網(wǎng)絡(luò)安全工作面臨的典型困境和解決思路探討

◆李慧芹 宋燦 李云龍 汪亞娟

網(wǎng)絡(luò)安全工作面臨的典型困境和解決思路探討

◆李慧芹1宋燦1李云龍2汪亞娟1

（1.國(guó)網(wǎng)客服中心信息運(yùn)維中心 天津 300309；2.國(guó)網(wǎng)思極檢測(cè)技術(shù)（北京）有限公司 北京 102211）

企業(yè)網(wǎng)絡(luò)安全工作存在著管理機(jī)制不完善、防御體系不成熟、人員技能待提升等問(wèn)題。本文結(jié)合實(shí)際工作經(jīng)驗(yàn)，討論了當(dāng)前網(wǎng)絡(luò)安全工作中存在的典型困境，包括網(wǎng)絡(luò)安全與業(yè)務(wù)發(fā)展的關(guān)系、防護(hù)水平的評(píng)估與完善、人員技能培養(yǎng)等問(wèn)題，并探討了后續(xù)的工作思路，為網(wǎng)絡(luò)安全工作的開(kāi)展與完善提供參考。

網(wǎng)絡(luò)安全；管理機(jī)制；技防體系；持續(xù)評(píng)估

國(guó)家越來(lái)越重視網(wǎng)絡(luò)安全，各企業(yè)也先后開(kāi)展本單位的網(wǎng)絡(luò)安全工作并建立了基本的管理機(jī)制和防御體系，然而當(dāng)前網(wǎng)絡(luò)安全工作仍存在很多困境亟須解決，比如安全管理制度不完善、安全設(shè)備老舊、資產(chǎn)梳理不清晰、防護(hù)體系不足、人員安全意識(shí)薄弱等[1-3]。筆者結(jié)合自身工作經(jīng)驗(yàn)，總結(jié)了當(dāng)前存在的三個(gè)突出問(wèn)題，包括安全與發(fā)展的“矛盾”關(guān)系、防護(hù)水平缺乏評(píng)估手段、員工網(wǎng)絡(luò)安全素質(zhì)有待提升，并對(duì)解決思路進(jìn)行了探討，為后續(xù)的網(wǎng)絡(luò)安全工作的完善提供了思路。

1 網(wǎng)絡(luò)安全工作面臨的問(wèn)題

網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的“第五大作戰(zhàn)領(lǐng)域，網(wǎng)絡(luò)安全已成為大國(guó)博弈的重要戰(zhàn)場(chǎng)。習(xí)近平總書(shū)記多次強(qiáng)調(diào)：沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。自2017年國(guó)家頒布實(shí)施《網(wǎng)絡(luò)安全法》以來(lái)，又相繼出臺(tái)了《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等，逐步將網(wǎng)絡(luò)安全法制化。在此背景下，各企業(yè)已在不同程度上開(kāi)展網(wǎng)絡(luò)安全相關(guān)工作。一是建立了一套網(wǎng)絡(luò)安全管理體系，制定各層級(jí)安全責(zé)任清單，要求“管業(yè)務(wù)必須管安全”、“一把手負(fù)責(zé)制”等；二是在網(wǎng)絡(luò)邊界上部署了防火墻、入侵防御設(shè)備、入侵檢測(cè)系統(tǒng)、Web應(yīng)用防火墻以及流量分析、威脅感知等安全產(chǎn)品[4-6]；三是初步建立了一支網(wǎng)絡(luò)安全隊(duì)伍，開(kāi)展日常的安全加固、威脅監(jiān)測(cè)分析與處置、滲透測(cè)試與漏洞整改等工作。但在實(shí)際的安全工作開(kāi)展中，仍存在很多問(wèn)題，比較突出的有以下三方面。

1.1 安全與發(fā)展存在“對(duì)抗”關(guān)系

開(kāi)展網(wǎng)絡(luò)安全工作，必然要對(duì)企業(yè)各個(gè)專業(yè)的各個(gè)工作環(huán)節(jié)進(jìn)行安全把控，使其滿足各類符合性要求，這與工作效率天然存在著“對(duì)抗”關(guān)系。比如，微信作為一種廣泛使用的即時(shí)聊天軟件，已成為各類工作協(xié)調(diào)溝通的重要渠道，人員信息、建設(shè)方案等敏感信息也經(jīng)常通過(guò)微信傳播，存在敏感信息泄露的風(fēng)險(xiǎn)，安全管控極為困難。再如，業(yè)務(wù)的快速發(fā)展往往依賴于信息系統(tǒng)的快速迭代，而信息系統(tǒng)在上線前必須要經(jīng)過(guò)第三方測(cè)試及發(fā)版安全測(cè)試，將發(fā)現(xiàn)的漏洞全部整改完成后才能上線，這就難以實(shí)現(xiàn)快速迭代、敏捷開(kāi)發(fā)的目標(biāo)，但從安全角度來(lái)說(shuō)決不能容忍系統(tǒng)“帶病上線”。

