周佑源 柳少凱

（武漢安域信息安全技術有限公司，湖北 武漢 430077）

1 網(wǎng)絡強國戰(zhàn)略思想

網(wǎng)絡安全事關國家主權、人民共同利益，事關國家安全。維護我國網(wǎng)絡安全是實現(xiàn)“兩個一百年”奮斗目標、實現(xiàn)中華民族偉大復興中國夢的重要保障[1]?；仡櫧陙韲揖W(wǎng)絡安全大事記，深入學習網(wǎng)絡安全對貫徹落實國家戰(zhàn)略布局與重要舉措意義重大。國家網(wǎng)絡安全保障體系健全完善，是有效消除潛在網(wǎng)絡安全隱患、維護社會和諧穩(wěn)定發(fā)展的重要組成部分，可以充分挖掘我國網(wǎng)絡空間的潛力，使更多的居民享受到網(wǎng)絡技術發(fā)展帶來的便利，最終推動社會進步。

2016年12月27日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡空間安全戰(zhàn)略》。

2017 年6 月1 日，《中華人民共和國網(wǎng)絡安全法》頒布實施，這是我國網(wǎng)絡安全的“基本法”，是網(wǎng)絡安全法律法規(guī)體系的核心。

2018 年3 月21 日，中央網(wǎng)絡安全和信息化領導小組改為中國共產(chǎn)黨中央網(wǎng)絡安全和信息化委員會。

2019 年5 月13 日，網(wǎng)絡安全等級保護制度2.0 標準正式發(fā)布，國家對信息安全技術與網(wǎng)絡安全保護邁入2.0 時代。

《中華人民共和國數(shù)據(jù)安全法》于2021 年9 月1日起施行。

2 “三化六防”理念舉措

2020 年7 月22 日，公安部印發(fā)了《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，指導意見明確要求要求重點行業(yè)以及相關部門能夠高度認識到網(wǎng)絡安全管理的重要性，并將其作為全面推動網(wǎng)絡安全建設的重要一環(huán)，最終消除潛在網(wǎng)絡安全隱患[2]。在新的時期，通過全面落實“四新”要求和“三化六防”新舉措，成為發(fā)現(xiàn)網(wǎng)絡安全隱患、主動處置網(wǎng)絡安全問題的重要組成部分。

所謂“三化六防”是指“實戰(zhàn)化、體系化、常態(tài)化”，“動態(tài)防御、主動防御、縱深防御、精準防護、整體防護、聯(lián)防聯(lián)控”，以此構建國家網(wǎng)絡安全綜合防控系統(tǒng)，深入推進等保和關保的積極實踐。根據(jù)指導意見明確要求，在貫徹落實等保和關保雙制度，總體提出以下以等級保護為基礎，突出關鍵信息基礎設施保護、平臺化安全運營服務理念。

2.1 網(wǎng)絡對戰(zhàn)視角看“三化”理念

“實戰(zhàn)化、體系化、常態(tài)化”的內(nèi)涵是非常豐富的，聯(lián)系緊密有序，站在網(wǎng)絡戰(zhàn)的角度從“實戰(zhàn)化、體系化、常態(tài)化”出發(fā)，構建網(wǎng)絡空間綜合防御作戰(zhàn)體系。

第一，強調(diào)網(wǎng)絡安全的“實戰(zhàn)化”，攻防是網(wǎng)絡安全的本質(zhì)，習近平總書記指示網(wǎng)絡安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端的能力較量。未來的網(wǎng)絡安全攻擊將呈現(xiàn)高級化、大型化特點，網(wǎng)絡戰(zhàn)成為首選之一[3]。奪取并掌握“制網(wǎng)權”，一場沒有硝煙的戰(zhàn)爭已悄然拉開序幕。從“震網(wǎng)”開啟網(wǎng)絡戰(zhàn)新時代，世界各國成立網(wǎng)絡作戰(zhàn)部隊，關鍵基礎設施網(wǎng)絡攻擊愈演愈烈，成為國家當前不得不面對的嚴重問題。

