随着世界科技的发展进步，现实社会与网络社会的联系越来也紧密，我国网民规模已达到6.32亿，手机用户14亿。网络社会和现实社会相互影响、相互作用，并将越来越多地影响现实社会。因此，网络空间安全对、安全和政权安全的影响越来越重要。保障网络空间的安全，特别是关键基础设施与关键行业的网络空间安全，成为当下越来越迫切需要解决的难题。网络空间安全当然需要有一大批人才来维护，人的问题是网络空间安全首要问题。

　　就网络空间安全人才的话题，笔者此次有幸邀请到北京知道创宇资深安全顾问陆宝华老师，为我们进一步解答网络空间安全的相关问题。以下是本次访谈内容的整理：

　　陆宝华：需要的是明白人。明白人才能少干糊涂事，糊涂人很少把事做明白。我想许多人会同意我的这个观点。网络空间安全同样需要明白人来干，才能减少不必要的损失。以其昏昏能使人昭昭吗?

　　陆宝华：多年来我国的院校已经培养许多优秀的人才，研究单位也有了不少的成果，安全厂商也造就了相当多的人才。这些，我都不否认。但是，一方面这些人还不能满足目前网络空间安全方面的需求量;另一方面，也确实有些人名不符实;还有些可能是放错了地方也不能都算是明白人。

　　陆宝华：明白人未必都是技术专家，我认为的明白人应该是这样的：清楚自己的任务目标，掌握完成此任务并能实现其目标的相关知识，清楚应该利用哪些资源并且知道如何利用。这样的人才能算是明白人。当然，如果能有相应的谋略，能掌握实施过程当然就更好了。

　　陆宝华：对于信息化应用单位来说，不同角色，需要相应不同的明白人。前不久政协委员北京启明科技有限公司的严望佳总裁，曾提出在重要的部门设立首席安全官议案。受到了业内广泛的关注。应当说这是一个非常好的建议。但是，如果这个首席安全官不是个明白人，那也是比较麻烦的。

　　首先，他必须要清楚，这个单位的信息化的使命是什么，网络空间需要保护的目标是什么，应该制定什么样的总的安全策略框架。内部人员与信息资产的所属关系，内部的人员哪些能胜任什么工作，外部资源与安全产品能解决哪些问题等。同时还应该清楚国家的法律法规要求、相应的文件要求等。与上级单位及相关监管单位的沟通渠道等。

　　相应的负责的安全的技术人员，除了清楚以上的要求外，还要还要掌握相应的实施技术，能够制定本单位的信息资产的访问控制策略，及相关的制度。当然其他角色也要需要相应的实施技术，如对于审计员来说，就必须清楚日志分析，异常事件分析，事件追踪等。

　　在这些要求中，对单位的信息化需要保护的目标是什么是首要的，不知道自己要保护什么，怎么可能制定出科学的安全策略呢。

　　但是我有十五年以上的网络空间安全的监管经历。接触过相当多数的单位，也包括相当多的厂商和服务单位。真正能非常清楚的自己所有单位信息化的保护目标并不多。

　　陆宝华：信息安全的保护目标，各个单位不同，会是千差万别的。但是，抽象出来只有两大类，一类是单位的业务数据，二是系统的服务功能。而往往业务数据又是系统服务功能的基础，所以保护单位的业务数据是第一位的。

　　在网络空间中，存在有两大类数据，这些数据都是要保护的，一类是系统的安全功能数据，如对用户的身份识别，访问控制策略等。另一类是用户数据，用户数据包括两大方面，一方面是系统数据，如应用程序，另一方面就是用户的业务数据。对其他数据的保护是非常重要的，但是那些数据不是我们要保护目标，保护它们的目的仍然是要保护用户的业务数据。

　　陆宝华：关于用户的业务数据的保护，好多教材和著作中都提到了C、I、A。C是指数据的机密性;I是指数据的完整性;A是指数据的可用性。实际上，在具体的信息系统中，我们只需要保护数据的机密性和完整性就够了，数据的可用性不需要对数据本身进行保护，我们保护了数据的机密性和完整性，实际上也相应的保护了数据的可用性。换句说，数据的可用性保护是以数据的机密性和完整性为基础的。试想一个数据泄密了，或者被篡改了，这个数据还可用吗?数据可用性的另个基础是对系统的保护。

