簡介
國家網絡安全教育計劃(NICE)是政府、學術界和私營部門之間的合作,致力於促進強大網絡安全教育,培訓和人才發展。為了解決網絡安全教育和培訓的需求,NIST發佈SP800-180,該指南介紹了NICE網絡安全人才框架(NCWF)。從事NICE工作的專家來自美國的相關部門,政府,企業和學術界。然後將他們意見彙總形成一個“國家基線,代表所有IT安全從業者應具備的基本知識和技能”(NIST,2014)。有些模型確定了特定實踐領域中從業者的人員需求。其中包括CISSP的共同知識體系(CBK)和ISACA信息及相關技術控制目標(COBIT)。它們在商業領域是完全不同的競爭模型,因此不能被當成信息安全行業普遍接受的基礎。
NICE目標是“建立用於描述所有網絡安全工作和人員的共同分類和詞彙,無論在何處或為誰執行工作”(NIST,2014)。該框架由7個知識領域和32個不同的專業領域組成。
本系列文章將介紹什麼人才框架是這麼分的,背後的邏輯是什麼,本文介紹安全提供(SP)的7個知識領域。
Securely Provision (SP)綜述
SP800-180中安全提供(SP)包括7個領域,涉及到11個工作角色。
安全提供涉及負責概念化,設計和構建安全IT系統的那些領域。從本質上講,這些都是負責系統和軟件開發和維護人員角色,是軟件和系統工程的學術和專業領域。
SP更多地集中在系統本身而不是它傳輸的信息上。然而,由於大多數漏洞和攻擊都是針對開發和維護問題,因此SP專業領域是現代組織中安全角色的最重要方面。
下面將依次介紹SP領域中涉及的角色。
SP-1 風險管理(RM)
風險管理(RM):監督、評估和支持文檔化、驗證、評估和授權流程,以確保現有和新的信息技術(IT)系統符合組織的網絡安全和風險要求。確保符合外部、內部的合規性和保證。
我查閱了以前的修訂記錄,RM最開始的不叫風險管理,而是叫安全獲取(Secure acquisition)。
RM包括項目設立和規劃;確定和記錄安全要求;選擇;採購技術和網絡安全產品,用於組織的基礎設施的設計,開發和維護,以儘量減少潛在的風險和脆弱性。
涉及到兩個工作角色:
1、授權官方/指定代表SP-RSK-001
高級官員或執行官,有權正式承擔以可接受的組織運營風險(包括任務,職能,形象或聲譽)/組織資產。
2、安全控制評估員 SP-RSK-002
對信息技術(IT)系統的管理,操作和技術安全控制和控制增強進行獨立的綜合評估,以確定控制的整體有效性。
SP-2 軟件開發 (DEV)
軟件開發 (DEV):根據軟件保障最佳實踐,開發和編寫新的(或修改現有的)計算機應用程序、軟件或專用實用程序。
涉及到兩個工作角色:
1、軟件開發師 SP-DEV-001
開發,創建,維護和編寫/編碼新的(或修改現有的)計算機應用程序,軟件或專用實用程序。
2、安全軟件評估員 SP-DEV-002
分析新的或現有的計算機應用程序,軟件或專用實用程序的安全性,並提供可操作的結果。
SP-3 系統架構 (ARC)
系統架構 (ARC):聚焦開發生命週期的功能階段,將技術和環境條件(例如法律和法規)轉化為系統和安全設計和過程。
系統安全架構是另一個傳統領域。 這個專業區域專注於瀑布的第一個關鍵階段。 主要關注系統開發生命週期的要求和設計階段。
涉及到兩個工作角色:
1、企業架構師 SP-ARC-001
開發和維護業務,系統和信息流程,以支持企業需求; 開發描述基線和目標架構的信息技術(IT)規則和要求。
2、安全架構師 SP-ARC-002
確保在企業架構的所有方面(包括參考模型,細分和解決方案架構以及支持這些任務和業務流程的最終系統)充分解決保護組織的任務和業務流程所必需的利益相關者安全要求。
SP-4 技術研發R&D (TRD)
技術研發R&D (TRD):進行技術評估和整合過程; 提供並支持原型功能和/或評估其實用程序。
