经过了这一段时间的度量指标设计，对于指标的定义，内容补充有了一些自己的看法。目前遇到的比较大的挑战并非来自技术能力的考验，而是在为各个域修订指标时经常遇到的交叉与缺失的问题。

所谓的交叉，就是针对某一方面的指标，可能在多个安全度量域中都有所涉及，如何根据各个安全度量域定义各个域中具体的指标内容，这是一大考验。以日志管理为例，网络、系统、合规性、运维都会涉及日志，如何有效分配指标，合理调整侧重点，是个很考验人的工作
首先必须根据每个域的关注重点不同对指标的分布进行拆分，根据组成内容进行拆分，同时根据对各个域的综合考虑进行分配。

还是拿日志来分析：
在运维部分，只涉及日志存储空间告警处理、日志定期清理及相关日常操作流程等日常维护方面的内容；
网络、系统对各自方面的日志内容和要求进行要求；
重点安排在合规性部分，将日志的管理制度、创建、日常管理、保存、分析都纳入此部分。
从合规的要求对日志管理提出总体的要求，针对日志的全生命周期（这么提或许有点大）进行控制。而对于生命周期内的具体某个环境的内容，则拆分到其它相关安全度量域。

 

除了上述的考虑外，还要总体考虑指标的分布情况，考虑到系统、网络、运维部分向来都是安全管理的重点部分，为了避免指标过于集中于上述几个域中，将日志的主要控制指标分布到合规性中。

采用这样的方法，有一些优点：
1、避免指标过分集中，从而造成针对单个安全域的日常检查过于繁琐复杂；
2、避免因度量域的关注点不同限制指标的总体控制功能（比如都放在网络域中，如果提及系统方面的要求，难免有点和域的控制范围有所冲突。

 

缺点如下：
1、主要靠设计者主观考虑，如果设计者经验不足，可能引起相关度量指标的缺失；
2、如何确保各个具体指标的内容不出现雷同是个问题（比如个部分都会出现针对日志管理制度的控制指标）

 

上述主要讲的是交叉，有了交叉必然就有缺失。虽然任何体系都不可能做到面面俱到，但作为一个度量体系而言，尽可能做到全面（至少涵盖现有安全管理要求）是体系设计是否成功的重要评判标准之一。
在设计时，往往会出现一些遗漏的内容，如何及时有效的发现遗漏的内容，这是一个很现实的问题。在这方面，目前我还没有好的控制措施，只能定期对自己所修订的度量域内容进行review外加项目PM的控制。
当然，通过和客户的沟通交流可以在一定程度上弥补这个问题，但不能做到有效控制，因为大多数时候客户也不知道自己要求的细节是什么，即使知道也不会很全面。

 

如何最大限度避免安全关注点的遗漏，这是一个问题，希望在后期的项目中能找到相应的解决方法，也欢迎看到这篇文章的人提供宝贵的建议！

原来以为张江去去也就路途稍远罢了，今天才发现，事情不是想象的那么简单。由于张江地处偏僻，人烟稀少，商业设施缺乏，外加美女少于市区。在张江待久了之后多少搞得自己有些郁闷，甚至有些轻度脑残。每天执着于一些技术或管理细节，整天思前想后，必然会对正常思考有所影响。

今天下班路上，同事P提议一起去吃晚饭，同事D复议，我随口回答：“吃饭没问题，先做个计划吧！”说完，自己狂汗了。昨天一天加今天上午都在做计划，初步受影响了。还好，被人笑了一下就无视了。

整体接触的都是电脑、文件、那几张每天都要看到的脸，时间长了难免麻木，难道看到新鲜事物都会表现出异于常人的情况。

 

同事P新买一windows mobile系统的手机，除了空闲时反复玩弄手机外，近期表现出种种由于长期派驻张江所暴露出的后遗症。症状列举如下：
1、在地铁上旁若无人的自言自语：“这个表情好，拉风啊！”
2、走路走着走着忽然说话：“咦，屏幕可以旋转啊，高科技啊！”
3、“GPS啊，精确的距离啊…………”
4、…………

