大家提出自己的不同见解啊。
KindGeorge 回复于:2005-07-16 08:58:25
未雨筹谋
softiger 回复于:2005-07-16 09:51:42
三分技术,七分管理。
ayazero 回复于:2005-07-16 14:05:14
引用:原帖由 "softiger"]三分技术,七分管理。
发表:
我觉得这是不对的,我明明看到很多安全公司都没有技术实力提供高等级的安全解决方案,做过这么多项目,看看客户那里技术更是缺的一塌糊涂
三分技术,七分管理这只是冠冕堂皇写在方案里骗骗不懂得人,无论是甲方还是乙方,你尽可以找一堆CISSP,BS7799审计员,没有技术试试看 :em04: :em04: :em04:
ayazero 回复于:2005-07-16 14:56:03
没用!那根本解决不了问题
jiyu2004 回复于:2005-07-16 17:32:21
目标是保证信息的机密性、完整性、非否认性、可用性等。目前核心技术是密码技术。三分技术,七分管理,就是说再好的技术,也只是工具,供人使用,关键还是在使用它的人,也就是要重视管理。
SuperCube 回复于:2005-07-18 09:31:57
“三分技术,七分管理”我认为说明了两个问题。
1. 好的安全软件、硬件要有好的人员来使用,才能发挥作用。
2. 信息安全中,人员管理最重要。技术不过关,只要肯花钱买设备,买软件,再从外面请几个“专家”来差不多就搞掂了。管理不一样,小公司还好些,大一些的公司,几千几万人的,你要让所有员工都遵守同样的安全标准办事,这才是最困难的。一个普通员工的一个小小的疏忽,就可能导致花巨资构建的安全体系完全失效。“社会工程学”为什么到现在依然是很有效的攻击方式,就是因为人在整个信息安全体系中是最重要也是最容易犯错的环节。这些都不是完全靠技术能解决的,应该是管理为主,技术为辅。
besom 回复于:2005-07-18 10:15:27
顶,楼上说的非常好,我们有些有客户认识非常肤浅。以会上了一个防火墙,入侵检测,或者还有安全审计,安全的等级划分构建,什么么就万事大吉了,而他却忽略人才是最大的因素。
authen 回复于:2005-07-18 11:38:14
最核心的是人。
窃以为包括:
1. 使用系统的人
2. 接触核心数据的人
3. 管理系统的人
4. 维护系统的人
5. 决定出钱的人。
ayazero 回复于:2005-07-18 12:30:01
管理应该是比技术更高层面的东西,应该是以技术为基础,我不否认理想状况应该是如Supercube说的那样,但国内的现状是连技术问题都不能较好的解决,而过分强调管理,BS7799本身是个不成太成熟的的东西,过分强调管理显得自己在做多么“高级”的咨询,看着很美好的东西很多时候会变成一个空壳子
BS7799有多少内容?排在Word里不到100页,CISSP有多少技术含量?bible不过就是一本书而已,一个智力正常的人掌握这些需要多少时间?不需要多少时间,大部分人只要愿意去了解一下都没问题,所以这种东西没有多少含金量,7分管理太多了
我敢说这样一句话,国内安全行业从业人员的技术水平普遍偏低,写的方案和自己解决问题的动手能力尚且都不能抵御攻击,还谈什么管理呢
如果随便就能请到所谓的技术专家,那么确实应该谈信息安全管理
我觉得技术管理5:5吧
xiaaifei 回复于:2005-07-18 13:08:40
两手都要抓,两手都要硬!
authen 回复于:2005-07-18 15:30:09
引用:原帖由 "ayazero"]管理应该是比技术更高层面的东西,应该是以技术为基础,我不否认理想状况应该是如Supercube说的那样,但国内的现状是连技术问题都不能较好的解决,而过分强调管理,BS7799本身是个不成太成熟的的东西,过分强调管理..........
发表:
现在的问题是管理的人技术基础不牢靠(直接点说就是P都不会),所以无论几分管理都==0分管理。 :mrgreen:
ayazero 回复于:2005-07-18 16:05:01
说对了!
overcomer 回复于:2005-07-18 16:30:26
核心问题是:没有网络安全!
双眼皮的猪 回复于:2005-07-18 16:38:09
引用:原帖由 "ayazero"]说对了!
