美軍網(wǎng)絡(luò)安全事故處理的啟示與思考*

嚴(yán)麗娜，譚 薇，楊俊強(qiáng)

（國防科技大學(xué)信息通信學(xué)院試驗訓(xùn)練基地，陜西 西安 710106）

0 引 言

隨著互聯(lián)網(wǎng)的發(fā)展，國家和軍事信息網(wǎng)絡(luò)安全威脅與日俱增。美國在全球擁有上千個軍事基地，軍事網(wǎng)絡(luò)超過15萬個，計算機(jī)等各種終端設(shè)備超過700萬臺。美軍國防部網(wǎng)絡(luò)每天都會遭到幾百萬次刺探，不斷有個人或組織嘗試對國防部運(yùn)轉(zhuǎn)所依賴的網(wǎng)絡(luò)和系統(tǒng)實施利用、破壞和降級。美國國防部信息網(wǎng)絡(luò)包括國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)，面臨全方位的網(wǎng)絡(luò)威脅，其中APT威脅可以繞過商用安全工具和欺騙過最好的通用安全防護(hù)。有些國家從未停止對美國國防部信息網(wǎng)絡(luò)的入侵試探；許多情報機(jī)構(gòu)已具有破壞國防部信息網(wǎng)絡(luò)和信息系統(tǒng)的能力；許多個人和組織不斷威脅要滲透和破壞國防部信息網(wǎng)絡(luò)和系統(tǒng)。加上幾年來披露的各種漏洞和頻繁發(fā)生的網(wǎng)絡(luò)安全事件，在如此復(fù)雜的網(wǎng)絡(luò)信息環(huán)境下，美軍提出了網(wǎng)絡(luò)安全事件的相關(guān)處置規(guī)范和手冊，并實施了一系類有效措施，這無疑對提升美軍的網(wǎng)絡(luò)空間作戰(zhàn)能力具有非常重要的意義。

2018年4月，我國國家互聯(lián)網(wǎng)應(yīng)急中心（“CNCERT”）提出，將“網(wǎng)絡(luò)安全事件共享與處置”作為未來工作的重要部分，以提升中國對網(wǎng)絡(luò)安全威脅處置的整體能力，提高我國網(wǎng)絡(luò)安全行業(yè)的總體技術(shù)水平和競爭力。本文立足研究美軍進(jìn)行網(wǎng)絡(luò)安全事故處理的基本思路和基本方法，力圖為我國有效實施網(wǎng)絡(luò)安全事故處理提供借鑒。

1 美軍網(wǎng)絡(luò)安全事故處理的基本思路

為了確保在網(wǎng)絡(luò)空間的控制權(quán)，維持美軍正常的作戰(zhàn)和值勤能力，美國國防部先后發(fā)布關(guān)于網(wǎng)絡(luò)事故處理的規(guī)范文件，如《CJCSM 6510.01a信息保障（IA）和計算機(jī)網(wǎng)絡(luò)防御（CND）第一卷 事故處理計劃》《CJCSM 6510.01b網(wǎng)絡(luò)事故處理計劃》和參謀長聯(lián)席會議主席手冊等，使國防部內(nèi)部各組織在發(fā)現(xiàn)網(wǎng)絡(luò)事件時，能依據(jù)一定的網(wǎng)絡(luò)事故處理規(guī)范和程序響應(yīng)網(wǎng)絡(luò)事故。國防部制定的網(wǎng)絡(luò)事故處理計劃，使國防部系統(tǒng)內(nèi)部能以一種全面規(guī)范的、可重復(fù)的、可度量的、可相互理解的處理方式處理網(wǎng)絡(luò)安全事故，顯著提升了國防部網(wǎng)絡(luò)事件和事故的快速檢測、識別和響應(yīng)能力，保障其信息網(wǎng)絡(luò)和信息系統(tǒng)具備穩(wěn)定的強(qiáng)大抵御網(wǎng)絡(luò)入侵和進(jìn)行快速網(wǎng)絡(luò)事故處理的能力。相關(guān)計劃還力圖在國防部內(nèi)各相關(guān)單位和其他單位之間展開有效協(xié)作，便于監(jiān)控網(wǎng)絡(luò)安全態(tài)勢，采集分析網(wǎng)絡(luò)活動規(guī)律，收集歸類和推廣應(yīng)用網(wǎng)絡(luò)事故處理的經(jīng)驗做法，并采用自動化工具對這些數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，建立網(wǎng)絡(luò)事故處理知識庫，以快速應(yīng)對可能發(fā)生的任何網(wǎng)絡(luò)事故[1]。同時，該計劃還規(guī)定了對網(wǎng)絡(luò)事故進(jìn)行處理的組織和個人在處理網(wǎng)絡(luò)事故時應(yīng)當(dāng)遵守的一些通用規(guī)則，以及在涉及到相關(guān)法律問題時的處理權(quán)限等。