　　对于一个具体的数据来说，也并不是需要保护机密性和完整性两个属性，可能只需要保护其中的一个，如网站上公开的宣传的那些信息，还需要机密性保护吗?但是绝对不能允许被入侵者篡改。也就是说，这个网站只需要保护完整性就够了。还有些数据，只需要保护其机密性，而完整性则不那么重要。当然，确实存在一些数据，即要保护其机密性，也需要保护其完整性。

　　只有详细的分析清楚了每个具体数据所需要保护的属性，才能算你是真的清楚了你所在单位的“数据”需要保护的目标了。你才能算是明白人。

　　清楚了保护目标，还要清楚应该用什么样的策略来进行保护。一个组织的整体安全策略是多种的，我不可能在此都给说清楚了。但是，安全策略的核心是访问控制(包括对数据流的控制)，其他的安全功能，要么是为访问控务的，要么是访问控制的补充。

　　数据的不同的安全属性，其访问控制策略是不相同的，还存在着冲突。对于机密性保护需要用BLP策略，而对于完整性保护则需要用Biba等策略，或者其他的访问控制策略。我们在此不作技术方面的讨论，所以就不介绍这些模型了。有兴趣的人可以在许多著述中找到这类知识的介绍。

　　不清楚保护目标，不采用针对其安全属性的保护策略，就可能是白花钱，甚至是“花钱买破坏”，曾经有一个部委的专家和我谈过，说他们采取了，“低安全级别的主体，不可以访问高安全级别的客体的访问控制策略”我当时就问他，所有高安全级别的主体都是可信的吗?他说不敢说。这实际上就存在着信息泄露的策略缺陷。当时他是当成是先进经验向我谈的。

　　清楚一个单位的安全保护目标，不仅对信息化应用单位来说是重要的，对于“测评”、“检查”、“整改”等相关的服务和监管单位的人员来说也是重要的。特别是对于测评单位来说，如果，你对人家系统的测评没有很好结合人家系统的保护目标，人家要保护什么你都不知道，只是拿着标准死套，进行所谓的“合规”性检查，即便是“合规”了，能说是达到安全要求了吗?表面上合规了，实际上却是违规了。2013年之前，某个二线城市的某重要单位的信息中心主任，请我帮他分析他们信息系统的安全状况，当时我发现了多处缺陷，当时就提出来了，他们也觉得我说的有道理，知道自己错在哪里了，可后来他告诉我，他们的系统刚经过测评并“达到了”的安全要求。可怕呀，无知者真的是无畏!当然，这只是个别现象。

　　陆宝华：对，测评、检查、整改单位更需要明白人。他们是明白人，才能帮助信息化应用单位的人，理清思路，设计出更为科学合理的安全策略，并按这些策略进行实施。

　　其实其他的相关的服务单位也应该是明白人当家才行，如培训，现在各类的培训不少，可确实存在相当一部分糊涂人在进行这样的培训。一些机构，社团在搞什么资质，认证培训，说起来，这些资质和认证确实是需要的，但是这也需要明白人来搞，如果不是明白人搞，结果就很难说了。2013夏，某机构搞某项IT服务企业的资质认证，条件列了一大堆，一级资质，二级的资质。什么注册资金、人员数量、技术人员数量、学历等等列了不少条件，可就是没有对网络空间安全理解程度的要求。他们也在搞安全培训，我应一些企业的请求，也去参加了这个培训。培训的老师，自己还不明白什么是网络空间安全呢，2个小时东拉西扯，线分钟，而且错误不少。这样的培训，考试合格后认定出来的资质，对系统的安全集成能有好的作用吗?

　　陆宝华：当然，网络空间的监管工作当然非有明白来作不可，监督、检查、指导是监管部门的职责，可自己还弄不明白呢，怎么来监督、检查和指导呢?甚至一些单位没有相关的法律依据，也在做这种监督、检查、指导工作。一些单位的信息中心的负责人和我谈，他们希望有人来检查，不管他们是不是穿的，只要通过检查能帮他们把把脉，开个药方，帮他们改进工作，他们都欢迎。可他们盼来的检查，只是搭上一顿好饭，什么他们都得不到。

　　笔者：去年，国家成立中央网络安全与信息化领导小组，并成立的办公室。这是国家网络安全的总司令部和总参谋部。相信，明白人会越来越多，网络安全局面会越来越好。