主动性合规驱动信息安全保障工作-潘柱廷 启明星辰首席战略官

主动性合规管理驱动信息安全保障工作启明星辰CSO潘柱廷破题（暨摘要）信息安全保障的四种需求驱动力被动的合规性管理是实实在在的动力主动的驱动力更利于良性建设PSPC需求驱动筐架需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance问题型自己机构（或看到其他机构）正在发生、曾经发生的安全问题所引出的安全需求。比如：网站被入侵、网络遭到病毒侵害、发生火灾导致数据丢失等等。这些问题会立刻引发安全问题解决的需求，比如：防病毒、入侵检测、备份等等。这类需求是信息安全产业最原始的动力。体系化单独的安全问题被逐渐地被综合考虑，政策性的指导被逐步深化理解和实践从体系化的角度考虑安全需求和安全建设，强调建立“信息安全保障体系”、“监控体系”、“应急体系”、“业务安全体系”等等。这样的体系化需求，能够让客户建立起来一些持续多年的持续性需求，这种需求常常会表现为一个持续2-3年以上的安全规划。政策性由于主管机关的要求和政策性引导，敦促机构对于安全问题的重视，加强安全投入，从而引出了很多安全需求。这样的需求，常常由于机构自身对于问题的紧迫性不足，对于需求的理解不透，而导致安全投入和安全建设流于形式。但是这个需求是在一定阶段中支撑了整个信息安全产业的发展的。合规性合规性要求常常表现为法律法规的要求、标准的要求、行业主管机关和监管机关的行政要求等等。比如国际上的萨班斯-奥克斯利法案、巴塞尔协议、ISO27000系列（7799系列）等；再比如国内的等级保护要求、风险评估、商业银行内控要求等等。这些合规性要求已经是多方面安全需求和经验的综合，常常具有一定的强制性。通过合规性所引发的安全需求会形成非常稳定的产业交易需求，可以说是产业稳定发展的重要支柱。信息安全产业要素交易品(形态/价值/技术)提供商(模式/能力/资本)第三方（主管机构、测评机构、媒体等）客户(需求)PSPC需求驱动力在产业要素上的分布交易品(形态/价值/技术)提供商(模式/能力/资本)第三方（主管机构、测评机构、媒体等）客户(需求)问题型体系化合规性政策性问题型需求驱动的特点问题常常来源于客户实际问题常常是不成体系的（看起来）需求满足常常是“头痛医头，脚痛医脚”问题解决要求很快，追求速效问题所带来的需求都非常实在问题解决办法常常体现为面向脆弱性安全比如：防病毒、入侵检测、防火墙等体系化需求驱动的特点常常来源于从专家和厂商而来的技术推动客户零散的问题，被内外部专家提炼看起来成体系，但是因为有抽象，和实际总是有些差别常常表现为：结构化安全比如：保障体系、可信计算、管理平台等由于各个因素的牵扯，所以见效较慢启明星辰信息安全保障总体框架可信计算组织—TNC可信网络连接规范启明星辰泰合信息安全管理平台体系结构漏洞评估中心事件/流量/运行监控中心风险分析决策支持与预警系统响应管理系统显示报告体系结构示意图ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台统一信息知识库外部协同用户管理安全知识管理平台自身安全体系化需求驱动的特点常常来源于从专家和厂商而来的技术推动客户零散的问题，被内外部专家提炼看起来成体系，但是因为有抽象，和实际总是有些差别常常表现为：面向结构性安全比如：保障体系、可信计算、管理平台等由于各个因素的牵扯，所以见效较慢完全靠体系来驱动，力度常常不足政策性需求驱动的特点常常来源于上级机构和主管机构虽然不追求完美的体系，但是政策性要求有一定整体性政策性要求不是强制性的，有一定的灵活性常常表现为：一些要点总结中办发[2003]27号国家信息化领导小组关于加强信息安全保障工作的意见（2003年8月26日）加强信息安全保障工作-总体要求总体要求：坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展保护公众利益，维护国家安全加强信息安全保障工作-主要原则主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。加强信息安全保障工作-九项任务系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究，推进产业发展法制建设、标准化建设人才培养与全民安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制政策性需求驱动的特点常常来源于上级机构和主管机构虽然不追求完美的体系，但是政策性要求有一定整体性政策性要求不是强制性的，有一定的灵活性常常表现为：一些要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足合规性需求驱动的特点常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有很多stackholder会推波助澜典型的合规性要求密码管理计算机安全产品销售许可等级保护萨班斯-奥克斯利法案。。。合规性需求驱动的特点常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有很多stackholder会推波助澜合规性要求常常被夸大扭曲，或者委曲应付如何恰当地利用合规性理解从问题-体系-政策-合规的因果低调看待合规性，将合规性向政策性转化避免最坏情况追求更好目标达到最低要求将合规性向内部传递PSPC需求驱动筐架需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance主动性合规管理交易品