傅如毅：是啊，現在大家也都在提安全管理，那么在當前的網(wǎng)絡(luò )安全形勢下什么樣的安全管理是我們需要的，是符合發(fā)展方向的？我認為應該重點(diǎn)關(guān)注兩大方面問(wèn)題：一、信息化安全管理體系如何構建？第二方面，能夠保障信息化安全管理體系有效運行、有效落地的技術(shù)支撐體系如何規劃和建設。

　　針對信息化安全管理體系構建應該把握好以下四個(gè)關(guān)鍵點(diǎn)：

　　首先管理對象確定：對象到底是“人”還是“物”？這個(gè)很關(guān)鍵。我認為管理對象應該確定為“人”。通過(guò)注冊管理，把人關(guān)聯(lián)到資產(chǎn)，把虛擬的網(wǎng)絡(luò )社會(huì )實(shí)體化。辯證地說(shuō)，人是風(fēng)險事件的產(chǎn)生者，也是風(fēng)險事件的應對者；人是安全技術(shù)的開(kāi)發(fā)者，也是安全技術(shù)的應用者；人是安全體系的規劃者，也是安全體系的實(shí)踐者。特別要說(shuō)明一點(diǎn)，我這里所說(shuō)的“人”是涵蓋多重角色的。因此，我認為信息化管理體系的構建必須充分考慮“人”在整個(gè)“信息網(wǎng)絡(luò )安全活動(dòng)”中的復雜行為因素，會(huì )影響到整個(gè)信息化安全管理體系的規劃、設計，以及支撐技術(shù)的選用和發(fā)展。所以，我認為管理對象的確定是核心是重中之重，這樣我們的安全管理體系才有了靈魂。

　　第二個(gè)關(guān)鍵點(diǎn)，我認為是管理目標確定：風(fēng)險、事件。按照信息網(wǎng)絡(luò )安全的五個(gè)性原則：保密性、完整性、安全性、可用性、可追溯性，把風(fēng)險事件量化到資產(chǎn)，關(guān)聯(lián)到人，量化出來(lái)。

　　第三個(gè)關(guān)鍵點(diǎn)是組織體系構建：做好安全管理工作中的人員角色定義，職能分工，責任界定。人員角色包括：上下級領(lǐng)導者、上下級管理者、使用者。

　　第四個(gè)關(guān)鍵點(diǎn)，我認為要確定好管理方法，構建工作流：依據法律法規、標準、規范、制度等要求，針對安全管理的“計劃、實(shí)施、檢查、處置”四個(gè)階段工作，確定管理方法，構建合理的工作流。

　　下面我要說(shuō)第二大關(guān)注點(diǎn)，怎么樣來(lái)保障信息化安全管理體系的有效運行、有效落地的技術(shù)支撐體系的構建。我認為技術(shù)支撐體系的構建應該圍繞安全管理的對象、目標，做好“全角色全資產(chǎn)、全風(fēng)險事件”的支撐技術(shù)規劃，應該把握好以下兩大關(guān)鍵點(diǎn)：

　　首先我們應該做好資產(chǎn)的全面梳理，以及發(fā)現技術(shù)的全面規劃、建設。資產(chǎn)包括硬件資產(chǎn)（計算機終端、服務(wù)器、存儲設備、網(wǎng)絡(luò )設備、安全設備、辦公設備等），軟件資產(chǎn)（應用系統、宣傳網(wǎng)站、各類(lèi)安全系統、操作系統、工具軟件、辦公軟件等），信息資產(chǎn)（數據庫、辦公文檔等）；資產(chǎn)梳理越全面，信息網(wǎng)絡(luò )安全管理的死角就越少。以前可能大家只重視硬件資產(chǎn)，但隨著(zhù)應用安全、數據安全的凸顯，我認為我們必須重視對軟件資產(chǎn)、信息資產(chǎn)的全面梳理、技術(shù)發(fā)現、注冊管理。

　　第二關(guān)鍵點(diǎn)，我認為應該做好風(fēng)險、事件的全面梳理，及技術(shù)支撐體系的全面規劃、建設。首先，我們應該把風(fēng)險事件按照（ 基礎設施相關(guān)、應用行為相關(guān)、信息數據相關(guān)、邊界外部相關(guān)的 ）大類(lèi)、小類(lèi)，進(jìn)行細分梳理。風(fēng)險、事件的梳理越細，安全目標就越全面，技術(shù)選用和發(fā)展的方向就越明確。然后，我們要依據梳理的結果來(lái)全面規劃支撐技術(shù)建設。按輕重緩急，把確定的某一個(gè)、某一類(lèi)風(fēng)險的技術(shù)解決方案（包括：防護技術(shù)、監測檢查技術(shù)、響應控制技術(shù)等），有序融入到信息化管理體系中的“計劃-實(shí)施-檢查-處置”四個(gè)階段工作，來(lái)進(jìn)行科學(xué)有效的應對。針對不同的風(fēng)險、事件有以下幾種情況：

