背景

網絡安全戰略成為國家整體安全戰略的重要組成部分，在中央高度重視和牽引下已經取得了長足的發展，但是作為非傳統安全代表的網絡安全較其他傳統安全因有其特殊性，所以并不容易在短時間滿足國家的要求。網絡安全當下還處于起步階段《請注意：網絡安全行業尚處在起步階段》，鑒于網絡安全的重要性，最終實現網絡安全平民化《網絡安全行業平民化進程加速，從業者需要轉變一下思想了!!》，從業者還有大量的工作要做。為了能更好的推動網絡安全事業的發展，所有從業者要群策群力，發揮和共享集體智慧，消除以往彼此屏蔽的行業現狀。在此，作者給大家分享一個網絡安全的發展思路：網絡安全指標必須走可量化之路。

分析：理由1，檢測考核之需

信息系統可以通過功能性、性能性、可體驗性等多個指標來滿足業務處理的相關需求，特別是其功能性很容易給操作者和檢測考核者清晰的認識。但是網絡安全由于其服務支撐功能定位，而這個功能很難被感知和考量。也正式因為沒有直觀數據和方法對其進行感知和考量，所以以往很多網絡系統建設完全是主管和感性的，建設單位投入了大量的資源，最后并沒有得到完全的安全感。當下雖然有等級保護和密碼應用測評和認證等相關舉措，但是相關標準還大都偏重主觀性，量化之路還很長。

檢測考核，是驗證一切工作成果最有效的方法，驗證指標太主觀是沒有辦法反應工作成果的，對于網絡安全這么重要的工作，缺失有效的、客觀檢測和考核量化指標，一旦出現問題，建設單位將付出慘重的代價。不過現在可喜的是，國家相關單位也在近一步強化檢測和考核的指標量化，不過這和需要有一段時間。從業者和承建單位有必要先行一步，從網絡安全指標量化層面做一定的工作。《建立完整的檢測認證體系對信息化建設與管理的重要意義》

分析：理由2，客觀規律之需

作者曾在《安全系統之與信息化，就像免疫系統之與人體》一文將網絡安全比喻人體的免疫系統，而免疫系統的各項指標是可以量化的，而問題的判斷都是通過指標來分析得出的(無論西醫還是中醫都是這個道理)，這是符合客觀規律的(這個問題大家應該很容易理解)。

網絡安全有了量化指標，才能更好的發現問題和解決問題，而不是通過各種假想來進行研判。這一點，我想大家應該能夠理解。

分析：理由3，業務推廣之需

人對看得見、摸得著的事物，在心里上更容易接受，對于這樣的事物也更有安全感。而網絡安全是看不見、摸不著的，這樣的體系先天在推廣上就很難引起建設單位的認知，也更難為建設單位帶來安全感。也正是基于此，作者在以往的文章中提及網絡安全建設“可見、可信、可證明、可傳承”的思想，請參見《信息化規劃和建設應貫徹“可傳承”的原則》。而網絡安全相關指標量化是“可見、可信、可證明”最有力的落實保障。

而有了相關量化指標保障的網絡安全體系建設，對于建設單位就有了底，相關的推廣應用也就更容易些。

指標量化的方法

上述分析了網絡安全指標量化的重要意義，而如何做到網絡安全指標量化才是重點也是難點。對于不同層面的網絡安全手段也會對應不同的量化方法。而相關的量化方法作者也無法一概而論，本文的主旨思想是提醒從業者和建設單位針對自己的實際情況開展網絡安全指標量化工作是必要的。而如何進行量化要視自己的能力水平而定，作者比較提倡用咨詢服務機構的專業能力為其進行指標量化才是有效的辦法。請參見《咨詢與評估，是當下業務開展重要的入口，也是這個高速發展的時代解決問題最有效的辦法》。

總結

網絡安全戰略是國家安全戰略的重要組成部分，是要做且必須要做好的工作，而網絡安全指標量化是做好網絡安全工作的重要保障，且采用專業咨詢服務機構來保障量化指標的合理性和可落地性又是保障網絡安全指標量化的重要工作方法。所以，作者提醒，網絡安全從業者和建設單位，從現在開始培養網絡安全指標量化思想，有意識的在網絡安全工作中落地執行，過程中可以借助專業的咨詢服務隊伍的能力。總之，網絡安全工作任重道遠，所有參與者都要開動腦筋，群策群力，只有這樣網絡安全的平民化之路才能更順暢。