新時代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)策略探析

◆許智雙

（山東建筑大學 山東 250101）

現(xiàn)階段，隨著我國網(wǎng)絡(luò)信息化建設(shè)進程加快，相關(guān)部門和人員提升了對網(wǎng)絡(luò)安全工作及安全信息化工作重視程度。因此，為保證各項工作有效落實，必須加強對網(wǎng)絡(luò)安全服務(wù)能力體系的重視，充分發(fā)揮其在保證網(wǎng)絡(luò)安全方面的作用，在掌握安全服務(wù)發(fā)展特征之基礎(chǔ)上，采用相應(yīng)策略，不斷推動網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)。

1 新時代網(wǎng)絡(luò)安全服務(wù)發(fā)展特征

1.1 安全服務(wù)進行等級保護2.0 時代

我國現(xiàn)代化信息和網(wǎng)絡(luò)技術(shù)快速發(fā)展，使得國家和社會愈加關(guān)注網(wǎng)絡(luò)安全問題，并制定了關(guān)于網(wǎng)絡(luò)安全方面規(guī)定，如2017年6月1日頒布的《網(wǎng)絡(luò)安全法》，這一法律的頒布與實施，使得我國開始邁入等級保護工作2.0 時代，同時確立了網(wǎng)絡(luò)安全工作等級，使得我國各種與網(wǎng)絡(luò)相關(guān)的技術(shù)和形式存在多方面變化，甚至推動了等級保護2.0 擴充與調(diào)整[1]。

1.2 等級保護對象得以擴展

網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)安全一直是網(wǎng)絡(luò)實現(xiàn)穩(wěn)定發(fā)展之基礎(chǔ)，而信息系統(tǒng)則是開展網(wǎng)絡(luò)安全及保護的工作重點。而在這信息時代背景下，網(wǎng)絡(luò)安全工作開展中主要信息保護對象拓展到云計算臺、物聯(lián)網(wǎng)以及大數(shù)據(jù)等多個領(lǐng)域，涉及相關(guān)內(nèi)容也得到增加，且隨著安全檢測、風險評估、案件調(diào)查以及通報預(yù)警等內(nèi)容的增加，使得保護對象和內(nèi)容得到延伸與擴展。同時為充分發(fā)揮網(wǎng)絡(luò)安全服務(wù)功能，滿足新時期發(fā)展需求，相關(guān)人員開始對其等級保護核心標準進行調(diào)整，相關(guān)內(nèi)容在原有基礎(chǔ)上開始向各個領(lǐng)域擴充，促使相關(guān)內(nèi)容得到細化。

2 網(wǎng)絡(luò)安全服務(wù)中面臨的機遇和挑戰(zhàn)

2.1 挑戰(zhàn)

2.1.1 系統(tǒng)因素

設(shè)計開發(fā)網(wǎng)絡(luò)軟硬件系統(tǒng)初衷，是為滿足用戶對相關(guān)資源開發(fā)、使用與管理需求，但在系統(tǒng)硬件運行期間經(jīng)常會出現(xiàn)一些問題。因此，網(wǎng)絡(luò)安全運維部門經(jīng)常會設(shè)置相應(yīng)窗口，以便于快速處理存在的安全問題。但隨著技術(shù)快速發(fā)展，使得在網(wǎng)絡(luò)具體實際運行環(huán)節(jié)中，預(yù)留窗口成為引發(fā)系統(tǒng)漏洞的安全隱患，甚至使TCP/IP 服務(wù)能力變得脆弱等，影響了系統(tǒng)安全維護效果。

2.1.2 傳輸信道因素

網(wǎng)絡(luò)信息技術(shù)快速發(fā)展的背景下，網(wǎng)絡(luò)相關(guān)企業(yè)為獲得更好的發(fā)展，提升了對傳輸信道重視。但由于缺乏特定屏蔽技術(shù)支持，使得在網(wǎng)絡(luò)安全運用中出現(xiàn)很多難以有效解決的問題，如部分傳輸信道中缺乏相應(yīng)電磁屏蔽條件，導(dǎo)致在后期信息傳輸中存在內(nèi)部向外部傳播電磁輻射現(xiàn)象，影響了網(wǎng)絡(luò)企業(yè)運營穩(wěn)定性，以及網(wǎng)絡(luò)系統(tǒng)運行安全性。

