數(shù)據(jù)中心下一代信息安全架構(gòu)規(guī)劃“十三五規(guī)劃”在即。就安全規(guī)劃中的核心“信息安全架構(gòu)”在新形勢(shì)如何構(gòu)建，天融信公司副總裁李宗洋提了其構(gòu)想。

　　首先是從宏觀上看，信息安全產(chǎn)業(yè)及形勢(shì)的變化。一是安全驅(qū)動(dòng)力：政策合規(guī)、安全需求“雙輪驅(qū)動(dòng)”都在加強(qiáng)。

　　就某種程度而言，2014年可以說(shuō)是真正的信息安全元年。政策性合規(guī)驅(qū)動(dòng)、需求驅(qū)動(dòng)依舊是信息安全市場(chǎng)的兩個(gè)重要的驅(qū)動(dòng)點(diǎn)，而且驅(qū)動(dòng)力都在加強(qiáng)。

　　1、從政策層面看國(guó)家成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，同時(shí)也出臺(tái)了相關(guān)的政策要求對(duì)信息安全產(chǎn)品、云計(jì)算服務(wù)等加強(qiáng)安全審查，通過(guò)政策、法律、規(guī)范的合規(guī)要求加強(qiáng)對(duì)信息安全的把控。自主可控更是是信息安全領(lǐng)域國(guó)家的基本意志體現(xiàn)。

　　2、從需求層面看，隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等，大量的企業(yè)對(duì)信息安全的認(rèn)識(shí)已經(jīng)從“被動(dòng)的防御”變成“主動(dòng)的核心競(jìng)爭(zhēng)力的塑造”，尤其是新型的互聯(lián)網(wǎng)金融、電商業(yè)務(wù)、云計(jì)算業(yè)務(wù)等都前瞻性的把安全當(dāng)做市場(chǎng)競(jìng)爭(zhēng)的重要砝碼并尋求各種資源不斷提升安全性。

　　二是安全關(guān)注點(diǎn)：從“系統(tǒng)”到“業(yè)務(wù)”到“人和數(shù)據(jù)”的轉(zhuǎn)移。

　　哪里有價(jià)值，哪里就有攻擊，攻擊者一定是不斷的靠近價(jià)值層。從未來(lái)看，安全的關(guān)注點(diǎn)也在發(fā)生變化，從早期的關(guān)注系統(tǒng)，到關(guān)注業(yè)務(wù)，到當(dāng)下及未來(lái)更關(guān)注人、關(guān)注數(shù)據(jù)。

　　數(shù)據(jù)：是企業(yè)的核心競(jìng)爭(zhēng)力所在，如何有效保護(hù)這些核心數(shù)據(jù)的安全已經(jīng)得到企業(yè)高層領(lǐng)導(dǎo)的高度重視和密切關(guān)注。尤其在近幾年出現(xiàn)的大量的數(shù)據(jù)泄密事件，更是讓數(shù)據(jù)安全成為整個(gè)信息安全架構(gòu)中最重要的一個(gè)模塊。

　　人是信息安全的最核心要素，再好的技術(shù)手段再完美的流程再嚴(yán)密的制度，沒(méi)有人的安全意識(shí)和技能保障下都無(wú)法確保系統(tǒng)安全，同時(shí)從人入手，提升人的意識(shí)和技能，這項(xiàng)工作在信息安全保障體系中一定能達(dá)到事半功倍的效果，人是信息安全的催化劑，人的安全意識(shí)和技能提升，對(duì)安全產(chǎn)品、安全技術(shù)的作用發(fā)揮會(huì)呈幾何級(jí)或指數(shù)級(jí)的提升。安全的實(shí)質(zhì)是攻與防的博弈，安全的未來(lái)投入會(huì)更多的關(guān)注的“人”的這個(gè)層面。

　　三是安全交付物：從“安全產(chǎn)品”到“安全服務(wù)”到“安全運(yùn)營(yíng)”。

　　同其他產(chǎn)業(yè)一樣，信息安全產(chǎn)業(yè)同樣要經(jīng)歷“產(chǎn)品模式”、“服務(wù)模式”、“體驗(yàn)?zāi)Ｊ?rdquo;的轉(zhuǎn)變，安全實(shí)質(zhì)提供的是知識(shí)和能力，從發(fā)展趨勢(shì)看，安全將從硬件交付、軟件交付向運(yùn)營(yíng)化服務(wù)的過(guò)渡，依托產(chǎn)品+服務(wù)，提供7*24小時(shí)的運(yùn)營(yíng)化服務(wù)才能更無(wú)縫的契合用戶的安全需求。即SAAS：安全即服務(wù)。