以上種種矛盾會(huì)使得其他專業(yè)員工對(duì)網(wǎng)絡(luò)安全工作產(chǎn)生敵意和對(duì)抗心理，如何權(quán)衡安全隱患和工作效率是做好網(wǎng)絡(luò)安全工作的一個(gè)重要挑戰(zhàn)，需要有雙方都能接受的解決措施，網(wǎng)絡(luò)安全工作才能長(zhǎng)遠(yuǎn)發(fā)展。

1.2 網(wǎng)絡(luò)安全防護(hù)水平缺乏評(píng)估手段

當(dāng)前企業(yè)普遍認(rèn)可的防御體系為縱深防御體系，它是指通過(guò)構(gòu)筑多條防線防御攻擊，當(dāng)一個(gè)或多個(gè)防御措施失效時(shí)，仍能通過(guò)其他防線和措施彌補(bǔ)、抵抗網(wǎng)絡(luò)攻擊行為。在縱深防御體系中，企業(yè)在信息系統(tǒng)構(gòu)筑了多層安全防護(hù)，比如對(duì)外做好邊界防護(hù)，對(duì)內(nèi)開(kāi)展訪問(wèn)控制，主機(jī)做好殺毒審計(jì)，將關(guān)鍵系統(tǒng)進(jìn)行隔離，把核心信息加密，同時(shí)常態(tài)開(kāi)展?jié)B透測(cè)試提早發(fā)現(xiàn)和整改安全漏洞[7]。

在縱深防御體系中，不同的網(wǎng)絡(luò)安全設(shè)備專注于實(shí)現(xiàn)不同的功能，比如Web攻擊檢測(cè)、木馬病毒郵件檢測(cè)、主機(jī)安全加固、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、攻擊溯源等。即便是實(shí)現(xiàn)相同功能的不同品牌的網(wǎng)絡(luò)安全設(shè)備其檢測(cè)機(jī)制也不盡相同，導(dǎo)致對(duì)同一種攻擊威脅其檢測(cè)結(jié)果也不相同[8]。這就導(dǎo)致在網(wǎng)絡(luò)安全經(jīng)費(fèi)方面投入較高的企業(yè)部署了市面上的大部分安全產(chǎn)品，而在網(wǎng)絡(luò)安全經(jīng)費(fèi)方面投入有限的企業(yè)在選擇產(chǎn)品時(shí)難以選擇到真正有效的產(chǎn)品。另一方面，網(wǎng)絡(luò)安全威脅來(lái)源和攻擊手段不斷變化[9]，這就要求企業(yè)的安全運(yùn)維人員除了及時(shí)將設(shè)備的特征庫(kù)更新到最新版本以檢測(cè)到最新的安全威脅外，還需要根據(jù)企業(yè)業(yè)務(wù)情況及面臨的威脅動(dòng)態(tài)調(diào)整安全設(shè)備的策略。

即便做足了以上工作，大多數(shù)企業(yè)對(duì)自身網(wǎng)絡(luò)安全防御體系的有效性很難有一個(gè)清晰的認(rèn)識(shí)：對(duì)于常見(jiàn)的攻擊手法，已有的安全設(shè)備和策略是否能夠檢測(cè)和攔截？同類產(chǎn)品中，哪家的安全設(shè)備檢測(cè)能力更強(qiáng)？已有的防御體系是否完備？這些是困擾很多企業(yè)網(wǎng)絡(luò)安全從業(yè)者的問(wèn)題。

1.3 員工網(wǎng)絡(luò)安全素質(zhì)有待提升

這里的員工既包括專門(mén)從事網(wǎng)絡(luò)安全專業(yè)的安全運(yùn)維人員，也包括企業(yè)中的其他非網(wǎng)絡(luò)安全專業(yè)人員，后者的安全意識(shí)及風(fēng)險(xiǎn)識(shí)別能力是整個(gè)安全防護(hù)工作的一大短板。