對網(wǎng)絡(luò)事故處理的規(guī)范，使得美國國防部能夠統(tǒng)一協(xié)調(diào)各相關(guān)單位，并與各單位均按照統(tǒng)一的流程處理網(wǎng)絡(luò)安全事故，同時保留事故處理過程中的相關(guān)記錄、經(jīng)驗和證據(jù)。這是美軍提高和維持網(wǎng)絡(luò)空間作戰(zhàn)能力的重要舉措之一。

美國國防部網(wǎng)絡(luò)事故處理計劃圍繞網(wǎng)絡(luò)事故生命周期和各階段的不同安全防護(hù)任務(wù)展開，規(guī)定了網(wǎng)絡(luò)事故處理計劃的目的、任務(wù)范圍、組織機(jī)構(gòu)及職責(zé)，以及與國防部整體計算機(jī)網(wǎng)絡(luò)防御計劃的關(guān)系等，闡述了網(wǎng)絡(luò)事故處理方法，主要包括網(wǎng)絡(luò)事故處理的目標(biāo)、流程和方法等，最后分別描述了網(wǎng)絡(luò)事故報告機(jī)制、網(wǎng)絡(luò)事故分析方法、網(wǎng)絡(luò)事故響應(yīng)方法、網(wǎng)絡(luò)事故協(xié)調(diào)機(jī)制以及網(wǎng)絡(luò)事故分析工具等網(wǎng)絡(luò)事故處理計劃所涉及的不同要素。

經(jīng)過認(rèn)真梳理，美軍整個網(wǎng)絡(luò)事故處理計劃的主要思路清晰可見，即依據(jù)網(wǎng)絡(luò)安全事件的類別和優(yōu)先級確定處理的方式方法、相關(guān)單位處理權(quán)限和處理時限。首先對網(wǎng)絡(luò)事故進(jìn)行分類，確立各類的優(yōu)先級；在發(fā)現(xiàn)可疑事件或事故時，依據(jù)事故分類和優(yōu)先級，確定事故的初步處理，如上報、初步分析、采取初步響應(yīng)行為等；其次，進(jìn)行網(wǎng)絡(luò)事件分析和事件（事故）響應(yīng)，阻止影響的擴(kuò)大，并修正防護(hù)策略，以阻止該事件（事故）的再次發(fā)生；最后，對該事件（事故）進(jìn)行威脅評估，消除事件（事故）影響，恢復(fù)網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行。在整個流程中，會在必要的時候向國防部報告，便于生成全網(wǎng)安全態(tài)勢，并及時向可能遭受同樣攻擊的相關(guān)單位進(jìn)行預(yù)警，實現(xiàn)“一點受攻擊，全網(wǎng)都響應(yīng)”的主動安全、動態(tài)安全策略[2]。