　　隨著云的落地，給IT帶來(lái)了巨大的變革。云安全服務(wù)的出現(xiàn)，徹底顛覆了傳統(tǒng)安全產(chǎn)業(yè)基于軟硬件提供安全服務(wù)的模式，降低了企業(yè)部署安全產(chǎn)品的成本，使更多的企業(yè)可以享受到安全運(yùn)營(yíng)保障，全心關(guān)注企業(yè)的核心業(yè)務(wù)。運(yùn)營(yíng)化服務(wù)的SLA和信息保密及隱私的問(wèn)題，是服務(wù)提供商后續(xù)需要重點(diǎn)考慮和解決的。

　　四是安全生態(tài)鏈：從“精細(xì)分工”到“供應(yīng)鏈可信管理”到“安全生態(tài)圈的建設(shè)”。

　　企業(yè)需要構(gòu)建一個(gè)安全的生態(tài)鏈，不僅自身的安全很重要，企業(yè)的上下游安全也很重要，企業(yè)上下游的合作伙伴的安全問(wèn)題都會(huì)給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)，整個(gè)供應(yīng)鏈都需要進(jìn)行嚴(yán)格的安全管理，企業(yè)要做好信息安全，同安全管理機(jī)構(gòu)、安全評(píng)測(cè)機(jī)構(gòu)等保持充分的溝通和聯(lián)系，以便了解國(guó)家的政策規(guī)范，同時(shí)在關(guān)鍵的安全時(shí)期也可以得到相關(guān)機(jī)構(gòu)的支持。構(gòu)建整個(gè)的安全生態(tài)鏈，通過(guò)廣泛的合作來(lái)確保企業(yè)安全目標(biāo)的實(shí)現(xiàn)。

　　從微觀來(lái)看企業(yè)面臨的安全挑戰(zhàn)

　　一是，信息安全犯罪趨利導(dǎo)向明顯，攻擊技術(shù)迅速發(fā)展，威脅源、威脅能力、威脅途徑、威脅者所掌握的資源等要素變化致使更難以應(yīng)對(duì)安全威脅。

　　商業(yè)的競(jìng)爭(zhēng)對(duì)手、可能的敵對(duì)勢(shì)力都可能會(huì)組織力量對(duì)企業(yè)進(jìn)行安全攻擊，以獲取相關(guān)利益。在新的形勢(shì)下，威脅的主體在發(fā)生變化，以前的威脅主體主要是個(gè)體、小組織團(tuán)體，現(xiàn)在的對(duì)手可能會(huì)是有組織的攻擊等。同時(shí)攻擊技術(shù)的迅速發(fā)展，對(duì)企業(yè)的威脅越來(lái)越大。

　　二是劇變的新技術(shù)、新業(yè)務(wù)的應(yīng)用多給企業(yè)帶來(lái)更大的安全風(fēng)險(xiǎn),需要構(gòu)建新的安全能力。

　　以云計(jì)算、大數(shù)據(jù)、社交和移動(dòng)為驅(qū)動(dòng)的新技術(shù)轉(zhuǎn)型將帶領(lǐng)企業(yè)向智慧企業(yè)轉(zhuǎn)型。新業(yè)務(wù)的特點(diǎn)第一:通過(guò)大數(shù)據(jù)和分析建立核心競(jìng)爭(zhēng)優(yōu)勢(shì);第二:通過(guò)云計(jì)算重新塑造企業(yè)業(yè)務(wù)模式;第三:通過(guò)移動(dòng)和社交技術(shù)構(gòu)建互動(dòng)參與體系。新計(jì)算、新網(wǎng)絡(luò)、新應(yīng)用、新數(shù)據(jù)，這些都是今后一段時(shí)期的信息安全方向和熱點(diǎn)，每一個(gè)方向都會(huì)對(duì)未來(lái)的應(yīng)用和業(yè)務(wù)帶來(lái)巨大的改變，同時(shí)也帶來(lái)新的安全挑戰(zhàn)。

