Q: OSTF等同与安全管理吗？它们之间的差别在哪里？

作者 lance 日期 Dec 4, 2003 10:18 pm

现在业界流行这样一种说法：“信息安全三分技术，七分管理！”，的确“管理”是信息安全发展的一种趋势，但不是全部，还包括“智能”、“整合”、“高速”等多个方面，OpenSTF的性质是“信息安全业务基础平台”，它的目标是以业务去导向和驱动安全体系结构的设计、部署与操作，并有效降低安全体系结构的总拥有成本（TCO），“管理”（更准确的说应该是“有技术支持的管理”）只是其中的一个重要环节，即“操作”的一部分，需要人参与的、更宏观的部分，但“操作”还包括在宏观的指导下，安全组件微观的相互操作，这种操作必须需要相应的分布式技术去完成。

此外，OpenSTF作为“信息安全业务基础平台”还关联了安全体系结构生命周期的另外两个环节“设计”与“部署”，“设计”主要是业务去导向的安全建模，“部署”主要是安全中间件的安装、设置、整合等。

作者 Checky 日期 Dec 5, 2003 9:59 am

看了Lance的帖子，安全管理只是OpenSTF“操作”中的一部分。是否能解释一下经典的“安全管理”包括哪些部分？OpenSTF是否扩展了“安全管理”的概念（代替安全管理）又或者是一个全新的临驾于“安全管理”之上的一个概念呢？

作者 chelsea 日期 Dec 5, 2003 2:34 pm

Checky的问题具有普遍性，现在大家都在谈安全管理，它的概念究竟是什么呢？只有明确了安全管理的概念，我们才能判断OpenSTF和安全管理是否同质，还是完全不同的一个全新概念。

在谈安全管理之前，我们不妨看看业界安全厂商们对信息安全发展的现状分析(引自绿盟科技）：

在信息安全行业，用户的思想认识发展可以分为三个阶段：

第一个阶段是受主流信息安全产品厂商的引导，坚信单一安全产品能够很好地保护自己的业务应用，典型思想表现为“安全就是防火墙”，把规模化的单一产品采购做为信息安全的唯一保障。
第二个阶段是在经历了一些信息安全事件之后，用户总结了一定的经 验和教训，意识到单一信息安全产品并不能真正有效地维护安全的网络，开始注意各种安全产品的搭配使用、联动和协调分析。一些基于对不同安全产品进行统一管理的应用平台进入市场，但此时用户还是把信息安全当做纯粹技术产品的堆砌，相关工作看成是纯粹技术人员的工作，具体体现在不能很好地在企业内部贯彻安全管理思想，不能有效地控制和防范内部员工的一些不良操作习惯和由此导致的安全隐患。
第三个阶段是部分对信息安全有更高需求的客户开始意识到企业组织体系、管理体系在整体信息安全建设中的重要意义，也意识到制定安全规范、安全制度的必要性，但是限于安全公司在安全理解、安全观念上的局限性，使用户很难得到真正的有效帮助，从而无法有效地组织企业信息安全管理体系的建设和实施。
个人认为，绿盟科技把信息安全发展的现状归纳为三个阶段，是符合目前信息安全行业的发展现状的。简单来说，安全管理产品就是第二个阶段的产物，它具体解决了以下一些问题：

安全策略的统一管理。包括策略的定制、执行和管理。
统一身份授权和管理。
统一的日志和审计系统。
安全事件协同响应。
...
而第三阶段，我认为绿盟科技还未完全描述清晰。这个阶段，信息安全将进入安全体系建设的阶段。强调的将是人、资源、操作的有机结合。安全将不再仅仅是业务的保障，而是与业务完美的结合，将促进业务的发展。

也许，OpenSTF就是为了第三阶段而诞生的。呵呵。

作者 lance 日期 Dec 6, 2003 3:40 pm

对于“安全管理”的概念，这里没有可能去完全解释清楚，我想用国际公认的信息安全管理的标准ISO17799/BSI7799中的对于信息安全体系的”十大管理要项“和”基于PDCA模型的过程“去概括“安全管理”的范畴应该最恰当不过，而且能够为我们说明OpenSTF是不是“安全管理”提供理论依据！

ISO17799/BSI7799中的对于信息安全体系的十大管理要项：

安全方针（Security Policy）
安全组织（Security Organization）
资产分级与控制（Asset Classification and Control)
人员安全(Personnel Security)
物理与环境安全（Physical Enviromental Security）
通信与操作管理（Communications and Operations Management)
访问控制（Access Control）
系统开发与维护（Systems Development and Maintenace)
业务持续管理（Business Continuity Management）
符合性（Compliance）
信息安全体系的过程：

基于PDCA模型（Plan计划、Do实施、Check检查、Action改进）将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程。

现在我们是否可以得出的这样的结论：”安全管理“是信息安全体系过程中的一个部分，它的范畴主要涉及十大管理要项！

作者 lance 日期 Dec 6, 2003 4:06 pm

续上面的帖子，当我们了解了安全管理的范畴后，回过头来看OpenSTF，它只是一个平台，一个“信息安全业务基础平台”，是中间的产品，并不代表最终的应用形式，第三方可以基于它去开发“安全管理”的最终产品；可以开发某种分布式的“安全产品”，如：分布式防火墙；可以开发系统级的安全整合产品，如“事件联动”、“综合安全审计”等等，总之“可大可小”，根据应用的需求而定。再比如说，小蚁雄心目前正在用OpenSTF去开发一个针对局域网的安全体系结构。

