VARA 2015 大会简报及两个不错的议题
作者:星期日, 十月 25, 20150

10月23日,牛君参加了中国信息安全测评中心主办的“第八届信息安全漏洞分析与风险评估大会”。此次大会由测评中心李守鹏副主任主持,测评中心朱胜涛主任和北京交通大学校长宁滨分别致欢迎辞,何德全、倪光南两位院士及网信办协调局胡啸局长、发改委高技司王娜处长到会发表讲话。

640.webp (1)

除了各位领导专家、技术大牛进行主题演讲以外,此次大会还举行了国家信息安全漏洞库(CNNVD)第三批技术支撑单位授牌仪式,共分三级:

一级漏洞库支撑单位

中电长城网际系统应用有限公司

北京云间有道科技有限公司

北京江南天安科技有限公司

二级漏洞库支撑单位

北京安信天行科技有限公司

北京锦龙信安科技有限公司

北京永信至诚科技有限公司

三级漏洞库支撑单位

北京中测安华科技有限公司

上海斗象信息科技有限公司

深圳百密信安科技有限公司

北京洋浦伟业科技发展有限公司

远江盛邦(北京)信息技术有限公司

成都科来软件有限公司

东巽科技(北京)有限公司

另外,中国信息安全测评中心CISP运营中心联合《中国信息安全》杂志共同举办了首届“CISP杰出人物”评选活动,共10位人员获奖:

中国联通河北省分公司高级工程师孔令飞

中石化信息化管理部工程师刘远

杭州安恒信息技术有限公司首席安全官刘志乐

江苏天创科技有限公司总经理任国强

中国保险信息技术管理有限责任公司高级工程师杨磊

中国信息安全测评中心副研究员班晓芳

深圳市安络科技有限公司总裁谢朝霞

北京江南天安科技有限公司部门经理程娜

北京邮电大学信息安全中心信息安全系副主任雷敏

北京永信至诚科技有限公司董事长蔡晶晶

由于议题众多(除上午主会场以外,还分设“漏洞分析”、“风险评估”、“大数据安全分析”和“‘互联网+’时代下的信息安全”四个分会场),牛君从中挑了两个比较感兴趣的议题,现给大家介绍一下。

威胁情报体系思考–

阿里巴巴资深安全专家方兴(flashsky)

1. 威胁情报的分类与作用

640.webp (2)

 

1.1 战略与战术威胁情报分析的主要内容

640.webp (3)

1.2 基础威胁情报分析的主要内容

640.webp (4)

2. 厂商与组织视角的威胁情报的侧重

厂商的目标是提供专业共性的战术情报,偏技术与威胁组织。优点在于,以相关单点共性海量的基础威胁情报、基础数据为背景。缺陷在于,难以针对具体组织提供全景的威胁事件战术情报,更难提升到战略情报。

机构或组织的目标是围绕组织自身资产、威胁、防御体系,战术与战略情报并重。优点在于,以组织自身全景的威胁事件为背景;会逐步建立战略威胁情报的思考。缺陷在于,出于成本效益考量,在基础威胁情报、基础数据上建设会弱一些。

3. 情报工作的重要内容:情报分析

640.webp (5)

此处举了两个案例,如王珞丹居住地址分析推导属于隐秘信息分析,王进喜照片泄密案属于秘密信息分析,具体分析过程略。

4. 威胁情报的生成过程

640.webp (6)

4.1 战略与战术威胁情报分析的核心要素

640.webp (7)

4.2 基础威胁情报与威胁知识提取的核心要素

640.webp (8)

4.3 输入的外部数据、信息、知识、事件、线索

640.webp (9)

4.4 关联行为推测

640.webp (10)

5. 由IT资产分析的威胁溯源

640.webp (11)

总结:目前的威胁情报还是摸索阶段

1) 目前威胁情报的应用也较简单,数据关联分析还有更多维度和深度的价值。战术情报里偏向技术分析的居多,溯源也较简单。

2) 未形成威胁情报的体系化思考。将线索的获取、情报的生成、情报的应用与知识体系,不同情报的功用混杂在一起,概念术语不分,影响对威胁情报的研究与交流。

3) 缺乏对战略情报的思考,这个对以组织为视角构建威胁情报体系的非常重要,第一需要更多的战术情报的积累;第二由于安全的效益难以看到和描述安全目标,大多组织很难形成围绕业务的安全战略认知,导致安全业务与需求也分散到具体的业务中,需要有较强的安全认知和较高视野的领导去推动。

我国信息安全从业人员状况调研报告(2014-2015)–

中国信息安全测评中心主任助理李斌

1. 信息安全专业人才供给情况

1.1 受访者评估的人才供给

640.webp (12)

1.2 各类信息安全从业人员紧缺情况

640.webp (13)

 

1.3 认为人才供给不足的比例

640.webp (14)

1.4 最希望的培训方式

640.webp (15)

1.5 最期望获得的培训收益

640.webp (16)

2. 职业吸引力

超六成受访者认为薪酬呈上升趋势,其中一半左右的国家机关和国企受访者认为薪酬无涨幅。

工作年限与薪酬调整无明显相关,学历与薪酬调整相关性较大。

单位高层关注自我价值实现;中层、项目经理、信息安全工程师依次关注“晋升空间”、“薪酬提高”、“自我价值实现”;信息安全助理关注“工作氛围”。

3. 信息安全从业人员职业发展情况

七成受访者认为晋升渠道申通;超过五成受访者表示参与了单位发展战略规划;超三成国企受访者表示未参与单位发展战略规划;超四成高层受访者重视移动安全和云计算安全;一半以上的中层、项目经理、信息安全工程师关注大数据安全、云计算安全和移动安全;超过六成高层关注黑客攻击;中层、项目经理、信息安全工程师、信息安全助理关注应用漏洞、信息泄露;各单位受访者都期望获得网络攻防培训;政府机关和国企比较其他单位,更加期望获得培训收益;网络攻防是各行业信息安全人员最期望的培训内容;8+2和系统集成与软件行业比较其他行业更加期望信息安全培训。

调研结论:

信息安全从业人员短缺现象严重;建设信息安全人才队伍的战略和路径缺失;管理者的管理水平和员工的专业技术有待提升;国家机关和国有企业职业吸引力较弱;机关和国企人才晋升渠道不畅通,综合战略性人才职位不高。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!