2 美軍網(wǎng)絡(luò)安全事故處理的基本流程

2.1 網(wǎng)絡(luò)事件處理機(jī)構(gòu)分級

美國國防部網(wǎng)絡(luò)安全事故處理所涉及的組織結(jié)構(gòu)包括三個等級：第一級（全球級）、第二級（區(qū)域/戰(zhàn)區(qū)級）和第三級（本地級）。這些機(jī)構(gòu)中，第一級是最高級別，第三級是最低級別。低級別機(jī)構(gòu)在發(fā)現(xiàn)事故或可疑事件后，依據(jù)其分類和優(yōu)先級向上級機(jī)構(gòu)報告；上級機(jī)構(gòu)根據(jù)事故的分類、優(yōu)先級和影響范圍等，決定是否向上級報告，并進(jìn)行事故分析，指導(dǎo)下級進(jìn)行事故響應(yīng)。上級也可根據(jù)已經(jīng)獲得的網(wǎng)絡(luò)安全預(yù)警信息，命令下級實施相關(guān)的網(wǎng)絡(luò)安全行動和協(xié)作。

2.2 網(wǎng)絡(luò)事件報告機(jī)制

事故報告機(jī)制是將所有應(yīng)上報網(wǎng)絡(luò)事件或事故通過統(tǒng)一的網(wǎng)絡(luò)事件處理平臺進(jìn)行上報的過程。它確保能通過報告的信息逐步提供對事故準(zhǔn)確、有意義的徹底理解，包括初始檢測、分析、事故的解決和事件處置過程的關(guān)閉等。在網(wǎng)絡(luò)事故報告機(jī)制部分，DoD提出了網(wǎng)絡(luò)事故報告的途徑、格式、時限和注意事項等。這些報告信息為網(wǎng)絡(luò)安全態(tài)勢分析、事故處理、數(shù)據(jù)綜合、統(tǒng)籌分析等提供了多種有價值的數(shù)據(jù)來源。值得注意的是，美軍在事件報告階段，著重上報的時效性，而對關(guān)于網(wǎng)絡(luò)事件信息的完整性要求較低，僅提供能夠提供的信息即可，然后通過對事件的逐步調(diào)查逐漸完善事故的描述信息，并最終達(dá)到對事故的完整描述。

2.3 網(wǎng)絡(luò)事件處理

網(wǎng)絡(luò)事故處理的一般過程包括事件（事故）分類、事件檢測、初步分析和識別、初步響應(yīng)行動、事故分析、網(wǎng)絡(luò)事故響應(yīng)和事故后分析等階段，以及網(wǎng)絡(luò)事故處理所涉及的協(xié)調(diào)關(guān)系。

2.3.1 網(wǎng)絡(luò)事件（事故）劃分

美軍將網(wǎng)絡(luò)事件根據(jù)其對網(wǎng)絡(luò)或信息系統(tǒng)的危害程度劃分為10個類型，優(yōu)先級分為0～9級。在網(wǎng)絡(luò)事故或事件適用多個類別時，按照優(yōu)先級高的類型處理。事件（事故）類型及優(yōu)先級關(guān)系如表1所示。

表1 事件（事故）分類及優(yōu)先級描述

表1中的事故分類和優(yōu)先級關(guān)系，是后續(xù)進(jìn)行網(wǎng)絡(luò)事故處理的基本依據(jù)。不同類型和優(yōu)先級的事故，其處理方式、時限等會有不同的要求。

2.3.2 網(wǎng)絡(luò)事件（事故）處置流程

網(wǎng)絡(luò)事件處理流程是按照網(wǎng)絡(luò)事件的生命周期確定的，基本流程可劃分為6個階段——事件的檢測，事故的初步分析和識別，初步響應(yīng)行動，事故分析，響應(yīng)和恢復(fù)，事后分析，如圖1所示。

