白榮華

（新疆維吾爾自治區(qū)信息中心，新疆 烏魯木齊 830001）

0 引 言

網(wǎng)絡(luò)安全檢測評估是安全能力的驗證過程，是確保網(wǎng)絡(luò)安全的補充方法之一。我國檢測評估工作起步晚但發(fā)展快。2017年以來，累計出臺10 部法律法規(guī)對網(wǎng)絡(luò)安全檢測評估作了具體規(guī)定，并制定修訂了10 余項有關(guān)檢測評估的國家標準，形成了系列評估評價體系，總體上呈現(xiàn)出多重安全檢測風險評估態(tài)勢，對維護網(wǎng)絡(luò)主權(quán)、國家安全和發(fā)展利益，提升網(wǎng)絡(luò)空間防護能力起到了重要支撐作用。

相關(guān)研究指出，“國家安全”與“網(wǎng)絡(luò)安全”深度交融，無序的數(shù)據(jù)信息流動可能損害國家安全，有必要建立統(tǒng)一的安全審核機構(gòu)和分類分級審核策略，合理設(shè)定網(wǎng)絡(luò)服務提供者的義務[1-2]，隨著IT 技術(shù)和通信技術(shù)的發(fā)展，云計算和虛擬化等技術(shù)應用的普及，網(wǎng)絡(luò)環(huán)境日趨復雜，網(wǎng)絡(luò)邊界變得模糊。面對網(wǎng)絡(luò)生態(tài)中不斷涌現(xiàn)新風險、新挑戰(zhàn)、新態(tài)勢及具有隱蔽性、持續(xù)性、趨利性等特性的高級網(wǎng)絡(luò)威脅增多，亟需轉(zhuǎn)變思路，從更高維度，以系統(tǒng)性和整體性視角，通過多主體參與、多手段結(jié)合的方式，立足于總體國家安全觀，加強網(wǎng)絡(luò)生態(tài)治理[3-4]，降低檢測評估成本并改善信息孤島，提高參與共享各方的威脅檢測與應急響應能力[5]。通過立法建立網(wǎng)絡(luò)安全信息共享制度體系，構(gòu)建網(wǎng)絡(luò)安全信息共享組織體系，建立國家層面的網(wǎng)絡(luò)威脅情報共享分析中心[6]，形成政府主導、全社會積極參與，高度統(tǒng)籌協(xié)同的多層次網(wǎng)絡(luò)治理模式[7]。然而，暫時沒有研究報告發(fā)布關(guān)于檢測評估領(lǐng)域因多重評估、評估孤島、評估活動而引起資源浪費的問題。檢測評估作為網(wǎng)絡(luò)治理體系的關(guān)鍵環(huán)節(jié)，如不及時從頂層設(shè)計角度進行整合統(tǒng)籌和檢測評估服務網(wǎng)絡(luò)安全治理，資源浪費現(xiàn)象或?qū)⑦M一步凸顯，可能成為影響網(wǎng)絡(luò)空間創(chuàng)新發(fā)展的重要因素，基于此，開展網(wǎng)絡(luò)安全檢測評估分類整合研究勢在必行。

1 我國檢測評估的演進與成效

網(wǎng)絡(luò)安全檢測評估主要經(jīng)歷了起步、積極推進、跨越式發(fā)展、成熟完善4 個階段，隨著檢測評估相關(guān)要求的落實，網(wǎng)絡(luò)安全事件大幅減少、處置能力顯著增強、網(wǎng)絡(luò)安全意識有效提升。

1.1 檢測評估法律體系的演進

起步階段（1994年2月—2007年6月）。1994年2月，國務院發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》，規(guī)定計算機信息系統(tǒng)實行安全等級保護；2004年9月，公安部等國家四部委辦印發(fā)《關(guān)于信息安全等級保護工作的實施意見》，提出等級保護是我國的一項基本制度，信息系統(tǒng)須實行等級保護制度。