第二，強調(diào)網(wǎng)絡安全的“體系化”，從網(wǎng)絡對戰(zhàn)思想上，作戰(zhàn)需要有部隊，部隊分不同軍種，每一種軍種要有特色打仗的武器，同時還要有多軍種協(xié)同作戰(zhàn)。作戰(zhàn)還得有指揮調(diào)度平臺，平臺運作要有相關的保證。相對而言，網(wǎng)絡安全對應網(wǎng)絡安全產(chǎn)品使用、人員體系、領導決策、行業(yè)監(jiān)管等均涉及多各方面，缺一不可。

第三，強調(diào)網(wǎng)絡安全的“常態(tài)化”，網(wǎng)絡戰(zhàn)隱蔽性強，網(wǎng)絡作戰(zhàn)時間不局限于白天或者夜幕，而是真正的全天候、全時域作戰(zhàn)，網(wǎng)絡潛伏和偵查早已進入戰(zhàn)場，防護要求“常態(tài)化”，猶如當今時代以“和平與發(fā)展”為主題，更要有一種“居安思?！钡囊庾R，日常訓練、對戰(zhàn)演練等，加強國防建設具有極大的重要性。

2.2 網(wǎng)絡安全能力看“六防”措施

“三化”可以理解為用戶在網(wǎng)絡安全方面的一種要求，而“六防”代表一種能力，是需要掌握和具體實現(xiàn)的。

1.動態(tài)防御：相對而言，現(xiàn)階段的網(wǎng)絡安全問題呈現(xiàn)出明顯的復雜態(tài)勢，為了能夠實現(xiàn)網(wǎng)絡安全預防的目標，則需要工作人員能夠從當前的技術手段出發(fā)進行網(wǎng)絡安全風險防控，例如積極開展網(wǎng)絡安全入侵檢測、積極強化防火墻功能、做好病毒查殺等方法，上述一系列網(wǎng)絡安全防控工作都可以在靜態(tài)網(wǎng)絡環(huán)境下進行，依托網(wǎng)絡安全管理手段，在實現(xiàn)網(wǎng)絡協(xié)議以及網(wǎng)絡結構不變的基礎上，快速發(fā)現(xiàn)潛在網(wǎng)絡安全問題進行處置，例如系統(tǒng)可以直接識別有無網(wǎng)絡入侵現(xiàn)象等，根據(jù)系統(tǒng)識別的結果可以針對性地采取網(wǎng)絡安全控制，將網(wǎng)絡安全控制在萌芽狀態(tài)。動態(tài)防御則改變游戲規(guī)則，動態(tài)防御在網(wǎng)絡安全管理上具有明顯的靈活性特征，不會遵循傳統(tǒng)生硬的網(wǎng)絡安全管理模式，而是真正實現(xiàn)了網(wǎng)絡安全控制的隨機動態(tài)特征[4]。

2.主動防御：老舊的安全防護有防火墻、入侵檢測、病毒防范被動防御模式，面對日益猖獗的安全威脅防不勝防。基于可信計算技術改變傳統(tǒng)的網(wǎng)絡安全管理模式，形成新的安全防控體系，在網(wǎng)絡安全體系運行過程中能夠結合威脅情報、態(tài)勢感知，及時發(fā)現(xiàn)和處置未知威脅，落實主動防護措施。針對主動防御具有擾亂網(wǎng)絡攻擊的能力，部署二代蜜罐，進而誘導網(wǎng)絡攻擊行為，方便相關人員進行有效處理，并且由此造成的損失幾乎可以忽略不計。

3.縱深防御：施行分區(qū)域管理，區(qū)域間進行安全隔離和認證；實行事前監(jiān)測，事中遏制及阻斷，事后跟蹤及恢復，實現(xiàn)攻擊的層層狙擊，全流程防御?？v深防御在電力行業(yè)信息系統(tǒng)防護層面得到借鑒，強調(diào)安全防護原則，在實現(xiàn)網(wǎng)絡架構安全防護分區(qū)的基礎上，加強“綜合防護”的要求，內(nèi)網(wǎng)建立安全監(jiān)視，部署網(wǎng)絡安全監(jiān)測平臺。

4.精準防護：基于資產(chǎn)的自動化管理，協(xié)同威脅情報，檢測未知威脅、異常行為等，實現(xiàn)對核心資產(chǎn)的精準防護，提供內(nèi)生安全、主動免疫能力。在國內(nèi)疫情防控上類似，精準打擊妨害疫情防控犯罪，避免政策把握粗放化、簡單化。網(wǎng)絡安全防護也當如此，不能追求一概而論，同樣也要精準發(fā)力，不能簡單地“一刀切”。