因此，OpenSTF不能代表安全管理，安全管理也不能代表OpenSTF，也许某些厂商可以利用OpenSTF开发出符合ISO17799/BSI7799规范的安全管理平台工具，但也不能说它是安全管理，就像软件工程学科中的“统一软件开发过程RUP”和“Rational Suit”的关系一样，你不能说RUP＝Rational Suit，一个是方法论，一个帮助实现方法论的工具而已。

作者 lance 日期 Dec 6, 2003 4:10 pm

续上帖，我们得出结论：安全管理和OpenSTF不可同日而语，一个是方法论，一个是工具，而且OpenSTF这个中间形式的工具，可以基于它去做安全管理的工具，也可以基于它去做其他的与信息安全有关的东西！

作者 lance 日期 Dec 6, 2003 4:50 pm

chelsea在她的帖子中引用了“绿盟科技”的“在信息安全行业用户的思想认识发展可以分为三个阶段”的看法，我很赞同“绿盟科技”的见解，其把信息安全体系框架分为组织体系、管理体系、技术体系三大部分组成，这和IATF中提出的“人”、“技术”、“操作”的一样。

而且为了自己实现的理念，“绿盟”其打出了“企业安全计划－ESP”的旗帜，这的确是一个创新之举，并且借用了ERP这个广为人知的名词。说道ERP，到真是企业管理软件的代表，也许“绿盟”想把ESP作成安全管理软件的代表吧。

我纵观了“绿盟”的“企业安全计划－ESP”的思想，其本意的确很好，但有两个比较大的缺陷：

没有强调安全以应用为本的，太突出管理了，孰不知，在企业中除了ERP，还有OA系统、SCM、CRM、财务软件等许多业务应用的内容，如果没有了业务，ERP带来的资源成本的节约也就失去了其价值。同理，如果失去了应用，安全也就是无本之木了。
其平台工具的设计实在体现不出其”企业安全计划－ESP“中核心思想的先进性，而且也没有好的扩展性，如果靠现在的这个平台工具去实现真正的ESP估计会比较吃力不讨好。
这里，我真心的提出自己的一些建议，希望“绿盟”的“企业安全计划－ESP”这一很有创新的思想能成为解决信息安全现实问题的利器。

作者 lance 日期 Dec 6, 2003 5:49 pm

续上帖，谈到绿盟的“企业安全计划－ESP”，其认为ESP™将是未来几年信息安全行业的发展趋势。至于为什么是趋势？我想“绿盟”一定从信息安全的角度论证了不少。但我也想谈一谈这“ESP”的趋势，也从“信息安全”的角度？难免苟同。还是还一个角度吧，就从这"ESP"的名义上的兄弟“ERP”的发展历史谈一谈：

记得ERP的夏天好像是在1998－2001之间，当时许多企业疯狂的上ERP项目，好像上了就能节约成本，就能生出利润来（感觉好像有点今天大家疯狂上Firewall的味道），狂热之后必然是理性，人们认识到ERP并不是企业IT应用的全部，而后又出现了CRM（客户关系管理）、企业门户网站（Portal）、新型财务软件、OA办公自动化、人事管理软件、SCM、知识库、企业群件等一系列的东西，直到现在的淹没了前面的一切的、IBM推崇的e-Business电子商务的出现。最终，IT回到了它价值的根源－Business（业务）。

在从企业应用软件开发的角度看，用友、金蝶、东软金算盘、SAP等这类角色是ERP传统软件开发商的典型代表，原来都直接开发最终的企业应用软件。但为了面对新的生存环境，很多应用软件提供商为了在新的竞争中掌握主动，开始研发自己的业务基础软件平台。例如，东软金算盘推出了自己VP平台，用友推出自己的UAP平台，而SAP则推出了自己的NetWeaver平台。从应用软件提供商转化为业务平台提供商，将获得更广阔的市场和更高的附加值。

反观绿盟的“企业安全计划－ESP”的两个弱点（上帖提到的），我们根据ERP最终变成e-Business；我们根据直接开发ERP软件到开发业务基础软件平台；我们会得到什么启事？

我的结论是：

安全以业务为本；
安全系统结构的开发要基于信息安全的业务基础平台；
也上两个点正是OpenSTF带给我们的核心价值。

作者 eric 日期 Dec 6, 2003 8:58 pm

其实信息安全的目标，我认为是：安全0管理！是靠人工智能技术发展协作层安全中间件的过程。

作者 Checky 日期 Dec 6, 2003 10:28 pm

看了Chelsea和Lance的回答，现在我对信息安全发展阶段及“安全管理”的概念可以说有了基本的了解。对“OpenSTF不能代表安全管理，安全管理也不能代表OpenSTF”表示赞同。

但对于OpenSTF的定位及其真正内容，在看了Lance的话，以及OpenSTF的蓝图后感到：
现在的OpenSTF的架构似乎更接近于所谓OpenPTF（Open Platform Technology Framework）开放平台技术框架的东西；

而我们所说的OpenSTF又似乎是OpenPTF在安全领域中的一个具体应用，是OpenPTF实现了OpenSTF的需求；