　　企業(yè)如何制定下一代信息安全架構(gòu)

　　企業(yè)在執(zhí)行信息安全架構(gòu)時(shí)，要充分考慮整體信息安全產(chǎn)業(yè)及形勢(shì)的變化，從業(yè)務(wù)戰(zhàn)略出發(fā)，采用一定的架構(gòu)模型和方法論，以解決實(shí)際問(wèn)題為落腳點(diǎn)，兼顧未來(lái)的業(yè)務(wù)發(fā)展，制定符合企業(yè)自身發(fā)展的信息安全架構(gòu)。IT安全架構(gòu)目前比較流行的方法有TOGAF等。

　　在進(jìn)行企業(yè)安全架構(gòu)設(shè)計(jì)時(shí)，需要充分考慮整體信息安全產(chǎn)業(yè)及形勢(shì)的變化，

　　合規(guī)性要求的加強(qiáng)，需要多視角的安全符合;

　　需要更有力的頂層安全設(shè)計(jì):安全架構(gòu)核心是支撐企業(yè)業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施;

　　有關(guān)鍵點(diǎn)：專注近2、3年需要解決的關(guān)鍵問(wèn)題。避免僅僅追卻大而全;

　　有超前性，能夠涵蓋2、3年的安全范疇。新的業(yè)務(wù)、計(jì)算模式，需要新的安全能力。

　　具體的設(shè)計(jì)方法包括自頂向下的架構(gòu)設(shè)計(jì)和自下而上的建設(shè)支撐兩個(gè)方向。同時(shí)可以橫向最佳實(shí)踐的借鑒(同類企業(yè))

　　自頂向下的架構(gòu)設(shè)計(jì)

　　信息安全實(shí)質(zhì)是IT的一部分，企業(yè)信息安全架構(gòu)也可以從IT中進(jìn)行借鑒。在IT領(lǐng)域，目前比較流行的是采用企業(yè)架構(gòu)EA的方法來(lái)進(jìn)行架構(gòu)設(shè)計(jì)和規(guī)劃。從企業(yè)戰(zhàn)略開(kāi)始、以需求管理為核心，從企業(yè)戰(zhàn)略到業(yè)務(wù)，再到應(yīng)用，再到系統(tǒng)的設(shè)計(jì)方法，以及其中的設(shè)計(jì)內(nèi)容。一步步分析并制定業(yè)務(wù)安全架構(gòu)、數(shù)據(jù)安全架構(gòu)、應(yīng)用安全架構(gòu)、基礎(chǔ)設(shè)施安全架構(gòu)等。

　　自下而上的建設(shè)支撐

　　企業(yè)的安全架構(gòu)要落到實(shí)處，需要以解決企業(yè)安全問(wèn)題為出發(fā)點(diǎn)，根據(jù)企業(yè)的目標(biāo)與現(xiàn)狀，根據(jù)架構(gòu)設(shè)計(jì)而展開(kāi)的高階方案制定和項(xiàng)目清單梳理，進(jìn)一步進(jìn)行具體的任務(wù)、項(xiàng)目建設(shè)規(guī)劃，通過(guò)具體的任務(wù)或項(xiàng)目來(lái)支撐業(yè)務(wù)安全架構(gòu)、數(shù)據(jù)安全架構(gòu)、應(yīng)用安全架構(gòu)、基礎(chǔ)設(shè)施安全架構(gòu)的實(shí)現(xiàn)。

　　最佳實(shí)踐的借鑒：

　　借鑒同類型企業(yè)的信息安全架構(gòu)及管理實(shí)踐，形成自身的安全架構(gòu)，業(yè)內(nèi)有很多這樣的溝通和交流，別人的最佳實(shí)踐是有不少值得借鑒的。

　　構(gòu)建下一代安全架構(gòu)關(guān)鍵點(diǎn)

　　1、了解攻擊者到底在哪里?(分析威脅源)

　　通過(guò)威脅要素的識(shí)別，“威脅的來(lái)源”、“威脅的途徑”、“威脅的場(chǎng)景”、“威脅的層次”、“威脅的可能性”，以要素為關(guān)鍵點(diǎn)，建立應(yīng)用系統(tǒng)安全威脅模型，得出業(yè)務(wù)系統(tǒng)可能面臨的安全威脅。從人的視角的威脅源主要有以下四類：