圖1 網(wǎng)絡(luò)事件生命周期

網(wǎng)絡(luò)事件檢測是一個連續(xù)過程，是網(wǎng)絡(luò)事故生命周期的第一個階段，用于識別任何可能對信息網(wǎng)絡(luò)、信息系統(tǒng)或作戰(zhàn)任務(wù)產(chǎn)生不利影響的異常網(wǎng)絡(luò)或信息系統(tǒng)活動。

事故的初步分析和識別是對已檢測到的網(wǎng)絡(luò)事件進(jìn)行初步分析，以確定它是否為應(yīng)上報網(wǎng)絡(luò)事件或事故的過程。

初級的響應(yīng)是為保護(hù)信息網(wǎng)絡(luò)或信息系統(tǒng)免遭任何惡意行為的更大破壞而采取的初步應(yīng)急行動。

事故分析是為了找出事故中到底發(fā)生了什么而采取的一系列分析步驟，是比初步分析更詳細(xì)的取證和分析。事故分析的核心是了解事故的詳細(xì)信息，通過對一系列事故分析步驟，了解事故的技術(shù)細(xì)節(jié)、問題的根源和潛在影響。事故分析的結(jié)果有助于確定收集哪些額外信息、與他人共享協(xié)調(diào)信息，并制定響應(yīng)行動方案。

響應(yīng)和恢復(fù)是為防止損害擴(kuò)大、恢復(fù)受影響信息系統(tǒng)的完整性以及實施跟進(jìn)策略以防止事故再次發(fā)生而采取的更具體的響應(yīng)步驟。

事故后分析是評估事故處理的有效性和效率，產(chǎn)生的數(shù)據(jù)包括吸取的經(jīng)驗教訓(xùn)、最初的事故根源、行動方案執(zhí)行中的問題、缺少的政策和程序、不適當(dāng)?shù)幕A(chǔ)設(shè)施防御策略等，便于進(jìn)行后續(xù)網(wǎng)絡(luò)安全事故處理的優(yōu)化、網(wǎng)絡(luò)安全防護(hù)策略的修正以及各種協(xié)調(diào)工作的改進(jìn)[3]。

2.3.3 網(wǎng)絡(luò)事件（事故）處理的方法步驟

網(wǎng)絡(luò)事故處理的方法步驟包括9個方面。

（1）收集信息。確定并收集有關(guān)該事故的所有相關(guān)信息，以備事故分析中使用。

（2）驗證事故。對應(yīng)報告事故進(jìn)行審查、確認(rèn)和更新（如可能的話），確保所有信息是準(zhǔn)確的，與報告是一致的。

（3）確定傳遞載體。分析信息以確定威脅者所使用的傳遞載體。

（4）確定系統(tǒng)的弱點。分析信息以確定任何能防止或減輕事故影響的相關(guān)系統(tǒng)的弱點、漏洞或安全控制。

（5）確定根本原因。分析信息以確定特定系統(tǒng)中事故發(fā)生的原因。

（6）確定影響。分析收集到的信息來驗證和擴(kuò)大原有的初步分析期間所做的初始影響評估。

（7）研究和制定COA。制定必要的措施，以響應(yīng)應(yīng)上報網(wǎng)絡(luò)事件或事故，修復(fù)信息系統(tǒng)，并對信息系統(tǒng)和信息網(wǎng)絡(luò)進(jìn)行風(fēng)險評估。

（8）其他協(xié)調(diào)工作。與其他相關(guān)部門協(xié)調(diào)工作，收集更多的信息，獲得援助和更多的專業(yè)知識或指南，并將應(yīng)上報事件、事故及事故處理活動的狀態(tài)變化情況通知有關(guān)業(yè)務(wù)和技術(shù)部門。