積極推進階段（2007年6月—2017年6月）。2007年6月，公安部等國家四部委辦印發(fā)《信息安全等級保護管理辦法》，提出三級以上等級系統(tǒng)、重要涉密信息系統(tǒng)定級分級方法和檢查測評周期，要求信息系統(tǒng)運用密碼技術(shù)進行保護；同年7月，公安部等國家四部委辦印發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，明確了等級保護工作程序；2009年10月，公安部印送《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》，細化了等級保護管理制度和技術(shù)措施；2010年3月，公安部印發(fā)《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》，規(guī)范了等級保護測評活動，制定了測評機構(gòu)目錄； 2014年12月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組辦公室發(fā)布《關(guān)于加強黨政部門云計算服務網(wǎng)絡(luò)安全管理的意見》，明確了黨政部門云計算服務模式，提出安全責任不變、數(shù)據(jù)歸屬不變、管理標準不變、敏感信息不出境的要求；2016年11月，《中華人民共和國網(wǎng)絡(luò)安全法》公布，在立法層面明確了國家實行網(wǎng)絡(luò)安全等級保護制度，網(wǎng)絡(luò)運營者應當按照要求履行安全保護義務，關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次檢測評估。

跨越式發(fā)展階段（2017年6月—2021年6月）。2019年7月，國家互聯(lián)網(wǎng)信息辦公室等國家四部委辦聯(lián)合發(fā)布《云計算服務安全評估辦法》，為提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者使用云計算服務安全可控水平，開展云計算服務安全評估，評估結(jié)果有效期為3年；2020年4月，國家互聯(lián)網(wǎng)信息辦公室等國家十二部委辦聯(lián)合制定《網(wǎng)絡(luò)安全審查辦法》，為確保關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全，要求運營者采購網(wǎng)絡(luò)產(chǎn)品和服務，影響或者可能影響國家安全的，應當進行審查；2020年7月，公安部制定《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導意見》，要堅持“誰主管、誰負責，誰運營、誰負責”原則，落實“三化六防”綜合安全防控措施，關(guān)鍵信息基礎(chǔ)設(shè)施應當使用商用密碼進行保護，對第三級以上網(wǎng)絡(luò)和關(guān)鍵信息基礎(chǔ)設(shè)施每年開展一次等級測評，并同步開展密碼應用安全性評估。

成熟完善階段（2021年6月起）。2021年7月，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求有關(guān)主管部門加強對重大網(wǎng)絡(luò)產(chǎn)品安全漏洞風險開展聯(lián)合評估和處置，向社會發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息，不得在提供漏洞修補措施之前發(fā)布，有必要提前發(fā)布的，應當由工業(yè)和信息化部、公安部組織評估后進行發(fā)布；同月，國務院公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，規(guī)定重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估，運營者應當對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查，采購網(wǎng)絡(luò)產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查；2021年8月，《中華人民共和國個人信息保護法》公布，明確了國家機關(guān)、個人信息處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運營者確需向中華人民共和國境外提供個人信息的，應當按照國家網(wǎng)信部門的相關(guān)規(guī)定進行評估、認證或落實相關(guān)要求，個人信息保護影響評估報告和處理情況記錄應當至少保存3年；2021年6月，《中華人民共和國數(shù)據(jù)安全法》公布，明確了國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查，利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應當在網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上，履行數(shù)據(jù)安全保護義務，重要數(shù)據(jù)處理者應當對數(shù)據(jù)處理活動定期開展風險評估；2021年12月，國家互聯(lián)網(wǎng)信息辦公室等國家十三部委辦聯(lián)合修訂《網(wǎng)絡(luò)安全審查辦法》，將網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查范圍，并明確掌握超過100 萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市必須申報網(wǎng)絡(luò)安全審查。

1.2 近5年檢測評估取得的成效

一是網(wǎng)絡(luò)安全事件大幅減少。黨中央實行網(wǎng)絡(luò)安全和信息化統(tǒng)一領(lǐng)導后，國家常態(tài)化開展檢測評估治理網(wǎng)絡(luò)。根據(jù)文獻[8-13]綜合分析得出，近5年來，我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境經(jīng)過多年的持續(xù)治理效果顯著，網(wǎng)絡(luò)安全環(huán)境得到明顯改善。特別是黨中央加強了對網(wǎng)絡(luò)安全和信息化工作的統(tǒng)一領(lǐng)導，黨政機關(guān)和重要行業(yè)的網(wǎng)絡(luò)安全事件、DDoS 攻擊、政府網(wǎng)站被篡改等傳統(tǒng)網(wǎng)絡(luò)安全事件大幅減少，網(wǎng)絡(luò)安全可控趨勢日益提升（如表1所示）。國家信息安全漏洞共享平臺（China National Vulnerability Database，CNVD）新增收錄漏洞年均增長17.6%，零日漏洞年均增長47.5%以上，感染惡意程序的計算機年均減少25.1%。但網(wǎng)絡(luò)治理過程中也出現(xiàn)過陣痛，例如，2017年我國成為遭受DDoS 攻擊的重災區(qū)，被攻擊總次數(shù)高達12200 萬次，占全球受攻擊總數(shù)的84.79%，有33661 個DDoS僵尸網(wǎng)絡(luò)“肉雞”IP 發(fā)起攻擊，其中99.68%的“肉雞”IP 位于我國境內(nèi)，主要原因是開展網(wǎng)絡(luò)治理首年度，攻擊者表現(xiàn)出反抗行為。

