主動性合規(guī)驅(qū)動信息安全保障工作-潘柱廷 啟明星辰首席戰(zhàn)略官

主動性合規(guī)管理驅(qū)動信息安全保障工作啟明星辰CSO潘柱廷破題（暨摘要）信息安全保障的四種需求驅(qū)動力被動的合規(guī)性管理是實實在在的動力主動的驅(qū)動力更利于良性建設(shè)PSPC需求驅(qū)動筐架需求筐架來自內(nèi)部來自外部主動引導(dǎo)體系化Systematic政策性Policy被動要求問題型Problem合規(guī)性Compliance問題型自己機構(gòu)（或看到其他機構(gòu)）正在發(fā)生、曾經(jīng)發(fā)生的安全問題所引出的安全需求。比如：網(wǎng)站被入侵、網(wǎng)絡(luò)遭到病毒侵害、發(fā)生火災(zāi)導(dǎo)致數(shù)據(jù)丟失等等。這些問題會立刻引發(fā)安全問題解決的需求，比如：防病毒、入侵檢測、備份等等。這類需求是信息安全產(chǎn)業(yè)最原始的動力。體系化單獨的安全問題被逐漸地被綜合考慮，政策性的指導(dǎo)被逐步深化理解和實踐從體系化的角度考慮安全需求和安全建設(shè)，強調(diào)建立“信息安全保障體系”、“監(jiān)控體系”、“應(yīng)急體系”、“業(yè)務(wù)安全體系”等等。這樣的體系化需求，能夠讓客戶建立起來一些持續(xù)多年的持續(xù)性需求，這種需求常常會表現(xiàn)為一個持續(xù)2-3年以上的安全規(guī)劃。政策性由于主管機關(guān)的要求和政策性引導(dǎo)，敦促機構(gòu)對于安全問題的重視，加強安全投入，從而引出了很多安全需求。這樣的需求，常常由于機構(gòu)自身對于問題的緊迫性不足，對于需求的理解不透，而導(dǎo)致安全投入和安全建設(shè)流于形式。但是這個需求是在一定階段中支撐了整個信息安全產(chǎn)業(yè)的發(fā)展的。合規(guī)性合規(guī)性要求常常表現(xiàn)為法律法規(guī)的要求、標(biāo)準(zhǔn)的要求、行業(yè)主管機關(guān)和監(jiān)管機關(guān)的行政要求等等。比如國際上的薩班斯-奧克斯利法案、巴塞爾協(xié)議、ISO27000系列（7799系列）等；再比如國內(nèi)的等級保護要求、風(fēng)險評估、商業(yè)銀行內(nèi)控要求等等。這些合規(guī)性要求已經(jīng)是多方面安全需求和經(jīng)驗的綜合，常常具有一定的強制性。通過合規(guī)性所引發(fā)的安全需求會形成非常穩(wěn)定的產(chǎn)業(yè)交易需求，可以說是產(chǎn)業(yè)穩(wěn)定發(fā)展的重要支柱。信息安全產(chǎn)業(yè)要素交易品(形態(tài)/價值/技術(shù))提供商(模式/能力/資本)第三方（主管機構(gòu)、測評機構(gòu)、媒體等）客戶(需求)PSPC需求驅(qū)動力在產(chǎn)業(yè)要素上的分布交易品(形態(tài)/價值/技術(shù))提供商(模式/能力/資本)第三方（主管機構(gòu)、測評機構(gòu)、媒體等）客戶(需求)問題型體系化合規(guī)性政策性問題型需求驅(qū)動的特點問題常常來源于客戶實際問題常常是不成體系的（看起來）需求滿足常常是“頭痛醫(yī)頭，腳痛醫(yī)腳”問題解決要求很快，追求速效問題所帶來的需求都非常實在問題解決辦法常常體現(xiàn)為面向脆弱性安全比如：防病毒、入侵檢測、防火墻等體系化需求驅(qū)動的特點常常來源于從專家和廠商而來的技術(shù)推動客戶零散的問題，被內(nèi)外部專家提煉看起來成體系，但是因為有抽象，和實際總是有些差別常常表現(xiàn)為：結(jié)構(gòu)化安全比如：保障體系、可信計算、管理平臺等由于各個因素的牽扯，所以見效較慢啟明星辰信息安全保障總體框架可信計算組織—TNC可信網(wǎng)絡(luò)連接規(guī)范啟明星辰泰合信息安全管理平臺體系結(