发表:
所以三分技术,七分管理也可以指安全公司的管理...
ayazero 回复于:2005-07-18 17:01:36
安全公司缺的是企业管理,呵呵~
SuperCube 回复于:2005-07-18 17:37:44
不太赞同ayazero的某些观点。
“BS7799有多少内容?排在Word里不到100页,CISSP有多少技术含量?bible不过就是一本书而已,一个智力正常的人掌握这些需要多少时间?不需要多少时间,大部分人只要愿意去了解一下都没问题,所以这种东西没有多少含金量,7分管理太多了”。
BS7799我想斑竹看的应该是part1吧,BS7799的真正有价值的地方其实是在part2,如何建立ISMS体系。part1只不过是对BS7799进行了讲解,让你更好的理解127个控制点。但是不要小看这100页,如何将这100页的内容变成具体可操作的东西,并和ISMS紧密结合在一起才是最重要和困难的。
CISSP本身不是侧重技术方面的,它的侧重点是知识面广度(一英里宽,一英寸深)和管理的经验。信息安全并不是说网络和服务器安全就是安全的,人员管理,访问控制,开发过程,灾难恢复,物理安全等等这些都是在实际安全实施中需要考虑的。你可能是网络的专家,但你不一定是服务器或者机房管理的专家。管理的另一个作用是能够把各方面安全专家的力量联合起来,达到既定的安全目标。至于是不是7:3,我想这并不是说技术不重要,而是在管理类的文章中强调管理的重要性。
关于BS7799成熟度的问题,我想没有哪个标准是完全成熟的,除非它所涉及的领域的技术已经不再进步了。BS7799也在不断的发展(2005版快出了)。BS7799还是有很多值得推崇的地方,不然就不会有那么多国家和公司去过这个认证,ISO17799也不会以它为蓝本了。只不过现在一些国内安全公司,动不动就BS7799什么的,其实真正理解和实施过的又有几家?大部分还不是把part1翻译了一遍,改了改就拿出来给客户宣传,这对国内总体安全水平的提高是没有好处的。
根据某些问题发表一下自己的看法,就是论事,斑竹莫怪。 :)
authen 回复于:2005-07-18 17:47:01
引用:原帖由 "ayazero"]安全公司缺的是企业管理,呵呵~
发表:
安全公司缺的是领军人物,这个人需要对市场、需求、技术能做到比较全面的把握,具有一定的远瞻性;同时还要具有一定的技术背景,知识要广博,技术基础要扎实。沟通能力要强,语言表达能力要比较到位,而且.......为人要稳。
ayazero 回复于:2005-07-18 17:51:18
SuperCube 你说的不错,交个朋友吧,偶也是比较势力的家伙:)
msn:ay4z3ro@hotmail.com
qq:25872617
下班,回家了~
ayazero 回复于:2005-07-18 17:58:02
authen也是,我们可以聊聊的
不过我觉得在国内的环境下很多事情没有那么理想,市场很混乱
authen 回复于:2005-07-19 08:28:55
引用:原帖由 "ayazero" 发表:
SuperCube 你说的不错,交个朋友吧,偶也是比较势力的家伙:)
msn:ay4z3ro@hotmail.com
qq:25872617
下班,回家了~
:em14: 势力?
authen 回复于:2005-07-19 08:33:56
引用:原帖由 "ayazero" 发表:
authen也是,我们可以聊聊的
不过我觉得在国内的环境下很多事情没有那么理想,市场很混乱
每个行业都有投机分子,木有办法滴。
弱智 回复于:2005-07-19 08:52:10
引用:原帖由 "SuperCube"]....CISSP本身不是侧重技术方面的,它的侧重点是知识面广度(一英里宽,一英寸深)和管理的经验。.....
