指標可量化，才能更好推進網路安全行業的發展

—背景—

網路安全戰略成為國家整體安全戰略的重要組成部分，在中央高度重視和牽引下已經取得了長足的發展，但是作為非傳統安全代表的網路安全較其他傳統安全因有其特殊性，所以並不容易在短時間滿足國家的要求。網路安全當下還處於起步階段《請注意：網路安全行業尚處在起步階段》，鑑於網路安全的重要性，最終實現網路安全平民化《網路安全行業平民化程序加速，從業者需要轉變一下思想了！！》，從業者還有大量的工作要做。為了能更好的推動網路安全事業的發展，所有從業者要群策群力，發揮和共享集體智慧，消除以往彼此遮蔽的行業現狀。在此，作者給大家分享一個網路安全的發展思路：網路安全指標必須走可量化之路。

—分析：理由1，檢測考核之需—

資訊系統可以透過功能性、效能性、可體驗性等多個指標來滿足業務處理的相關需求，特別是其功能性很容易給操作者和檢測考核者清晰的認識。但是網路安全由於其服務支撐功能定位，而這個功能很難被感知和考量。也正式因為沒有直觀資料和方法對其進行感知和考量，所以以往很多網路系統建設完全是主管和感性的，建設單位投入了大量的資源，最後並沒有得到完全的安全感。當下雖然有等級保護和密碼應用測評和認證等相關舉措，但是相關標準還大都偏重主觀性，量化之路還很長。

檢測考核，是驗證一切工作成果最有效的方法，驗證指標太主觀是沒有辦法反應工作成果的，對於網路安全這麼重要的工作，缺失有效的、客觀檢測和考核量化指標，一旦出現問題，建設單位將付出慘重的代價。不過現在可喜的是，國家相關單位也在近一步強化檢測和考核的指標量化，不過這和需要有一段時間。從業者和承建單位有必要先行一步，從網路安全指標量化層面做一定的工作。《建立完整的檢測認證體系對資訊化建設與管理的重要意義》

—分析：理由2，客觀規律之需—

作者曾在《安全系統之與資訊化，就像免疫系統之與人體》一文將網路安全比喻人體的免疫系統，而免疫系統的各項指標是可以量化的，而問題的判斷都是透過指標來分析得出的（無論西醫還是中醫都是這個道理），這是符合客觀規律的（這個問題大家應該很容易理解）。

網路安全有了量化指標，才能更好的發現問題和解決問題，而不是透過各種假想來進行研判。這一點，我想大家應該能夠理解。

—分析：理由3，業務推廣之需—

人對看得見、摸得著的事物，在心裡上更容易接受，對於這樣的事物也更有安全感。而網路安全是看不見、摸不著的，這樣的體系先天在推廣上就很難引起建設單位的認知，也更難為建設單位帶來安全感。也正是基於此，作者在以往的文章中提及網路安全建設“可見、可信、可證明、可傳承”的思想，請參見《資訊化規劃和建設應貫徹“可傳承”的原則》。而網路安全相關指標量化是“可見、可信、可證明”最有力的落實保障。

而有了相關量化指標保障的網路安全體系建設，對於建設單位就有了底，相關的推廣應用也就更容易些。

—指標量化的方法—

上述分析了網路安全指標量化的重要意義，而如何做到網路安全指標量化才是重點也是難點。對於不同層面的網路安全手段也會對應不同的量化方法。而相關的量化方法作者也無法一概而論，本文的主旨思想是提醒從業者和建設單位針對自己的實際情況開展網路安全指標量化工作是必要的。而如何進行量化要視自己的能力水平而定，作者比較提倡用諮詢服務機構的專業能力為其進行指標量化才是有效的辦法。請參見《諮詢與評估，是當下業務開展重要的入口，也是這個高速發展的時代解決問題最有效的辦法》。

—總結—

網路安全戰略是國家安全戰略的重要組成部分，是要做且必須要做好的工作，而網路安全指標量化是做好網路安全工作的重要保障，且採用專業諮詢服務機構來保障量化指標的合理性和可落地性又是保障網路安全指標量化的重要工作方法。所以，作者提醒，網路安全從業者和建設單位，從現在開始培養網路安全指標量化思想，有意識的在網路安全工作中落地執行，過程中可以藉助專業的諮詢服務隊伍的能力。總之，網路安全工作任重道遠，所有參與者都要開動腦筋，群策群力，只有這樣網路安全的平民化之路才能更順暢。

