Home > -Chinese-, Security > [Chinese]网络信息安全度量和考核指标体系(4) – 读Andy的“安全度量”

[Chinese]网络信息安全度量和考核指标体系(4) – 读Andy的“安全度量”

May 8th, 2008 Leave a comment Go to comments

坦白说,在LinkedIn上提问之前,就安全度量指标系统而言,我并没有做过更多的学习和研究。在得到大家的热烈指导和响应后,我越来越发现原来有这么多的资源和信息已经在哪里,可以借鉴。写了前面三段关于安全的度量指标体系的帖子后,我开始读Andy的“安全度量”。

Security MetricsAndy(Andrew Jaquith)的“安全度量”(Security Metrics: Replacing Fear, Uncertainty, and Doubt)这本书是一本不错的书。几个星期前从网上找来了PDF的英文版,前几天买了中文版(电子工业出版社,2007年12月)。这两天在深圳出差,抽路上的时间把书读了一遍。下面是点到为止式的一些评论。

1 Andy是一位非常资深的安全顾问、企业管理者,他的文笔和见解也引人入胜。这本书很好的分享了他的行业阅历、安全专业顾问经验、呈现技巧、企业管理经验等。但是,坦白说,中文版的翻译不好!其中的专业术语和遣词造句都不够好。不能不说是个遗憾。

2 这本书(Security Metrics: Replacing Fear, Uncertainty, and Doubt)更适合于在信息安全这个领域工作了有相当长的时间的读者,他有相当多的专业技术知识、运行管理经验等,并且对ISO17799 /27000 /CoBit /ITIL等也已经有不错的积累。这样才会更好的理解和吸收Andy的这些观点。从另外一个角度讲,也只有比较资深的顾问、管理经理才更有机会用到这些知识。呵呵,一般来说,刚入门的顾问或普通工程师不是很有机会参与制定这些安全度量指标的开发。

Replaceing security FUD3 Andy在“安全度量”这本书中对基于ISO17799的度量指标系统和ALE的概念提出了质疑。他认为ISO17799更倾向于从审计者的角度来看问题,而不是从运行管理者的角度来做。这就使得它大部分都是对输出结果的要求描述,而对如何实现避而不谈,或者说不关心。虽然这一点已经在ISO27001的后续发展计划中了,Andy还是认为管理者应该重新考虑建议适合自己的一套度量指标体系,而不要直接引用ISO17799/27001。另外,Andy还讽刺了很多安全顾问公司使用的循环模型:评估-报告-划分优先级-修复-评估,Andy认为这样的模型只能是迫使安全管理人员不停地处于被动的自我否定之中。(这样的观点甚至也间接地讽刺了PDCA)。
对于ALE的概念,虽然ALE的概念到处都是,即使著名专家Bruce也在推介,Andy提出了比较严厉的批评。

4 “安全度量”这本书中尝试建立不同于ISO17799的指标体系。他将重要的安全运行管理分为四个大的子领域:边界防御、覆盖和控制、可用性和可靠性,以及应用安全。就如同Andy自己也讲到的,这里不是基于某种模型的,而是更多的基于经验。所以在这里的四个子领域中并不容易找到相互之间什么直接的联系或者完备性的证明。与此对比,我在之前使用的四个子领域分别是:保护边界、保护桌面、保护核心资产(服务器和应用)、符合性和审计。

5 “安全度量”这本书借用了CoBIT的四过程:PO-AI-DS-ME,来建立安全计划(或者生命周期)的度量指标。

6 本书第六章 – 可视化,是不错的参考,不管是入门的、还是已经比较资深的顾问,对于很多安全运行管理工程师经理也是非常好的参考。我见过很多顾问或工程师拿出来的报告或演讲材料真的是充满了滥用的色彩、线条和图片,而使的重要的“信息”完全被淹没了,最重要的“逻辑”消失了。不少情况下,本来工作做的还是不错的,这样一来,结果不好,非常可惜!

或许很多技术“专家”会认为“内容才是最重要”,“展现”不过是个形式,没有关系,所以不重视、也不情愿在展现和报告上下功夫。其实,不然。要知道,很多IT管理层并不是技术专家,越高的IT管理层通常对技术的专业知识了解的就越少,他们能够或愿意花在专业技术上的时间也就越少,他们最重要的工作是了解业务逻辑,了解技术的总体趋势。我们知道IT实在是太多技术了,分到安全上的自然会越来越少。所以这里的挑战就是如何用更少的时间展现更为清晰、更为关键的逻辑。这一点也是我到联想以后体会很深的一点 – 如何创建Executive Level的技术报告,一定要非常清楚自己的读者是谁,报告的目的是什么(decision oriented, or just information sharing)。在这一点上,我很高兴我自己以及我的Team都有了很快的提高。

我很欣赏Andy的观点,一个好的“展现”的特点是lean, trim and elegant, 朴素,直观,关注内在的数据和逻辑。Andy在书中举了若干个示例来说明这一点。关于这一点,如果大家读McKinsey的典型报告时会有较深的体会。我强烈推荐这本书的读者、这篇博客的读者在这方面多思考练习体会一下。呵呵,如果您已经是个中高手,也请您和大家也分享一下您的经验。

以前相关内容:

网络信息安全度量和考核指标体系(3)

网络信息安全度量和考核指标体系(2)

网络信息安全度量和考核指标体系(1)

Be Sociable, Share!
Categories: -Chinese-, Security Tags: , , , , , , , , ,
  1. Richard
    May 13th, 2008 at 10:57 | #1
    Reply | Quote

    I am reading another interesting paper on this topic:
    “7 myths on Security Metrics”. It’s written by Dr.Gary Hinson. You can find the whitepaper:
    http://www.noticebored.com/html/metrics.html

  2. Ben
    May 8th, 2008 at 14:48 | #2
    Reply | Quote

    好好的英文书一翻译成中文怎么就滥了呢?比如《入侵的艺术》……
    BTW:老大的英文版是从哪里Download的呀?

  1. May 8th, 2008 at 01:26 | #1
    zhaol
  2. May 8th, 2008 at 01:26 | #2
    Richard Zhao
CAPTCHA Image
*