发表:
熟悉的语言,这好像是介绍CISSP的一本英文书里面的原话。
authen 回复于:2005-07-19 08:55:04
盖楼可以挖地基,也可以不挖地基;没有事就没事,就算有事没人问也没事,这就是国内大多数企业网安的现状。
特别是当有不少投机分子混到圈里,随便整个安全系统出来,买上几个证,改改开源软件的界面,混水摸鱼,号称自主知识产权之后.....世界就变得复杂了。 :em06:
其实,俺觉得甲方缺乏真正的技术人员+某些技术好苗子不求上进或迫于钱势才是导致市场混乱的根本原因。
弱智 回复于:2005-07-19 08:57:37
引用:原帖由 "ayazero" 发表:
authen也是,我们可以聊聊的
不过我觉得在国内的环境下很多事情没有那么理想,市场很混乱
国内很多是在做项目,而非做产品。
项目,就是关系。
导致“技术在这样的大环境里算个P啊”这样的现象?
所以,俺们N郁闷。 :m01:
authen 回复于:2005-07-19 09:20:30
引用:原帖由 "弱智" 发表:
国内很多是在做项目,而非做产品。
项目,就是关系。
导致“技术在这样的大环境里算个P啊”这样的现象?
所以,俺们N郁闷。 :m01:
作产品偶认为也是不对的,应该是做解决方案比较好 :mrgreen:
SuperCube 回复于:2005-07-19 09:39:00
引用:原帖由 "ayazero" 发表:
SuperCube 你说的不错,交个朋友吧,偶也是比较势力的家伙:)
msn:ay4z3ro@hotmail.com
qq:25872617
下班,回家了~
势力 :em06:
ayazero 回复于:2005-07-19 10:41:59
我把IM贴出来代表我尊重你
authen 回复于:2005-07-19 11:14:54
引用:原帖由 "ayazero"]我把IM贴出来代表我尊重你
发表:
:mrgreen: 银行账号、密码也贴出来瞅瞅 :mrgreen:
ayazero 回复于:2005-07-19 11:17:41
你拿到我的银行卡会比较失望的说,抢钱觉对不能抢像我这样的
casino19802002 回复于:2005-07-19 14:06:58
信息安全里面,技術的核心是加密技術,
關於企業的信息安全,技術是基礎,管理來優化
另:ISO/IEC17799 :2005已經發佈!
SuperCube 回复于:2005-07-19 16:26:43
少打了两个问号,斑竹千万不要误会呀!
:)
对斑竹的技术实力俺是很佩服的。
ayazero 回复于:2005-07-19 17:04:44
我对技术不怎么感兴趣,纯粹是上大学时无聊玩玩的
我已经有半年没看技术了,现在这里回些帖子纯粹是无聊了来灌灌水,不是很正经的那种
现在主要学咨询、营销、项目管理、CRM、平时也会看少量企业管理,都是些偏市场、管理的东西了
正在努力回到过去,争取用纯英文作presentation
crazymonkey 回复于:2005-07-19 22:12:50
版主也转向了,有空交流交流。我的msn:hf_hou@hotmail.com
casino19802002 回复于:2005-07-20 08:35:50
好多公司都是市场营导向性的,市场牵着研发技术走;
国外的顶尖公司不少是技术牵着市场走。
在中国做技术,几乎没有出头之日。
authen 回复于:2005-07-20 11:07:02
引用:原帖由 "casino19802002" 发表:
好多公司都是市场营导向性的,市场牵着研发技术走;
国外的顶尖公司不少是技术牵着市场走。
在中国做技术,几乎没有出头之日。
不满足需求的技术只能创造价值,不能实现价值。
t920 回复于:2005-07-20 12:47:19
网络安全的核心问题就是:没有核心。
刚以为加密是核心了,人家会破解了;
刚以为安全设施完备了,人家又社会工程了;
刚以为防火墙万无一失了,人家又反穿了;
刚以为管理做的很牛B了,MD系统又出新漏洞了;
结果就是到处都是核心,最后就是没核心。
SuperCube 回复于:2005-07-20 14:02:53
引用:原帖由 "t920" 发表:
网络安全的核心问题就是:没有核心。
刚以为加密是核心了,人家会破解了;
刚以为安全设施完备了,人家又社会工程了;
刚以为防火墙万无一失了,人家又反穿了;
刚以为管理做的很牛B了,MD系统又出新漏洞了;
..........
