指標(biāo)可量化,才能更好推進(jìn)網(wǎng)絡(luò)安全行業(yè)的發(fā)展
背景
網(wǎng)絡(luò)安全戰(zhàn)略成為國(guó)家整體安全戰(zhàn)略的重要組成部分,在中央高度重視和牽引下已經(jīng)取得了長(zhǎng)足的發(fā)展,但是作為非傳統(tǒng)安全代表的網(wǎng)絡(luò)安全較其他傳統(tǒng)安全因有其特殊性,所以并不容易在短時(shí)間滿足國(guó)家的要求。網(wǎng)絡(luò)安全當(dāng)下還處于起步階段《請(qǐng)注意:網(wǎng)絡(luò)安全行業(yè)尚處在起步階段》,鑒于網(wǎng)絡(luò)安全的重要性,最終實(shí)現(xiàn)網(wǎng)絡(luò)安全平民化《網(wǎng)絡(luò)安全行業(yè)平民化進(jìn)程加速,從業(yè)者需要轉(zhuǎn)變一下思想了!!》,從業(yè)者還有大量的工作要做。為了能更好的推動(dòng)網(wǎng)絡(luò)安全事業(yè)的發(fā)展,所有從業(yè)者要群策群力,發(fā)揮和共享集體智慧,消除以往彼此屏蔽的行業(yè)現(xiàn)狀。在此,作者給大家分享一個(gè)網(wǎng)絡(luò)安全的發(fā)展思路:網(wǎng)絡(luò)安全指標(biāo)必須走可量化之路。
分析:理由1,檢測(cè)考核之需
信息系統(tǒng)可以通過(guò)功能性、性能性、可體驗(yàn)性等多個(gè)指標(biāo)來(lái)滿足業(yè)務(wù)處理的相關(guān)需求,特別是其功能性很容易給操作者和檢測(cè)考核者清晰的認(rèn)識(shí)。但是網(wǎng)絡(luò)安全由于其服務(wù)支撐功能定位,而這個(gè)功能很難被感知和考量。也正式因?yàn)闆](méi)有直觀數(shù)據(jù)和方法對(duì)其進(jìn)行感知和考量,所以以往很多網(wǎng)絡(luò)系統(tǒng)建設(shè)完全是主管和感性的,建設(shè)單位投入了大量的資源,最后并沒(méi)有得到完全的安全感。當(dāng)下雖然有等級(jí)保護(hù)和密碼應(yīng)用測(cè)評(píng)和認(rèn)證等相關(guān)舉措,但是相關(guān)標(biāo)準(zhǔn)還大都偏重主觀性,量化之路還很長(zhǎng)。
檢測(cè)考核,是驗(yàn)證一切工作成果最有效的方法,驗(yàn)證指標(biāo)太主觀是沒(méi)有辦法反應(yīng)工作成果的,對(duì)于網(wǎng)絡(luò)安全這么重要的工作,缺失有效的、客觀檢測(cè)和考核量化指標(biāo),一旦出現(xiàn)問(wèn)題,建設(shè)單位將付出慘重的代價(jià)。不過(guò)現(xiàn)在可喜的是,國(guó)家相關(guān)單位也在近一步強(qiáng)化檢測(cè)和考核的指標(biāo)量化,不過(guò)這和需要有一段時(shí)間。從業(yè)者和承建單位有必要先行一步,從網(wǎng)絡(luò)安全指標(biāo)量化層面做一定的工作。《建立完整的檢測(cè)認(rèn)證體系對(duì)信息化建設(shè)與管理的重要意義》
分析:理由2,客觀規(guī)律之需
作者曾在《安全系統(tǒng)之與信息化,就像免疫系統(tǒng)之與人體》一文將網(wǎng)絡(luò)安全比喻人體的免疫系統(tǒng),而免疫系統(tǒng)的各項(xiàng)指標(biāo)是可以量化的,而問(wèn)題的判斷都是通過(guò)指標(biāo)來(lái)分析得出的(無(wú)論西醫(yī)還是中醫(yī)都是這個(gè)道理),這是符合客觀規(guī)律的(這個(gè)問(wèn)題大家應(yīng)該很容易理解)。
