背??景网络安全战略已成为国家总体安全战略的重要组成部分。与其他传统安全相比,我国网络安全有其特殊性,短时间内满足国家要求并非易事。网络安全仍处于起步阶段《请注意:网络安全行业尚处在起步阶段》。鉴于网络安全的重要性,从业者要最终实现网络安全的平民化,还有很多工作要做。《网络安全行业平民化进程加速,从业者需要转变一下思想了!!》。为了更好地推动网络安全行业的发展,所有从业者必须齐心协力,发挥和分享集体智慧,破除过去相互屏蔽的行业现状。在此,笔者与大家分享一个网络安全的发展思路:网络安全指标必须是可量化的。分析:原因1、测试和评估的需要信息系统通过功能、性能、体验等多个指标来满足业务处理的相关需求,尤其是其功能易于操作人员和测试人员清楚地了解。但由于其服务支撑功能定位,网络安全难以被感知和考虑。也正是因为没有直观的数据和方法去感知和考虑,所以过去的很多网络系统建设完全是监督和感性的。建设单位投入大量资源,最终没有得到完整的安全感。虽然有等级保护、密码应用评估认证等相关措施,但大部分相关标准仍具有主观性,量化之路还很漫长。检查和考核是验证所有工作成果的最有效方式。验证指标过于主观,无法反映工作成果。对于网络安全等重要工作,缺乏有效、客观的检测和评估量化指标。一旦出现问题,施工单位将付出惨重的代价。但现在好消息是,国家相关单位也在加紧对检测考核指标进行量化,但这需要一定的时间。从业者和建设单位有必要先行一步,从网络安全指标的量化层面做一定的工作。?分析:原因2,需要客观规律作者曾在文章《安全系统之与信息化,就像免疫系统之与人体》中将网络安全比作人体的免疫系统,免疫系统的各项指标可以量化,对网络安全的判断问题是通过指标分析出来的结果(不管是西医还是中医都一样),这是符合客观规律的(这个问题大家应该很容易理解)。有了网络安全的量化指标,才能更好地发现问题和解决问题,而不是根据各种假设做出判断。这一点我想大家应该都能理解。分析:原因3,业务推广的需要。人们更容易接受看得见、摸得着的东西,对这样的东西更有安全感。但是,网络安全是看不见摸不着的。这样的制度在推广上本来就很难唤起施工单位的意识,更难给施工单位带来安全感。也正是基于此,作者在之前的文章中提到了网络安全建设中“可见、可信、可证明、可继承”的思想,请参考《信息化规划和建设应贯彻“可传承”的原则》。网络安全相关指标的量化是实现“可见、可信、可证明”的最有力保障。有了相关量化指标保障的网络安全体系建设,建设单位将有坚实的基础,相关推广应用也将更加容易。指标量化方法上面分析了网络安全指标量化的意义,但如何实现网络安全指标量化是重点和难点。对于不同级别的网络安全手段,也会对应不同的量化方法。相关定量方法的作者不能一概而论。本文的主要思想是提醒从业人员和建设单位,有必要根据自身实际情况进行网络安全指标的量化。如何量化,就看自己的能力水平了。笔者提倡利用咨询服务机构的专业能力对指标进行量化的有效途径。见《咨询与评估,是当下业务开展重要的入口,也是这个高速发展的时代解决问题最有效的办法》。综上所述,网络安全战略是国家安全战略的重要组成部分。这是一项必须要做的工作,必须做好。网络安全指标量化是做好网络安全工作的重要保障,通过专业咨询服务机构确保量化指标的准确性。合理性和可行性是保证网络安全指标量化的重要工作方法。因此,笔者提醒,网络安全从业人员和建设单位应从现在开始培养网络安全指标量化的思想,并在网络安全工作中自觉落实。在此过程中,他们可以利用专业咨询服务团队的能力。总之,网络安全任重而道远,需要各方动脑、众志成城。只有这样,网络安全的平民化之路才能更加顺畅。