　　內(nèi)部員工的誤操作、濫用職權(quán)

　　以前有過(guò)專門(mén)的統(tǒng)計(jì)，80%的安全問(wèn)題是內(nèi)部造成的。內(nèi)部員工的誤操作、濫用職權(quán)是威脅的一個(gè)重要來(lái)源。尤其是能夠接觸到用戶敏感信息的內(nèi)部管理員等。以前也多次出現(xiàn)有內(nèi)部員工售賣(mài)用戶信息的行為發(fā)生。對(duì)于內(nèi)部員工的維護(hù)、業(yè)務(wù)操作，要考慮日志審計(jì)、留取證據(jù)等。

　　一般黑客

　　這兩天剛剛爆發(fā)的bash破殼漏洞，再往前爆發(fā)的心臟出血漏洞，這些新漏洞一出來(lái)，網(wǎng)上有大量的攻擊者會(huì)利用自動(dòng)化工具進(jìn)行漏洞探測(cè)，發(fā)現(xiàn)有問(wèn)題的系統(tǒng)會(huì)直接攻擊，拿下系統(tǒng)以供后續(xù)備用。我們平時(shí)安全工作做的再好，碰上這種新暴露的漏洞可能真防不勝防。

　　這種一般黑客，可能在你稍微打盹的時(shí)候就進(jìn)入了你的系統(tǒng)。放后門(mén)、拖褲等等開(kāi)始以系列的行為。

　　商業(yè)競(jìng)爭(zhēng)對(duì)手

　　商業(yè)上的競(jìng)爭(zhēng)對(duì)手很可能會(huì)“關(guān)心”你的系統(tǒng)安全，歷史上也出現(xiàn)過(guò)利用IT系統(tǒng)漏洞獲取企業(yè)的客戶信息、合同信息以及相關(guān)商業(yè)機(jī)密信息。好多公司的郵件服務(wù)器權(quán)限其實(shí)競(jìng)爭(zhēng)對(duì)手手里也有。你的競(jìng)爭(zhēng)對(duì)手也可能雇傭“黑客”來(lái)對(duì)企業(yè)做定點(diǎn)攻擊。這種情況出現(xiàn)過(guò)很多起。

　　敵對(duì)組織或國(guó)家

　　對(duì)一些商業(yè)上有一定影響力的公司，比如你的業(yè)務(wù)可能開(kāi)展到海外，或者競(jìng)爭(zhēng)對(duì)手可能來(lái)自于海外，這些都有可能受到敵對(duì)組織或國(guó)家的攻擊。這些也可以理解為常

　　說(shuō)的APT攻擊。在斯諾登所透露的信息中，我國(guó)著名的通信設(shè)備廠商也受到了美國(guó)NSA的攻擊。

　　2、戰(zhàn)略、合規(guī)驅(qū)動(dòng)導(dǎo)向加強(qiáng)：

　　隨著國(guó)家對(duì)信息安全的重視，企業(yè)面臨來(lái)自國(guó)家、組織、行業(yè)的合規(guī)性安全要求越來(lái)越多。企業(yè)需要積極的實(shí)現(xiàn)合規(guī)性目標(biāo)。在建立安全體系時(shí)，應(yīng)充分識(shí)別相關(guān)的法律、規(guī)范等合規(guī)性要求，同時(shí)要關(guān)注行業(yè)或同類企業(yè)的最佳實(shí)踐，完善或重新定義企業(yè)的風(fēng)險(xiǎn)管理和合規(guī)性管理架構(gòu)。

　　3、新技術(shù)的應(yīng)用：

　　基礎(chǔ)架構(gòu)防護(hù)必須積極考慮新技術(shù)的運(yùn)用，以及各個(gè)作用層面上適用的安全能力。云計(jì)算安全、Anti APT、BYOD、大數(shù)據(jù)綜合分析、數(shù)據(jù)安全等等都是需要考慮的內(nèi)容。

