在上个世纪的90年代,我们懵懵懂懂中进入了网络安全这个陌生的领域,最开始只有一个

非常模糊的认识,这是一个未来很有希望的领域,我们要占有一席之地。至于具体要什么,

怎么干,都并不是很清楚,当时的一个原则就是,跟着美国、日本先进发达国家,他们是最

好师傅,他们研究什么,我们就要跟着学习什么、做出什么。

这个过程,很有点像从70年代末一直进行到现在的改革开放,那就是都是摸着石头过河,走

一步,看一步。从无到有,让人很有成就感,因为努力很快就能够看到成果。

 

但随着建设的规模越来越大,困惑也越来越大。这么做,网络真正就安全了吗?很多关心我们

工作的人,给我们提出的一个最多的问题就是,网络安全了吗?说实话,我们心里并不清楚,

但在口头上一直用安全的内涵来搪塞,安全是动态的,现在安全,并不代表今后安全,我们的

工作只是将威胁的影响降到最低。这个回答,无论是其他人还是自己,都是无法接受的。

 

通过一段时间的梳理,逐渐明白,就是我们还只是一个小学生,不明白的东西太多了,对很多东

西心里并没有底,对现实中究竟有多少安全威胁不清楚、对网络安全技术究竟能发挥多大的作用

不清楚。

 

现在,网络安全的重要性已经毋庸置疑,已经上升到一个很高的高度,甚至到了国家安全的层面。

既然这么重要,就更应该有个科学合理的评价了。怎么考量网络安全建设和运维水平。

 

逐步完善评价指标体系。

一开始,指标是各类网络安全事件的数量,根据发生的网络安全事件的多少来评价,例如查杀出

来的病毒数目,检测到的攻击的数量,发生的违规操作的数目等等。从现在来看,这些可以代表

网络安全状况,用来评价网络安全建设和运维水平显然是不合理的。能够发现网络安全事件也代

表了一类安全防护能力,什么都没有发现,网络安全更加可怕。

指标的选择,会直接影响到技术人员的实际工作。对于上面的指标,技术人员会用停用安全设备,

来避免发现网络安全事件,违背了评价的初衷。

 

即使后来对上述指标进行了微调,从考评数量改为考评发生后处置时间。这也存在不合理的地方。

越是重要、也上规模的系统,发生的安全事件越多,显然工作强度越大。按照这种考评,越不重

要、规模越小的系统,它的建设和运维水平相反越高。

 

再后来,补充了安全漏洞的数目、病毒库升级周期等指标,弥补了上述问题。但评价依然存在很

多的问题,一方面常规的检测安全漏洞的技术手段,存在局限性,只能针对通用软件,对自行开

发的软件没有多大作用,而后者对系统的重要性更大。另一方面,是业务越来越认识到管理的重

要性,而这些指标都偏向于技术,无法考量安全管理的水平,不适应发展的要求。

 

期间,还考虑过聘请专业的网络攻击单位,通过对网络进行模拟攻击,对网络安全建设和运维水

平进行检验。也确实进行了几次,但实际的效果并不理想,之后分析其原因,主要有以下几点:

(1)有效的模拟攻击是建立在对网络和应用有相当程度的了解,这需要花费较长的时间,聘请

的单位开展工作的时间非常有限,无法做到这一点,因此很难真正发现问题,即使发现一些问题

,也都是表面上的、显而易见的问题;

(2)网络安全建设和运维单位缺乏大局观,从维护本部门利益出发,对这种检验有很强的抵触

心理,对检验拒绝提供任何有益的帮助,甚至暗中使绊子,干扰检验,在这种情况下,要发现

问题就更加困难了。

 

以上是一些体会,还在摸索中,欢迎共同分享和研究。