分析:理由1,检测考核之需
信息系统可以通过功能性、性能性、可体验性等多个指标来满足业务处理的相关需求,特别是其功能性很容易给操作者和检测考核者清晰的认识。但是网络安全由于其服务支撑功能定位,而这个功能很难被感知和考量。也正式因为没有直观数据和方法对其进行感知和考量,所以以往很多网络系统建设完全是主管和感性的,建设单位投入了大量的资源,最后并没有得到完全的安全感。当下虽然有等级保护和密码应用测评和认证等相关举措,但是相关标准还大都偏重主观性,量化之路还很长。
检测考核,是验证一切工作成果最有效的方法,验证指标太主观是没有办法反应工作成果的,对于网络安全这么重要的工作,缺失有效的、客观检测和考核量化指标,一旦出现问题,建设单位将付出惨重的代价。不过现在可喜的是,国家相关单位也在近一步强化检测和考核的指标量化,不过这和需要有一段时间。从业者和承建单位有必要先行一步,从网络安全指标量化层面做一定的工作。《建立完整的检测认证体系对信息化建设与管理的重要意义》
分析:理由2,客观规律之需
作者曾在《安全系统之与信息化,就像免疫系统之与人体》一文将网络安全比喻人体的免疫系统,而免疫系统的各项指标是可以量化的,而问题的判断都是通过指标来分析得出的(无论西医还是中医都是这个道理),这是符合客观规律的(这个问题大家应该很容易理解)。
网络安全有了量化指标,才能更好的发现问题和解决问题,而不是通过各种假想来进行研判。这一点,我想大家应该能够理解。
分析:理由3,业务推广之需
人对看得见、摸得着的事物,在心里上更容易接受,对于这样的事物也更有安全感。而网络安全是看不见、摸不着的,这样的体系先天在推广上就很难引起建设单位的认知,也更难为建设单位带来安全感。也正是基于此,作者在以往的文章中提及网络安全建设“可见、可信、可证明、可传承”的思想,请参见《信息化规划和建设应贯彻“可传承”的原则》。而网络安全相关指标量化是“可见、可信、可证明”最有力的落实保障。
而有了相关量化指标保障的网络安全体系建设,对于建设单位就有了底,相关的推广应用也就更容易些。
指标量化的方法
上述分析了网络安全指标量化的重要意义,而如何做到网络安全指标量化才是重点也是难点。对于不同层面的网络安全手段也会对应不同的量化方法。而相关的量化方法作者也无法一概而论,本文的主旨思想是提醒从业者和建设单位针对自己的实际情况开展网络安全指标量化工作是必要的。而如何进行量化要视自己的能力水平而定,作者比较提倡用咨询服务机构的专业能力为其进行指标量化才是有效的办法。请参见《咨询与评估,是当下业务开展重要的入口,也是这个高速发展的时代解决问题最有效的办法》。
总结
网络安全战略是国家安全战略的重要组成部分,是要做且必须要做好的工作,而网络安全指标量化是做好网络安全工作的重要保障,且采用专业咨询服务机构来保障量化指标的合理性和可落地性又是保障网络安全指标量化的重要工作方法。所以,作者提醒,网络安全从业者和建设单位,从现在开始培养网络安全指标量化思想,有意识的在网络安全工作中落地执行,过程中可以借助专业的咨询服务队伍的能力。总之,网络安全工作任重道远,所有参与者都要开动脑筋,群策群力,只有这样网络安全的平民化之路才能更顺畅。