6-制定信息保护的全球实践标准-弗雷德科恩CN.pdfVIP

Fearless Security You have nothing to fear but fear itself 制定信息保护的全球实践标准 2014年9月24日 中国，北京 Dr. Fred Cohen Copyright(c) Fred Cohen 2014 - All Rights Reserved 摘 要 Fearless Security You have nothing to fear but fear itself • 在过去的70年间，信息世界发生了很大的改变，计算机逐渐成为我们生活中 不可或缺的组成部分。但实际，信息安全的科学理论自上世纪80年代以来， 就一直没有什么新的重大发展 • 政府机构往往把更多的精力用于研究如何入侵并获取情报，而对于自身网络 系统的安全防护则明显投入不足。但恰恰在此同时，支撑政府工作的各种公 共基础设施已经开始越来越多的接入网络，并且非常依赖于网络所提供的信 息支持。 • 信息安全技术迫切的需要重大的革新，这是一个世界性的课题。重新构筑一 套完整的理论体系可能需要很长的时间，而制定合理的实践标准（Standard of Practice ，SoP ）却是可行的，而且很多实践标准实际上正在被广泛的使用。 • 实践标准可以推动理论体系的发展，而理论体系又可以指导实践标准的改进。 本次演讲将主要对实践标准与理论体系之间的互动过程进行深入的阐述和分 析，这一过程也需要我们共同的参与和努力。 Copyright(c) Fred Cohen 2014 - All Rights Reserved 提 纲 Fearless Security You have nothing to fear but fear itself • 历史与背景 – 恐惧、不确定、怀疑 与事实 – 信息保护的艺术（非科学） – 合理化决策（选择、决策、依据） • 实践标准SoP • 理论体系的构筑 • SoP的更新 • 思考与探讨 Copyright(c) Fred Cohen 2014 - All Rights Reserved 恐惧、不确定、怀疑 Fearless Security You have nothing to fear but fear itself • “计算机安全”已经成为一种有价值的商业活动 – 赚钱是商业的主要目的 – 如果厂家把安全服务做得太好，让您感觉不到威胁的存在，您也就不再需要安全服务 了？ – 但反之，如果厂家把安全服务做得不好，那么你为什么还要花钱去购买它呢？ – 那么，我们该怎么去向消费者推销我们的安全软件呢？FUD – F恐惧 • 坏事即将发生在你身上，他已经在被人身上发生了 – U不确定 • 您怎么知道自己是安全的，谁在看着你的守护者？ – D怀疑 • 即便是NSA （国家安全局）也不能保住自己的秘密 • 在制造恐惧、不确定与疑惑后，你就需要帮助消费者释放这些恐惧 – 快来使用我们的产品吧：用了你就安全了，NSA已经在使用我们的产品了 Copyright(c)