　　4、數(shù)據(jù)安全是企業(yè)架構(gòu)的核心：

　　數(shù)據(jù)是企業(yè)的核心資產(chǎn)，需要進(jìn)行數(shù)據(jù)安全架構(gòu)的設(shè)計(jì)，圍繞數(shù)據(jù)安全生命周期打造多層防御的信息安全體系。針對(duì)當(dāng)前越來(lái)越多的用戶信息泄密，可以重點(diǎn)突出“用戶隱私”，這個(gè)在國(guó)外比較重視，有些企業(yè)因?yàn)橛脩粜畔⑿姑艹霈F(xiàn)CEO等管理團(tuán)隊(duì)辭職的情況。

　　5、“全線全時(shí)”業(yè)務(wù)安全保障：

　　為了更有效的控制安全風(fēng)險(xiǎn)，信息、軟件和資源的全生命周期安全管理勢(shì)在必行，需要端對(duì)端的“全線全時(shí)”業(yè)務(wù)安全保障。

　　6、打造信息安全生態(tài)圈：

　　企業(yè)需要構(gòu)建一個(gè)安全的生態(tài)圈，不僅自身的安全很重要，企業(yè)的上下游安全也很重要，同時(shí)安全管理機(jī)構(gòu)、安全評(píng)測(cè)機(jī)構(gòu)等相關(guān)機(jī)構(gòu)都需要保持充分的溝通和聯(lián)系，通過(guò)廣泛的合作來(lái)確保企業(yè)安全目標(biāo)的實(shí)現(xiàn)。生態(tài)圈的管理包括管理制度、流程以及技術(shù)手段的建設(shè)等。

　　安全架構(gòu)樣例

　　在最佳實(shí)踐的研究上面，下一代安全架構(gòu)借鑒了EA方法，并對(duì)EA架構(gòu)模型進(jìn)行了詳細(xì)的分析和研究。整體安全架構(gòu)的基本框架變化不大，下一代企業(yè)信息安全架構(gòu)：

　　(1)、以組織為本，企業(yè)信息安全架構(gòu)同樣分作了戰(zhàn)略層、管理層、執(zhí)行層。只有結(jié)合到現(xiàn)在的管理架構(gòu)或優(yōu)化現(xiàn)有的管理架構(gòu)，才能更好的推進(jìn)信息安全工作。所以第一緯度是安全組織的角度分三層考慮。

　　(2)、執(zhí)行層主要參考EA的企業(yè)架構(gòu)模型。進(jìn)行分層設(shè)計(jì)。包括基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)安全等。

　　(3)、架構(gòu)不是只設(shè)計(jì)一個(gè)框架，后續(xù)的架構(gòu)管控和架構(gòu)變更也一定是架構(gòu)設(shè)計(jì)的一部分重要內(nèi)容。

　　企業(yè)安全架構(gòu)規(guī)劃方法論及關(guān)鍵點(diǎn)

　　在制定企業(yè)信息安全架構(gòu)以前，企業(yè)高層對(duì)信息安全認(rèn)識(shí)至關(guān)重要。將安全作為業(yè)務(wù)的一項(xiàng)核心競(jìng)爭(zhēng)力，“主動(dòng)的”進(jìn)行安全建設(shè)工作，應(yīng)該是一個(gè)企業(yè)高層對(duì)信息安全認(rèn)識(shí)的基本出發(fā)點(diǎn)。

　　在制定企業(yè)信息安全架構(gòu)的一些關(guān)鍵要點(diǎn)如下：

　　首先依據(jù)企業(yè)的發(fā)展戰(zhàn)略，明確定義企業(yè)的安全愿景、目標(biāo)、角色和需要的安全能力等，然后再?gòu)臉I(yè)務(wù)到應(yīng)用，再到系統(tǒng)再到基礎(chǔ)架構(gòu)。一步步分析并制定業(yè)務(wù)安全架構(gòu)、數(shù)據(jù)安全架構(gòu)、應(yīng)用安全架構(gòu)、基礎(chǔ)設(shè)施安全架構(gòu)等。

　　行業(yè)的安全要求：主要關(guān)注法律、規(guī)范等合規(guī)性的要求。比如PCI/DSS、HIPAA、等級(jí)保護(hù)、數(shù)據(jù)安全保護(hù)等。同時(shí)要關(guān)注行業(yè)的最佳實(shí)踐比如ISO 2700X、COSO企業(yè)風(fēng)險(xiǎn)管理、ITIL等。