（9）執(zhí)行相關(guān)性和趨勢分析。包括分析和確定在短期內(nèi)事故之間的關(guān)系、趨勢以及長期內(nèi)事故之間的模式。

在進(jìn)行網(wǎng)絡(luò)安全事故處理過程中，可能涉及到其他部門或者法律等問題，需要在事故處理過程中進(jìn)行適當(dāng)協(xié)調(diào)，便于在遵守法律的前提下，快速、安全、盡可能地在不影響正常業(yè)務(wù)的情況下，消除網(wǎng)絡(luò)安全事故的影響。

3 對我國網(wǎng)絡(luò)安全事故處理的啟示與思考

網(wǎng)絡(luò)安全是國家安全的重要組成部分，關(guān)系到國家政治局勢的穩(wěn)定、經(jīng)濟(jì)社會的秩序、金融市場的安定、未來信息化戰(zhàn)爭的勝負(fù)，成為信息化時代各國競相爭奪的戰(zhàn)略制高點。習(xí)近平主席強(qiáng)調(diào)，“網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國”。網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國計民生的全局性問題，因此必須樹立網(wǎng)絡(luò)安全大觀念，從大處著手，從全局著手，構(gòu)建包括戰(zhàn)略、體制、機(jī)制、平臺、系統(tǒng)和人才等全方位的網(wǎng)絡(luò)安全大布局，形成“觸一發(fā)而動全身”的網(wǎng)絡(luò)安全大系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)安全事故發(fā)現(xiàn)即通告、發(fā)現(xiàn)即處置、發(fā)現(xiàn)即阻止的動態(tài)安全態(tài)勢。

3.1 擴(kuò)大網(wǎng)絡(luò)安全的保護(hù)對象

在信息化時代，網(wǎng)絡(luò)安全事件的攻擊目標(biāo)難以琢磨。例如，針對美軍遭受的網(wǎng)絡(luò)攻擊，美軍已經(jīng)從國防部到國土安全部，從設(shè)備提供商到服務(wù)提供商，從人力資源部到各種醫(yī)療組織，甚至是社交網(wǎng)站和網(wǎng)上零售商店等，利用大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)提取有用的信息，保持對各種網(wǎng)絡(luò)事件的警惕、感知和自主防御能力。我軍網(wǎng)絡(luò)安全保護(hù)的直接對象也應(yīng)當(dāng)從單純的保護(hù)軍事網(wǎng)絡(luò)和軍事信息系統(tǒng)拓展到保護(hù)國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)、國家基礎(chǔ)網(wǎng)絡(luò)、教育網(wǎng)絡(luò)、移動網(wǎng)絡(luò)以及軍事信息網(wǎng)絡(luò)各種設(shè)備提供商、各種服務(wù)提供商、各種物流服務(wù)商、銀行、醫(yī)院、各種社會服務(wù)性機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)，甚至是社交媒體網(wǎng)站等，同時應(yīng)當(dāng)覆蓋重要的行業(yè)和大用戶群體，如電信行業(yè)、電力行業(yè)、手機(jī)終端群體、各種智能監(jiān)控系統(tǒng)和設(shè)備，以及涉及國計民生的基礎(chǔ)行業(yè)，如自來水行業(yè)、油氣行業(yè)等，從中獲取網(wǎng)絡(luò)大數(shù)據(jù)，分析和預(yù)測網(wǎng)絡(luò)安全事件的發(fā)生，并防止從信息網(wǎng)絡(luò)中刺探軍事信息的行為，及時發(fā)現(xiàn)，及時制止，防止出現(xiàn)信息的大泄露而對軍事信息和軍事網(wǎng)絡(luò)造成危害。

