在上个世纪的90年代,我们懵懵懂懂中进入了网络安全这个陌生的领域,最开始只有一个非常模糊的认识,这是一个未来很有希望的领域,我们要占有一席之地。至于具体要什么,怎么干,都并不是很清楚,当时的一个原则就是,跟着美国、日本先进发达国家,他们是最好师傅,他们研究什么,我们就要跟着学习什么、做出什么。
这个过程,很有点像从70年代末一直进行到现在的改革开放,那就是都是摸着石头过河,走一步,看一步。从无到有,让人很有成就感,因为努力很快就能够看到成果。但随着建设的规模越来越大,困惑也越来越大。这么做,网络真正就安全了吗?很多关心我们工作的人,给我们提出的一个最多的问题就是,网络安全了吗?说实话,我们心里并不清楚,但在口头上一直用安全的内涵来搪塞,安全是动态的,现在安全,并不代表今后安全,我们的工作只是将威胁的影响降到最低。这个回答,无论是其他人还是自己,都是无法接受的。
通过一段时间的梳理,逐渐明白,就是我们还只是一个小学生,不明白的东西太多了,对很多东西心里并没有底,对现实中究竟有多少安全威胁不清楚、对网络安全技术究竟能发挥多大的作用不清楚。
现在,网络安全的重要性已经毋庸置疑,已经上升到一个很高的高度,甚至到了国家安全的层面。既然这么重要,就更应该有个科学合理的评价了。怎么考量网络安全建设和运维水平。逐步完善评价指标体系。
一开始,指标是各类网络安全事件的数量,根据发生的网络安全事件的多少来评价,例如查杀出来的病毒数目,检测到的攻击的数量,发生的违规操作的数目等等。从现在来看,这些可以代表网络安全状况,用来评价网络安全建设和运维水平显然是不合理的。能够发现网络安全事件也代表了一类安全防护能力,什么都没有发现,网络安全更加可怕。指标的选择,会直接影响到技术人员的实际工作。对于上面的指标,技术人员会用停用安全设备,来避免发现网络安全事件,违背了评价的初衷。
即使后来对上述指标进行了微调,从考评数量改为考评发生后处置时间。这也存在不合理的地方。越是重要、也上规模的系统,发生的安全事件越多,显然工作强度越大。按照这种考评,越不重要、规模越小的系统,它的建设和运维水平相反越高。再后来,补充了安全漏洞的数目、病毒库升级周期等指标,弥补了上述问题。但评价依然存在很多的问题,一方面常规的检测安全漏洞的技术手段,存在局限性,只能针对通用软件,对自行开发的软件没有多大作用,而后者对系统的重要性更大。
另一方面,是业务越来越认识到管理的重要性,而这些指标都偏向于技术,无法考量安全管理的水平,不适应发展的要求。期间,还考虑过聘请专业的网络攻击单位,通过对网络进行模拟攻击,对网络安全建设和运维水平进行检验。也确实进行了几次,但实际的效果并不理想,之后分析其原因,主要有以下几点:
(1)有效的模拟攻击是建立在对网络和应用有相当程度的了解,这需要花费较长的时间,聘请的单位开展工作的时间非常有限,无法做到这一点,因此很难真正发现问题,即使发现一些问题,也都是表面上的、显而易见的问题;
(2)网络安全建设和运维单位缺乏大局观,从维护本部门利益出发,对这种检验有很强的抵触心理,对检验拒绝提供任何有益的帮助,甚至暗中使绊子,干扰检验,在这种情况下,要发现问题就更加困难了。
以上是一些体会,还在摸索中,欢迎共同分享和研究。