　?。?）有防護技術(shù)、監測檢查技術(shù)、響應控制技術(shù)，技術(shù)解決方案全面的。舉個(gè)例子像殺毒類(lèi)軟件這個(gè)防護，有病毒防護。比如殺毒類(lèi)軟件，我們在安全管理體系方面，可能還要對它進(jìn)行監測，到底有沒(méi)有全面裝到，布置到位，病毒不是最新的，比如哪些設備沒(méi)布，可能響應控制技術(shù)提醒它，或者把它提出解決辦法。這點(diǎn)是我們根據前面安全管理四個(gè)階段，進(jìn)行計劃實(shí)施。首先計劃階段可以確定殺毒軟件應該是全網(wǎng)部署，病毒庫要進(jìn)行升級，根據這個(gè)目標所以我們把這個(gè)技術(shù)引入到我們四個(gè)工作階段中去。

　?。?）有監測檢查技術(shù)、響應控制技術(shù)，技術(shù)解決方案缺少防護技術(shù)的，我們通過(guò)對這個(gè)風(fēng)險的研究，下一步要規劃推動(dòng)防護技術(shù)發(fā)展。比如說(shuō)像敏感信息防護，我們能夠對文檔進(jìn)行檢查，有這類(lèi)技術(shù)。出現問(wèn)題以后，我們可以通過(guò)終端提醒，通過(guò)響應控制，甚至后面檢查考核一整套的管理流程響應，把這個(gè)問(wèn)題最小化。但是敏感信息，我們是缺少在事前能夠把它管控住的技術(shù)，所以我們要研究這類(lèi)。這個(gè)敏感信息在機打保存的時(shí)候就能提醒用戶(hù)你這個(gè)是有問(wèn)題的，或者我不讓你保存。假如能夠做到這個(gè)事情，我們這類(lèi)風(fēng)險應該能夠有效的防護。當然敏感信息，我是舉了個(gè)例子。

　?。?）針對一些未知的、新的風(fēng)險，特別是一旦爆發(fā)，會(huì )對大網(wǎng)產(chǎn)生災難性損害的風(fēng)險，應建立嚴密的應急響應機制。下一步再規劃、發(fā)展應對技術(shù)。比如說(shuō)我們根據風(fēng)險的行為特征、危害特性，通過(guò)安全數據元的大數據建模、分析來(lái)挖掘、定位風(fēng)險。

　　李磊：傅總，在這方面說(shuō)的非常全面深入，我復述一下我記錄的亮點(diǎn)。第一，我們在信息化安全管理體系建設的時(shí)候要先確定管理對象、目標。傅總您的觀(guān)點(diǎn)認為，人是管理體系主要核心，如果把人確定為對象，就可以讓這個(gè)管理體系有了靈魂，讓這個(gè)管理體系活起來(lái)，不像以前管理類(lèi)系統更多的是對產(chǎn)品，對物進(jìn)行管理，所以它有很大缺失，不夠全面。第二，我記得您提到要保障信息化管理體系有效運行。您提到，要想運行好，第一要做好資產(chǎn)的全面梳理。這個(gè)我確實(shí)是非常同意的，我們體系里的所有東西事無(wú)巨細都把它弄清楚了，這樣才能防止由于某一個(gè)環(huán)節、一個(gè)小環(huán)節出點(diǎn)問(wèn)題，造成咱們的體系運行很差、有缺失，這確實(shí)是非常重要的。您還說(shuō)要做好風(fēng)險和事件的全面梳理，有些時(shí)候有些用戶(hù)還比較弱一點(diǎn)，或者他們對風(fēng)險本身的預知性不強，對事件的考慮不周密。這個(gè)還需要我們安全企業(yè)、相關(guān)服務(wù)人員來(lái)幫助用戶(hù)更好的做好風(fēng)險事件梳理和管控。

　　傅如毅：是啊，我們的信息化安全管理體系如果被用戶(hù)所采用，實(shí)際上我們就是在幫助用戶(hù)梳理，幫助用戶(hù)構建信息化的安全管理體系。而且在這個(gè)體系運行的時(shí)候，用戶(hù)可借助于我們的管理支撐技術(shù)，他們自己也會(huì )參與到資產(chǎn)、風(fēng)險梳理當中，會(huì )融入到安全管理的全過(guò)程。這也是我剛才講的，安全管理對人的定位，也是人的多重角色的一方面含義。