傅如毅：是啊，現(xiàn)在大家也都在提安全管理，那么在當(dāng)前的網(wǎng)絡(luò)安全形勢下什么樣的安全管理是我們需要的，是符合發(fā)展方向的？我認(rèn)為應(yīng)該重點(diǎn)關(guān)注兩大方面問題：一、信息化安全管理體系如何構(gòu)建？第二方面，能夠保障信息化安全管理體系有效運(yùn)行、有效落地的技術(shù)支撐體系如何規(guī)劃和建設(shè)。

　　針對(duì)信息化安全管理體系構(gòu)建應(yīng)該把握好以下四個(gè)關(guān)鍵點(diǎn)：

　　首先管理對(duì)象確定：對(duì)象到底是“人”還是“物”？這個(gè)很關(guān)鍵。我認(rèn)為管理對(duì)象應(yīng)該確定為“人”。通過注冊管理，把人關(guān)聯(lián)到資產(chǎn)，把虛擬的網(wǎng)絡(luò)社會(huì)實(shí)體化。辯證地說，人是風(fēng)險(xiǎn)事件的產(chǎn)生者，也是風(fēng)險(xiǎn)事件的應(yīng)對(duì)者；人是安全技術(shù)的開發(fā)者，也是安全技術(shù)的應(yīng)用者；人是安全體系的規(guī)劃者，也是安全體系的實(shí)踐者。特別要說明一點(diǎn)，我這里所說的“人”是涵蓋多重角色的。因此，我認(rèn)為信息化管理體系的構(gòu)建必須充分考慮“人”在整個(gè)“信息網(wǎng)絡(luò)安全活動(dòng)”中的復(fù)雜行為因素，會(huì)影響到整個(gè)信息化安全管理體系的規(guī)劃、設(shè)計(jì)，以及支撐技術(shù)的選用和發(fā)展。所以，我認(rèn)為管理對(duì)象的確定是核心是重中之重，這樣我們的安全管理體系才有了靈魂。

　　第二個(gè)關(guān)鍵點(diǎn)，我認(rèn)為是管理目標(biāo)確定：風(fēng)險(xiǎn)、事件。按照信息網(wǎng)絡(luò)安全的五個(gè)性原則：保密性、完整性、安全性、可用性、可追溯性，把風(fēng)險(xiǎn)事件量化到資產(chǎn)，關(guān)聯(lián)到人，量化出來。

　　第三個(gè)關(guān)鍵點(diǎn)是組織體系構(gòu)建：做好安全管理工作中的人員角色定義，職能分工，責(zé)任界定。人員角色包括：上下級(jí)領(lǐng)導(dǎo)者、上下級(jí)管理者、使用者。

　　第四個(gè)關(guān)鍵點(diǎn)，我認(rèn)為要確定好管理方法，構(gòu)建工作流：依據(jù)法律法規(guī)、標(biāo)準(zhǔn)、規(guī)范、制度等要求，針對(duì)安全管理的“計(jì)劃、實(shí)施、檢查、處置”四個(gè)階段工作，確定管理方法，構(gòu)建合理的工作流。

　　下面我要說第二大關(guān)注點(diǎn)，怎么樣來保障信息化安全管理體系的有效運(yùn)行、有效落地的技術(shù)支撐體系的構(gòu)建。我認(rèn)為技術(shù)支撐體系的構(gòu)建應(yīng)該圍繞安全管理的對(duì)象、目標(biāo)，做好“全角色全資產(chǎn)、全風(fēng)險(xiǎn)事件”的支撐技術(shù)規(guī)劃，應(yīng)該把握好以下兩大關(guān)鍵點(diǎn)：

　　首先我們應(yīng)該做好資產(chǎn)的全面梳理，以及發(fā)現(xiàn)技術(shù)的全面規(guī)劃、建設(shè)。資產(chǎn)包括硬件資產(chǎn)（計(jì)算機(jī)終端、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、辦公設(shè)備等），軟件資產(chǎn)（應(yīng)用系統(tǒng)、宣傳網(wǎng)站、各類安全系統(tǒng)、操作系統(tǒng)、工具軟件、辦公軟件等），信息資產(chǎn)（數(shù)據(jù)庫、辦公文檔等）；資產(chǎn)梳理越全面，信息網(wǎng)絡(luò)安全管理的死角就越少。以前可能大家只重視硬件資產(chǎn)，但隨著應(yīng)用安全、數(shù)據(jù)安全的凸顯，我認(rèn)為我們必須重視對(duì)軟件資產(chǎn)、信息資產(chǎn)的全面梳理、技術(shù)發(fā)現(xiàn)、注冊管理。

　　第二關(guān)鍵點(diǎn)，我認(rèn)為應(yīng)該做好風(fēng)險(xiǎn)、事件的全面梳理，及技術(shù)支撐體系的全面規(guī)劃、建設(shè)。首先，我們應(yīng)該把風(fēng)險(xiǎn)事件按照（ 基礎(chǔ)設(shè)施相關(guān)、應(yīng)用行為相關(guān)、信息數(shù)據(jù)相關(guān)、邊界外部相關(guān)的 ）大類、小類，進(jìn)行細(xì)分梳理。風(fēng)險(xiǎn)、事件的梳理越細(xì)，安全目標(biāo)就越全面，技術(shù)選用和發(fā)展的方向就越明確。然后，我們要依據(jù)梳理的結(jié)果來全面規(guī)劃支撐技術(shù)建設(shè)。按輕重緩急，把確定的某一個(gè)、某一類風(fēng)險(xiǎn)的技術(shù)解決方案（包括：防護(hù)技術(shù)、監(jiān)測檢查技術(shù)、響應(yīng)控制技術(shù)等），有序融入到信息化管理體系中的“計(jì)劃-實(shí)施-檢查-處置”四個(gè)階段工作，來進(jìn)行科學(xué)有效的應(yīng)對(duì)。針對(duì)不同的風(fēng)險(xiǎn)、事件有以下幾種情況：