某知名安全廠商在2019年全事件響應(yīng)觀察報(bào)告中指出“三分之一的安全事件與安全管理疏忽或員工安全意識(shí)薄弱有關(guān)”、“在2019年處理的安全事件中，弱口令事件占比22%，釣魚(yú)郵件相關(guān)事件占比7%”。社會(huì)工程學(xué)攻擊已成為黑客常用的攻擊手法之一，員工整體安全意識(shí)水平將很大程度決定了企業(yè)的網(wǎng)絡(luò)安全水平，而目前大多數(shù)企業(yè)員工的安全意識(shí)水平較為淡薄。

在網(wǎng)絡(luò)安全運(yùn)維人員隊(duì)伍中，大多數(shù)人員只能從事初級(jí)的告警分析和處置，對(duì)設(shè)備依賴程度較高，且難以自主優(yōu)化安全策略；或者只關(guān)注于Web類、主機(jī)類、基線核查中某一小的領(lǐng)域，綜合技術(shù)水平較低。與此同時(shí)，云安全、數(shù)據(jù)安全、移動(dòng)安全等領(lǐng)域安全防護(hù)工作迫在眉睫，但很多企業(yè)缺乏擁有對(duì)應(yīng)技能的網(wǎng)絡(luò)安全人才。

2 網(wǎng)絡(luò)安全防護(hù)工作優(yōu)化思路探討

2.1 根據(jù)安全形勢(shì)調(diào)整工作重點(diǎn)

網(wǎng)絡(luò)安全形勢(shì)包括國(guó)內(nèi)外重要的安全事件、國(guó)內(nèi)新出臺(tái)的法律法規(guī)、新的攻防手段、黑客的關(guān)注焦點(diǎn)、新的脆弱點(diǎn)及解決方案等。通過(guò)梳理，有助于企業(yè)把控自身網(wǎng)絡(luò)安全建設(shè)的發(fā)展方向，及時(shí)調(diào)整工作重點(diǎn)。比如，《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》于2021年9月1日和2021年11月1日相繼執(zhí)行，企業(yè)應(yīng)加強(qiáng)數(shù)據(jù)安全防護(hù)方面的研究和資金投入，以防止發(fā)生數(shù)據(jù)失泄密事件，降低企業(yè)違法風(fēng)險(xiǎn)。

2.2 動(dòng)態(tài)完善網(wǎng)絡(luò)安全管理機(jī)制

網(wǎng)絡(luò)攻防具有動(dòng)態(tài)對(duì)抗性，這就要求網(wǎng)絡(luò)安全管理機(jī)制和技術(shù)手段均需要?jiǎng)討B(tài)完善，而管理機(jī)制的動(dòng)態(tài)調(diào)整恰恰是企業(yè)管理者容易忽視的。網(wǎng)絡(luò)安全工作與其他工作的矛盾推動(dòng)著管理手段必須不斷查漏補(bǔ)缺，動(dòng)態(tài)優(yōu)化。比如，要降低通過(guò)微信等互聯(lián)網(wǎng)渠道傳輸工作文件帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn)的同時(shí)兼顧工作效率，企業(yè)可以制定互聯(lián)網(wǎng)傳輸工作文件的管理規(guī)定，明確哪些信息屬于企業(yè)秘密或敏感信息，禁止通過(guò)互聯(lián)網(wǎng)渠道傳播。對(duì)于系統(tǒng)發(fā)版和安全測(cè)試的矛盾，在滿足國(guó)家法律法規(guī)和等保2.0等規(guī)定的基礎(chǔ)上，應(yīng)結(jié)合不同系統(tǒng)的業(yè)務(wù)特性制定不同的發(fā)版安全測(cè)試要求，不可一刀切。企業(yè)應(yīng)不斷細(xì)化、完善自身的網(wǎng)絡(luò)安全管理機(jī)制，解決好安全與發(fā)展的關(guān)系。

2.3 持續(xù)評(píng)估優(yōu)化技防措施

網(wǎng)絡(luò)攻防的動(dòng)態(tài)性要求防御措施的動(dòng)態(tài)性，新的攻擊手法不斷出現(xiàn)，如果還是依靠原有的設(shè)備和安全策略，則可能無(wú)法檢測(cè)出某些威脅，可能造成系統(tǒng)被破壞、數(shù)據(jù)遭泄露等嚴(yán)重后果，應(yīng)持續(xù)評(píng)估技防措施的有效性和完備性。比如通過(guò)模擬入侵攻擊的方式，評(píng)估企業(yè)的縱深防御體系是否完善、是否缺少相關(guān)設(shè)備、不同廠家的設(shè)備對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)有效性是否達(dá)到預(yù)期、哪家設(shè)備功能和性能更優(yōu)、安全策略是否需要調(diào)整、如何調(diào)整等。