2.1.3 人為因素方面

人為因素是導(dǎo)致網(wǎng)絡(luò)系統(tǒng)安全服務(wù)不到位的重要因素，計算機網(wǎng)絡(luò)管理人員是落實網(wǎng)絡(luò)安全服務(wù)主體，承擔著系統(tǒng)運行安全方面的責任。但受管理本身素質(zhì)水平和時間能力不足影響，導(dǎo)致難以將相關(guān)安全工作落實到位，甚至出現(xiàn)與安全保密規(guī)定矛盾的行為，不僅難以落實相關(guān)管理工作，而且會增加對網(wǎng)絡(luò)系統(tǒng)安全的影響。如在工作中長期使用相同密匙，不僅會增加密碼被破解概率，而且會影響網(wǎng)絡(luò)安全管理。另外，部分管理人員展開工作中，為提升工作便利性，對安全保密工作缺乏重視程度，使得在網(wǎng)絡(luò)系統(tǒng)管制方面存在不足，增加了網(wǎng)絡(luò)安全風險，降低了安全服務(wù)能力。

2.2 發(fā)展機遇

伴隨著等級保護2.0 出臺，使得網(wǎng)絡(luò)行業(yè)獲得了更好發(fā)展契機，同時也促進了網(wǎng)絡(luò)安全服務(wù)能力提升，對建立相應(yīng)體系具有促進和推動作用。目前，在相關(guān)部門多種政策和支持措施的持續(xù)推動下，網(wǎng)絡(luò)安全保護得到了重視，并達到前所未有之高度。自2014年成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組開始，我國開始大力推動網(wǎng)絡(luò)安全宣傳工作的落實工作，2015年為滿足相應(yīng)國家各個領(lǐng)域網(wǎng)絡(luò)安全的需要，推出了《國家安全法》，2016年推出了《網(wǎng)絡(luò)安全法》，并成為我國網(wǎng)絡(luò)安全維護方面的基礎(chǔ)性法律，適用于各個領(lǐng)域中。此時網(wǎng)絡(luò)安全中有關(guān)行為開始涉及法律責任，明確了相關(guān)主體責任，且《網(wǎng)絡(luò)安全法》相關(guān)責任覆蓋到網(wǎng)絡(luò)運營商以及信息、網(wǎng)絡(luò)設(shè)備和服務(wù)提供者等群體。同時為進一步提升網(wǎng)絡(luò)安全管理力度，通過的《刑法修正案（九）》中明確規(guī)定了網(wǎng)絡(luò)安全服務(wù)人員應(yīng)履行的責任與義務(wù)以及相應(yīng)處罰條款。2019年為強化對網(wǎng)絡(luò)安全的服務(wù)水平，出臺了《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》，開始將網(wǎng)絡(luò)安全納入考核體系中，并隨之發(fā)布了三大標準發(fā)布，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T25070-2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019），三大標準于2019年12月1日正式實施，提升了網(wǎng)絡(luò)安全工作相關(guān)文件可操作性、指導(dǎo)性和強制性，促使網(wǎng)絡(luò)安全監(jiān)管力度得到不斷增強[2]。

3 網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)策略

3.1 以合理體系建設(shè)原則為依據(jù)

