在上个世纪的90年代，我们懵懵懂懂中进入了网络安全这个陌生的领域，最开始只有一个

非常模糊的认识，这是一个未来很有希望的领域，我们要占有一席之地。至于具体要什么，

怎么干，都并不是很清楚，当时的一个原则就是，跟着美国、日本先进发达国家，他们是最

好师傅，他们研究什么，我们就要跟着学习什么、做出什么。

这个过程，很有点像从70年代末一直进行到现在的改革开放，那就是都是摸着石头过河，走

一步，看一步。从无到有，让人很有成就感，因为努力很快就能够看到成果。

 

但随着建设的规模越来越大，困惑也越来越大。这么做，网络真正就安全了吗？很多关心我们

工作的人，给我们提出的一个最多的问题就是，网络安全了吗？说实话，我们心里并不清楚，

但在口头上一直用安全的内涵来搪塞，安全是动态的，现在安全，并不代表今后安全，我们的

工作只是将威胁的影响降到最低。这个回答，无论是其他人还是自己，都是无法接受的。

 

通过一段时间的梳理，逐渐明白，就是我们还只是一个小学生，不明白的东西太多了，对很多东

西心里并没有底，对现实中究竟有多少安全威胁不清楚、对网络安全技术究竟能发挥多大的作用

不清楚。

 

现在，网络安全的重要性已经毋庸置疑，已经上升到一个很高的高度，甚至到了国家安全的层面。

既然这么重要，就更应该有个科学合理的评价了。怎么考量网络安全建设和运维水平。

 

逐步完善评价指标体系。

一开始，指标是各类网络安全事件的数量，根据发生的网络安全事件的多少来评价，例如查杀出

来的病毒数目，检测到的***的数量，发生的违规操作的数目等等。从现在来看，这些可以代表

网络安全状况，用来评价网络安全建设和运维水平显然是不合理的。能够发现网络安全事件也代

表了一类安全防护能力，什么都没有发现，网络安全更加可怕。

指标的选择，会直接影响到技术人员的实际工作。对于上面的指标，技术人员会用停用安全设备，

来避免发现网络安全事件，违背了评价的初衷。

 

即使后来对上述指标进行了微调，从考评数量改为考评发生后处置时间。这也存在不合理的地方。

越是重要、也上规模的系统，发生的安全事件越多，显然工作强度越大。按照这种考评，越不重

要、规模越小的系统，它的建设和运维水平相反越高。

 

再后来，补充了安全漏洞的数目、病毒库升级周期等指标，弥补了上述问题。但评价依然存在很

多的问题，一方面常规的检测安全漏洞的技术手段，存在局限性，只能针对通用软件，对自行开

发的软件没有多大作用，而后者对系统的重要性更大。另一方面，是业务越来越认识到管理的重

要性，而这些指标都偏向于技术，无法考量安全管理的水平，不适应发展的要求。

 

期间，还考虑过聘请专业的网络***单位，通过对网络进行模拟***，对网络安全建设和运维水

平进行检验。也确实进行了几次，但实际的效果并不理想，之后分析其原因，主要有以下几点：

（1）有效的模拟***是建立在对网络和应用有相当程度的了解，这需要花费较长的时间，聘请

的单位开展工作的时间非常有限，无法做到这一点，因此很难真正发现问题，即使发现一些问题

，也都是表面上的、显而易见的问题；

（2）网络安全建设和运维单位缺乏大局观，从维护本部门利益出发，对这种检验有很强的抵触

心理，对检验拒绝提供任何有益的帮助，甚至暗中使绊子，干扰检验，在这种情况下，要发现

问题就更加困难了。

 

以上是一些体会，还在摸索中，欢迎共同分享和研究。