表1 近5年國內(nèi)網(wǎng)絡(luò)安全態(tài)勢

二是處置能力增強。隨著我國網(wǎng)絡(luò)安全法律法規(guī)和管理制度不斷完善，在網(wǎng)絡(luò)安全技術(shù)實力、人才隊伍建設(shè)、國際合作等方面取得了顯著成效。檢測評估已成為一種衡量網(wǎng)絡(luò)安全保護和應急響應處置能力的通用方式。2021年7月，經(jīng)檢測核實，某企業(yè)25 款應用程序（App）存在嚴重違法違規(guī)收集使用個人信息問題，依據(jù)相關(guān)規(guī)定，被通知應用商店下架整改。隨后，國家相關(guān)部委辦聯(lián)合進駐該企業(yè)開展網(wǎng)絡(luò)安全審查，體現(xiàn)了國家層面的應急響應處置效率。

三是網(wǎng)絡(luò)安全意識提升。我國持續(xù)加強網(wǎng)絡(luò)安全總體布局，2014—2021年，中央網(wǎng)信辦等部門先后以“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”為主題舉辦國家網(wǎng)絡(luò)安全宣傳周活動。圍繞重點行業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施及社會熱點問題，組織了高水平網(wǎng)絡(luò)安全專題會議、知識技能競賽等活動。《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，實施網(wǎng)絡(luò)產(chǎn)品銷售前檢測評估，根據(jù)國家互聯(lián)網(wǎng)信息辦公室、等級保護網(wǎng)、國家密碼管理局、中國信息安全測評中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心發(fā)布的數(shù)據(jù)顯示，目前我國有不低于1225 家各類網(wǎng)絡(luò)安全檢測評估機構(gòu)。為支持國家網(wǎng)絡(luò)安全建設(shè)、加快網(wǎng)絡(luò)安全人才培養(yǎng)，中央網(wǎng)信辦和教育部共同打造一流網(wǎng)絡(luò)安全學院建設(shè)示范項目，11 所高校入選此項目，同時，109 所大學開設(shè)信息安全專業(yè)。網(wǎng)絡(luò)防詐騙、保密宣傳教育走進社區(qū)和公共場所。綜上所述，基本形成了“產(chǎn)教學研用”檢測評估治理體系，營造了網(wǎng)絡(luò)安全人人有責、人人參與的良好氛圍，提升了廣大網(wǎng)民網(wǎng)絡(luò)安全意識和基本防護技能。

2 檢測評估存在的問題及主要原因

當前，檢測評估多角度開展但協(xié)同不夠，導致評估孤島、資金重復投入問題，本節(jié)分析了多重檢測評估冗余產(chǎn)生的主要原因，提出了整合的必要性。

2.1 存在問題

2.1.1 檢測評估工作繁重

等級測評、密碼應用安全性評估、云計算服務安全評估等在國家標準層面對檢測評估已形成了系列具體措施。

例如，國家標準GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》強調(diào)“一個中心三重防護”（安全管理中心，通信網(wǎng)絡(luò)防護、區(qū)域邊界防護、計算環(huán)境防護），提出10 個方面通用要求和4 個方面擴展要求，國家標準GB/T 39786—2021《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》強調(diào)身份認證、傳輸加密、存儲加密，提出10 個方面要求，兩項測評主要實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