在進行網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)中，為保證建設(shè)的合理性與科學性，應(yīng)遵循相應(yīng)原則，并以此為指導(dǎo)，促使各項建設(shè)工作有序進行。首先，應(yīng)堅持統(tǒng)籌規(guī)劃，全面布局。網(wǎng)絡(luò)安全體系建立，應(yīng)考慮電信和互聯(lián)網(wǎng)相關(guān)技術(shù)以及產(chǎn)業(yè)的發(fā)展實際、特征，做好統(tǒng)籌規(guī)劃，充分發(fā)揮主管部門具備的頂層設(shè)計、組織協(xié)調(diào)以及政策制定等功能，并從全局角度進行考慮，在政策制定中融入自身發(fā)展與市場驅(qū)動等因素，以此進行標準體系建設(shè)方案制定，逐漸建立與電信和互聯(lián)網(wǎng)行業(yè)情況發(fā)展相適應(yīng)的網(wǎng)絡(luò)安全標準體系。其次。夯實基礎(chǔ)，急用先行。在安全服務(wù)體系的建立過程中，應(yīng)加強對安全管理工作重點和難點方面考慮，明確體系建立關(guān)鍵，降低對后期工作開展的影響。其中，網(wǎng)絡(luò)數(shù)據(jù)安全標準體系中的重點領(lǐng)域，不僅是體系建設(shè)重點，而且在整體安全管理工作中占據(jù)基礎(chǔ)性地位，與安全服務(wù)體系整體建設(shè)質(zhì)量密切相關(guān)，因此，在體系建立環(huán)節(jié)中必須把握建設(shè)重點，為提升網(wǎng)絡(luò)安全服務(wù)能力打下堅實基礎(chǔ)。而在此期間為有效應(yīng)對面臨的各種風險和挑戰(zhàn)，應(yīng)加快推動急需的標準項目，為后期開展各項工作提供安全穩(wěn)定環(huán)境。最后，多方參與，協(xié)同合作。網(wǎng)絡(luò)安全服務(wù)能力體系的制定中，為發(fā)揮其功能，切實提升其在網(wǎng)絡(luò)安全方面服務(wù)水平，應(yīng)凝聚互聯(lián)網(wǎng)企業(yè)、科研院所、設(shè)備提供商、安全企業(yè)以及學術(shù)界等多方力量，并于研討過程中達成共識，在多方協(xié)作下制定統(tǒng)一網(wǎng)絡(luò)數(shù)據(jù)安全行管標準，促使行業(yè)相關(guān)資源得到統(tǒng)籌利用，并促使企業(yè)產(chǎn)品開發(fā)、技術(shù)創(chuàng)新以及示范引領(lǐng)等作用能夠得到充分發(fā)揮，為落實網(wǎng)絡(luò)安全服務(wù)能力體系建立提供有力支持。

3.2 建立網(wǎng)絡(luò)安全服務(wù)能力體系模型

在進行網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)過程中，主要參與方為網(wǎng)絡(luò)安全供應(yīng)商，不僅可直接參與到構(gòu)建環(huán)節(jié)中，為相關(guān)工作開展提供指導(dǎo)，而且可以通過需求方與建設(shè)工作供應(yīng)商協(xié)調(diào)處理，推動相關(guān)工作進程。且網(wǎng)絡(luò)安全供應(yīng)商在相應(yīng)模型構(gòu)建中發(fā)揮著重要作用，是聯(lián)系多方面的構(gòu)建力量，并發(fā)揮不同參與方功能的重要樞紐。其在開展工作中，通過提出網(wǎng)絡(luò)系統(tǒng)全生命周期系統(tǒng)開發(fā)需求，并推動安全開發(fā)、測試和運維等階段發(fā)展進程，保證相應(yīng)建設(shè)工作持續(xù)進行。網(wǎng)絡(luò)安全供應(yīng)商將保障網(wǎng)絡(luò)系統(tǒng)在整個生命周期內(nèi)得到與實際需求相契合的安全服務(wù)，作為工作開展宗旨，并在協(xié)調(diào)各方力量下逐漸建立技術(shù)、責任、管理、標準以及監(jiān)督等體系，以此滿足全方位網(wǎng)絡(luò)安全服務(wù)需求[3]。

3.3 網(wǎng)絡(luò)安全服務(wù)能力體系

3.3.1 管理體系

完善的管理體系對提升網(wǎng)絡(luò)安全服務(wù)能力水平至關(guān)重要，因此，在安全服務(wù)能力體系建立中，必須先建立安全可行的網(wǎng)絡(luò)安全管理體系，為開展各種相應(yīng)網(wǎng)絡(luò)服務(wù)提供支持。首先，應(yīng)從網(wǎng)絡(luò)服務(wù)安全人員能力方面入手，并建立相應(yīng)人員培訓(xùn)體系、考核體系，保證工作人員能力水平。其次，建立合理管理制度，為開展網(wǎng)絡(luò)安全服務(wù)工作提供依據(jù)，保證管理工作開展，最后，明確各項管理和安全服務(wù)工作流程，對不當支持進行調(diào)整，明確其與服務(wù)能力體系建設(shè)實際相符合。