網(wǎng)絡(luò)安全有了量化指標(biāo),才能更好的發(fā)現(xiàn)問(wèn)題和解決問(wèn)題,而不是通過(guò)各種假想來(lái)進(jìn)行研判。這一點(diǎn),我想大家應(yīng)該能夠理解。
分析:理由3,業(yè)務(wù)推廣之需
人對(duì)看得見(jiàn)、摸得著的事物,在心里上更容易接受,對(duì)于這樣的事物也更有安全感。而網(wǎng)絡(luò)安全是看不見(jiàn)、摸不著的,這樣的體系先天在推廣上就很難引起建設(shè)單位的認(rèn)知,也更難為建設(shè)單位帶來(lái)安全感。也正是基于此,作者在以往的文章中提及網(wǎng)絡(luò)安全建設(shè)“可見(jiàn)、可信、可證明、可傳承”的思想,請(qǐng)參見(jiàn)《信息化規(guī)劃和建設(shè)應(yīng)貫徹“可傳承”的原則》。而網(wǎng)絡(luò)安全相關(guān)指標(biāo)量化是“可見(jiàn)、可信、可證明”最有力的落實(shí)保障。
而有了相關(guān)量化指標(biāo)保障的網(wǎng)絡(luò)安全體系建設(shè),對(duì)于建設(shè)單位就有了底,相關(guān)的推廣應(yīng)用也就更容易些。
指標(biāo)量化的方法
上述分析了網(wǎng)絡(luò)安全指標(biāo)量化的重要意義,而如何做到網(wǎng)絡(luò)安全指標(biāo)量化才是重點(diǎn)也是難點(diǎn)。對(duì)于不同層面的網(wǎng)絡(luò)安全手段也會(huì)對(duì)應(yīng)不同的量化方法。而相關(guān)的量化方法作者也無(wú)法一概而論,本文的主旨思想是提醒從業(yè)者和建設(shè)單位針對(duì)自己的實(shí)際情況開(kāi)展網(wǎng)絡(luò)安全指標(biāo)量化工作是必要的。而如何進(jìn)行量化要視自己的能力水平而定,作者比較提倡用咨詢服務(wù)機(jī)構(gòu)的專業(yè)能力為其進(jìn)行指標(biāo)量化才是有效的辦法。請(qǐng)參見(jiàn)《咨詢與評(píng)估,是當(dāng)下業(yè)務(wù)開(kāi)展重要的入口,也是這個(gè)高速發(fā)展的時(shí)代解決問(wèn)題最有效的辦法》。
總結(jié)
網(wǎng)絡(luò)安全戰(zhàn)略是國(guó)家安全戰(zhàn)略的重要組成部分,是要做且必須要做好的工作,而網(wǎng)絡(luò)安全指標(biāo)量化是做好網(wǎng)絡(luò)安全工作的重要保障,且采用專業(yè)咨詢服務(wù)機(jī)構(gòu)來(lái)保障量化指標(biāo)的合理性和可落地性又是保障網(wǎng)絡(luò)安全指標(biāo)量化的重要工作方法。所以,作者提醒,網(wǎng)絡(luò)安全從業(yè)者和建設(shè)單位,從現(xiàn)在開(kāi)始培養(yǎng)網(wǎng)絡(luò)安全指標(biāo)量化思想,有意識(shí)的在網(wǎng)絡(luò)安全工作中落地執(zhí)行,過(guò)程中可以借助專業(yè)的咨詢服務(wù)隊(duì)伍的能力。總之,網(wǎng)絡(luò)安全工作任重道遠(yuǎn),所有參與者都要開(kāi)動(dòng)腦筋,群策群力,只有這樣網(wǎng)絡(luò)安全的平民化之路才能更順暢。
