本文主要介绍NCWF中的第一个类别安全提供(SP),包括7个领域,涉及到11个工作角色,集中关注在系统本身,负责概念化、设计和构建安全IT系统的那些角色都属于到本类了。
简介
国家网络安全教育计划(NICE)是政府、学术界和私营部门之间的合作,致力于促进强大网络安全教育,培训和人才发展。为了解决网络安全教育和培训的需求,NIST发布SP800-180,该指南介绍了NICE网络安全人才框架(NCWF)。从事NICE工作的专家来自美国的相关部门,政府,企业和学术界。然后将他们意见汇总形成一个“国家基线,代表所有IT安全从业者应具备的基本知识和技能”(NIST,2014)。有些模型确定了特定实践领域中从业者的人员需求。其中包括CISSP的共同知识体系(CBK)和ISACA信息及相关技术控制目标(COBIT)。它们在商业领域是完全不同的竞争模型,因此不能被当成信息安全行业普遍接受的基础。
NICE目标是“建立用于描述所有网络安全工作和人员的共同分类和词汇,无论在何处或为谁执行工作”(NIST,2014)。该框架由7个知识领域和32个不同的专业领域组成。
本系列文章将介绍什么人才框架是这么分的,背后的逻辑是什么,本文介绍安全提供(SP)的7个知识领域。
安全提供 (SP)综述
SP800-180中安全提供(SP)包括7个领域,涉及到11个工作角色。
安全提供涉及负责概念化,设计和构建安全IT系统的那些领域。从本质上讲,这些都是负责系统和软件开发和维护人员角色,是软件和系统工程的学术和专业领域。
SP更多地集中在系统本身而不是它传输的信息上。然而,由于大多数漏洞和攻击都是针对开发和维护问题,因此SP专业领域是现代组织中安全角色的最重要方面。
下面将依次介绍SP领域中涉及的角色。
SP-1 风险管理(RM)
风险管理(RM):监督、评估和支持文档化、验证、评估和授权流程,以确保现有和新的信息技术(IT)系统符合组织的网络安全和风险要求。确保符合外部、内部的合规性和保证。
我查阅了以前的修订记录,RM最开始的不叫风险管理,而是叫安全获取(Secure acquisition)。
RM包括项目设立和规划;确定和记录安全要求;选择;采购技术和网络安全产品,用于组织的基础设施的设计,开发和维护,以尽量减少潜在的风险和脆弱性。
涉及到两个工作角色:
1、授权官方/指定代表SP-RSK-001
高级官员或执行官,有权正式承担以可接受的组织运营风险(包括任务,职能,形象或声誉)/组织资产。
2、安全控制评估员 SP-RSK-002
对信息技术(IT)系统的管理,操作和技术安全控制和控制增强进行独立的综合评估,以确定控制的整体有效性。
SP-2 软件开发 (DEV)
软件开发 (DEV):根据软件保障最佳实践,开发和编写新的(或修改现有的)计算机应用程序、软件或专用实用程序。
涉及到两个工作角色:
1、软件开发师 SP-DEV-001
开发,创建,维护和编写/编码新的(或修改现有的)计算机应用程序,软件或专用实用程序。
2、安全软件评估员 SP-DEV-002
分析新的或现有的计算机应用程序,软件或专用实用程序的安全性,并提供可操作的结果。
SP-3 系统架构 (ARC)
系统架构 (ARC):聚焦开发生命周期的功能阶段,将技术和环境条件(例如法律和法规)转化为系统和安全设计和过程。
系统安全架构是另一个传统领域。 这个专业区域专注于瀑布的第一个关键阶段。 主要关注系统开发生命周期的要求和设计阶段。
涉及到两个工作角色:
1、企业架构师 SP-ARC-001
开发和维护业务,系统和信息流程,以支持企业需求; 开发描述基线和目标架构的信息技术(IT)规则和要求。
2、安全架构师 SP-ARC-002
确保在企业架构的所有方面(包括参考模型,细分和解决方案架构以及支持这些任务和业务流程的最终系统)充分解决保护组织的任务和业务流程所必需的利益相关者安全要求。
SP-4 技术研发R&D (TRD)
技术研发R&D (TRD):进行技术评估和整合过程; 提供并支持原型功能和/或评估其实用程序。
