注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网路游侠

www.youxia.org

 
 
 

日志

 
 

[转]一个有启发意义的帖子!!!for 信息与网络安全从业人员  

2006-02-28 17:15:54|  分类: 07 黑客安全 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

http://spaces.msn.com/mzwa/Blog/cns!2B04787EDBAEF4E!160.entry?owner=1

这个帖子希望能够给业界沙龙带来更多比较积极向上的气氛和建设性的意见。

对于通向信息安全咨询专家的路,我个人体会,供大家参考和指正。
-
要成为安全咨询的一般专家,没有2年的功夫是不可能的。不要相信有捷径。
-
要成为咨询师,你一定要有顾问的潜质和才干。这些潜质和才干是培养不出来的,需要你天生就有。比如,你适合动手的攻防,就很可能不善于动嘴的顾问。这种内在的潜质比较难于表达,将来有机会再说。下面主要说说技能和知识,这些可以培养的东西。
-
你要有演讲的技能。这个可以通过培训获得,如果你有当老师的冲动就更好了。
-
你要有沟通的技能。咨询顾问的过程,就是你没有权力,但是你还要说服对方。
-
你要有写报告的能力和技巧。会摆资料,会总结归纳,会突出重点,而且文档格式、绘图能力好,这样容易获得客户的认可。
-
你最好能够掌握CISSP的知识。不管你考不靠CISSP。这个1英里1英尺深的知识体系,还是能够给你一个全面的信息安全知识背景。不要因为它浅而看不起它。
-
有了CISSP的背景知识,如果你希望向产品工程师方向发展,就选一个方向深挖吧。不管是IDS, FW, AV, encryption等等,都可以。根据你公司的需要吧。
-
如果你不想仅仅向工程师方向发展,而向咨询顾问方向发展,还是要比较深地了解2-3个产品方向,挖不到1英里深,至少要100英尺。然后,再展开后面的学习。
- 7799
13335IATFSSE-CMM, SP800是必读的几个标准。读的时候,建议你先读目录,再看里面所有的图和表,再关注里面列出来的条目(以并列形式表达的123的)。一般来说,这里面常常蕴藏着文章的精髓。如果你却是有时间和精力,再细读整个标准。也许,这就是楼主老觉得人家在卖弄图。因为,图确实值得玩味。
-
这几个标准的特点,谈谈粗浅的意见供大家借鉴:
  * 7799
是比较纯的管理标准。现在的结构比较类似ISO9000。不过他的10大类结构性不强。但是其127个控制点比较细致,很值得参考。很多管理标准都是从7799衍生过来的。今年7799有了一个新的草案。10类变成了11类,值得关注。如果想学好7799,必须自己把它读3遍以上。最好能够参加一个比较正规的7799培训。我知道DNV, BSI, 和一些比较著名的安全服务公司有能力讲这个课。
  * 13335
的结构非常清晰,概念比较明确。其中很多图和概念被广为引用。建议先读13335的第13部分。读这些内容可以建立起基本概念和体系,非常有价值。风险管理的意识和思路基本上可以借助779913335而做到基本成型。13335的第4部分,主要是谈具体控制措施的选择,作为手边的参考书就可以。779913335在正规渠道不能免费,可以从标准出版社购买,另外就是从业界的朋友那里搞到影印电子版,就看你自己和公司的朋友圈子了。
  * IATF
真是不可不读。IATF可以说是国内安全域理论的祖宗型依据。IATF把我们的网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等4个类型,这种划分方法非常经典。中软电子出版社有中文翻译版本。网上有免费下载的英文版本,google搜索以下就能够找到。
  * SSE-CMM
主要是关于工程过程的。整个标准除了继承了CMM一贯的风格之外,技术部分讲究的是风险管理,管理部分讲究的是ISSE等过程保障方法。如果想要建立服务体系的话,可以看看。这个文档在网上可以免费下载。
  * SP800
是比较新的一套资料。我还没有完全看完。不过我还是推荐给大家,至少要跟踪。SP800-30是关于风险评估的,SP800-53是关于控制措施选择的,我觉得这两个最重要。还有一个SP800系列的老文档,我不记得编号的,就知道是NIST Guide. 里面主要谈了NIST SP800的框架思路,管理-运作-技术(鉴别认证+访问控制+审计跟踪+加密)。后来,NIST SP800的文档都继承了这个体系。SP800系列文档也是google上搜索一下,就能够发现NIST的网站,英文文档可以免费下载。
-
上面谈了对于几个标准的体会。其他可以借鉴的标准还有AS4360, ITIL, BS15000, ISO9000, ISO15408/CC。。。
-
最后的建议,如果想要给客户作咨询顾问,一定要自己把上面的这些东西(也许是一部分)吃透并且消化。形成自己的一个框架,一个逻辑思路,3个以内的咨询要点。那么,基本的咨询讨论就可以形成了(不好意思,这段说了和没有说一样,不过这确实要靠你自己)。然后,就是不断的演练和改进。

希望上面的建议可以给论坛带来更多的正面的、积极的、建设性的气氛。

  评论这张
 
阅读(75)| 评论(1)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017