又如，國家標準GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》云計算安全擴展要求提出云計算平臺達到可用性、完整性和保密性保護，在“一個中心三重防護”方面應具備的能力，國家標準GB/T 31168—2014《信息安全技術(shù) 云計算服務安全能力要求》強調(diào)供應鏈安全審查，注重業(yè)務可持續(xù)性和可移植性，國家標準GB/T 31167—2014《信息安全技術(shù) 云計算服務安全指南》對云計算安全管理責任和標準、資源所有權(quán)、司法管轄關(guān)系提出了要求，明確“先審后用”的原則。

其他有關(guān)檢測評估的國家標準正在論證或制定中，國家標準相關(guān)要求形成了以網(wǎng)絡(luò)安全等級測評為基礎(chǔ)，對檢測評估開展多角度分析的趨勢。若所有要求均須落實，將給運營者帶來較繁重的檢測評估工作。

2.1.2 評估孤島

網(wǎng)絡(luò)安全等級測評和商用密碼應用安全性評估同屬于安全保護工作，但機構(gòu)間認定過程和工作機制不協(xié)同，產(chǎn)生了商用密碼應用安全性評估引用等級測評結(jié)論，但等級測評不認同商用密碼應用安全性評估結(jié)論的現(xiàn)象。關(guān)鍵信息基礎(chǔ)設(shè)施風險評估存在與商用密碼應用安全性評估類似的問題。云計算安全評估和網(wǎng)絡(luò)安全等級測評云計算安全擴展要求在云平臺保護方面存在同樣的問題。

2.1.3 評估資金重復投入

為便于測算，在不考慮第二級網(wǎng)絡(luò)系統(tǒng)的情況下，建立檢測評估資金測算模型。根據(jù)網(wǎng)絡(luò)收集數(shù)據(jù)初步統(tǒng)計，現(xiàn)有98 個中央國家機關(guān)，1914個省直黨政部門，128 家中央企業(yè)，1280 家省屬國有企業(yè)（每省按40 家企業(yè)計算），作如下假設(shè)：

各省非國有企業(yè)開展檢測評估的網(wǎng)絡(luò)系統(tǒng)數(shù)量與省屬國有企業(yè)數(shù)量應一致。

各省直部門開展檢測評估的網(wǎng)絡(luò)系統(tǒng)規(guī)模與省直以下所有部門總和相當。

參照公開招標中標結(jié)果，設(shè)每個網(wǎng)絡(luò)系統(tǒng)S的檢測評估單價P=10 萬元。

每個單位有第三級網(wǎng)絡(luò)系統(tǒng)3 個，應同步開展等級測評、密碼應用安全性評估，10%的第三級網(wǎng)絡(luò)系統(tǒng)列為關(guān)鍵信息基礎(chǔ)設(shè)施，應開展風險評估。

每個中央國家機關(guān)有1 個云計算平臺、每個省總共有3 個云計算平臺需要開展云計算服務安全評估。

5%的中央企業(yè)、5%的各省屬國有企業(yè)和非國有企業(yè)的網(wǎng)絡(luò)系統(tǒng)每年應開展數(shù)據(jù)處理風險評估和個人信息保護影響評估。

假設(shè)全國每年需要開展網(wǎng)絡(luò)安全審查的總數(shù)為第三級網(wǎng)絡(luò)系統(tǒng)的1%，其中，網(wǎng)絡(luò)產(chǎn)品重大漏洞風險聯(lián)合評估不是常規(guī)工作，不計入年檢測評估費用，得出年度檢測評估費用為：

2020年，開展等級測評、關(guān)鍵信息基礎(chǔ)設(shè)施風險評估、安全審查、云計算服務安全評估4項檢測評估費用約為：M2020=22.0893 億元。

2021年，除數(shù)據(jù)處理風險評估、個人信息保護影響評估外，開展5 項檢測評估費用約為：M2021=41.9313 億元。

2022年，同步開展等級測評、關(guān)鍵信息基礎(chǔ)設(shè)施風險評估、密碼應用安全性評估、云計算服務安全評估、數(shù)據(jù)處理風險評估、個人信息保護影響、網(wǎng)絡(luò)安全審查評估7 項，全國每年檢測評估費用約為：M2022=42.2001 億元。

數(shù)據(jù)結(jié)果表明，當前評估類別數(shù)量多、頻次高、評估并行且常態(tài)化，導致評估資金重復投入。

2.2 主要原因

結(jié)合多重檢測評估冗余產(chǎn)生的要素，引用因果分析法，從“主體、事項、法律、資金、對象”5個方面進行分析，得出如圖1所示的5 大類24小類的原因。

