在上個世紀的90年代,我們懵懵懂懂中進入了網絡安全這個陌生的領域,最開始只有一個
非常模糊的認識,這是一個未來很有希望的領域,我們要佔有一席之地。至於具體要什麼,
怎麼幹,都並不是很清楚,當時的一個原則就是,跟着美國、日本先進發達國家,他們是最
好師傅,他們研究什麼,我們就要跟着學習什麼、做出什麼。
這個過程,很有點像從70年代末一直進行到現在的改革開放,那就是都是摸着石頭過河,走
一步,看一步。從無到有,讓人很有成就感,因爲努力很快就能夠看到成果。
但隨着建設的規模越來越大,困惑也越來越大。這麼做,網絡真正就安全了嗎?很多關心我們
工作的人,給我們提出的一個最多的問題就是,網絡安全了嗎?說實話,我們心裏並不清楚,
但在口頭上一直用安全的內涵來搪塞,安全是動態的,現在安全,並不代表今後安全,我們的
工作只是將威脅的影響降到最低。這個回答,無論是其他人還是自己,都是無法接受的。
通過一段時間的梳理,逐漸明白,就是我們還只是一個小學生,不明白的東西太多了,對很多東
西心裏並沒有底,對現實中究竟有多少安全威脅不清楚、對網絡安全技術究竟能發揮多大的作用
不清楚。
現在,網絡安全的重要性已經毋庸置疑,已經上升到一個很高的高度,甚至到了國家安全的層面。
既然這麼重要,就更應該有個科學合理的評價了。怎麼考量網絡安全建設和運維水平。
逐步完善評價指標體系。
一開始,指標是各類網絡安全事件的數量,根據發生的網絡安全事件的多少來評價,例如查殺出
來的病毒數目,檢測到的***的數量,發生的違規操作的數目等等。從現在來看,這些可以代表
網絡安全狀況,用來評價網絡安全建設和運維水平顯然是不合理的。能夠發現網絡安全事件也代
表了一類安全防護能力,什麼都沒有發現,網絡安全更加可怕。
指標的選擇,會直接影響到技術人員的實際工作。對於上面的指標,技術人員會用停用安全設備,
來避免發現網絡安全事件,違背了評價的初衷。
即使後來對上述指標進行了微調,從考評數量改爲考評發生後處置時間。這也存在不合理的地方。
越是重要、也上規模的系統,發生的安全事件越多,顯然工作強度越大。按照這種考評,越不重
要、規模越小的系統,它的建設和運維水平相反越高。
再後來,補充了安全漏洞的數目、病毒庫升級週期等指標,彌補了上述問題。但評價依然存在很
多的問題,一方面常規的檢測安全漏洞的技術手段,存在侷限性,只能針對通用軟件,對自行開
發的軟件沒有多大作用,而後者對系統的重要性更大。另一方面,是業務越來越認識到管理的重
要性,而這些指標都偏向於技術,無法考量安全管理的水平,不適應發展的要求。
期間,還考慮過聘請專業的網絡***單位,通過對網絡進行模擬***,對網絡安全建設和運維水
平進行檢驗。也確實進行了幾次,但實際的效果並不理想,之後分析其原因,主要有以下幾點:
(1)有效的模擬***是建立在對網絡和應用有相當程度的瞭解,這需要花費較長的時間,聘請
的單位開展工作的時間非常有限,無法做到這一點,因此很難真正發現問題,即使發現一些問題
,也都是表面上的、顯而易見的問題;
(2)網絡安全建設和運維單位缺乏大局觀,從維護本部門利益出發,對這種檢驗有很強的抵觸
心理,對檢驗拒絕提供任何有益的幫助,甚至暗中使絆子,干擾檢驗,在這種情況下,要發現
問題就更加困難了。
以上是一些體會,還在摸索中,歡迎共同分享和研究。