【注：以上僅是作者膚淺認識，僅供參考】

參考文章

2022新年寄語：責任就是最大的方向

“安全異構、密碼當先”，拋磚引玉

保密，是從業者做人做事的第一底線

一種很大膽的觀點：密碼技術為資料定價

為了安全行業的健康發展，請從業者不要再過度炒作概念，樸實無華，才是正途

“家國情懷、責任擔當”，就是最大的實力和最有效的傳承

密碼技術，也有自己的難言之隱！

諮詢服務：落地方法和68項服務內容

網路安全宣傳週：網路安全需要“教育”和“教訓”的雙重推動

換幾個維度看待密碼技術應用的價值和意義（續）

換幾個維度看待密碼技術應用的價值和意義

資料安全底座整體設計框架，向國慶獻禮

知名院士，對密碼最新認識的部分摘抄

資料安全底座設計核心 ：設計原則

資料時代，資料安全底座建設的必要性

網路安全行業：陽春白雪，也能成為核心競爭力！！

商業模式正確，是密碼企業成功的關鍵！！

投資者，如何甄別好的網路安全（密碼）專案？

網路安全行業平民化程序加速，從業者需要轉變一下思想了！！

「資料安全設計」：換一種思路也許能更通透些！！

（大）資料時代：多樣密碼技術解讀

（大）資料時代：安全和隱私問題解讀

「諮詢服務」是密碼行業發展的重要抓手，可從如下方面入手開展工作

開展密碼工作，把握“全域性性”和“適配性”原則是很必要的

面對新形式，傳統的電子認證服務的命運將何去何從？

密碼行業，需要各種各樣的精彩故事

密碼行業，在轉變中迎接新挑戰

資料開發利用，從設計“三大基礎”開始

醫院如何透過資料開發利用 做到 惠民增效

淺談《中華人民共和國資料安全法》：（三）

淺談《中華人民共和國資料安全法》：（二）

淺談《中華人民共和國資料安全法》:（一）

資料管理部門（大資料局）業務開展之思考

在“+”時代，對人還是對企業“合作”應是常態，安全行業更需要如此

資訊化規劃和建設應貫徹“可傳承”的原則

信創：時時“中國心”，件件“中國造”，事事“可自管”，應用“要策略”

“密評”改變密碼應用管理流程，“密評機構”能否最佳化行業格局？

“以人為本” 對於資訊化和網路安全建設意義深遠

年之悟：初始於安全、沉澱於文化、傳承於期望、寄託於未來

當今，最大競爭是"方法論"的競爭，"方法論"才是單位或個體的核心財富

每個從業者都要面臨的問題：如何選擇合適的合作伙伴？

擺脫狹隘安全限制，“大安全”才是解決問題的根本（順解安全理論設計）

網路安全業務開展的基本思路，做到每一點都會有所成就

怎麼尋找良臣明君？是每個人都要面對的問題

資訊化中【判斷是否可信】，不是件容易的事情，要擦亮眼睛

工業系統安全設計思路：人機兩安全、內外雙螺旋

資訊中心，如何擺脫“夾板氣”

“依天、接地、可執行”，做規劃的基本原則

面對困難重重的2021年，可以嘗試一下“新模式”

2021年，一切從思考開始

用物質的特性來看待資訊化中的資料，一些問題更容易解決

網路安全可否與門店互動形成覆蓋，也許是網路安全走向平民化的重要契機

關於數字簽名的幾十個觀點，大家慢慢看

電子證照：想說愛你並不容易

“認證、授權、責任鑑定”的前世與今生

諮詢與評估，是當下業務開展重要的入口，也是這個高速發展的時代解決問題最有效的辦法

資訊化/網路安全思想：開放變好、刺激變強

“安全意識與安全思想”重於安全手段，“安全設計”重於安全技術與產品

密碼管理服務平臺，到底應該如何建設？

資訊化/網路安全思想：開放變好、刺激變強

安全的高階目標是確保電子資料能成為電子證據

請注意：網路安全行業尚處在起步階段

諮詢（密碼）在資訊保安建設中的重要地位

“行業諮詢”對電子簽名行業意義深遠

網路安全從“木桶原理”到“膠囊原理”的思想轉變

網路安全需要開放，如何開放？開放到什麼程度？是值得思考的問題

從“運營”角度思考資訊化建設相關問題，供參考

正確認識存證

全面線上，你應該知道的思想

資訊化被忽略的基礎設施：時空管理服務基礎設施

“時間”是人類最客觀、最實用的收納箱與保險箱

關聯是資訊化的基礎，密碼是關聯的核心保障

如何做到管理可控，是信創工作的核心，也是最大的難點

信創工作既要有戰略認識，更要有戰術智慧

“依法治網、以責服人”之職責管理體系設計

資料資產保全體系設計方案

一個電子簽約平臺設計思路

集中模式下（雲）的安全設計思想

當下網路安全設計和建設中的幾個基本思想供參考！！

當下，網路安全中最混亂的部分就是身份認證，那咋整呢？

“新發地”，將開啟物品追溯和溯源的新紀元

來源：與智慧做朋友

作者：李志勇

宣告：文章中部分圖片來源於網路，版權並不屬於作者