大学与信息安全

大学&
信息安全
为何大学能援助现代信息安全
林
駿
CISSP

如何有用?
• 大学的三纲跟(ISC)2和SAN的守则没有什么不同。
• 十资安域和技术信息的知识是对于信息安全专业有必
要地。但个人的道德标准是有预期但不多指示、只要
按照各种法律/裁决像HIPAA、SOX、GLBA、安全港等就
算了。
• 我相信大学是信息安全(InfoSec)专业伦理有用的指南。

大学和信息安全
专业的目标
在生活和事业上、我们想要实现什么？

“
”
大
学
之
道
、
在
明
明
德
、
在
亲
民
、
在
止
于
至
善
。
公益的安全、原则的责任、和对彼此的义务需要
我们坚持、并被视为遵守最高道德标准的行为。
- (ISC)2 Code of Ethics

大学之道,在明明德,在亲民,在止于至善。
GAIC Code of Ethic
• 尊重公众
• 尊重认证
• 尊重我的雇主
• 尊重自己
SANS Code of Ethic
• 我会努力地了解自己和诚实地
明白我的能力
• 我将在我的业务方式上表达,IT
行业是可被认为有诚信和专业
精神之一。
• 我尊重隐私和保密。

明明德的七证
先寻求自我提高

“
”
知止定静
安虑得
明明德的七证
如何在现代的时间以明明德的七证能对
自己和个人的资安事业上能有影响？

知Knowing
自我改进
• 在商业世界、我们培训、以利用该公司
的战略优势同时和纠正该公司的弱点。
• 在工程的环境、我们培训、以查找和纠
正任何产品缺陷在上去市场之前。
• 我们不是应该要在别人或自己启动零天
攻击之前找出和纠正自己的弱点吗？
信息安全事业
• 我一定要知道一家公司的安全状态;它
的优势在哪里;它的弱点在哪里。
• 我一定要知道一家公司的业务目标、
其指挥、其文化、其规律和它的过程。
• 我一定要知道一家公司的防御系统的
图层结构、其登录控制、他们的备战
状态、其状态的响应能力、并等。

止Ceasing
自我改进
• 止是为了防止违反个人信义。
• 止个人的恶习以通过逐渐减少、
复位向到更健康的替代方法、
或通过切断方法。
• 止个人的恶习以通过形成新的
习惯,自我奖励、和参加支持组。
信息安全事业
• 止为了防违反公司员工之信托。
• 止内部风险以至减少、缓解、
避税或消除风险方法。
• 止内部风险以至登录控制、职
责分离、最少特权执法、稳定
软件开发生命周期、并使员工
有更多的安全意识。

定
自我改进
• 定能让我们知道自己的长
处和弱点。
• 定能让我们制止自己的积
习和增强自己的特长。
• 定能给我们信心对抗外来
的压力和打击。
信息安全事业
• 定能帮助我们了解公司的
安全状态。
• 定能减少公司的风险。
• 定能帮助我们在遇到威胁
时保持头脑的清晰。
清晰

靜Calming
自我改进
• 心静因为你不必担心你的
缺点被别人利用。
• 心静能过滤你的心思。
• 心静通向身体健康。
信息安全事业
• 静就是因为公司不必担心
它的信息被别人利用。
• 静能让公司计划业务方策。
• 静能让公司稳固。

安Quieting
自我改进
• 静才能安。心乱则身不能
安。社会动乱则国不能安。
• 心轻安、身轻安。
• 静能让你想清楚、安能让
你做事不受干扰。
信息安全事业
• 静才能安。信息乱则公司不
能安。
• 管理轻安、员工轻安。
• 静能让公司计划、安能让公
司做事不受干扰。
員工
員工
員工

虑Pondering
自我改进
• 虑、谓处事精密。
虑、谓精思。
• 想、谓头脑里粗浅现象。
思、谓头脑里细致现象。
• 虑能让你计划人生大事。
信息安全事业
• 虑、谓处资安事密。
虑、谓资安意识思。
• 想、谓利用信息科技。
思、谓利用资安意识。
• 虑能让公司计划企业大事。
大事
企業

得Obtaining
自我改进
• 高峰耀德状态：
无于恐惧个人缺陷
有一个可操作的生活计划
实现身体和心灵的平衡
信息安全事业
• 高峰资安状态：
 COBIT’s Optimizing Process
 ITIL’s Optimized Maturity
Assessment Level
 Security Awareness Roadmap: Metrics
Framework
耀德

内圣外王
如何先自我管理后他人管理

格物致知诚意正心修身
• 管理他人之前、首先要确
保你已经成功地管理自己。
• 你必须能够经得起别人的
深究和视查。
• 你的行为、你的态度为和
你的话语将不断地被别人
观察和判断。
• 这是Facebook、Twitter和
Instagram的时代。每个小
小的愆会被拍摄和在网上
像火一样地传播。
• 现在的社会就爱拆伪君子。