呵呵!这样也好,要是都安全了,搞安全的不都失业了。
authen 回复于:2005-07-20 14:16:25
引用:原帖由 "SuperCube" 发表:
呵呵!这样也好,要是都安全了,搞安全的不都失业了。
正解! :mrgreen:
perry001 回复于:2005-07-20 21:00:27
“三分技术,七分管理”我觉得不合理,
我爱臭豆腐 回复于:2005-07-20 21:15:45
我是一个小管理员不是做安全的.但是我感觉一个公司的安全不管是网络安全还是主机安全.最关键的是人.如何管理好人,然后在去管理你的技术和安全这个才是关键的.很多地方的人表面上说如何如何在乎安全.但是实际上我感觉未必.
我爱臭豆腐 回复于:2005-07-20 21:17:24
但是如果是真正做好了技术把在做的补丁改配置的地方和改改正的程序都做好了.也就没有安全问题了.但是这个说说简单在一个单位真正实施起来实在是太难了.我没有看到过任何一个公司能够完全实施过的.这个也许是一个梦想.但是我希望梦想能够早日实现:)
ayazero 回复于:2005-07-20 21:32:25
引用:原帖由 "我爱臭豆腐"]但是如果是真正做好了技术把在做的补丁改配置的地方和改改正的程序都做好了.也就没有安全问题了.但是这个说说简单在一个单位真正实施起来实在是太难了.我没有看到过任何一个公司能够完全实施过的.这个也许是一个梦想..........
发表:
所以才有信息安全管理
ayazero 回复于:2005-07-20 21:41:30
引用:原帖由 "我爱臭豆腐"]也就没有安全问题了
发表:
这句话我觉得不太对,有些东西大家都没见过不代表不存在,就算打了最新补丁也未必是安全的, :m01: :m01:
这个时候‘专业’服务就体现其价值了
我爱臭豆腐 回复于:2005-07-21 07:44:51
引用:原帖由 "ayazero" 发表:
这句话我觉得不太对,有些东西大家都没见过不代表不存在,就算打了最新补丁也未必是安全的, :m01: :m01:
这个时候‘专业’服务就体现其价值了
我同意你的观点.也许是我没有表达清楚.即使打了补丁也不代表就安全了.因为这个东西是一个永无休止的战争.永远都是发现了漏洞在有的补丁.就和杀毒软件和病毒一样.
但是我有的时候也不太喜欢那些所谓的"专业"人事和公司恶意的抄作.吹的神乎其神. :em17:
我爱臭豆腐 回复于:2005-07-21 07:45:41
引用:原帖由 "ayazero" 发表:
所以才有信息安全管理
真正能够实施好太难了.我感觉不是技术难度而是管理和思想.这些东西是很难改变的.
authen 回复于:2005-07-21 08:29:35
引用:原帖由 "我爱臭豆腐" 发表:
真正能够实施好太难了.我感觉不是技术难度而是管理和思想.这些东西是很难改变的.
完全的安全部署起来其实没有什么难度,但只要一顾及应用的便利性和习惯就难了。
ayazero 回复于:2005-07-21 10:25:07
所谓的专业服务并不是厂商的问题,而是个人的问题
并不是说哪个厂商能做,哪个厂商就不能做,而是安全行业里极少数的人能做,绝大部分都做不了,如果这些人在这个公司,那么今天这个公司就能做,如果这些人离开了这个公司去了别的公司那么这个公司就做不了
当然你可以认为都是吹的,因为上档次的东西确实只有极少数人能做,
专业服务的价值在于个人或团队的知识和经验,而不在于公司有什么证书或资质,当然售前出去不能像我这么说
popdog 回复于:2005-07-21 10:38:11
三分技术,七分管理
没错啊!你先要有三分技术,才能谈管理,没有技术基础再怎么管也是徒劳.纵然技术再好,管理不行也是白搭.
SuperCube 回复于:2005-07-21 11:14:02
引用:原帖由 "authen" 发表:
完全的安全部署起来其实没有什么难度,但只要一顾及应用的便利性和习惯就难了。
呵呵,难不难要看这个公司领导层的水平和支持程度,广大员工的IT水平,和IT部门在这个公司的性质(是服务部门还是创造价值的部门)。
如果IT只是服务部门的话…… :mrgreen:
authen 回复于:2005-07-21 11:31:55
引用:原帖由 "ayazero" 发表:
所谓的专业服务并不是厂商的问题,而是个人的问题
并不是说哪个厂商能做,哪个厂商就不能做,而是安全行业里极少数的人能做,绝大部分都做不了,如果这些人在这个公司,那么今天这个公司就能做,如果这些人离开了..........