3.2 構(gòu)建軍事信息網(wǎng)絡(luò)大安全

從國家網(wǎng)絡(luò)安全大觀念出發(fā)，軍事信息網(wǎng)絡(luò)安全不能僅僅依賴軍事網(wǎng)絡(luò)的安全防護(hù)，而應(yīng)該將軍事信息網(wǎng)放在全國的網(wǎng)絡(luò)安全大局下進(jìn)行進(jìn)行網(wǎng)絡(luò)安全防御部署。網(wǎng)絡(luò)安全在民用網(wǎng)絡(luò)和軍事網(wǎng)絡(luò)中有很多可以相互借鑒、相互支持的地方。當(dāng)前，美軍已經(jīng)將民用網(wǎng)絡(luò)的安全防護(hù)納入軍事網(wǎng)絡(luò)的安全防護(hù)范疇。對我軍而言，構(gòu)建網(wǎng)絡(luò)安全大局，應(yīng)當(dāng)將軍事信息網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供商以及相關(guān)第三方都納入軍事網(wǎng)絡(luò)安全防御范疇，對中國移動、中國電信、中國聯(lián)通、中國網(wǎng)通、中國廣電、中國華為、中國中興等大型電信設(shè)備和運(yùn)營廠商企業(yè)以及騰訊、360、百度、京東、搜狐、小米、優(yōu)酷、新浪、樂視、迅雷等大型公司的網(wǎng)絡(luò)進(jìn)行日常流量監(jiān)測，采集威脅數(shù)據(jù)并進(jìn)行大數(shù)據(jù)分析，得到各種威脅的樣本信息，并深入分析各種網(wǎng)絡(luò)威脅，了解其工作原理、特征以及預(yù)防措施和方法，構(gòu)建網(wǎng)絡(luò)安全威脅知識庫；統(tǒng)計分析網(wǎng)絡(luò)惡意流量的發(fā)展趨勢，建模、預(yù)測網(wǎng)絡(luò)流量，形成網(wǎng)絡(luò)流量模型和流量趨勢數(shù)據(jù)，從而為應(yīng)對網(wǎng)絡(luò)安全事件提供第一手的基礎(chǔ)大數(shù)據(jù)支持[4]。網(wǎng)絡(luò)安全威脅知識庫、網(wǎng)絡(luò)流量模型及流量趨勢數(shù)據(jù)，將成為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施之一，為網(wǎng)絡(luò)安全事故的處置提供直接支持。

3.3 開展網(wǎng)絡(luò)安全領(lǐng)域的大合作

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展和各種黑客組織的逐步專業(yè)化、功利化，網(wǎng)絡(luò)安全事件的復(fù)雜程度大大增加。近幾年發(fā)現(xiàn)的震網(wǎng)病毒、Duqu病毒、火焰病毒、勒索病毒等，背后都隱藏著一個有組織、專業(yè)化、技術(shù)精湛的團(tuán)隊。因此，僅僅依靠某個網(wǎng)絡(luò)安全機(jī)構(gòu)，在短時間內(nèi)難以進(jìn)行有效的分析和防護(hù)。以火焰病毒為例，根據(jù)卡巴斯基首席安全專家亞歷山大·戈斯捷夫表示，由于“火焰”病毒體積較大且編寫方式非常復(fù)雜，因此可能需花上數(shù)年時間才能完全了解該病毒的全部情況。因此，未來應(yīng)對網(wǎng)絡(luò)安全控件的各種威脅，必須依靠網(wǎng)絡(luò)安全公司、廠商以及各種機(jī)構(gòu)、民間團(tuán)體等的大合作、大協(xié)調(diào)，才能在短時間內(nèi)有效分析惡意病毒，找到應(yīng)對的方法。進(jìn)行網(wǎng)絡(luò)安全領(lǐng)域的大合作、大協(xié)調(diào)，必須建立網(wǎng)絡(luò)安全協(xié)作組織，將各網(wǎng)絡(luò)安全防護(hù)專業(yè)部門、各網(wǎng)絡(luò)安全公司、國家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)力量、國家網(wǎng)絡(luò)安全支援力量以及各種網(wǎng)絡(luò)安全相關(guān)組織和個人納入其中，建立有效的合作機(jī)制進(jìn)行高效協(xié)調(diào)和分工合作，便于緊急應(yīng)對各種威脅，維持網(wǎng)絡(luò)運(yùn)行的安全狀態(tài)。