格物Investigation of Things
自我改进
• 与天地相似、故不违。
知周乎万物、而道济天下、故不过。
旁行而不流、乐天知命、故不忧。
安土敦乎仁、故能爱。
• 范围天地之化而不过、曲成万物而不
遗,通乎昼夜之道而知、故神无方、而
易无体。
• 显诸仁、藏诸用、鼓万物而不与圣人
同忧、盛德大业、至矣哉！
信息安全事业
• 信息安全是关于提供数据随用性、保
密性、和完整性。
• 在理想情况下、因为对信息保安的关
注从所有项目的开始,我们必要涉及。
• 对外部、我们需要知道什么规章、法
律和审计、为此项目所需。
• 对内部、我们需要知道什么行政、技
术和物理约束、为此项目所需。

致知Knowledge
自我改进
• 知几其神乎!
穷神知化、德之盛也。
• 和顺于道德而理于义。
穷理、尽性、以至于命。
• 将以顺性命之理。
信息安全事业
• 我们与关键顾问、经理、程序员和
其他项目成员共通资安知识。
• 他们需要考虑到资安问题而纳入项
目的设计。
• 任何数据泄漏将会损害公司的形象、
声誉、机密、而不提及、可能的诉
讼。

诚意Sincerity
自我改进
• 所谓诚其意者、毋自欺也、
如恶恶臭、如好好色、此之
谓自谦。
• 曾子曰:「十目所视、十手所
指、其严乎。」
• 汤之盘铭曰:「苟日新、日日
新、又日新。」
信息安全事业
• 所谓诚意者、我们与他人共通
信息保安关切研究结果和倡导
资安意识。
• 我们的一句一动会影响员工对
资安意识的态度。
• 骇道新、科道新、信息新。

正心Rectification
自我改进
• 正其心者:
• 身有所忿懥、则不得其正
• 有所恐惧、则不得其正
• 有所好乐、则不得其正
• 有所忧患、则不得其正
信息安全事业
• 我们需要观察自己与员工过份的心
态:
• 愤怒
• 恐惧
• 欲望
• 担心
• 因为他们对资安会有高概率的威胁。
過份

脩身Self Cultivation
自我改进
• 人生是一小天地。
• 富润屋、德润身、
心广体胖
• 斐君子、如切如磋、
如琢如磨。
信息安全事业
• 公司是个天地。
• 富润司、德润员、
企广事泰
• 资安师、如切如磋、
如琢如磨。

齐家治国平天下
• 大学是第一个管理作为一项
服务 (Management as a Service or MaaS)
的经典。
• 只对个人修养兴趣吗? 读完修身
• 只对维持家庭/部门兴趣吗? 读完齐家
• 只对维持政府/公司兴趣吗? 读完治国
• 只对维持天下/跨国公司兴趣吗?
读完平天下
• 外王是较少利用最新和最好的技术
而焦住于管理人心。
• 何以故?社交工程是一场心思攻击。
它是个能穿过最新和最好的防火墙、
IDS、IPS、和图层防御的通行证。
• 何以故?不管怎样有最新进的技术、
人心仍然保持不变。他们可以强
制执行或者衰微信息安全。

齐家Maintain Family
自我改进
• 所谓齐其家在修其身者:
• 人之其所亲爱而辟焉
• 之其所贱恶而辟焉
• 之其所畏敬而辟焉
• 故:「人莫知其子之恶.莫知
其苗之硕。」
信息安全事业
• 所谓齐其部门在修其身者:
• 员之其所亲爱而辟焉
• 之其所贱恶而辟焉
• 之其所畏敬而辟焉
• 故他们对资安会有高概率的
威胁。

治国
自我改进
• 一家仁、一国兴仁;
• 一家让、一国兴让;
• 一人贪戾、一国作乱;
• 其机如此、此谓一言偾事、一
人定国。
信息安全事业
• 当一部门为资安行、整个公司提
高警惕。
• 当一部门为数据限、整个公司促
进数据控制。
• 当一人鲁莽、整个公司变得脆弱。
• 其机如此、此谓一言胁资、一人
定公司。

平天下
自我改进
• 君子有絜矩之道
• 道得众则得国、
失众则失国。
• 言悖而出者、亦悖而入;
货悖而入者、亦悖而出。
信息安全事业
• 息安者活在伦理道德。
• 实践资安、其人参与、公司
有成。无视资安、其人忘也、
公司有败。
• 因果呈现在个人、社会、事
业、金融和政治上。

大学&信息安全概况
• 第一部自助书、它经受时间的考验。当为管理作为一项服
务(MaaS)的第一本书、它论证先如何提高自己再为他人服务。
• 管理之道与修身之道是没有什么不同。它们皆是以身作则。
• 不管怎样有最新进的技术、人心仍然保持不变。他们可以
强制执行或者衰微信息安全。
• 此谓息安者不以利为利、以义为利也。

大学与信息安全

Recommended

Recommended

More Related Content

More from Chuan Lin

More from Chuan Lin (17)