从认知学的角度讲,能被直观感觉到的东西更容易被接受。基于这个道理,想想当下网络安全的行业现状,神秘和难懂的原始形象是否需要调整一下,给应用者一个更直观真切的形象感觉呢?作者认为这是很必要的,这也是作者在《指标可量化,才能更好推进网络安全行业的发展》想重点阐述的观点。
在宏观上,通过指标量化,给应用者更直观、更真切感受,让大家常提及的“可信”这样主观形象更有血有肉,能更好推动网络安全工作。
在微观上,通过指标量化,能更好的梳理需求、正确的选择设计方供货方施工方、监控效果、提升能力、强化监管等层面取得更好的效果,也是最有效的方法和手段。
那问题来了,如何进行网络安全指标量化呢?哪些内容需要指标量化呢?
本文就简单阐述一下网络安全指标量化的思想和适用范围,详细内容感兴趣的可以与作者交流。
另外强调一个观点:网络安全指标量化是网络安全体系的重要组成部分,是体现网络安全治理能力的重要部分。
注:本文仅是抛砖引玉,具体情况还需要具体分析。
1、指标量化要有的放矢,因地制宜,并且体现导向型
网络安全毕竟是服务于业务场景,因场景各异,也就不会存在一招鲜的网络安全方案,基于此,指标量化也需要结合实际场景,切勿大而全,重点强化对重点要素的指标量化即可,在量化过程中把握清晰的导向性,让参与者清楚的知道什么是重点、什么是底线。
2、指标量化要做到事前开放、事中可见、事后可调,全过程有理有据
网络安全指标量化的目的是通过显性的力量来推动工作,既然如此,相关的指标量化就需要在事前做周密的设计并开放周知给所有参与人,在应用过程中参与人都能清楚的知道实际指标落实情况,并在长期过程中能对不合理的指标做修正,指标量化把握有理有据可证明的原则最佳。
3、指标量化要兼顾技术和管理,并特别强化对人的指标量化
网络安全“三分技术、七分管理”,对技术指标进行量化相对比较容易,对管理指标进行量化不是太容易,但是更重要。作者认为对管理进行指标量化,特别是对人的安全指标量化程度是应用单位网络安全体系设计和应用能力最大地体现,也是能取得好效果的重要保障。
4、指标量化需要有配套的机制与系统
实现指标量化效果,首先要建立完整的指标制定、论证、应用、修正、考核等方面的运行机制,并需要采用系统形式给予执行保障,这样才能有效把指标量化落实到实处。做到这些相对于设计一个安全系统要更容易些,其中的关键环节是要形成共识层面需要较多的组织和协调工作。
5、指标量化不单单是对体系,也应对个体产品
“网络安全是整体的,不是割裂的”这是国家层面对网络安全的整体要求之一,“木桶原理”也清楚的说明了网络安全的整体性,这些都清楚的告诉大家,网络安全必要关注整体,并把针对整体的策略落实在各个个体上。所以,指标量化也需要对单个的产品进行相关设计,这种设计一方面能提升产品本身的可信性和竞争力,更重要的方面是能将产品在是场景的配性上得到提升。
总结一下:
对于网络安全应用单位,通过指标量化可提升网络安全的显性特质,并借此达到扩大认知、监控效果、改善流程、提升能力的效果。并且也能通过指标量化达到网络安全的整体性和适配性的目的,看参考一个密码行业的思想《开展密码工作,把握“全局性”和“适配性”原则是很必要的》。
对于网络安全产品单位,通过指标量化可将“可信、可见、可证明、可传承”的安全理念更好的进行落实,更能体现自身的竞争力。
总之,通过网络安全指标量化工作,能更好的推动网络安全的工作落实,是网络安全工作很好的工作抓手。所有的从业者,有必要从这个维度多思考和开展相关工作,作者也会持续细化相关操作层面的方法,请大家关注。
【注:以上仅是作者肤浅认识,仅供参考】
关键词: 网络安全指标量化 是一个很好的工作抓手 网络安全
营业执照公示信息