5.整體防護：以保護關鍵業(yè)務鏈為目標，進行整體安全設計，建立協(xié)同聯(lián)動、高效統(tǒng)一的安全防護體系。改變傳統(tǒng)單純依靠強化局部網(wǎng)絡安全管控能力來達到消除風險的效果，真正實現(xiàn)了從全局整體出發(fā)，提升事前、事中、事后的閉環(huán)運營。

6.聯(lián)防聯(lián)控：建立與國家監(jiān)管部門、保護工作部門、其他利益相關方的協(xié)調(diào)配合，聯(lián)動共防機制，建設“打防管控”一體化網(wǎng)絡安全綜合防控體系，提升國家整體應對網(wǎng)絡攻擊威脅的能力。應積極融入網(wǎng)絡安全整治，并與監(jiān)管部門緊密合作，配合相關主管部門，共建聯(lián)防聯(lián)控的安全保護體系。

3 融合“三化六防”思路工作開展

3.1 以網(wǎng)絡安全實戰(zhàn)攻防，發(fā)現(xiàn)防護安全問題

問題都是被“打”出來的，安全經(jīng)驗偏重于“防”，通過近年來的護網(wǎng)總結的漏洞匯總情況來看，國家、省、地市或行業(yè)的實戰(zhàn)攻防中，在告知攻擊時間、限定攻擊手段等前提下，攻破率（取得核心系統(tǒng)權限、獲取核心敏感數(shù)據(jù)）一般在30%以上。而且針對產(chǎn)品服務廠商，特別是網(wǎng)絡安全防護產(chǎn)品漏洞比重上升趨勢。通過實戰(zhàn)攻防和典型的安全事件，突出問題主要如下：

3.1.1 互聯(lián)網(wǎng)資產(chǎn)梳理與暴露面收斂不全面

通過護網(wǎng)防守工作，在互聯(lián)網(wǎng)層面資產(chǎn)梳理、暴露面收斂等是防守的一大關鍵要素。正如“你無法保護你看不見的東西”。隨著基礎設備的擴展和應用的接入，一些容易被忽視的弱點導致安全人員難以察覺，影子資產(chǎn)很容易成為漏網(wǎng)之魚，往往這些資產(chǎn)責任防護落實不到位，存在漏洞修復不及時，導致被攻擊利用的可能性增大[5]。

3.1.2 供應鏈風險排查風險機制不完善

通過安全防控措施來看，往往在正面防護和防線嚴格，在抵御互聯(lián)網(wǎng)正面網(wǎng)絡攻擊防護強度高，部署了大量的人員、技術、設備進行防護。在攻擊方的角度，一個單位系統(tǒng)組織結構、直屬單位帶動供應商、設計單位、第三方單位等供應鏈伙伴錯綜復雜，這些供應商參與的信息集成、業(yè)務協(xié)作和資源共享，往往這些單位進行側面攻擊，同樣給攻擊方帶來了多渠道化的攻擊途徑。

3.1.3 現(xiàn)有的安全防護被動、孤立和靜態(tài)

通過多起勒索病毒安全事件，“釣魚郵件”“口令爆破”“漏洞利用”攻擊是最常見的三類攻擊手段，從安全事件過程分析，勒索病毒的攻擊往往從第一臺設備感染，之后依托網(wǎng)絡或者局域網(wǎng)等傳輸平臺快速散播病毒，并開始同時攻擊業(yè)務系統(tǒng)以及服務器等，在連續(xù)的網(wǎng)絡攻擊下可能會造成系統(tǒng)癱瘓等嚴重問題，影響了正常的企業(yè)運營管理。從路徑和過程分析，勒索病毒從 “互聯(lián)網(wǎng)單臺設備感染→擴散至內(nèi)網(wǎng)核心數(shù)據(jù)服務器→數(shù)據(jù)備份措施失效→數(shù)據(jù)丟失導致業(yè)務無法恢復”的流程，說明其基礎防護措施均沒有落實到位。

