首先，隨著(zhù)我國信息化的飛速發(fā)展，各政府部門(mén)/企事業(yè)單位的網(wǎng)絡(luò )越來(lái)越龐大，網(wǎng)絡(luò )管理員每天面臨著(zhù)應接不暇的繁重工作量。而且為保障信息網(wǎng)絡(luò )安全建設的防火墻、IDS/IPS、VPN、終端安全、漏洞掃描、殺病毒軟件等種類(lèi)繁多的軟硬件產(chǎn)品都來(lái)自不同的安全廠(chǎng)商，這就帶來(lái)了政府部門(mén)/企事業(yè)單位管理各家各類(lèi)不同安全產(chǎn)品的兼容與互通合作的難題。

　　其次，現今面對不斷變化的安全趨勢，僅僅靠技術(shù)無(wú)法解決所有信息安全問(wèn)題。信息安全技術(shù)的產(chǎn)生往往滯后于信息安全風(fēng)險、事件；從基礎網(wǎng)絡(luò )環(huán)境安全，到信息系統安全，到現在更迫切需要保障的信息流安全，信息安全發(fā)展的側重面在演變，而應用安全、數據安全的定義隨著(zhù)對象的變化、規定的差異、要求的調整等都在不斷發(fā)生著(zhù)變化，安全技術(shù)發(fā)展跟不上安全需求的變化，跟不上網(wǎng)絡(luò )、應用技術(shù)的快速發(fā)展；…

　　第三，盡管?chē)覙藴省禝SO27000信息安全管理體系》為我們指引了安全管理思想和方法，但在有些單位卻很難有效落地。近些年來(lái)，信息安全的領(lǐng)導者、管理者、使用者在面對“信息安全”問(wèn)題時(shí)，意識里都有“管理之道”，也有很多單位通過(guò)了ISO27001信息安全管理體系認證，但很多只是停留在墻上、紙上、心里、在局部…沒(méi)有形成“完善、嚴密、標準化”的能有效實(shí)施運行、有效落地的管理體系，缺少技術(shù)支撐下的安全管理工作信息化平臺，缺乏針對管理體系有效落地的系列化監測、分析、控制類(lèi)支撐技術(shù)。

　　第四，斯諾登披露的“棱鏡門(mén)”事件，讓我們深刻意識到目前國內、外的信息網(wǎng)絡(luò )安全形勢異常復雜嚴峻。使我國乃至國際的信息網(wǎng)絡(luò )安全發(fā)展不可阻擋地進(jìn)入了一個(gè)全新的時(shí)代，構建整體的多維度信息網(wǎng)絡(luò )安全防御戰略也顯得尤為重要。在2014年2月27日，中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組宣告成立并召開(kāi)的第一次會(huì )議上，習近平總書(shū)記親自擔任組長(cháng)，體現了中國最高層全面深化改革、加強頂層設計的意志。習總書(shū)記在會(huì )議上強調，網(wǎng)絡(luò )安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰略問(wèn)題，要從國際國內大勢出發(fā)，總體布局，統籌各方，創(chuàng )新發(fā)展。

　　因此，探索出一條以“不變應萬(wàn)變”的“信息安全解決之道”迫在眉睫。

　　“體系化技術(shù)支撐下的安全管理之道”，能破解當今的信息安全管理困惑與難題。概括來(lái)說(shuō)，就是以“信息網(wǎng)絡(luò )安全管理技術(shù)支撐平臺”為依托載體，構建政府和企/事業(yè)單位 “人-技術(shù)-管理”相互融合、完善、嚴密的信息安全管理體系，有效提升領(lǐng)導者、管理者、使用者的安全意識和管理方法、技能水平，做到“目標明確、決策科學(xué)；規劃合理、實(shí)施有序；檢查及時(shí)、監測有效；職責清晰、處置高效”，確保信息安全風(fēng)險最小化，確保風(fēng)險、事件產(chǎn)生的危害最小化。

　　具體來(lái)說(shuō)，信息網(wǎng)絡(luò )安全管理技術(shù)支撐體系（以下簡(jiǎn)稱(chēng)“支撐體系”），須滿(mǎn)足政府/企事業(yè)單位在信息安全管理工作中的計劃、實(shí)施、檢查、處置四個(gè)階段的關(guān)鍵技術(shù)需求，以支持政府/企事業(yè)單位建立、實(shí)施、運行、保持和持續改進(jìn)適合自身安全需求的信息安全管理體系。

　　信息網(wǎng)絡(luò )安全管理技術(shù)支撐體系針對安全管理工作四個(gè)階段的技術(shù)實(shí)現：

　　一、計劃階段（目標明確、決策科學(xué)）

　　計劃階段的核心工作目的就是梳理信息安全管理的目標和策略，做到安全管理工作的目標明確、決策科學(xué)?！爸误w系”必須提供安全目標和安全策略的相關(guān)功能來(lái)滿(mǎn)足政府/企事業(yè)單位在安全管理計劃階段的核心需求。

