新時代下網絡安全服務能力體系建設策略探析

◆許智雙

（山東建筑大學 山東 250101）

現階段，隨著我國網絡信息化建設進程加快，相關部門和人員提升了對網絡安全工作及安全信息化工作重視程度。因此，為保證各項工作有效落實，必須加強對網絡安全服務能力體系的重視，充分發揮其在保證網絡安全方面的作用，在掌握安全服務發展特征之基礎上，采用相應策略，不斷推動網絡安全服務能力體系建設。

1 新時代網絡安全服務發展特征

1.1 安全服務進行等級保護2.0 時代

我國現代化信息和網絡技術快速發展，使得國家和社會愈加關注網絡安全問題，并制定了關于網絡安全方面規定，如2017年6月1日頒布的《網絡安全法》，這一法律的頒布與實施，使得我國開始邁入等級保護工作2.0 時代，同時確立了網絡安全工作等級，使得我國各種與網絡相關的技術和形式存在多方面變化，甚至推動了等級保護2.0 擴充與調整[1]。

1.2 等級保護對象得以擴展

網絡環境中網絡安全一直是網絡實現穩定發展之基礎，而信息系統則是開展網絡安全及保護的工作重點。而在這信息時代背景下，網絡安全工作開展中主要信息保護對象拓展到云計算臺、物聯網以及大數據等多個領域，涉及相關內容也得到增加，且隨著安全檢測、風險評估、案件調查以及通報預警等內容的增加，使得保護對象和內容得到延伸與擴展。同時為充分發揮網絡安全服務功能，滿足新時期發展需求，相關人員開始對其等級保護核心標準進行調整，相關內容在原有基礎上開始向各個領域擴充，促使相關內容得到細化。

2 網絡安全服務中面臨的機遇和挑戰

2.1 挑戰

2.1.1 系統因素

設計開發網絡軟硬件系統初衷，是為滿足用戶對相關資源開發、使用與管理需求，但在系統硬件運行期間經常會出現一些問題。因此，網絡安全運維部門經常會設置相應窗口，以便于快速處理存在的安全問題。但隨著技術快速發展，使得在網絡具體實際運行環節中，預留窗口成為引發系統漏洞的安全隱患，甚至使TCP/IP 服務能力變得脆弱等，影響了系統安全維護效果。

2.1.2 傳輸信道因素

網絡信息技術快速發展的背景下，網絡相關企業為獲得更好的發展，提升了對傳輸信道重視。但由于缺乏特定屏蔽技術支持，使得在網絡安全運用中出現很多難以有效解決的問題，如部分傳輸信道中缺乏相應電磁屏蔽條件，導致在后期信息傳輸中存在內部向外部傳播電磁輻射現象，影響了網絡企業運營穩定性，以及網絡系統運行安全性。

2.1.3 人為因素方面

人為因素是導致網絡系統安全服務不到位的重要因素，計算機網絡管理人員是落實網絡安全服務主體，承擔著系統運行安全方面的責任。但受管理本身素質水平和時間能力不足影響，導致難以將相關安全工作落實到位，甚至出現與安全保密規定矛盾的行為，不僅難以落實相關管理工作，而且會增加對網絡系統安全的影響。如在工作中長期使用相同密匙，不僅會增加密碼被破解概率，而且會影響網絡安全管理。另外，部分管理人員展開工作中，為提升工作便利性，對安全保密工作缺乏重視程度，使得在網絡系統管制方面存在不足，增加了網絡安全風險，降低了安全服務能力。

2.2 發展機遇

伴隨著等級保護2.0 出臺，使得網絡行業獲得了更好發展契機，同時也促進了網絡安全服務能力提升，對建立相應體系具有促進和推動作用。目前，在相關部門多種政策和支持措施的持續推動下，網絡安全保護得到了重視，并達到前所未有之高度。自2014年成立中央網絡安全和信息化領導小組開始，我國開始大力推動網絡安全宣傳工作的落實工作，2015年為滿足相應國家各個領域網絡安全的需要，推出了《國家安全法》，2016年推出了《網絡安全法》，并成為我國網絡安全維護方面的基礎性法律，適用于各個領域中。此時網絡安全中有關行為開始涉及法律責任，明確了相關主體責任，且《網絡安全法》相關責任覆蓋到網絡運營商以及信息、網絡設備和服務提供者等群體。同時為進一步提升網絡安全管理力度，通過的《刑法修正案（九）》中明確規定了網絡安全服務人員應履行的責任與義務以及相應處罰條款。2019年為強化對網絡安全的服務水平，出臺了《中央企業負責人經營業績考核辦法》，開始將網絡安全納入考核體系中，并隨之發布了三大標準發布，即《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）、《信息安全技術網絡安全等級保護安全設計技術要求》（GB/T25070-2019）、《信息安全技術網絡安全等級保護測評要求》（GB/T28448-2019），三大標準于2019年12月1日正式實施，提升了網絡安全工作相關文件可操作性、指導性和強制性，促使網絡安全監管力度得到不斷增強[2]。

