如何检验网络安全建设和运维水平？

在上个世纪的90年代，咱们懵懵懂懂中进入了网络安全这个陌生的领域，最开始只有一个

很是模糊的认识，这是一个将来颇有但愿的领域，咱们要占有一席之地。至于具体要什么，

怎么干，都并非很清楚，当时的一个原则就是，跟着美国、日本先进发达国家，他们是最

好师傅，他们研究什么，咱们就要跟着学习什么、作出什么。

这个过程，颇有点像从70年代末一直进行到如今的改革开放，那就是都是摸着石头过河，走

一步，看一步。从无到有，让人颇有成就感，由于努力很快就可以看到成果。

 

但随着建设的规模愈来愈大，困惑也愈来愈大。这么作，网络真正就安全了吗？不少关心咱们

工做的人，给咱们提出的一个最多的问题就是，网络安全了吗？说实话，咱们内心并不清楚，

但在口头上一直用安全的内涵来搪塞，安全是动态的，如今安全，并不表明从此安全，咱们的

工做只是将威胁的影响降到最低。这个回答，不管是其余人仍是本身，都是没法接受的。

 

经过一段时间的梳理，逐渐明白，就是咱们还只是一个小学生，不明白的东西太多了，对不少东

西内心并无底，对现实中究竟有多少安全威胁不清楚、对网络安全技术究竟能发挥多大的做用

不清楚。

 

如今，网络安全的重要性已经毋庸置疑，已经上升到一个很高的高度，甚至到了国家安全的层面。

既然这么重要，就更应该有个科学合理的评价了。怎么考量网络安全建设和运维水平。

 

逐步完善评价指标体系。

一开始，指标是各种网络安全事件的数量，根据发生的网络安全事件的多少来评价，例如查杀出

来的病毒数目，检测到的***的数量，发生的违规操做的数目等等。从如今来看，这些能够表明

网络安全情况，用来评价网络安全建设和运维水平显然是不合理的。可以发现网络安全事件也代

表了一类安全防御能力，什么都没有发现，网络安全更加可怕。

指标的选择，会直接影响到技术人员的实际工做。对于上面的指标，技术人员会用停用安全设备，

来避免发现网络安全事件，违背了评价的初衷。

 

即便后来对上述指标进行了微调，从考评数量改成考评发生后处置时间。这也存在不合理的地方。

越是重要、也上规模的系统，发生的安全事件越多，显然工做强度越大。按照这种考评，越不重

要、规模越小的系统，它的建设和运维水平相反越高。

 

再后来，补充了安全漏洞的数目、病毒库升级周期等指标，弥补了上述问题。但评价依然存在很

多的问题，一方面常规的检测安全漏洞的技术手段，存在局限性，只能针对通用软件，对自行开

发的软件没有多大做用，然后者对系统的重要性更大。另外一方面，是业务愈来愈认识到管理的重

要性，而这些指标都偏向于技术，没法考量安全管理的水平，不适应发展的要求。

 

期间，还考虑过聘请专业的网络***单位，经过对网络进行模拟***，对网络安全建设和运维水

平进行检验。也确实进行了几回，但实际的效果并不理想，以后分析其缘由，主要有如下几点：

（1）有效的模拟***是创建在对网络和应用有至关程度的了解，这须要花费较长的时间，聘请

的单位开展工做的时间很是有限，没法作到这一点，所以很难真正发现问题，即便发现一些问题

，也都是表面上的、显而易见的问题；

（2）网络安全建设和运维单位缺少大局观，从维护本部门利益出发，对这种检验有很强的抵触

心理，对检验拒绝提供任何有益的帮助，甚至暗中使绊子，干扰检验，在这种状况下，要发现

问题就更加困难了。

 

以上是一些体会，还在摸索中，欢迎共同分享和研究。