3.4 實施網(wǎng)絡(luò)空間安全人才大國戰(zhàn)略

網(wǎng)絡(luò)空間安全人才可以劃分為作戰(zhàn)指揮類、策略管理類、裝備操作類、值勤維護(hù)類和技術(shù)支持類。

作戰(zhàn)指揮類：負(fù)責(zé)在作戰(zhàn)行動中靈活運(yùn)用網(wǎng)絡(luò)安全戰(zhàn)法，運(yùn)用網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御和網(wǎng)絡(luò)誘騙等手段，以謀取對敵方優(yōu)勢為目標(biāo)的網(wǎng)絡(luò)作戰(zhàn)指揮人員。

策略管理類：依據(jù)網(wǎng)絡(luò)作戰(zhàn)指揮人員的意圖，制定和修正網(wǎng)絡(luò)安全防御策略、網(wǎng)絡(luò)誘騙策略和網(wǎng)絡(luò)安全進(jìn)攻策略的作戰(zhàn)輔助人才。網(wǎng)絡(luò)安全策略管理人才負(fù)責(zé)制定和維護(hù)全軍的網(wǎng)絡(luò)安全基線，設(shè)計和修正所轄網(wǎng)絡(luò)的安全策略、各網(wǎng)絡(luò)安全裝備的具體安全規(guī)則，以阻止發(fā)生網(wǎng)絡(luò)安全事件并降低網(wǎng)絡(luò)安全威脅等任務(wù)。

網(wǎng)絡(luò)安全攻擊類：負(fù)責(zé)依據(jù)作戰(zhàn)指揮人員的意圖，利用相關(guān)的攻擊武器，對敵方網(wǎng)絡(luò)展開攻擊，以達(dá)成作戰(zhàn)意圖。

裝備操作類：能夠依據(jù)網(wǎng)絡(luò)安全防御策略、網(wǎng)絡(luò)誘騙策略和網(wǎng)絡(luò)安全進(jìn)攻策略等，對所屬的網(wǎng)絡(luò)安全裝備展開規(guī)則配置，從而實現(xiàn)策略要求的意圖。

值勤維護(hù)類：值勤維護(hù)類人才是我軍網(wǎng)絡(luò)安全人才領(lǐng)域需求數(shù)量較大的一類人才，負(fù)責(zé)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的日常值勤和維護(hù)，記錄所發(fā)生的網(wǎng)絡(luò)安全事件和對網(wǎng)絡(luò)安全規(guī)則進(jìn)行的各種修改、網(wǎng)絡(luò)安全日志查看、網(wǎng)絡(luò)安全事件上報等日常工作。

技術(shù)支持類：技術(shù)支持類人才處理并解決網(wǎng)絡(luò)中出現(xiàn)的任何技術(shù)類問題，是進(jìn)行網(wǎng)絡(luò)運(yùn)維、網(wǎng)絡(luò)安全事故處理的主要力量。從網(wǎng)絡(luò)安全事故處理的角度看，網(wǎng)絡(luò)安全事故處理中，所需人才數(shù)量最大、技術(shù)要求最高的是技術(shù)支持類人才為惡意代碼分析人才。惡意代碼分析人才負(fù)責(zé)對獲得的惡意代碼進(jìn)行行為分析、逆向工程等操作，以理解惡意代碼的工作原理、所利用的系統(tǒng)弱點、產(chǎn)生的危害、波及的范圍、評估其影響等，并提出針對性的防御措施和系統(tǒng)恢復(fù)建議，開發(fā)網(wǎng)絡(luò)安全事故恢復(fù)工具和清除惡意代碼的工具等[5]。由于惡意代碼編寫的復(fù)雜性和源代碼的不可獲得性，惡意代碼分析絕大多數(shù)是在逆向工程的基礎(chǔ)上進(jìn)行的，需要的人才數(shù)量大、技術(shù)要求高，而且分析時間長，短則一周至數(shù)周，長則幾年至十幾年。

