傅如毅：是啊，现在大家也都在提安全管理，那么在当前的网络安全形势下什么样的安全管理是我们需要的，是符合发展方向的？我认为应该重点关注两大方面问题：一、信息化安全管理体系如何构建？第二方面，能够保障信息化安全管理体系有效运行、有效落地的技术支撑体系如何规划和建设。

　　针对信息化安全管理体系构建应该把握好以下四个关键点：

　　首先管理对象确定：对象到底是“人”还是“物”？这个很关键。我认为管理对象应该确定为“人”。通过注册管理，把人关联到资产，把虚拟的网络社会实体化。辩证地说，人是风险事件的产生者，也是风险事件的应对者；人是安全技术的开发者，也是安全技术的应用者；人是安全体系的规划者，也是安全体系的实践者。特别要说明一点，我这里所说的“人”是涵盖多重角色的。因此，我认为信息化管理体系的构建必须充分考虑“人”在整个“信息网络安全活动”中的复杂行为因素，会影响到整个信息化安全管理体系的规划、设计，以及支撑技术的选用和发展。所以，我认为管理对象的确定是核心是重中之重，这样我们的安全管理体系才有了灵魂。

　　第二个关键点，我认为是管理目标确定：风险、事件。按照信息网络安全的五个性原则：保密性、完整性、安全性、可用性、可追溯性，把风险事件量化到资产，关联到人，量化出来。

　　第三个关键点是组织体系构建：做好安全管理工作中的人员角色定义，职能分工，责任界定。人员角色包括：上下级领导者、上下级管理者、使用者。

　　第四个关键点，我认为要确定好管理方法，构建工作流：依据法律法规、标准、规范、制度等要求，针对安全管理的“计划、实施、检查、处置”四个阶段工作，确定管理方法，构建合理的工作流。

　　下面我要说第二大关注点，怎么样来保障信息化安全管理体系的有效运行、有效落地的技术支撑体系的构建。我认为技术支撑体系的构建应该围绕安全管理的对象、目标，做好“全角色全资产、全风险事件”的支撑技术规划，应该把握好以下两大关键点：

　　首先我们应该做好资产的全面梳理，以及发现技术的全面规划、建设。资产包括硬件资产（计算机终端、服务器、存储设备、网络设备、安全设备、办公设备等），软件资产（应用系统、宣传网站、各类安全系统、操作系统、工具软件、办公软件等），信息资产（数据库、办公文档等）；资产梳理越全面，信息网络安全管理的死角就越少。以前可能大家只重视硬件资产，但随着应用安全、数据安全的凸显，我认为我们必须重视对软件资产、信息资产的全面梳理、技术发现、注册管理。

　　第二关键点，我认为应该做好风险、事件的全面梳理，及技术支撑体系的全面规划、建设。首先，我们应该把风险事件按照（ 基础设施相关、应用行为相关、信息数据相关、边界外部相关的 ）大类、小类，进行细分梳理。风险、事件的梳理越细，安全目标就越全面，技术选用和发展的方向就越明确。然后，我们要依据梳理的结果来全面规划支撑技术建设。按轻重缓急，把确定的某一个、某一类风险的技术解决方案（包括：防护技术、监测检查技术、响应控制技术等），有序融入到信息化管理体系中的“计划-实施-检查-处置”四个阶段工作，来进行科学有效的应对。针对不同的风险、事件有以下几种情况：

　　（1）有防护技术、监测检查技术、响应控制技术，技术解决方案全面的。举个例子像杀毒类软件这个防护，有病毒防护。比如杀毒类软件，我们在安全管理体系方面，可能还要对它进行监测，到底有没有全面装到，布置到位，病毒不是最新的，比如哪些设备没布，可能响应控制技术提醒它，或者把它提出解决办法。这点是我们根据前面安全管理四个阶段，进行计划实施。首先计划阶段可以确定杀毒软件应该是全网部署，病毒库要进行升级，根据这个目标所以我们把这个技术引入到我们四个工作阶段中去。

　　（2）有监测检查技术、响应控制技术，技术解决方案缺少防护技术的，我们通过对这个风险的研究，下一步要规划推动防护技术发展。比如说像敏感信息防护，我们能够对文档进行检查，有这类技术。出现问题以后，我们可以通过终端提醒，通过响应控制，甚至后面检查考核一整套的管理流程响应，把这个问题最小化。但是敏感信息，我们是缺少在事前能够把它管控住的技术，所以我们要研究这类。这个敏感信息在机打保存的时候就能提醒用户你这个是有问题的，或者我不让你保存。假如能够做到这个事情，我们这类风险应该能够有效的防护。当然敏感信息，我是举了个例子。

　　（3）针对一些未知的、新的风险，特别是一旦爆发，会对大网产生灾难性损害的风险，应建立严密的应急响应机制。下一步再规划、发展应对技术。比如说我们根据风险的行为特征、危害特性，通过安全数据元的大数据建模、分析来挖掘、定位风险。

　　李磊：傅总，在这方面说的非常全面深入，我复述一下我记录的亮点。第一，我们在信息化安全管理体系建设的时候要先确定管理对象、目标。傅总您的观点认为，人是管理体系主要核心，如果把人确定为对象，就可以让这个管理体系有了灵魂，让这个管理体系活起来，不像以前管理类系统更多的是对产品，对物进行管理，所以它有很大缺失，不够全面。第二，我记得您提到要保障信息化管理体系有效运行。您提到，要想运行好，第一要做好资产的全面梳理。这个我确实是非常同意的，我们体系里的所有东西事无巨细都把它弄清楚了，这样才能防止由于某一个环节、一个小环节出点问题，造成咱们的体系运行很差、有缺失，这确实是非常重要的。您还说要做好风险和事件的全面梳理，有些时候有些用户还比较弱一点，或者他们对风险本身的预知性不强，对事件的考虑不周密。这个还需要我们安全企业、相关服务人员来帮助用户更好的做好风险事件梳理和管控。

　　傅如毅：是啊，我们的信息化安全管理体系如果被用户所采用，实际上我们就是在帮助用户梳理，帮助用户构建信息化的安全管理体系。而且在这个体系运行的时候，用户可借助于我们的管理支撑技术，他们自己也会参与到资产、风险梳理当中，会融入到安全管理的全过程。这也是我刚才讲的，安全管理对人的定位，也是人的多重角色的一方面含义。