2.4 推進(jìn)員工網(wǎng)絡(luò)安全素質(zhì)和技能水平提升

通過(guò)線上線下培訓(xùn)與考試、簽訂網(wǎng)絡(luò)安全保密協(xié)議、攻防實(shí)戰(zhàn)演習(xí)、社工入侵測(cè)試等形式，提高企業(yè)員工整體的網(wǎng)絡(luò)安全意識(shí)，使其了解基本的網(wǎng)絡(luò)安全知識(shí)，具備識(shí)別釣魚(yú)郵件、釣魚(yú)鏈接等社會(huì)工程學(xué)攻擊方式的能力。同時(shí)，建立聯(lián)防聯(lián)控的溝通渠道，使企業(yè)員工遇到疑似網(wǎng)絡(luò)安全威脅時(shí)可以第一時(shí)間求助于網(wǎng)絡(luò)安全運(yùn)維人員。

在專業(yè)網(wǎng)絡(luò)安全運(yùn)維人員招聘及選拔方面，應(yīng)及時(shí)補(bǔ)充具有數(shù)據(jù)安全、云安全、移動(dòng)安全等方面技能的人才，定期舉辦專項(xiàng)培訓(xùn)，鼓勵(lì)安全運(yùn)維人員考取網(wǎng)絡(luò)安全相關(guān)證書(shū)，做到持證上崗。同時(shí)做好一個(gè)企業(yè)紅隊(duì)和藍(lán)隊(duì)人員的一體化培養(yǎng)，藍(lán)隊(duì)人員了解攻擊才能更好地防守，紅隊(duì)人員了解防守才能尋找和驗(yàn)證薄弱點(diǎn)，建成一支“紅藍(lán)一體、攻防一體”的網(wǎng)絡(luò)安全人才隊(duì)伍，共同提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平。

3 結(jié)束語(yǔ)

國(guó)內(nèi)網(wǎng)絡(luò)安全工作仍處于不斷探索和提升的階段，在實(shí)際工作開(kāi)展過(guò)程中，可能會(huì)存在諸多問(wèn)題，需要網(wǎng)絡(luò)安全從業(yè)者從管理、技術(shù)、人員技能等方面進(jìn)行思考和改進(jìn)，以不斷優(yōu)化和完善企業(yè)的網(wǎng)絡(luò)安全保障體系。

[1]趙翊軒. 機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理的現(xiàn)狀及對(duì)策[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2021（08）：109-110.

[2]崔永波，潘東雷.檢察機(jī)關(guān)網(wǎng)絡(luò)安全事件應(yīng)急處置研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2021（08）：123-124.

[3]彭楚風(fēng)，呂建富. 教育行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與安全防護(hù)措施研究[J]. 中國(guó)信息技術(shù)教育. 2021（15）：97-100.

[4]陳薇伶，黃敏，大數(shù)據(jù)時(shí)代我國(guó)網(wǎng)絡(luò)信息安全控制體系構(gòu)建[J]，重慶社會(huì)科學(xué)，2018，284（07）：95-101.

[5]夏晨，探究聯(lián)動(dòng)式網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（02）：13-15.

[6]程杰，尚智婕，胡威，等. 智能電網(wǎng)信息系統(tǒng)安全隱患及應(yīng)對(duì)策略[J].電氣應(yīng)用. 2020，39（04）：99-102.

[7]劉衛(wèi)群，王建忠，袁帥，等. 基于安全滑動(dòng)標(biāo)尺的航天領(lǐng)域?qū)Ｓ镁W(wǎng)絡(luò)縱深防御體系研究[C].第八屆中國(guó)指揮控制大會(huì)論文集. 中國(guó)北京：中國(guó)指揮與控制學(xué)會(huì)，2020：34-37.

[8]陸雨晶.基于多源日志的網(wǎng)絡(luò)安全威脅感知關(guān)鍵技術(shù)研究[D]. 鎮(zhèn)江：江蘇科技大學(xué)，2019.

[9]習(xí)近平．在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[M]．北京：人民出版社，2016．