国际上，网络安全已开始从信息安全转向信息保障，从被动的预防向主动保护过渡。国内的信息保障虽已提上日程，但从理论走向应用还需要一个过程，这个过程的短长和企业信息化的进程息息相关。近日，首创网络对来自34个不同行业用户的93台主机进行了免费安全评估活动，并做了细致的安全漏洞分析。这一活动也为信息安全保障翻开了崭新的一页。

　　针对首创的安全评估活动，本刊记者对安氏互联网安全系统（中国）有限公司技术支持部主管常江先生进行了采访，他认为首创的活动对整个网络安全行业都有借鉴意义，通过免费的评估活动让用户清晰的意识到自已的网络安全现状，能做到这一点已难能可贵了。

　　管理与技术联姻

　　首创的安全评估体系主要是从纯安全技术的角度出发，对用户的主机和操作系统进行检测，是从技术层面来发现一些安全管理上的问题，但这样发现的问题并不是非常全面。

　　安氏作为专业的网络安全服务提供商与首创的定位不同。他们提供的是"管理+技术"相结合的服务，称之为"安全顾问咨询服务"，它是一个管理上的制度，从管理层面入手，结合国际上大家都认可的标准，对企业IT资产进行全面评估，主要包括管理制度，技术规范等。

　　企业对安全系统需求的转变使很多安全厂商已开始从单一的产品提供商转向提供综合解决方案的安全服务提供商，把技术与企业的生产应用和业务全面结合起来。常江举例说："比如从一个纯粹的技术层面，对一个NT的服务器进行扫描，但这个服务器放在企业的不同业务网段内时，起到的作用是不同的，当这台服务器做一个WEB的服务器或者是当企业的核心服务器时，它对企业来说价值是不一样的"。

　　在管理与技术相结合的模式下，资产评估要从不同层面、不同角度做细化的评估和分析。首先把IT资产进行分类，如按应用软件、应用系统等，发现它每一部分的资产价值，最后来找到IT资产的价值。评估是为了发现风险，风险是对企业业务造成危险的可能性，风险取决于本身资产的价值；另外还取决于对企业采取了什么样的风险规避措施，比如说企业拥有的一些规章制度来降低他的风险，比如说弱口令，如果这个企业已经有了一个制度来规避它，如每周换一个，这样就把它的风险降低了。

　　实际上要考虑到方方面面的内容，才可以达到对一个企业的整体的风险进行摸底的目的。从"管理+技术"的层面来做评估活动，要花费大量的人力成本和其他更高的成本。

　　给安全管理者"加官进爵"

　　目前，安全的问题最终还是意识问题，现在很少有用户在构建网络时会很全面的考虑到安全因素，因为客户本身没有安全基础，没有专业的安全人员，也没有专业的安全顾问来帮它做整体的规划。

　　现在一些安全厂商，包括安氏都在不断给客户灌输和加强网络安全意识，安全也是和整个IT的发展息息相关的，往往信息系统越完善，它对安全考虑也会越多。常江认为在整个信息系统设立之初就应该考虑到安全问题，因为信息系统是要靠运营维护制度来支撑的，安全是最基础的东西，比如机房管理制度、系统管理员的制度等，这种制度已是安全的开始。

　　但光有制度是不够的，还要有一个整体的安全策略，比如企业人员的组织结构应该是怎么样的，针对安全系统必须要有一个安全的组织进行维护、管理，这个安全组织或安全人员它的权力，它的职责范围应该是哪些？

　　安全是覆盖了整个IT的方方面面的内容，所以必须是有权力对系统的安装，升级，包括对网络结构的修改或网络设备的升级等等各个方面都需要有发言权，现在国内根本就没有哪个企业能够做到管安全的人能够拥有最大的权力。在国外专门有一些负责安全的角色，比如安全审计师，或叫安全监理。在一个项目实施、规划的整个阶段，从认证到规划、设计、实施、运维，整个过程安全监理都会参与在其中，做任何事情，任何方案都需要安全监理来批准。

　　也就是说怎么样把安全抛开在日常管理之外，在更高的一个层面上赋予安全管理人员一定权限，这是一种意识的体现，如领导没有这样的意识，他不会安排这样的人，归根到底还是意识的问题。如何考虑安全监理这样的一个角色，仍然与国内企业对整个IT的意识及安全的意识有关，实际上，大家都知道IT挺重要的，但事实上，大家并没有完全意识到它的重要性。

　　国内现在是IT应用的发展跟不上设备的发展，业务发展跟不上技术的发展。如主营业务不是IT的企业，它一般是做为业务的支撑系统出现，象金融行业是一个非常明显的例子，他不会把他的系统当成最主要的事情来做，最主要的是业务，而不是做一件事情首先考虑到IT系统，比如一项投资是投给业务还是IT系统，系统需要备份，而业务方面需要增加一些人力，一般会偏向于业务，所以这也是一个意识的问题。因为象类似于银行这样的部门，虽然他有专门的IT机构，但实际上他说话的力度是不够的，他扮演的角色不会是非常重要的一个角色，毕竟IT只是投入，而不是由它来直接产生收益，哪怕是由信息系统导致了盈利，他不会说是信息系统使它盈利，而是由业务赢利，除非这个业务是直接和IT相关的。

　　安全模式与用户平等对话

　　对于企业安全模式的问题，是与我国的国情和一些本土化的特色分不开的，我国还是国有企业做为经济的主体，国有企业的政策性非常强，这与国外的情况有很大区别。

　　国外企业的安全系统建设比国内稍好一些，他们往往采取IT外包的方式，比如把服务器交给第三方的IDC或ISP等外围的一些机构来替他们维护，用户的精力主要集中在业务发展方面。国外很多大的银行把IT外包出去，从他们的角度来说，他们的管理成本、人员成本的费用是很高的，远远超出他对业务的维护，所以他宁愿把业务外包出去。而我国的国有企业是绝对不会轻意把自已的东西交给外面的人来做，国内没有一家银行的IT是外包的，在中国，外包的方式事实上非常适合中小企业，因为大部分中小企业没有财力，也没有精力来搭建一个网络安全系统，还要有专业的安全人员来维护，消耗的人力和物力的价值可能要大于实际需要的安全系统的价值。如果是把数据放在IDC或ISP等专业数据管理公司，一方面，自已的数据安全得到了保障 ；另一方面，IDC或ISP可以为企业提供增值服务，除了托管、存储之外还可以提供增值的防病毒、主机评估、机密加固等。

　　立足管理，大踏步走向应用

　　安氏是面向大型用户提供全面解决方案的安全服务提供商，对于大型用户什么样的解决方案才能满足他们的需求呢？常江认为大型用户提供的解决方案，一般是立足于管理，以优质的产品作支撑，选择最适合用户的安全产品，以一定的技术手段来实现。一定要立足于管理，安全技术是依靠IT的管理技术来实现的，也就是说，要以策略为核心，比如要保护企业IT资产的安全，目的是什么，要达到什么目标，什么可以做，什么绝对不能做，需要什么样的组织和人员，要建立什么样的技术规范，都是我们所考虑的。

　　总的来说，网络安全系统是以策略为核心，以管理为基础，以技术为实现手段的安全理念。安全顾问的目的就是从用户的应用角度出发，为用户量身定做一份未来几年，甚至几十年的方案，要达到这个目的，必须去发现目前的业务，系统存在什么样的风险，如果要想了解风险，就必须知道我需要承担什么样的风险。综合起来，就可以去了解要保护IT资产需要做哪些事情，需要什么样的安全解决方案来达到目的，每一步都需要做到可操作。