3.2 以合規(guī)建設為基礎，建立體系化防護框架

3.2.1 等級保護工作對象體系化

深入開展系統(tǒng)等級保護備案工作，全面對系統(tǒng)資產(chǎn)梳理，摸清家底，涉及的等級保護2.0 工作對象包括基礎信息網(wǎng)絡、工控系統(tǒng)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)和大數(shù)據(jù)平臺等?？茖W確定網(wǎng)絡的安全保護等級，經(jīng)相關部門審核后依法向公安機關備案，并向行業(yè)主管部門報備。

3.2.2 安全建設和整改體系化

網(wǎng)絡安全等級保護建設整改工作是開展等級保護工作的核心和落腳點，建設“一個中心”管理、“三重防護”體系，安全通用要求包括物理環(huán)境、安全便捷等多方面要求，并且隨著網(wǎng)絡系統(tǒng)功能的拓展，其完全管理的范疇被進一步擴大，包括物聯(lián)網(wǎng)安全拓展以及工業(yè)控制系統(tǒng)等，都成為當前網(wǎng)絡安全管理中不容忽視的問題[6]。由此可見，現(xiàn)階段的網(wǎng)絡安全問題已經(jīng)發(fā)生明顯變化，其網(wǎng)絡安全架構以及安全管理范圍的增加都會明顯提升安全管理的難度，對網(wǎng)絡安全防護框架提出了更嚴格的要求。

安全通用模式下，網(wǎng)絡安全管理需要從全局性入手，在了解保護對象形態(tài)的基礎上快速形成網(wǎng)絡安全管理對策。而在這個過程中，網(wǎng)絡安全管理被賦予新的內(nèi)涵，能夠滿足云計算、移動互聯(lián)等網(wǎng)絡架構的安全擴展要求。從技術方面：體現(xiàn)了從外部到內(nèi)部，從邊界到終端的縱深防御思想。對物理環(huán)境、基礎網(wǎng)絡、區(qū)域邊界、計算環(huán)境、運營管控等的整體防護；從管理方面：網(wǎng)絡安全管理中必須要從多個管理途徑入手完成安全隱患的統(tǒng)一管理，這就需要相關人員能夠認識到網(wǎng)絡安全管理制度、安全管理策略等幾方面因素的影響后構建統(tǒng)一的網(wǎng)絡安全架構，并且網(wǎng)絡安全管理內(nèi)容也要充分考慮到未來安全體系功能拓展等幾方面的要求，尤其是可以針對特殊安全管理對象展開多維度的網(wǎng)絡安全控制，最終達到消除風險的目標。

3.2.3 監(jiān)測預警通報體系化

針對各類網(wǎng)絡安全事件展開預防控制是消除安全風險的重要手段，因此需要按管理要求向行業(yè)主管部門報告網(wǎng)絡安全事件。依托技術支持單位、專家、社會資源，以及公安機關等完成安全預警。同時，用戶在網(wǎng)絡安全規(guī)劃和建設中，需秉承“三化六防”理念措施，建立全面覆蓋運維、開發(fā)、服務全場景的安全防護體系與安全運行流程，形成安全運行的體系化、標準化支撐，建立“人+技術（平臺、數(shù)據(jù)）+流程”協(xié)同聯(lián)動的防御模式，建立網(wǎng)絡安全綜合防控體系框架[7]。

4 總結和展望

“三化六防”的理念措施，是隨著我們實際情況不斷發(fā)展和變化的。從整改建設的角度：建設模式從“局部整改外掛式”，走向“深度融合體系化”；從業(yè)務流程的角度，更多地需要考慮業(yè)務全流程保障要求，從體系化角度去進行安全規(guī)劃；從工程實現(xiàn)的角度，將安全需求分步實施，逐步建成面向未來的安全體系；從工作機制的角度，前、中、后三個階段深入融合形成閉環(huán)體系。

對現(xiàn)有防控體系的用戶，想要達到“三化六防”的要求還面臨不小的挑戰(zhàn)，對原有的防護框架進行變革，必定會大大增加企業(yè)運行的成本，在新起點、新目標的要求下，網(wǎng)絡安全和信息化建設需貫徹“三化六防”理念措施，即未來要具備更強的網(wǎng)絡安全攻防能力、預警分析決策能力、風險應對能力，更全面的管控以及更有效的安全運營能力。