①流量預警規(guī)則：對8：00流量超預警門檻值的設(shè)定站點，發(fā)布一次預警；以后每過2小時巡查一次，將流量與上次預警時流量比較，如增幅達到或超過預警要求，發(fā)布預警。

2.2.1 主體

測評檢測服務機構(gòu)分散交叉。等級測評、網(wǎng)絡(luò)安全服務、商用密碼檢測機構(gòu)均為動態(tài)管理的市場化機構(gòu)。截至2021年7月，初步統(tǒng)計有等級測評機構(gòu)207 家，商用密碼應用安全性評估機構(gòu)48 家，網(wǎng)絡(luò)安全服務機構(gòu)966 家，這些機構(gòu)分別由不同監(jiān)管部門監(jiān)管，在經(jīng)營狀況、資質(zhì)維持、專業(yè)技術(shù)人員培訓方面需要分別核算支出?？赏ㄟ^“多證合一”的方式，進行資質(zhì)整合、協(xié)同培訓，以減少機構(gòu)認證資源重復投入。

專業(yè)機構(gòu)工作重復。一般由國家機關(guān)職能單位負責云計算服務安全評估和數(shù)據(jù)安全檢測評估。其中，云計算服務安全評估、重大漏洞風險聯(lián)合評估、數(shù)據(jù)安全檢測評估等工作若同步開展，將存在部分工作內(nèi)容重復，如果要求運營者選擇開展其中一項評估并循環(huán)開展其他項評估，可減少重復工作，并保證檢測評估效果。

跨部門協(xié)同配合信息共享不足。保護工作部門在法律政策規(guī)定的協(xié)同共享或可以協(xié)同共享方面，尚存在部分工作沒有實現(xiàn)實質(zhì)性協(xié)同共享。

2.2.2 事項

檢測評估工作不同步。排查網(wǎng)絡(luò)安全隱患漏洞和落實整改是運營者的法律義務。運營者每年度需要開展多種類型的檢測評估，以確保合規(guī)實效。目前，監(jiān)管部門針對運營者的各種檢查分時段開展，運營者需要根據(jù)要求開展檢測評估并提交相關(guān)材料。

檢測評估結(jié)果不兼容。關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估是面向高等級或重要網(wǎng)絡(luò)開展的更高標準的等級測評，但結(jié)果沒有“向下兼容”等級測評。商用密碼應用安全性評估直接引用等級測評的結(jié)論，可節(jié)省工作量，但其費用卻未減少。對于數(shù)據(jù)處理活動風險、個人信息保護影響等新的評估可能同樣出現(xiàn)不兼容情況。

2.2.3 法律

檢測評估的最終目的是服務于保障網(wǎng)絡(luò)信息和數(shù)據(jù)安全，維護網(wǎng)絡(luò)空間主權(quán)、國家安全、社會公共利益，保護公民、法人及其他組織的合法權(quán)益，維護國家主權(quán)安全和發(fā)展利益，保障關(guān)鍵信息基礎(chǔ)設(shè)施和供應鏈安全，保護個人信息權(quán)益，提高云計算服務安全可控水平，防范網(wǎng)絡(luò)安全風險。

2.2.4 資金

經(jīng)費保障困難。《中華人民共和國密碼法》是唯一要求將檢測評估相關(guān)經(jīng)費列入預算的法律文件，而其他文件要求運營者通過現(xiàn)有經(jīng)費渠道保障檢測評估經(jīng)費投入，執(zhí)行中的困難在于多個網(wǎng)絡(luò)系統(tǒng)的檢測評估費用數(shù)額大且常態(tài)化。

宣貫不足。法律法規(guī)及重點要求掌握不清晰，案例教學不夠，缺少專題解讀分析，從而導致在產(chǎn)業(yè)和應用落實層面出現(xiàn)偏離。

重視不夠。目前，我國至少有5 部法律法規(guī)對黨管網(wǎng)絡(luò)安全、黨管數(shù)據(jù)，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，落實網(wǎng)絡(luò)安全責任等重大事項作出明確規(guī)定，但在執(zhí)行層面的重視還不夠。

