I HAVE A DREAM

2008年，不管是对国家，还是对个人，不管是经济情况，天灾人祸，工作生活，都是不顺利的一年，但并不会失去希望，祖国明天会更好，我们明天会更好！

3月12日，是我到埃森哲一年整，也是离开德勤的时候，一年来，充分感受了所谓技术咨询的艰辛。

这几个月来，认识最深的是对于顾问来讲，最重要的就是自信，客户请你来，就是为了听取你的专业意见，如果顾问没有自信，其实与咸鱼没了差别，也让客户没办法信任你，可是另一个问题是，自信从何而来？技术只是顾问工作的一小部分，很多在方法论，理念和文档上，而且你每提出一个意见，必须有充足的理由支撑，更何况咨询本身就是一个不断应对Challenge的行业，一旦失去自信，那作为咨询方的基石也将倒掉，随之而来的是客户侧的项目信心也不复存在；

另外就是国企领导看来也不白给，确实很大一部分还不是尸位素餐的，像我们现在所接触的客户侧的领导，常常对于问题的理解很到位，写出的东西能说到点子上，也是很了不起的。

感觉咨询公司的最大好处就是他们所谓的“相对公平”，就是说针对每一个事情，大家都可以发表自己的看法，而不会因为一些外部因素而有所偏见，这也许就是独立顾问的一点体现，在对于问题的分析上，不会因为你是Analyst和Partner而有所侧重，就是我们跟Alan讨论问题，他总会把自己的意见表达出来，或是对你的见解提出质疑或问题，而不会武断地认为你说的不可取，而且总是在心平气和的找论据，而我和欧阳与他的差距就在于，我们很容易情绪化，在说服不了对方的时候，容易下一些主观的结论，因为我们找不出理由支撑了，Partner也一样，在与大家讨论问题时，也只能谈出他的意见支撑点，而不是简单地下个主观定论，确实还有点以理服人的味道。

    在国际上，美国一直主导信息技术和信息安全的发展，信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。

第一个阶段（60-70年代）以计算机为对象的信息保密阶段

背景：计算机开始应用于政府军队。

标志性行动：1967年11月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司，开始研究计算机安全问题。到1970年2月，经过将近两年半的工作，主要对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。

有关风险评估的重要的工作结果：

   1973年，美国国防部（DoD）开始制定有关计算机安全的比较重要的法规、指令和标准。

   1977年，美国国防部正式提出了关于加强美国联邦政府和国防系统计算机安全的倡议，NBS、美国空军、兰德公司、迈特公司等都积极参与其中，开始大规模地研究计算机安全的理论、系统结构以及有关加强安全的手段。这个过程中产生了BLP模型，形成了早期的访问控制的模型。

   1978年，美国白宫OMB（管理和预算办公室）发布了一个《联邦自动化信息系统的安全》（A-71）通告，成为联邦政府就计算机安全提出的最早的一个要求。

   1979年，NBS颁布了一个风险评估的标准：《自动数据处理系统（ADP）风险分析标准》（FIPS 65）。

特点：

仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。

第二个阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段

背景：计算机系统形成了网络化的应用。

标志性行动：出现了初期的针对美国军方的计算机黑客行为，1988年1989年，美国的计算机网络出现了一系列重大事件。美国的审计总署（GAO）对美国国内主要由国防部使用的计算机网络进行了大规模的持续评估。

有关风险评估的重要工作结果：

   1981年到1985年，美国国防部组织了很大的研究力量研究橘皮书。后来，在这个基础上，形成了一套包括橘皮书在内的大约四十多个标准的彩虹系列。这就形成了美国早期的一套比较完整的从理论到方法的有关信息安全评估的准则。

   1983年制定了联邦信息处理标准FIPS 102《计算机安全认证和认可指南》。

   1885年12月，OMB颁布《联邦信息资源管理》（A-130）通告。提出了政府信息的保护要建立一个安全级别，以应对风险的损失。提出依据1974年的《隐私法》，进行风险评估，使金融风险和运营风险降到最低程度。

   1992年美国联邦政府制定《联邦信息技术安全评估准则》（FC）。

   1993年美国和欧洲四国（英、法、德、荷）、加拿大以及国际标准化组织（ISO）开始共同制定了信息技术安全通用评估准则（CC）。1999年成为国际标准ISO/IEC 15408。

特点：逐步认识到了更多的信息安全属性（保密性、完整性、可用性），从关注操作系统安全发展到关注操作系统、网络和数据库。试图通过对安全产品的质量保证和安全评测来保障系统安全，但实际上仅仅奠定了安全产品测评认证的基础和工作程序。评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面的风险评估。

第三个阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段

背景：计算机网络系统成为关键基础设施的核心。

2000年前后，由于国际范围内出现了大规模黑客攻击，信息战的理论逐步走向成熟，且美国的军、政、经济和社会活动对信息基础设施的依赖程度达到了空前的高度，迫使美国又开始了对信息系统新一轮的评估和研究，产生了一些新的概念、法规和标准。

标志性的行动：

在军方提出信息保障（IA）概念的基础上，克林顿和布什两届总统持续数年进行了国家信息安全保护计划和信息保障战略的研究。2002年美国发布了《联邦信息安全管理法案》。此外，美国NIST（国家标准和技术研究所）先后发布了面向信息系统安全评估的一系列指南和标准。

有关风险评估的重要工作结果：

   1996年5月20日GAO发布了经过三年的评估结果。

   1997年美国国防部发布了《国防部IT安全认证和认可过程》（DITSCAP）。

   修改后的OMB A-130要求，应该将风险评估作为基于风险的方法的一部分来为系统实现适当的、成本有效性更好的安全，用来评估系统风险性质和级别的方法中应该包括对风险管理主要因素的考虑：系统和应用的价值、威胁、脆弱性、当前或所建议的安全措施的有效性。

   2000年4月，负责国家安全系统的国家安全系统委员会发布了专门针对国家安全系统的《国家信息保障认证和认可过程》（NIACAP）。

   NIST在2000年11月为CIO委员会制定的《联邦IT安全评估框架》中提出了自评估的5个级别。针对该框架，NIST颁布了《IT系统安全自评估指南》（SP 800-26），为三大类17项安全控制提出了17张调查表。

   2002年1月，NIST发布了《IT系统风险管理指南》（SP 800-30），概述了风险评估的重要性、风险评估在系统生命周期中的地位、进行风险评估的角色和任务。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。

   2002年颁布了《联邦信息安全管理法案》（FISMA），提出联邦各机构的信息安全项目必须包括：定期的风险评估、基于风险评估的政策和流程、安全子计划、安全意识培训计划、对安全的定期测试和评估、对安全事件进行检测和响应的流程以及用来确保信息系统运行连续性的计划和流程。

   从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP 800-60）等多个文档，试图以风险思想为基础加强联邦政府的信息安全。目前，后续文档仍在制定之中。

特点：

随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；认识到CC和FIPS 140-2等标准仅仅适合安全产品的测评认证，对于信息系统则需要确立新的包括非技术因素的全面评估，逐步形成了风险评估、自评估、认证认可的工作思路，而风险评估工作贯穿于认证认可工作的各个阶段中，且实现了制度化。

到这一阶段，风险评估已经成为一种通用的方法学和基础理论，应用到了广泛的信息安全实践工作之中。

这两天被ABC的Proposal整得很是够呛，而昨天又打飞的去青岛爬了崂山，突然间想到去年的这个时候正幸福地待在新疆，不由感慨时间流逝，而今天却又换了一个挣饭吃的地方。