安全圈最贵的是研发。
盛冰 回复于:2005-07-21 11:32:30
引用:原帖由 "我爱臭豆腐"]我是一个小管理员不是做安全的.但是我感觉一个公司的安全不管是网络安全还是主机安全.最关键的是人.如何管理好人,然后在去管理你的技术和安全这个才是关键的.很多地方的人表面上说如何如何在乎安全.但是实际上我感觉..........
发表:
我同意你的观点!
很多的安全问题或攻击都是来自内部的!
chinarobin 回复于:2005-07-22 09:02:59
[size=18]我觉得没必要讨论这些问题:
你的网络和系统的安全性百分之百取决于你的技术含量!
如果没技术,想把网络和系统搞安全,那是痴心妄想--就算给你一堆堆最强悍的防火墙和IDS系统,你如果不会配、不知道怎么发挥,还是一堆垃圾。没有深厚的安全技术做支持,不可能保障网络安全,这期间包括:定制、部署、及时的审核和合理化的系列管理机制!
说白了,攻击与被攻击,病毒与防病毒,其实就是高手与高手过招,如果一个heike一心想搞定你的网络和系统,你没有和他差不多的水平看看![/size]
julius2600 回复于:2005-07-22 10:16:22
三个臭皮将,顶一个诸葛亮
这句话在网络安全是上用不通的
一个聪明的入侵者能饶过你10个不合格安全管理员的监视
任何技术,管理,都不是重点,采取被动的防御攻击永远是首不住的
要使用主动的防御,赶在入侵者发现漏洞以前发现漏洞并修补好他
这样才能立于不败之地
blues1205 回复于:2005-07-22 23:34:31
别说这些没用的了。。。
谁掏钱谁说了算,你跟客户说你的网络不安全,要买这买那,最后人家掏不
掏钱,都是白扯淡。。
所以核心在决策层。。。
应该从经济的角度来看待这个问题,而不是总停留在技术和管理的层面。。
创造最大的经济利益才是根本。。
也不是说安全一点不做,要综合考虑。。看看投入后能不能赚更多的钱。。
本人一直认为,赚钱才是硬道理。。
一点个人看法,欢迎拍砖。。
hutao_o 回复于:2005-07-23 18:49:37
网管的水平
cnadl 回复于:2005-07-23 21:33:26
我觉得主要问题还是管理。
攻防永远是矛盾的,而信息安全管理则是一个被动防御的过程。因此如何运用防守方的优势,来满足安全的需要,才是最重要的。
在这一点上,这更是一个管理问题,而非技术问题。
陋见。
zjzf_1 回复于:2005-07-24 10:41:34
网络安全的核心问题是什么?
没钱难办事 办事要有钱
casino19802002 回复于:2005-07-25 09:58:56
所以要风险评估。
寻求一个平衡点!
yh6788 回复于:2005-07-25 14:47:32
到底是技术研发更重要还是市场营销更重要呢?
我看一个是远景投资,一个是近景投资。
SuperCube 回复于:2005-07-25 17:33:28
都重要,
没技术,可能现在会有市场,但是客户一般只能被你骗一次,而且可能还有连带影响。
没市场,再好的技术也白搭。
呵呵,好像跑题了。
authen 回复于:2005-07-26 11:39:27
引用:原帖由 "yh6788" 发表:
到底是技术研发更重要还是市场营销更重要呢?
我看一个是远景投资,一个是近景投资。
agree
wolf_19 回复于:2005-07-26 17:09:29
引用:原帖由 "SuperCube" 发表:
呵呵,难不难要看这个公司领导层的水平和支持程度,广大员工的IT水平,和IT部门在这个公司的性质(是服务部门还是创造价值的部门)。
如果IT只是服务部门的话…… :mrgreen:
非常同意SuperCude的说法!
soway 回复于:2005-07-26 18:46:14
网络最安全的状态是什么?