技术研发与测试不同,测试是与保证相关的另一个专业领域。 该专业领域负责在商业环境中开发有意义的正确应用产品及其不断发展。 因此,这个专业领域的工作角色往往集中在面向外部的概念位置,而不是生产。
涉及到一个工作角色:
研发专员 SP-TRD-001
开展软件和系统工程和软件系统研究,以开发新功能,确保网络安全完全集成。 进行全面的技术研究,以评估网络空间系统中的潜在漏洞。
SP-5 系统需求规划 (SRP)
系统需求规划 (SRP):与客户协商收集和评估功能需求,并将这些需求转化为技术解决方案。为客户提供有关信息系统适用性以满足业务需求的指导。
SRP是软件工程知识体系(SWEBOK)的传统需求领域。 需求和规划过程以用户为导向,此阶段驱动其下游的设计和编码过程。
涉及到一个工作角色:
系统需求规划人员 SP-SRP-001
与客户协商评估功能要求并将功能需求转化为技术解决方案。
SP-6 测试和评估 (TST)
测试和评估 (TST):开发和进行系统测试,以评估符合规范和要求的方法,通过应用成本效益计划,评估,验证和验证包含IT的系统或系统元素的技术、功能和性能特征(包括互操作性)的原则和方法。
TST是SWEBOK的另一个传统领域。 该区域进行必要的测试和保证,以确保产品功能正确和安全。 在这方面,该领域的专业人员对系统和/或软件产品进行正式测试,目的是评估其是否符合规范和要求。
涉及到一个工作角色:
系统测试和评估专员 SP-TST-001
计划,准备和执行系统测试,以根据规范和要求评估结果,以及分析/报告测试结果。
(八)SP-7 系统开发(SYS)
系统开发(SYS):系统开发生命周期的开发工作。
系统开发是经典的开发角色。 这个类别中的工作角色属于传统的瀑布生命周期模型。 在安全领域内,角色的重点往往是功能保障以外的安全性。
涉及到两个工作角色:
信息系统安全开发人员 SP-SYS-001
在整个系统开发生命周期中设计,开发,测试和评估信息系统安全性。
系统开发人员 SP-SYS-002
在整个系统开发生命周期中设计,开发,测试和评估信息系统。
看到这儿,你是不是跟我一样有点晕的,因为跟前面提到的SP-2太像了,涉及到的角色名字都是叫什么什么 Developer,一个是软件开发,一个是系统开发,有什么区别呢?
来看一下这两个角色对具体KSA的要求,如下表所示:
从任务(Task)来看,前者T9,11,14, 21,后者T12,22…
T9:分析信息以确定、推荐和规划新应用程序开发或现有应用程序的修改。
T11:分析用户需求和软件需求,以确定在时间和成本限制内的设计可行性。
T12:分析设计约束,分析权衡和详细的系统和安全设计,并考虑生命周期支持。
T14:应用安全代码文档.
T21:使用工作模型或理论模型构建,测试和修改产品原型。
T22:捕获在需求阶段使用的安全控制,以在流程中集成安全性,识别关键安全目标,最大限度地提高软件安全性,同时最大限度地减少对计划和计划的干扰。
……
从知识(Knowledge)来看,前者K14,16,后者K15/18/24…
K14:了解复杂的数据结构。
K15:了解计算机算法。
K16:了解计算机编程原理。
K18:了解加密算法。
K24:了解数据库系统。
……
从技能(Skill)来看,前者S1,14,17,后者S18/22…
S1:熟练地进行漏洞扫描并识别安全系统中的漏洞。
S14:熟练进行软件调试。
S17:熟练创建和利用数学或统计模型。
S18:熟练创建反映系统安全目标的策略。
S22:为确定安全风险设计对策的技巧。
从能力(Ablility)来看,后者的技能需要的少一些,前者涵盖了后者。
看到这儿,隐约有点感觉了,前者需要动手写程序的,后者更关注于整个系统的生命周期,从更高层面关注安全。
总结
本文主要介绍NCWF中的第一个类别安全提供(SP),包括7个领域,涉及到11个工作角色,集中关注在系统本身,负责概念化、设计和构建安全IT系统的那些角色都属于到本类了。