背景

網(wǎng)絡(luò)安全戰(zhàn)略成為國家整體安全戰(zhàn)略的重要組成部分，在中央高度重視和牽引下已經(jīng)取得了長足的發(fā)展，但是作為非傳統(tǒng)安全代表的網(wǎng)絡(luò)安全較其他傳統(tǒng)安全因有其特殊性，所以并不容易在短時間滿足國家的要求。網(wǎng)絡(luò)安全當下還處于起步階段《請注意：網(wǎng)絡(luò)安全行業(yè)尚處在起步階段》，鑒于網(wǎng)絡(luò)安全的重要性，最終實現(xiàn)網(wǎng)絡(luò)安全平民化《網(wǎng)絡(luò)安全行業(yè)平民化進程加速，從業(yè)者需要轉(zhuǎn)變一下思想了!!》，從業(yè)者還有大量的工作要做。為了能更好的推動網(wǎng)絡(luò)安全事業(yè)的發(fā)展，所有從業(yè)者要群策群力，發(fā)揮和共享集體智慧，消除以往彼此屏蔽的行業(yè)現(xiàn)狀。在此，作者給大家分享一個網(wǎng)絡(luò)安全的發(fā)展思路：網(wǎng)絡(luò)安全指標必須走可量化之路。

分析：理由1，檢測考核之需

信息系統(tǒng)可以通過功能性、性能性、可體驗性等多個指標來滿足業(yè)務(wù)處理的相關(guān)需求，特別是其功能性很容易給操作者和檢測考核者清晰的認識。但是網(wǎng)絡(luò)安全由于其服務(wù)支撐功能定位，而這個功能很難被感知和考量。也正式因為沒有直觀數(shù)據(jù)和方法對其進行感知和考量，所以以往很多網(wǎng)絡(luò)系統(tǒng)建設(shè)完全是主管和感性的，建設(shè)單位投入了大量的資源，最后并沒有得到完全的安全感。當下雖然有等級保護和密碼應(yīng)用測評和認證等相關(guān)舉措，但是相關(guān)標準還大都偏重主觀性，量化之路還很長。

檢測考核，是驗證一切工作成果最有效的方法，驗證指標太主觀是沒有辦法反應(yīng)工作成果的，對于網(wǎng)絡(luò)安全這么重要的工作，缺失有效的、客觀檢測和考核量化指標，一旦出現(xiàn)問題，建設(shè)單位將付出慘重的代價。不過現(xiàn)在可喜的是，國家相關(guān)單位也在近一步強化檢測和考核的指標量化，不過這和需要有一段時間。從業(yè)者和承建單位有必要先行一步，從網(wǎng)絡(luò)安全指標量化層面做一定的工作?！督⑼暾臋z測認證體系對信息化建設(shè)與管理的重要意義》

分析：理由2，客觀規(guī)律之需

作者曾在《安全系統(tǒng)之與信息化，就像免疫系統(tǒng)之與人體》一文將網(wǎng)絡(luò)安全比喻人體的免疫系統(tǒng)，而免疫系統(tǒng)的各項指標是可以量化的，而問題的判斷都是通過指標來分析得出的(無論西醫(yī)還是中醫(yī)都是這個道理)，這是符合客觀規(guī)律的(這個問題大家應(yīng)該很容易理解)。

網(wǎng)絡(luò)安全有了量化指標，才能更好的發(fā)現(xiàn)問題和解決問題，而不是通過各種假想來進行研判。這一點，我想大家應(yīng)該能夠理解。

分析：理由3，業(yè)務(wù)推廣之需

人對看得見、摸得著的事物，在心里上更容易接受，對于這樣的事物也更有安全感。而網(wǎng)絡(luò)安全是看不見、摸不著的，這樣的體系先天在推廣上就很難引起建設(shè)單位的認知，也更難為建設(shè)單位帶來安全感。也正是基于此，作者在以往的文章中提及網(wǎng)絡(luò)安全建設(shè)“可見、可信、可證明、可傳承”的思想，請參見《信息化規(guī)劃和建設(shè)應(yīng)貫徹“可傳承”的原則》。而網(wǎng)絡(luò)安全相關(guān)指標量化是“可見、可信、可證明”最有力的落實保障。

而有了相關(guān)量化指標保障的網(wǎng)絡(luò)安全體系建設(shè)，對于建設(shè)單位就有了底，相關(guān)的推廣應(yīng)用也就更容易些。

指標量化的方法

上述分析了網(wǎng)絡(luò)安全指標量化的重要意義，而如何做到網(wǎng)絡(luò)安全指標量化才是重點也是難點。對于不同層面的網(wǎng)絡(luò)安全手段也會對應(yīng)不同的量化方法。而相關(guān)的量化方法作者也無法一概而論，本文的主旨思想是提醒從業(yè)者和建設(shè)單位針對自己的實際情況開展網(wǎng)絡(luò)安全指標量化工作是必要的。而如何進行量化要視自己的能力水平而定，作者比較提倡用咨詢服務(wù)機構(gòu)的專業(yè)能力為其進行指標量化才是有效的辦法。請參見《咨詢與評估，是當下業(yè)務(wù)開展重要的入口，也是這個高速發(fā)展的時代解決問題最有效的辦法》。

總結(jié)

網(wǎng)絡(luò)安全戰(zhàn)略是國家安全戰(zhàn)略的重要組成部分，是要做且必須要做好的工作，而網(wǎng)絡(luò)安全指標量化是做好網(wǎng)絡(luò)安全工作的重要保障，且采用專業(yè)咨詢服務(wù)機構(gòu)來保障量化指標的合理性和可落地性又是保障網(wǎng)絡(luò)安全指標量化的重要工作方法。所以，作者提醒，網(wǎng)絡(luò)安全從業(yè)者和建設(shè)單位，從現(xiàn)在開始培養(yǎng)網(wǎng)絡(luò)安全指標量化思想，有意識的在網(wǎng)絡(luò)安全工作中落地執(zhí)行，過程中可以借助專業(yè)的咨詢服務(wù)隊伍的能力?？傊?，網(wǎng)絡(luò)安全工作任重道遠，所有參與者都要開動腦筋，群策群力，只有這樣網(wǎng)絡(luò)安全的平民化之路才能更順暢。