網(wǎng)絡(luò)安全人才的培養(yǎng)可依據(jù)其崗位特點區(qū)分類別進(jìn)行。網(wǎng)絡(luò)安全人才培訓(xùn)內(nèi)容包括網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全裝備操作、網(wǎng)絡(luò)架構(gòu)設(shè)計、網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)安全態(tài)勢監(jiān)控、網(wǎng)絡(luò)安全日志審計、網(wǎng)絡(luò)追蹤與溯源、網(wǎng)絡(luò)偵察、漏洞挖掘、惡意代碼分析、操作系統(tǒng)安全、網(wǎng)絡(luò)安全協(xié)議分析、Web安全、移動安全、Web測試、軟件工程、逆向工程、嵌入式系統(tǒng)安全、工業(yè)控制系統(tǒng)安全和工業(yè)設(shè)備安全等方面，培訓(xùn)方法、培訓(xùn)內(nèi)容、培訓(xùn)的工具等可根據(jù)培訓(xùn)對象定制，也可參考美軍的網(wǎng)絡(luò)安全人才培訓(xùn)模式，以網(wǎng)絡(luò)靶場、模擬任務(wù)執(zhí)行、模擬訓(xùn)練等方式進(jìn)行培訓(xùn)。

網(wǎng)絡(luò)空間是各種指令流、信息流傳遞、存儲的空間，也是各種惡意程序蓄意破壞的空間。由于技術(shù)、操作系統(tǒng)、開發(fā)環(huán)境以及在軟件開發(fā)等的落后，網(wǎng)絡(luò)安全防御方面的力量較弱。網(wǎng)絡(luò)安全防御是知識密集型、技能密集型和經(jīng)驗密集型的活動，需要熟練掌握網(wǎng)絡(luò)基礎(chǔ)知識、加解密知識、操作系統(tǒng)知識、網(wǎng)絡(luò)協(xié)議知識、各種安全協(xié)議知識、各種漏洞知識和軟件配置使用知識等，同時需要熟練掌握常用的網(wǎng)絡(luò)安全測試、攻擊和分析工具、網(wǎng)絡(luò)安全裝備操作技能、網(wǎng)絡(luò)策略制定及修正技能等。這就需要培訓(xùn)各種人才、主動收集各種威脅數(shù)據(jù)，積極檢測識別各種網(wǎng)絡(luò)行為，主動了解各種新出現(xiàn)的漏洞和惡意軟件等，保持對網(wǎng)絡(luò)安全領(lǐng)域前沿知識的敏感和關(guān)切。同時，要求各種網(wǎng)絡(luò)安全維護(hù)人員能及時根據(jù)網(wǎng)絡(luò)威脅發(fā)展的態(tài)勢，修正所轄的網(wǎng)絡(luò)安全策略，及時修改、完善各種網(wǎng)絡(luò)安全規(guī)則，保持對網(wǎng)絡(luò)安全的動態(tài)維護(hù)和更新，積極主動預(yù)防可能到來的網(wǎng)絡(luò)威脅。

4 結(jié) 語

目前，隨著互聯(lián)網(wǎng)技術(shù)的全球化使用，我國面臨的網(wǎng)絡(luò)安全威脅日益嚴(yán)重，加強(qiáng)對網(wǎng)絡(luò)安全事故處理方法和手段的研究也越來越迫切。因此，需要深入分析網(wǎng)絡(luò)安全事故處理機(jī)理和處置流程，各相關(guān)單位按照劃分的責(zé)權(quán)范圍相互協(xié)調(diào)，形成良性互動，共同處理網(wǎng)絡(luò)事故，保護(hù)好國家和軍事信息網(wǎng)絡(luò)的安全運(yùn)行，為國家安全發(fā)展奠定基礎(chǔ)。