　　企業(yè)的業(yè)務(wù)需求：進(jìn)行現(xiàn)狀及風(fēng)險(xiǎn)評(píng)估，根據(jù)業(yè)務(wù)策略和IT戰(zhàn)略，結(jié)合信息安全總體需求，提出信息安全的總體目標(biāo)、建設(shè)思路，企業(yè)安全總體架構(gòu)等。

　　注重未來(lái)的業(yè)務(wù)發(fā)展：考慮一些前瞻性的業(yè)務(wù)方向，進(jìn)行面向未來(lái)的信息安全架構(gòu)頂層設(shè)計(jì)。

　　架構(gòu)不是只設(shè)計(jì)一個(gè)框架，后續(xù)的架構(gòu)管控和架構(gòu)變更也一定是架構(gòu)設(shè)計(jì)的一部分重要內(nèi)容。

　　企業(yè)在進(jìn)行體系建設(shè)工作方法上需要關(guān)注的點(diǎn)

　　落地是最難的，引用哥倫布的故事：五百年前，當(dāng)偉大的航海計(jì)劃在哥倫布心中萌動(dòng)(目標(biāo)清晰)，他用了五年的時(shí)間成主水手(定位明確)，再用了五年的時(shí)間成為學(xué)者(手段先進(jìn))，最后用了五年的時(shí)間四處演說(shuō)，爭(zhēng)取支持(領(lǐng)導(dǎo)支持、同事理解)，一朝啟程(組織到位)，短短八個(gè)月里(流程順暢)，哥倫布發(fā)現(xiàn)了新大陸，他成了在歷史的長(zhǎng)河中流光溢彩的人物。值得信息安全人員借鑒。

　　(1)“大處著眼、小處入手”

　　僅僅講思路是不夠的，要注意操作層面的東西。有了思路以后，必須要考慮階段性的目標(biāo)、重點(diǎn)是什么、如何有效階段呈現(xiàn)工作效果讓別人認(rèn)可，這些都是保證工作能持續(xù)的關(guān)鍵。

　　(2)“先僵化、后優(yōu)化、再固化”

　　快速上路很重要，在實(shí)施和推廣過(guò)程中一定要堅(jiān)持“先僵化、后優(yōu)化、再固化”的思想，快速上路、快速調(diào)整。

　　(3)“三個(gè)一把手原則”

　　高層領(lǐng)導(dǎo)一把手，即取得最高管理層的支持和認(rèn)可是項(xiàng)目成功的關(guān)鍵，在項(xiàng)目建設(shè)和變革過(guò)程中要打破部門(mén)墻;

　　中層各部門(mén)一把手，通過(guò)對(duì)業(yè)務(wù)流程的優(yōu)化，項(xiàng)目實(shí)施帶給業(yè)務(wù)收益和效率提升來(lái)進(jìn)行引導(dǎo)，這樣就減少了阻力，形成動(dòng)力;

　　各基層部門(mén)操作崗位的一把手，更好的推廣、監(jiān)督、宣傳，實(shí)現(xiàn)最大目標(biāo)。

　　(4)思維的支點(diǎn)至關(guān)重要

　　從外向內(nèi)看，從用戶角度向自身投射看。outside-in的思路很關(guān)鍵而不是inside-out。其實(shí)好多時(shí)候思路的出發(fā)點(diǎn)最關(guān)鍵。換位思考， outside-in，從別人的角度來(lái)映射回看問(wèn)題。

　　(5) “以終為始”

　　設(shè)計(jì)好(或思考好)路線和過(guò)程，從目標(biāo)定期往回審視。避免：走的太遠(yuǎn)，忘記了為什么而出發(fā)。

　　(6)“持續(xù)優(yōu)化，不斷改進(jìn)”

　　選擇能夠與競(jìng)爭(zhēng)環(huán)境和業(yè)務(wù)需求匹配的系統(tǒng)，盡快行動(dòng)起來(lái)，開(kāi)始分享項(xiàng)目建設(shè)帶來(lái)的回報(bào)，等待完美不會(huì)帶來(lái)收益，信息安全項(xiàng)目是一個(gè)持續(xù)優(yōu)化，不斷改進(jìn)的過(guò)程。