技術研發與測試不同,測試是與保證相關的另一個專業領域。 該專業領域負責在商業環境中開發有意義的正確應用產品及其不斷髮展。 因此,這個專業領域的工作角色往往集中在面向外部的概念位置,而不是生產。
涉及到一個工作角色:
研發專員 SP-TRD-001
開展軟件和系統工程和軟件系統研究,以開發新功能,確保網絡安全完全集成。 進行全面的技術研究,以評估網絡空間系統中的潛在漏洞。
SP-5 系統需求規劃 (SRP)
系統需求規劃 (SRP):與客戶協商收集和評估功能需求,並將這些需求轉化為技術解決方案。為客戶提供有關信息系統適用性以滿足業務需求的指導。
SRP是軟件工程知識體系(SWEBOK)的傳統需求領域。 需求和規劃過程以用戶為導向,此階段驅動其下游的設計和編碼過程。
涉及到一個工作角色:
系統需求規劃人員 SP-SRP-001
與客戶協商評估功能要求並將功能需求轉化為技術解決方案。
SP-6 測試和評估 (TST)
測試和評估 (TST):開發和進行系統測試,以評估符合規範和要求的方法,通過應用成本效益計劃,評估,驗證和驗證包含IT的系統或系統元素的技術、功能和性能特徵(包括互操作性)的原則和方法。
TST是SWEBOK的另一個傳統領域。 該區域進行必要的測試和保證,以確保產品功能正確和安全。 在這方面,該領域的專業人員對系統和/或軟件產品進行正式測試,目的是評估其是否符合規範和要求。
涉及到一個工作角色:
系統測試和評估專員 SP-TST-001
計劃,準備和執行系統測試,以根據規範和要求評估結果,以及分析/報告測試結果。
SP-7 系統開發(SYS)
系統開發(SYS):系統開發生命週期的開發工作。
系統開發是經典的開發角色。 這個類別中的工作角色屬於傳統的瀑布生命週期模型。 在安全領域內,角色的重點往往是功能保障以外的安全性。
涉及到兩個工作角色:
信息系統安全開發人員 SP-SYS-001
在整個系統開發生命週期中設計,開發,測試和評估信息系統安全性。
系統開發人員 SP-SYS-002
在整個系統開發生命週期中設計,開發,測試和評估信息系統。
看到這兒,你是不是跟我一樣有點暈的,因為跟前面提到的SP-2太像了,涉及到的角色名字都是叫什麼什麼 Developer,一個是軟件開發,一個是系統開發,有什麼區別呢?
來看一下這兩個角色對具體KSA的要求,如下表所示:
從任務(Task)來看,前者T9,11,14, 21,後者T12,22...
T9:分析信息以確定、推薦和規劃新應用程序開發或現有應用程序的修改。
T11:分析用戶需求和軟件需求,以確定在時間和成本限制內的設計可行性。
T12:分析設計約束,分析權衡和詳細的系統和安全設計,並考慮生命週期支持。
T14:應用安全代碼文檔.
T21:使用工作模型或理論模型構建,測試和修改產品原型。
T22:捕獲在需求階段使用的安全控制,以在流程中集成安全性,識別關鍵安全目標,最大限度地提高軟件安全性,同時最大限度地減少對計劃和計劃的干擾。
......
從知識(Knowledge)來看,前者K14,16,後者K15/18/24...
K14:瞭解複雜的數據結構。
K15:瞭解計算機算法。
K16:瞭解計算機編程原理。
K18:瞭解加密算法。
K24:瞭解數據庫系統。
......
從技能(Skill)來看,前者S1,14,17,後者S18/22...
S1:熟練地進行漏洞掃描並識別安全系統中的漏洞。
S14:熟練進行軟件調試。
S17:熟練創建和利用數學或統計模型。
S18:熟練創建反映系統安全目標的策略。
S22:為確定安全風險設計對策的技巧。
從能力(Ablility)來看,後者的技能需要的少一些,前者涵蓋了後者。
看到這兒,隱約有點感覺了,前者需要動手寫程序的,後者更關注於整個系統的生命週期,從更高層面關注安全。
總結
本文主要介紹NCWF中的第一個類別安全提供(SP),包括7個領域,涉及到11個工作角色,集中關注在系統本身,負責概念化、設計和構建安全IT系統的那些角色都屬於到本類了。
閱讀更多 e安教育 的文章