是最透明的时候,可以大胆的告诉别人我的具体网络结构,网络设置。
但是谁又敢做到?反正到目前我还不敢。
不过我目前敢让内部的人知道这些。
安全的核心我比较偏重于人。不过人和其他各种因素的统一也是非常重要的。
举一个例子:一家公司刚开始的时候,网络基本是一个hub,共享上网,还有一台做主机。
等发展到10多人的时候,现在结构需要改变了。可能公司开始设置防火墙,代理上网,要求拒绝所有外部连接。也要求员工不能任意安装东西了,教育员工不要打开一些特别的邮件。
等到发展到20个人的时候,他开始考虑,我们是否应该将项目划分?是否只能某部分人看到其中一个部分,而另外一些人,做另外一部分。当然,还有其他很多。
等到某一天,其中一个员工拿着他们那个组的部分数据,离开公司的时候。老板开始省悟,我怎么早不开始封掉usb口啊!现在开始做封闭usb,禁止直接上网和发送邮件。
。。。。
事实上,安全认识也是非常重要的。并且,安装的实施是一步一步来的,并没谁一开始就考虑那么多。
以上例子是一个重要设计环境下的例子,请不要骂我那些安全做的过于变态。
b2linux 回复于:2005-07-27 09:24:36
按剑客最高境界来要求的话:心中无剑,手中亦无剑
就是:既无管理也无技术,拔掉网线,扔掉电脑。
frosty 回复于:2005-07-27 16:19:54
楼上的我支持你的说发.
现在的不安全往往是用户自己的疏忽.
当然,我不否认也有技术上的问题
只有合格的软件+合格的技术人员=安全的核心
casino19802002 回复于:2005-07-28 14:08:14
引用:原帖由 "frosty" 发表:
楼上的我支持你的说发.
现在的不安全往往是用户自己的疏忽.
当然,我不否认也有技术上的问题
只有合格的软件+合格的技术人员=安全的核心
合格二字很难定义啊!
softiger 回复于:2005-07-28 15:40:44
我还是坚持三分技术、七分管理。把必要的补丁打上去,把必要的限制控制好,采用合适的安全策略...等等,这些都是基础,我想学过这方面的朋友都应该很容易做到,网络上也有很多相关的教程和案例。但一时的安全,并不是真正的安全,你有没有建立合适的制度来保证你的长期安全才是最重要的,因为攻击和防守总是在发展和进化中。例如以建立一个网站这样的项目为例子(假设网站是用apache跑在Unix):你有没有一个要求,多长时间要关注一下unix、apache方面的安全公告中做出对应的处理?你有没有每天注意你的系统日志和服务日志?网络的变化曲线走向正常吗?磁盘容量变化曲线走向正常吗?...你对制定的制度细节有没有严格执行?
我看上面的很多讨论都强调人的作用,人当然是最核心的,但人必须要有合适的制度来规范作业。
当然,网站这样的项目为例子并不能代表其他项目,我是想说明:“网络安全绝对不是一劳永逸的事情!细节决定一切,管理占的比重大于技术。”
lxwbluesky 回复于:2005-08-02 16:53:25
偶以为理想状态的核心问题应该是如下几条:
1 .完善的管理监督机制,需要由优秀的信息安全管理人员和优良品质的网安设备来实现.
2.用户的重视.有的用户对网安的概念很淡薄,认为做过网安建设,就不应该存在安全隐患,不给予重视,这也是网安项目实施困难的原因之一.
3.实时的关键技术更新.安全与不安全是互助发展的矛盾,所谓的安全只是一时的.
4.安全与应用的矛盾. 不跑应用的机器是最安全的,要安全,就必然要给应用带来不方便,这样,就给安全实施带来很大的难度,所以,怎么样与用户沟通就成了安全实施的关键之一.
iloveyouyoulove 回复于:2005-08-05 18:03:00
最主要的是消灭黑客 :em04:
河里的鱼 回复于:2005-08-05 18:11:10
引用:原帖由 "iloveyouyouloveme"]最主要的是消灭黑客 :em04:
发表:
我晕,什么叫黑客?真受不了这种想法
frosty 回复于:2005-08-05 20:24:10
引用:原帖由 "河里的鱼" 发表:
我晕,什么叫黑客?真受不了这种想法
支持,专业话应该是消灭非法入侵者.
网雷 回复于:2007-03-19 10:40:01
核心问题是安全策略,没有良好的安全策略所有一切都是白费工夫。
|
