一味遵守国外安全体系的反思 由于前段时间的斯洛登事件,引起了各国自身对信息安全的重视,中国也不例外,从习主席成立国家信息安全小组就能看出国家对信息安全的重视程度,因为中国的信息安全发展相对较晚,所以缺乏标准和理论体系,所以大家都把眼光投到国外,从BS7799到ISO27001,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西还得借助英汉词典读着这些艰深晦涩的东西。 可是这些标准究竟能给我们带来什么呢?无庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推广?
如图:ISO27001结构图 file:///C:/Users/ADMINS~1/AppData/Local/Temp/msohtml1/01/clip_image001.jpg 不错国外信息化建设比我们要领先若干年,许多我们目前碰到的问题,特别是那些需要用标准规范指南来解决或指导的问题,他们都已经碰到过了,所以他们根据他们的情况提出了解决方案或是制定了相应的标准规范指南,而信息化除了有国情、行业等的特殊性规律外,也有普遍和一致的规律,但是标准应当是现实经验的提炼和总结,一定要与现实相结合,我们现在的标准过多的吸收外来的东西,吸收精华固然没错,但缺少判断和分析,一味的等同采用,就会使标准偏离现实,变得臃肿,贻害国家和后辈。 国外的标准并不是不可以批评甚至否定,仔细研究过以后有针对性地批评,指出其哪些不正确或不适合中国国情,这样是对中国的信息安全建设有价值的。就好象一些体育动作一样,你在不知道规范的时候,有些动作你是做不到位的,等你懂了,你就可以加以改造,不在乎说打造一个多么坚固的防卫安全体系,而在于说,有了一个标准,我们可以据此来进行一些规范动作的完成,并且由此可以知道:我们的大概的安全级别。至少,在某种程度上,我的系统是足够安全的。 虽然我们引用的是别人的东西,但通过引入我们也确实看到了自己存在的问题,随着熟悉度的加深,我们获得的收益会与日俱增。懂得借鉴和学习别人的东西是好事,怕的是盲目崇拜,不懂得反思和创新,反思和创新是值得我们重视的问题。 不过我有几点想法,也许不成熟,仅供大家参考吧:
1、我们要尊重权威,但是不迷信权威。其实国内的很多权威的水平实在是不敢恭维;
2、扎扎实实的学点东西,其实也没有必要非要学那么多的标准。一句老话”一艺通百艺通“,标准说来说去本质上没啥大的区别;
3、更多的从企业的角度来考虑问题,而不是从安全公司或者咨询公司的角度来考虑,考虑标准或方法的可行性,考虑他们的需求。。。。
4、不断烦死,不断学习,不断总结,从而可以不断的来充实自己,这才是最重要的。嘿嘿,个人见解。
|