jié)構(gòu)漏洞評估中心事件/流量/運行監(jiān)控中心風(fēng)險分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報告體系結(jié)構(gòu)示意圖ScannerIDSFWAV主機與網(wǎng)絡(luò)設(shè)備人工審計外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理平臺資源管理平臺其他事件檢測系統(tǒng)其他狀態(tài)檢測系統(tǒng)資產(chǎn)管理平臺統(tǒng)一信息知識庫外部協(xié)同用戶管理安全知識管理平臺自身安全體系化需求驅(qū)動的特點常常來源于從專家和廠商而來的技術(shù)推動客戶零散的問題，被內(nèi)外部專家提煉看起來成體系，但是因為有抽象，和實際總是有些差別常常表現(xiàn)為：面向結(jié)構(gòu)性安全比如：保障體系、可信計算、管理平臺等由于各個因素的牽扯，所以見效較慢完全靠體系來驅(qū)動，力度常常不足政策性需求驅(qū)動的特點常常來源于上級機構(gòu)和主管機構(gòu)雖然不追求完美的體系，但是政策性要求有一定整體性政策性要求不是強制性的，有一定的靈活性常常表現(xiàn)為：一些要點總結(jié)中辦發(fā)[2003]27號國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（2003年8月26日）加強信息安全保障工作-總體要求總體要求：堅持積極防御、綜合防范的方針全面提高信息安全防護能力重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進信息化發(fā)展保護公眾利益，維護國家安全加強信息安全保障工作-主要原則主要原則：立足國情，以我為主，堅持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。加強信息安全保障工作-九項任務(wù)系統(tǒng)等級保護和風(fēng)險管理基于密碼技術(shù)的信息保護和信任體系網(wǎng)絡(luò)信息安全監(jiān)控體系應(yīng)急處理體系加強技術(shù)研究，推進產(chǎn)業(yè)發(fā)展法制建設(shè)、標(biāo)準(zhǔn)化建設(shè)人才培養(yǎng)與全民安全意識保證信息安全資金加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制政策性需求驅(qū)動的特點常常來源于上級機構(gòu)和主管機構(gòu)雖然不追求完美的體系，但是政策性要求有一定整體性政策性要求不是強制性的，有一定的靈活性常常表現(xiàn)為：一些要點總結(jié)廠商和客戶一般在政策上的敏感度不高政策性的實際推動力常常不足合規(guī)性需求驅(qū)動的特點常常來源于上級機構(gòu)和主管機構(gòu)強制性、具有極強的推動力和約束力有很多stackholder會推波助瀾典型的合規(guī)性要求密碼管理計算機安全產(chǎn)品銷售許可等級保護薩班斯-奧克斯利法案。。。合規(guī)性需求驅(qū)動的特點常常來源于上級機構(gòu)和主管機構(gòu)強制性、具有極強的推動力和約束力有很多stackholder會推波助瀾合規(guī)性要求常常被夸大扭曲，或者委曲應(yīng)付如何恰當(dāng)?shù)乩煤弦?guī)性理解從問題-體系-政策-合規(guī)的因果低調(diào)看待合規(guī)性，將合規(guī)性向政策性轉(zhuǎn)化避免最壞情況追求更好目標(biāo)達(dá)到最低要求將合規(guī)性向內(nèi)部傳遞PSPC需求驅(qū)動筐架需求筐架來自內(nèi)部來自外部主動引導(dǎo)體系化Systematic政策性Policy被動要求問題型Problem合規(guī)性Compliance主動性合規(guī)管理交易品