想想用户每天在学习服务器、网络设备、存储网络设备等等一些列的IT知识 的同时还要学习信息安全知识,其实安全应该是一种保障一种安全体验,这也就是信息安全保险诞生的原因,但是有些东西不是钱能解决的问题,例如名誉、国家安 全、隐私等等。我们更多的是思考如何给用户在对安全充分认知的基础上带来更安全更简洁的安全体验。更多的应该是给用户展现出在这个不安定时期我们帮助用户 解决了多少攻击行为,这才是体现出信息安全工作的成果,而不是又上了多少设备,又采用了什么新技术。这个体验不单单是用户的安全体验也同样是领导在决策时 刻的安全体验,为什么SOC等安全监控平台在中国发展不起来其实总结发现是体验。

信息安全的短板”模式问题“

现 在都在谈互联网思维,互联网思维最重要的核心思想是share,这个理念其实很早就有了,那么在当今信息安全情报分享逐渐成为热门的时候我们是否也应该考 虑下我们的目光是否过于短浅。举个例子:这就好比信息单点是没有任何价值和寓意的但是信息组合到了一起就代表了一系列的人类文明。他是一种传承和进步,我 们现在做的某些事情正是在阻断信息安全的进步,例如GFW你懂得。这个模式问题可以大到国家层面间的网络空间战略合作,可以小到信息安全工作者人与人之间 的技术交流,也可以扩展到信息安全企业和非信息安全企业的合作共赢,甚至到信息安全企业和学校社会等群体的产学行一体化。个人觉得2015年应该是一个整 合之年,制造业和互联网业整合,信息安全厂家之间整合,互联网资源整合,智慧城市和人脑智能之间的整合等等,So请携手共同弥补短板问题。

信息安全的短板“专业单一”

其实信息安全跟打仗一样,需要多兵种共同作战,我们在培养或者招聘的时候不要总是想着会不会渗透等等。请问剑再长,如果盾不够厚如何解决这个短板?在新时 代的信息安全合作共治环境下,我们需要的是多样信息安全人才,而且这个人才不仅仅是信息安全类人才,还应包含了行业的方方面面,因为角度不同自然考虑不 同,那么也就不够周全。有的朋友跟我说新的一年信息安全是安全分析师的春天,这话不假,可是我想说难道靠单一产品或者单一专业分析人员就能解决吗?请问如 果对方是WEB攻击+DDOS+社工等等一些列的攻击方式一个人能全部解决吗?新的时代需要不同的专业人才协同工作,We are team…1+1》2

[via@crackershi]