以上尚属可接受范围内。

下列内容属于在张江长期工作人士的综合症之一：

1、今天我们三人走出人民广场地铁站，刚到地面，P开始感慨：“城里就是不一样啊！”。我和同事D狂汗，丫不会是刚从新疆劳改农场放出来吧。

2、点完菜，五分钟未见上菜，P叫来服务员，“怎么还不上菜啊，你看，我们三个都饿成这样了，快点上菜！”听到这里还算正常，后面的就开始让人狂汗了。“我们三个可是从张江过来的啊，张江啊！”（汗，张江啊，又不是新疆。。。。）

3、饭后途径SWAROVSKI（施华洛世奇）专卖，P忽然说话“湿瓦落旗啊！”，我等喷血中。。。。。

看来，长期在张江工作，真的会让人得病的，而且病得还不轻。

昨天下班前，客户再一次重申了项目计划的重要性。鉴于PM有太多重要的事情要做，他把完成计划这项光荣而又艰巨的任务交给了我。

今天上午，我和客户方的PM共用一张桌子，双方本着和谐、友好、耐心、细致、敬业的态度，根据客户方PM的建议，修订项目实施计划，经过一上午的努力，终于修订出一个对方认同的计划。

回到一楼座位，发现我们的PM已经无情的抛弃了我，独自奔向了食堂。。。

当时，心中只有2个字：“好饿…………”

 

吃饱喝足下午根据客户要求，补充项目质量控制要求和阶段交付物清单，在提交上述物件后，客户要求将上午制定的计划按周整理成每周工作计划表，于是，马不停蹄的进行修订，原本只需完成4周的工作计划表即可，由于我的出色工作，客户方PM要求我一气呵成，完成剩余所有的计划表。

 

在可乐、稳定剂、水和某无情男的鼓励下，我还是很有热情的继续制定计划，今天的一天就在修订计划度过。

 

下班时候，忽然想起带来的蛋糕忘吃了，心中再次涌起2个字：“好饿…………”

说实话，在参与眼前的项目之前，对度量真没什么概念。说度量，我一脸茫然，如果你跟我说自评估，或许还有点概念。

再了解度量的基本概念后，对于度量还是有点想法的，或许还不成熟，先丢出来，权当抛砖引玉，即使没人看，过一段时间自己回头看看自己学习成长的历程也不错。我个人的理解是为客户建立一套比较完善的安全评估体系，通过评估结果，发掘甚至直接发现问题，能直接改进的当然最好，如果不能直接改进（比如制度方面有所缺失或目前尚未顾及此方面），可以籍此对相关的管理制度进行回顾补充，也可以就此引发一些具体的安全实施需求。

按照个人理解，单一体系必然存在大量信息输入和信息反馈，根据信息过剩理念，海量信息其实就相当于没有信息。所以对体系进行划分相当必要，这也是我一直以来考虑的指标和评估双重体系的想法。

以基准的指标说明、检查依据、检查方法和相关输入作为指标体系，为检查评估提供指导和支持；以当前现状及检查发现为主，配合对待处理事项的优先级划分、风险评估、实施难易度、预计完成时间等形成以结果和初步规划为主的评价体系，双重体系互为支持，互相推动。

根据指标体系进行检查评估，根据评估体系中汇总的信息修订完善指标体系。这是基本思路，以这2个体系为基准，配合整套体系的使用手册、技术检查手册、日常检查表可以形成一整套检查体系，配合相关的规划需求材料，可以形成初步的安全建设需求；针对检查评分，配合适当的权重调整（以每年的安全管理重点为基准），可以形成安全管理KPI。

目前想到的是这些，相信随着后期的参与，会有更多的想法，欢迎各位信息安全人事拍砖！

之前停用了本人的msn space，并将相关内容全部搬迁到了163blog，主要是考虑163上传照片方便，另外原先space上文字内容比较悲观，为避免广大msn好友受其不良影响，特将其搬走，如果对那些比较伤感的文字有兴趣的话，可以去 blark2000.blog.163.com。

本空间重新启用后主要会放一些随感，当然也包括对工作、生活的一些看法，但是涉及个人的内容会减少，特此说明。