　?。?）有防護(hù)技術(shù)、監(jiān)測檢查技術(shù)、響應(yīng)控制技術(shù)，技術(shù)解決方案全面的。舉個(gè)例子像殺毒類軟件這個(gè)防護(hù)，有病毒防護(hù)。比如殺毒類軟件，我們在安全管理體系方面，可能還要對(duì)它進(jìn)行監(jiān)測，到底有沒有全面裝到，布置到位，病毒不是最新的，比如哪些設(shè)備沒布，可能響應(yīng)控制技術(shù)提醒它，或者把它提出解決辦法。這點(diǎn)是我們根據(jù)前面安全管理四個(gè)階段，進(jìn)行計(jì)劃實(shí)施。首先計(jì)劃階段可以確定殺毒軟件應(yīng)該是全網(wǎng)部署，病毒庫要進(jìn)行升級(jí)，根據(jù)這個(gè)目標(biāo)所以我們把這個(gè)技術(shù)引入到我們四個(gè)工作階段中去。

　　（2）有監(jiān)測檢查技術(shù)、響應(yīng)控制技術(shù)，技術(shù)解決方案缺少防護(hù)技術(shù)的，我們通過對(duì)這個(gè)風(fēng)險(xiǎn)的研究，下一步要規(guī)劃推動(dòng)防護(hù)技術(shù)發(fā)展。比如說像敏感信息防護(hù)，我們能夠?qū)ξ臋n進(jìn)行檢查，有這類技術(shù)。出現(xiàn)問題以后，我們可以通過終端提醒，通過響應(yīng)控制，甚至后面檢查考核一整套的管理流程響應(yīng)，把這個(gè)問題最小化。但是敏感信息，我們是缺少在事前能夠把它管控住的技術(shù)，所以我們要研究這類。這個(gè)敏感信息在機(jī)打保存的時(shí)候就能提醒用戶你這個(gè)是有問題的，或者我不讓你保存。假如能夠做到這個(gè)事情，我們這類風(fēng)險(xiǎn)應(yīng)該能夠有效的防護(hù)。當(dāng)然敏感信息，我是舉了個(gè)例子。

　　（3）針對(duì)一些未知的、新的風(fēng)險(xiǎn)，特別是一旦爆發(fā)，會(huì)對(duì)大網(wǎng)產(chǎn)生災(zāi)難性損害的風(fēng)險(xiǎn)，應(yīng)建立嚴(yán)密的應(yīng)急響應(yīng)機(jī)制。下一步再規(guī)劃、發(fā)展應(yīng)對(duì)技術(shù)。比如說我們根據(jù)風(fēng)險(xiǎn)的行為特征、危害特性，通過安全數(shù)據(jù)元的大數(shù)據(jù)建模、分析來挖掘、定位風(fēng)險(xiǎn)。

　　李磊：傅總，在這方面說的非常全面深入，我復(fù)述一下我記錄的亮點(diǎn)。第一，我們在信息化安全管理體系建設(shè)的時(shí)候要先確定管理對(duì)象、目標(biāo)。傅總您的觀點(diǎn)認(rèn)為，人是管理體系主要核心，如果把人確定為對(duì)象，就可以讓這個(gè)管理體系有了靈魂，讓這個(gè)管理體系活起來，不像以前管理類系統(tǒng)更多的是對(duì)產(chǎn)品，對(duì)物進(jìn)行管理，所以它有很大缺失，不夠全面。第二，我記得您提到要保障信息化管理體系有效運(yùn)行。您提到，要想運(yùn)行好，第一要做好資產(chǎn)的全面梳理。這個(gè)我確實(shí)是非常同意的，我們體系里的所有東西事無巨細(xì)都把它弄清楚了，這樣才能防止由于某一個(gè)環(huán)節(jié)、一個(gè)小環(huán)節(jié)出點(diǎn)問題，造成咱們的體系運(yùn)行很差、有缺失，這確實(shí)是非常重要的。您還說要做好風(fēng)險(xiǎn)和事件的全面梳理，有些時(shí)候有些用戶還比較弱一點(diǎn)，或者他們對(duì)風(fēng)險(xiǎn)本身的預(yù)知性不強(qiáng)，對(duì)事件的考慮不周密。這個(gè)還需要我們安全企業(yè)、相關(guān)服務(wù)人員來幫助用戶更好的做好風(fēng)險(xiǎn)事件梳理和管控。

　　傅如毅：是啊，我們的信息化安全管理體系如果被用戶所采用，實(shí)際上我們就是在幫助用戶梳理，幫助用戶構(gòu)建信息化的安全管理體系。而且在這個(gè)體系運(yùn)行的時(shí)候，用戶可借助于我們的管理支撐技術(shù)，他們自己也會(huì)參與到資產(chǎn)、風(fēng)險(xiǎn)梳理當(dāng)中，會(huì)融入到安全管理的全過程。這也是我剛才講的，安全管理對(duì)人的定位，也是人的多重角色的一方面含義。