10月23日,牛君参加了中国信息安全测评中心主办的“第八届信息安全漏洞分析与风险评估大会”。此次大会由测评中心李守鹏副主任主持,测评中心朱胜涛主任和北京交通大学校长宁滨分别致欢迎辞,何德全、倪光南两位院士及网信办协调局胡啸局长、发改委高技司王娜处长到会发表讲话。
除了各位领导专家、技术大牛进行主题演讲以外,此次大会还举行了国家信息安全漏洞库(CNNVD)第三批技术支撑单位授牌仪式,共分三级:
一级漏洞库支撑单位
中电长城网际系统应用有限公司
北京云间有道科技有限公司
北京江南天安科技有限公司
二级漏洞库支撑单位
北京安信天行科技有限公司
北京锦龙信安科技有限公司
北京永信至诚科技有限公司
三级漏洞库支撑单位
北京中测安华科技有限公司
上海斗象信息科技有限公司
深圳百密信安科技有限公司
北京洋浦伟业科技发展有限公司
远江盛邦(北京)信息技术有限公司
成都科来软件有限公司
东巽科技(北京)有限公司
另外,中国信息安全测评中心CISP运营中心联合《中国信息安全》杂志共同举办了首届“CISP杰出人物”评选活动,共10位人员获奖:
中国联通河北省分公司高级工程师孔令飞
中石化信息化管理部工程师刘远
杭州安恒信息技术有限公司首席安全官刘志乐
江苏天创科技有限公司总经理任国强
中国保险信息技术管理有限责任公司高级工程师杨磊
中国信息安全测评中心副研究员班晓芳
深圳市安络科技有限公司总裁谢朝霞
北京江南天安科技有限公司部门经理程娜
北京邮电大学信息安全中心信息安全系副主任雷敏
北京永信至诚科技有限公司董事长蔡晶晶
由于议题众多(除上午主会场以外,还分设“漏洞分析”、“风险评估”、“大数据安全分析”和“‘互联网+’时代下的信息安全”四个分会场),牛君从中挑了两个比较感兴趣的议题,现给大家介绍一下。
威胁情报体系思考–
阿里巴巴资深安全专家方兴(flashsky)
1. 威胁情报的分类与作用
1.1 战略与战术威胁情报分析的主要内容
1.2 基础威胁情报分析的主要内容
2. 厂商与组织视角的威胁情报的侧重
厂商的目标是提供专业共性的战术情报,偏技术与威胁组织。优点在于,以相关单点共性海量的基础威胁情报、基础数据为背景。缺陷在于,难以针对具体组织提供全景的威胁事件战术情报,更难提升到战略情报。
机构或组织的目标是围绕组织自身资产、威胁、防御体系,战术与战略情报并重。优点在于,以组织自身全景的威胁事件为背景;会逐步建立战略威胁情报的思考。缺陷在于,出于成本效益考量,在基础威胁情报、基础数据上建设会弱一些。
3. 情报工作的重要内容:情报分析
此处举了两个案例,如王珞丹居住地址分析推导属于隐秘信息分析,王进喜照片泄密案属于秘密信息分析,具体分析过程略。
4. 威胁情报的生成过程
4.1 战略与战术威胁情报分析的核心要素
4.2 基础威胁情报与威胁知识提取的核心要素
4.3 输入的外部数据、信息、知识、事件、线索
4.4 关联行为推测
5. 由IT资产分析的威胁溯源
总结:目前的威胁情报还是摸索阶段
1) 目前威胁情报的应用也较简单,数据关联分析还有更多维度和深度的价值。战术情报里偏向技术分析的居多,溯源也较简单。
2) 未形成威胁情报的体系化思考。将线索的获取、情报的生成、情报的应用与知识体系,不同情报的功用混杂在一起,概念术语不分,影响对威胁情报的研究与交流。
3) 缺乏对战略情报的思考,这个对以组织为视角构建威胁情报体系的非常重要,第一需要更多的战术情报的积累;第二由于安全的效益难以看到和描述安全目标,大多组织很难形成围绕业务的安全战略认知,导致安全业务与需求也分散到具体的业务中,需要有较强的安全认知和较高视野的领导去推动。
我国信息安全从业人员状况调研报告(2014-2015)–
中国信息安全测评中心主任助理李斌
1. 信息安全专业人才供给情况
1.1 受访者评估的人才供给
1.2 各类信息安全从业人员紧缺情况
1.3 认为人才供给不足的比例
1.4 最希望的培训方式
1.5 最期望获得的培训收益
2. 职业吸引力
超六成受访者认为薪酬呈上升趋势,其中一半左右的国家机关和国企受访者认为薪酬无涨幅。
工作年限与薪酬调整无明显相关,学历与薪酬调整相关性较大。
单位高层关注自我价值实现;中层、项目经理、信息安全工程师依次关注“晋升空间”、“薪酬提高”、“自我价值实现”;信息安全助理关注“工作氛围”。
3. 信息安全从业人员职业发展情况
七成受访者认为晋升渠道申通;超过五成受访者表示参与了单位发展战略规划;超三成国企受访者表示未参与单位发展战略规划;超四成高层受访者重视移动安全和云计算安全;一半以上的中层、项目经理、信息安全工程师关注大数据安全、云计算安全和移动安全;超过六成高层关注黑客攻击;中层、项目经理、信息安全工程师、信息安全助理关注应用漏洞、信息泄露;各单位受访者都期望获得网络攻防培训;政府机关和国企比较其他单位,更加期望获得培训收益;网络攻防是各行业信息安全人员最期望的培训内容;8+2和系统集成与软件行业比较其他行业更加期望信息安全培训。
调研结论:
信息安全从业人员短缺现象严重;建设信息安全人才队伍的战略和路径缺失;管理者的管理水平和员工的专业技术有待提升;国家机关和国有企业职业吸引力较弱;机关和国企人才晋升渠道不畅通,综合战略性人才职位不高。