3 網絡安全服務能力體系建設策略

3.1 以合理體系建設原則為依據

在進行網絡安全服務能力體系建設中，為保證建設的合理性與科學性，應遵循相應原則，并以此為指導，促使各項建設工作有序進行。首先，應堅持統籌規劃，全面布局。網絡安全體系建立，應考慮電信和互聯網相關技術以及產業的發展實際、特征，做好統籌規劃，充分發揮主管部門具備的頂層設計、組織協調以及政策制定等功能，并從全局角度進行考慮，在政策制定中融入自身發展與市場驅動等因素，以此進行標準體系建設方案制定，逐漸建立與電信和互聯網行業情況發展相適應的網絡安全標準體系。其次。夯實基礎，急用先行。在安全服務體系的建立過程中，應加強對安全管理工作重點和難點方面考慮，明確體系建立關鍵，降低對后期工作開展的影響。其中，網絡數據安全標準體系中的重點領域，不僅是體系建設重點，而且在整體安全管理工作中占據基礎性地位，與安全服務體系整體建設質量密切相關，因此，在體系建立環節中必須把握建設重點，為提升網絡安全服務能力打下堅實基礎。而在此期間為有效應對面臨的各種風險和挑戰，應加快推動急需的標準項目，為后期開展各項工作提供安全穩定環境。最后，多方參與，協同合作。網絡安全服務能力體系的制定中，為發揮其功能，切實提升其在網絡安全方面服務水平，應凝聚互聯網企業、科研院所、設備提供商、安全企業以及學術界等多方力量，并于研討過程中達成共識，在多方協作下制定統一網絡數據安全行管標準，促使行業相關資源得到統籌利用，并促使企業產品開發、技術創新以及示范引領等作用能夠得到充分發揮，為落實網絡安全服務能力體系建立提供有力支持。

3.2 建立網絡安全服務能力體系模型

在進行網絡安全服務能力體系建設過程中，主要參與方為網絡安全供應商，不僅可直接參與到構建環節中，為相關工作開展提供指導，而且可以通過需求方與建設工作供應商協調處理，推動相關工作進程。且網絡安全供應商在相應模型構建中發揮著重要作用，是聯系多方面的構建力量，并發揮不同參與方功能的重要樞紐。其在開展工作中，通過提出網絡系統全生命周期系統開發需求，并推動安全開發、測試和運維等階段發展進程，保證相應建設工作持續進行。網絡安全供應商將保障網絡系統在整個生命周期內得到與實際需求相契合的安全服務，作為工作開展宗旨，并在協調各方力量下逐漸建立技術、責任、管理、標準以及監督等體系，以此滿足全方位網絡安全服務需求[3]。

3.3 網絡安全服務能力體系

3.3.1 管理體系

完善的管理體系對提升網絡安全服務能力水平至關重要，因此，在安全服務能力體系建立中，必須先建立安全可行的網絡安全管理體系，為開展各種相應網絡服務提供支持。首先，應從網絡服務安全人員能力方面入手，并建立相應人員培訓體系、考核體系，保證工作人員能力水平。其次，建立合理管理制度，為開展網絡安全服務工作提供依據，保證管理工作開展，最后，明確各項管理和安全服務工作流程，對不當支持進行調整，明確其與服務能力體系建設實際相符合。

3.3.2 技術體系

在網絡安全服務體系中，體系本身運行是由不同矛盾間沖突和較量推動的，使得安全服務能力處于相對動態的變化環境中。因此，為提升對網絡風險控制水平，降低風險事件對網絡安全影響，應采取相應措施提升對風險預防措施。并且為保證防御能力持續性，安全服務供應商應根據相關企業對網絡穩定運行服務需求，將各種新興技術融入其中，提升對風險防范的能力。在此過程中，網絡安全技術發揮著重要作用，要想進一步發揮技術在安全服務中作用，應快速構建相應技術體系。而涉及的相關技術主要包含以下幾方面：一是，網絡加密技術。該技術在整個計算機網絡系統中，可起到安全保護屏障作用，體系建立中需要根據入侵者建立相應預警機制，確保在網絡遭受攻擊時，該機制可對入侵信號進行準確檢測、辨別，并進行相應去除處理。當下常用加密技術主要包含公鑰加密和私鑰加密兩種。二是，防火墻技術。該技術在網絡安全防護和維持運行穩定性方面發揮著重要作用。技術應用中通過對外部進行快速過濾和攔截，利于提升對網絡內部環境安全，從而起到保護作用，同時可減少系統漏洞，提升網絡系統安全性能。三是防病毒技術。該技術主要應用于抵制網絡病毒入侵，其以防病毒軟件為載體，而防病毒軟件通常分為單機防病毒軟件與網絡防病毒軟件兩種，前者主要用于維護不同系統間的網絡安全，后者用于抵制網絡自身病毒。

3.3.3 標準體系

標準體系是指網絡安全服務執行的相關標準，因此，在進行體系建立中，應結合國際和國內各項相關體系，以及實際發展情況和安全服務需求，從定性、定量角度建立標準體系，保證其適用性和可操作性，為靠站安全服務能力體系建立工作提供指導。

4 結論

網絡信息環境下，網絡安全問題已經成為社會關注的重點，且在很大程度上影響著企業發展。而網絡安全服務能力作為解決網絡安全問題的關鍵，在等級保護2.0 時代到來后獲得了更多發展機遇，但同時也面臨更多問題和挑戰。因此，必須重視網絡安全服務能力體系的作用，及早實現體系構建，促進網絡安全服務能力提升。