　　安全目標應依據相關(guān)政策法規、標準規范、管理制度、自身生產(chǎn)經(jīng)營(yíng)活動(dòng)的需求來(lái)確定?！爸误w系”提供相關(guān)政策法規和管理制度等信息維護功能來(lái)滿(mǎn)足此類(lèi)需求；

　　安全策略包括實(shí)施、檢查、響應處置等方面的策略，這些策略可體現實(shí)現安全目標的過(guò)程中細化和分解的各類(lèi)管理、監測、防護、檢查的需求?！爸误w系”提供各類(lèi)策略信息維護、策略聯(lián)動(dòng)功能來(lái)滿(mǎn)足此類(lèi)的需求。

　　二、實(shí)施階段（規劃合理、實(shí)施有序）

　　實(shí)施階段的核心工作首先應該明確安全管理的對象和資產(chǎn)，同時(shí)采用合理的安全防護、審計、運維、服務(wù)類(lèi)產(chǎn)品來(lái)保障政府/企事業(yè)單位的信息網(wǎng)絡(luò )安全。實(shí)施階段要依據計劃階段確定的目標要求合理規劃，有序實(shí)施安全系統建設?！爸误w系”提供包括對象管理、防護管理、安全審計、運維管理、安全服務(wù)等相關(guān)功能來(lái)支持該階段核心需求。

　　安全管理的資產(chǎn)對象，包括政府/企事業(yè)專(zhuān)網(wǎng)內的硬件、軟件、數據這三類(lèi)資產(chǎn)，以及政府/企事業(yè)專(zhuān)網(wǎng)的網(wǎng)絡(luò )拓撲和應用拓撲等基本信息?！爸误w系”中對象管理子系統需提供包括資產(chǎn)對象的自動(dòng)發(fā)現、注冊管理、分級標示等核心功能來(lái)滿(mǎn)足資產(chǎn)對象的精確化管理需求；

　　安全防護是采用安全技術(shù)和管理手段，提供預防性防護措施和方案，防止安全威脅的爆發(fā)?！爸误w系”的防護管理功能可以集中管理安全防護類(lèi)的技術(shù)和產(chǎn)品，采集和接收防護類(lèi)產(chǎn)品的日志信息，滿(mǎn)足監測、檢查、審計、評估等活動(dòng)的數據需求，同時(shí)提供策略接口支持，以滿(mǎn)足響應聯(lián)動(dòng)的安全管理需求；

　　安全審計包括對主機、數據庫、網(wǎng)絡(luò )、應用、外設使用、數據輸出等類(lèi)型的審計，以滿(mǎn)足信息安全管理目標中不可抵賴(lài)性的核心需求?！爸误w系”的安全審計管理提供上述的審計日志數據，并為管理活動(dòng)提供審計數據支持；

　　安全服務(wù)是為資產(chǎn)的管理者和使用者提供規范指引、運維輔助、技術(shù)協(xié)作、資源下載等服務(wù)性質(zhì)的實(shí)用功能，以滿(mǎn)足將管理導向服務(wù)的安全目標。

　　三、檢查階段（檢查及時(shí)、監測有效）

　　檢測階段的主要工作是開(kāi)展各類(lèi)安全風(fēng)險和事件的有效監測，系統建設運行情況監測，以及合規性的安全檢查和評估等關(guān)鍵事務(wù)?！爸误w系”幫助政府/企事業(yè)單位依靠及時(shí)地安全檢查和有效地安全監測來(lái)驗證前期的實(shí)施成效，找出同安全目標的差距。

　　風(fēng)險和事件安全監測是這個(gè)階段的重點(diǎn)，主要是對政府/企事業(yè)專(zhuān)網(wǎng)內的各類(lèi)信息安全威脅、風(fēng)險和事件進(jìn)行常態(tài)化監測。這些安全風(fēng)險和事件可分為基礎設施相關(guān)、應用行為相關(guān)、信息數據相關(guān)以及邊界外部相關(guān)等，“支撐體系”提供有效的安全技術(shù)手段，依據計劃階段的監測策略，對這些風(fēng)險和事件進(jìn)行有效監測，并為其它安全管理活動(dòng)輸出監測結果信息。同時(shí)，為更好促進(jìn)安全系統的建設和應用，“支撐體系”能對政府/企事業(yè)專(zhuān)網(wǎng)內其它專(zhuān)用安全系統的建設情況、運行情況及其有效性進(jìn)行監測。

　　安全檢查和評估的目的是找出同安全目標和相關(guān)規范的差距，“支撐體系”可以對接各類(lèi)安全檢查、評估系統，滿(mǎn)足對政府/企事業(yè)單位對主機、網(wǎng)絡(luò )類(lèi)的安全檢查工作；同時(shí)也可開(kāi)展針對主機、數據庫、應用等類(lèi)別的脆弱性識別，提供符合等級保護、分級保護相關(guān)標準規范的綜合評估信息。

　　四、處置階段（職責清晰、處置高效）

　　處置階段的核心業(yè)務(wù)就是針對檢查階段的各類(lèi)風(fēng)險和事件開(kāi)展應急響應，包括管理和技術(shù)兩類(lèi)，同時(shí)采取必要措施對政府/企事業(yè)單位當前的信息安全管理體系的進(jìn)行持續改進(jìn)?！爸误w系”提供職責清晰，處置高效的應急響應流程和技術(shù)來(lái)滿(mǎn)足該階段的核心需求。

