目前企業所遇到的安全問題并不少見。如何有效地進行企業信息安全建設，并使安全投資最大化？我認為應對這一問題的有效方法是建立主動性信息安全體系，而不是被動式的安全防御手段。圖1是一個簡單的主動性安全風險管理模型，主要由以下幾個方面組成：§主動性安全報警§主動性安全防護§主動性安全管理§主動性安全響應防火墻漏洞評估入停檢測VPN問控制/攻擊悼復服務雷罐與誘引技術內容更新與安全響應24x7全球客戶和加密；防病毒主動性Z多層次/身份防火墻漏洞評估入停檢測VPN問控制/攻擊悼復服務雷罐與誘引技術內容更新與安全響應24x7全球客戶和加密；防病毒主動性Z多層次/身份■/j一管粵、直i*管哇通用r'm 痙制臺策略―致1匡1L 事故管果安仝服憲—威脅管理J—3*3=*圖1主動性安全風險管理模型在這張圖中很多內容都是為大家所熟悉的安全技術和安全管理手段。比如身份認證、防火墻、訪問控制、緊急響應、預警、安全策略等。但這里所強調的是一個主動性的機制和主動性的安全管理理念。有一個備受業界關注的問題：我們比較好理解從預警角度提高安全防護的主動性，但從管理、響應、防護如何能夠體現出主動安全防護呢？不錯，確實很多主動防御手段都是通過預警機制推出來的，安全預警是主動性信息安全體系和安全保護體系的主要組成部分之一。但除了預警之外，在安全保護、安全管理、安全響應方面都能體現出主動性安全機制的內容。有些人甚至領導認為現在我們單位還沒有發生嚴重的信息安全事件，因此和業務建設比起來，信息安全建設不是一個緊迫的和應當重點開展的項目。這里所反映出的就是一個觀念問題，安全管理的觀念沒有主動性。在個人觀念還沒有預料到問題將要發生的時候，去做安全工作，這就是我們認為的主動性安全管理。此外，安全響應似乎是一個被動的安全機制，但如果沒有主動性安全的基礎，安全響應將難以有效地應對將要出現的問題。主動性安全體系分析以下以早期預警系統為例，對主動性安全體系做一個進一步的分析。大家都知道預警就是要盡早發現問題，從而能避免一些問題的發生和及時解決可能出現的問題，選擇和建立一套安全預警系統，有幾個因素是最重要的？一個是及時性，警報不管是對安全漏洞、安全威脅、還是是惡意代碼，信息發布要及時。第二是準確性，現在安全報警的來源很多，有些還是免費的，但有些信息的來源未必可靠，所以準確性不是很高。準確性不高的安全預警信息可能會起到與期望的效果相反的結果。第三是針對性，現在全球每天所發送的安全威脅信息是大量的，這些信息如果不經過分析并針對企業的環境客戶化，就不能被用來防御所面臨的威

脅，因此其可利用價值是很低的。值得指出的是，安全預警只是主動性安全風險管理的一部分，圖2簡單地描述了主動性安全風險管理周期:主動性安全鳳,險管理安全事件管理.啊應和恢復安全威脅信息收集與分折安全現狀與風險評估安全威助分級與預警安全措施選擇、設計和安全措施制定主動性安全鳳,險管理安全事件管理.啊應和恢復安全威脅信息收集與分折安全現狀與風險評估安全威助分級與預警安全措施選擇、設計和安全措施制定圖2主動性安全風險管理周期企業建設主動性信息安全體系所要優先解決的問題綜上所述，我認為我們中國的企業在建設主動性信息安全體系時所要優先解決的問題：第一，改變被動應付多于主動防御的局面。很多單位都面臨這樣的問題：花了很多的精力和資金在安全技術方面，但重大安全問題仍層出不窮。如果仔細分析的話，就是沒有做好前期的預防，而是出現問題時都手忙腳亂地應付。第二，加強對安全建設過程的重視。我仔細比較過我在歐洲、美洲、日本和中國大陸地區做過的安全項目，我發現客戶對安全的認識和想法各有不同。這其實很正常。但我發現中國客戶和其它國家客戶一個很明顯的區別就是對于安全建設過程的認識。我在北美做項目的時候，發現客戶和我們中國客戶一樣非常重視安全目標，有相應的安全需求，明確要實現的的結果和要達到的安全運營水平。但和國外安全管理比較成熟的大型企業相比，我們中國的客戶明顯不夠重視安全建設的過程。國外大型企業做安全建設工作的時候，除了注重目標和結果外，他們會花很大的精力和服務商討論從開始的目標，到實現結果，到最后的運營所需要走的過程和可能遇到的問題，他們會關心在這個過程里面企業需要注意哪些問題，在這些過程里面需要哪些手段、技術、管理、和人來幫助實現目標和結果。由于他們愿意仔細看過程，所以他也愿意跟服務商一起共同承擔安全建設的風險。如果一個企業想做安全建設而不愿承擔風險的話，這個企業就不愿意也不可能順利走這個過程。建立安全系統本身就是非常嚴肅，非常困難的，真正注重安全建設過程的企業，是愿意承擔風險的，也是最有可能實現安全管理的最佳境界的。第三，提高安全技術管理水平。國內很多企業愿意把錢花在防火墻上，而相應的管理水平、手段沒有體現，包括管理的技術、流程和人的管理。第四，選擇和制定適合企業的安全標準。現在安全標準無論是在全球還是中國并不缺少，但關鍵是選擇和制定適合本企業的安全標準。這是整個業界都面臨的問題。第五，改善用戶管理的問題。這是大型企業所共同面臨的問題。這也是實現主動性安全管理體系的前提，因為用戶管理的問題是信息資產安全管理的核心和基礎之一。第六，提高安全組織的作用和安全意識。安全威脅、安全故障、安全問題的出現，其實大多數都是由非惡意的行為造成的。真正惡意行為造成的威脅和破壞，從統計上來講只占一小部分。那些非惡意的破壞和威脅可能是用戶不知道如何做好安全保護，不知道如何遵守安全規定，不知道遵守哪些安全規定，無意之間造成了錯誤，無意之間給企業造成了破壞。概括地講，主動性信息安全體系的核心是在預警、保護、管理、響應全方面的主動安全理念和安全技術手段。在主動性安全體系的建設的過程里