3.3.2 技術(shù)體系

在網(wǎng)絡(luò)安全服務(wù)體系中，體系本身運行是由不同矛盾間沖突和較量推動的，使得安全服務(wù)能力處于相對動態(tài)的變化環(huán)境中。因此，為提升對網(wǎng)絡(luò)風險控制水平，降低風險事件對網(wǎng)絡(luò)安全影響，應(yīng)采取相應(yīng)措施提升對風險預(yù)防措施。并且為保證防御能力持續(xù)性，安全服務(wù)供應(yīng)商應(yīng)根據(jù)相關(guān)企業(yè)對網(wǎng)絡(luò)穩(wěn)定運行服務(wù)需求，將各種新興技術(shù)融入其中，提升對風險防范的能力。在此過程中，網(wǎng)絡(luò)安全技術(shù)發(fā)揮著重要作用，要想進一步發(fā)揮技術(shù)在安全服務(wù)中作用，應(yīng)快速構(gòu)建相應(yīng)技術(shù)體系。而涉及的相關(guān)技術(shù)主要包含以下幾方面：一是，網(wǎng)絡(luò)加密技術(shù)。該技術(shù)在整個計算機網(wǎng)絡(luò)系統(tǒng)中，可起到安全保護屏障作用，體系建立中需要根據(jù)入侵者建立相應(yīng)預(yù)警機制，確保在網(wǎng)絡(luò)遭受攻擊時，該機制可對入侵信號進行準確檢測、辨別，并進行相應(yīng)去除處理。當下常用加密技術(shù)主要包含公鑰加密和私鑰加密兩種。二是，防火墻技術(shù)。該技術(shù)在網(wǎng)絡(luò)安全防護和維持運行穩(wěn)定性方面發(fā)揮著重要作用。技術(shù)應(yīng)用中通過對外部進行快速過濾和攔截，利于提升對網(wǎng)絡(luò)內(nèi)部環(huán)境安全，從而起到保護作用，同時可減少系統(tǒng)漏洞，提升網(wǎng)絡(luò)系統(tǒng)安全性能。三是防病毒技術(shù)。該技術(shù)主要應(yīng)用于抵制網(wǎng)絡(luò)病毒入侵，其以防病毒軟件為載體，而防病毒軟件通常分為單機防病毒軟件與網(wǎng)絡(luò)防病毒軟件兩種，前者主要用于維護不同系統(tǒng)間的網(wǎng)絡(luò)安全，后者用于抵制網(wǎng)絡(luò)自身病毒。

3.3.3 標準體系

標準體系是指網(wǎng)絡(luò)安全服務(wù)執(zhí)行的相關(guān)標準，因此，在進行體系建立中，應(yīng)結(jié)合國際和國內(nèi)各項相關(guān)體系，以及實際發(fā)展情況和安全服務(wù)需求，從定性、定量角度建立標準體系，保證其適用性和可操作性，為靠站安全服務(wù)能力體系建立工作提供指導(dǎo)。

4 結(jié)論

網(wǎng)絡(luò)信息環(huán)境下，網(wǎng)絡(luò)安全問題已經(jīng)成為社會關(guān)注的重點，且在很大程度上影響著企業(yè)發(fā)展。而網(wǎng)絡(luò)安全服務(wù)能力作為解決網(wǎng)絡(luò)安全問題的關(guān)鍵，在等級保護2.0 時代到來后獲得了更多發(fā)展機遇，但同時也面臨更多問題和挑戰(zhàn)。因此，必須重視網(wǎng)絡(luò)安全服務(wù)能力體系的作用，及早實現(xiàn)體系構(gòu)建，促進網(wǎng)絡(luò)安全服務(wù)能力提升。