　　“支撐體系”提供包括主機、安全設備和網(wǎng)絡(luò )設備三類(lèi)技術(shù)響應手段，以滿(mǎn)足終端響應控制、網(wǎng)關(guān)設備相應控制、服務(wù)器相應控制等需求。同時(shí)，技術(shù)響應還可以通過(guò)各類(lèi)策略和參數接口，來(lái)支持包括主機、安全設備和網(wǎng)絡(luò )設備的聯(lián)動(dòng)響應需求。

　　“支撐體系”提供包括預警、通報、審查、考核、巡檢、簽到等協(xié)同管理功能，以滿(mǎn)足處置階段的管理響應需求。

　　“支撐體系”提供包括決策分析、趨勢預判、改進(jìn)措施等決策輔助類(lèi)功能，以實(shí)現對政府/企事業(yè)單位當前信息安全管理體系進(jìn)行持續改進(jìn)的決策支持。

　　信息網(wǎng)絡(luò )安全管理技術(shù)支撐體系的總體功能應覆蓋管理和技術(shù)兩個(gè)層面：

　　一、在管理層面，“支撐體系”通過(guò)技術(shù)手段實(shí)現安全管理的信息化：

　?。?）協(xié)助政府/企事業(yè)單位建立和維護安全管理工作中組織機構信息、安全規范信息、應急響應預案等，明確管理要素中“領(lǐng)導者，管理者，使用者”的角色定義，職能分工，責任界定。

　?。?）為所有用戶(hù)提供各類(lèi)安全服務(wù)，包括安全工具下載、主機安全風(fēng)險的在線(xiàn)評估和修復、安全教育培訓等，提升用戶(hù)的安全技能和安全意識。

　?。?）具備對全網(wǎng)安全監管數據綜合查詢(xún)和統計分析的能力，為管理組織提供決策依據。

　?。?）支持預警、通報等管理處置類(lèi)工作流程的信息化，利用安全管理業(yè)務(wù)流程系統，提升安全管理的規范性和工作效率。

　?。?）集中展示全網(wǎng)安全風(fēng)險和事件狀態(tài)、工作協(xié)同、統計分析等信息，為用戶(hù)提供便利的管理界面。

　　二、在技術(shù)層面，“支撐體系”基于對IT資產(chǎn)的智能發(fā)現和注冊管理，以及安全信息的采集處理，整合安全監測、管控、分析技術(shù)，提供如設備運行、主機基礎安全、違規行為、有害程序、網(wǎng)絡(luò )攻擊、敏感文件、網(wǎng)絡(luò )邊界監管等功能實(shí)現對各類(lèi)安全事件和風(fēng)險的監管。

　?。?）IT資產(chǎn)管理具備智能化的軟硬件資產(chǎn)發(fā)現和注冊管理功能，為安全風(fēng)險和事件的準確定位、關(guān)聯(lián)分析提供基礎。

　?。?）安全信息采集應包括對產(chǎn)品自身所獲取到的安全監管信息的采集、整理，以及第三方安全系統或設備的信息采集和整理，為大數據分析和響應防護提供原始數據。

　?。?）響應防護應具備針對安全風(fēng)險和事件的及時(shí)防護能力，即產(chǎn)品在發(fā)現安全威脅的第一時(shí)間就可以通過(guò)技術(shù)手段進(jìn)行聯(lián)動(dòng)響應。

　?。?）“支撐體系”的大數據分析功能還包括在特征和規則未定義、未覆蓋的情況下，對潛在的、未知的安全風(fēng)險的演進(jìn)式發(fā)現和處置。

　　綜上所述，通過(guò)“體系化技術(shù)支撐下的安全管理”的實(shí)施，將確保安全管理思想和方法扎實(shí)落地，確保安全技術(shù)規劃和建設規范有序，確保事件風(fēng)險檢查和響應及時(shí)有效，確保安全目標確立和達成科學(xué)發(fā)展，實(shí)現政府/企事業(yè)單位的信息安全工作幾大轉變 ：

　　管理理念——實(shí)現從“分散系統”向“人-技術(shù)-管理體系化”轉變 ；

　　管理模式——實(shí)現由“多點(diǎn)各自分散管理”到“全面集中、多級級聯(lián)管理”轉變；

　　管理機制——實(shí)現從“非常態(tài)化檢查”向“日?；?、常態(tài)化、網(wǎng)絡(luò )化監管”轉變；

　　管理手段——實(shí)現了由“被動(dòng)防范，事后追查”向“事先預防、事中監管”轉變；

　　管理職能——實(shí)現從“孤掌難鳴，有令難行”向“齊抓共管，有規可依”轉變 ；

　　從意識提高、技能提升上，實(shí)現從“管理員”向“全員”轉變 。

　　注釋?zhuān)鹤髡呦嫡憬h望電子有限公司董事長(cháng)傅如毅。