2.2.5 對象

由于責任制落實有偏差，機構(gòu)人員配置不合理，安全防護不足，導致業(yè)務連續(xù)性、系統(tǒng)完整性、數(shù)據(jù)可移植性存在隱患。例如，供應鏈隱患不易被發(fā)現(xiàn)，業(yè)務外包存在風險，網(wǎng)絡(luò)系統(tǒng)產(chǎn)品漏洞整改不及時，數(shù)據(jù)和個人信息保護存在隱患。

2.3 整合的必要性

《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)明確要求運營者應在等級保護基礎(chǔ)上履行保護義務，正確采用商用密碼進行保護，關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次檢測評估，應有效銜接，避免重復評估測評，在開展檢查時，應加強溝通協(xié)同配合，避免不必要的檢查和交叉重復檢查。

近年來，隨著技術(shù)手段不斷升級，漏洞利用攻擊自動化、集成化、模塊化、組織化更加明顯，勒索病毒針對性更強，逐漸轉(zhuǎn)向定向攻擊。因此，有必要利用大數(shù)據(jù)和深度學習的方法開展風險評估[14]，進行檢測評估分類整合，加強高級可持續(xù)威脅檢測評估。

3 檢測評估整合模型及運行機制

多重網(wǎng)絡(luò)安全檢測評估按安全保護、安全評估、安全審查3 個維度進行整合，驗證了整合模型的前后效果，提出了運行機制。

3.1 檢測評估的分類

多重檢測評估可歸納為安全保護、安全評估、安全審查3 類?；诳v深防御的安全保護包括網(wǎng)絡(luò)安全等級測評、關(guān)鍵信息基礎(chǔ)設(shè)施風險評估、密碼應用安全性評估；基于供應鏈管理的安全評估包括云計算服務安全評估、網(wǎng)絡(luò)產(chǎn)品安全重大漏洞風險聯(lián)合評估；基于國家安全個人權(quán)益保護的安全審查包括數(shù)據(jù)處理活動評估、個人信息保護影響評估、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全審查。

堅持客觀分類，考慮多維度交叉和可操作性。結(jié)合網(wǎng)絡(luò)信息數(shù)據(jù)安全要素，對檢測評估進行精細化、多維度整合，實現(xiàn)檢測評估集約化。在分類維度選擇方面，選取安全保護、安全評估、安全審查3 個維度建立整合模型，實現(xiàn)多重網(wǎng)絡(luò)安全檢測評估整合分類。

3.1.1 安全保護維度

以“三化六防”為舉措，將與防護防御相關(guān)的檢測測評納入安全保護維度。在技術(shù)整合矩陣（Technology Integration Matrix，TIM）模型中，學習環(huán)境特征維度包括主動性、協(xié)作性、建構(gòu)性、真實性和目標指向性。將安全保護維度設(shè)為物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境、運營管理。

3.1.2 安全評估維度

在技術(shù)使用階段，替代增強修改和重新定義（Substitution Augmentation Modification Redefinition，SAMR）模型和TIM 模型主要體現(xiàn)在替代、強化、融合和重塑等方面[15]。針對檢測評估內(nèi)容和目標，將安全評估維度設(shè)為可控性、完整性、安全性、連續(xù)性。

3.1.3 安全審查維度

根據(jù)安全審查重點和要素，將維度定位為網(wǎng)絡(luò)產(chǎn)品和服務風險、數(shù)據(jù)處理安全風險、個人信息保護影響。

3.2 構(gòu)建分類三維矩陣

安全保護維度與網(wǎng)絡(luò)安全等級保護體系對應，安全評估維度與網(wǎng)絡(luò)安全風險管理常態(tài)化對應，制作基于安全保護維度和安全評估維度交叉的二維矩陣（如表2所示）。在此基礎(chǔ)上，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)產(chǎn)品和服務、數(shù)據(jù)、個人信息安全審查，構(gòu)建三維矩陣。

表2 安全保護和安全評估交叉二維矩陣

3.3 驗證整合模型

在上述檢測評估資金測算模型假設(shè)的基礎(chǔ)上，從安全保護、安全評估、安全審查3 個維度，將8 項檢測評估整合為網(wǎng)絡(luò)安全等級測評和關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估、云計算服務和網(wǎng)絡(luò)產(chǎn)品安全重大漏洞風險聯(lián)合評估、數(shù)據(jù)信息和關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全審查3 項評估模型。其中，網(wǎng)絡(luò)產(chǎn)品安全重大漏洞風險聯(lián)合評估不計入年檢測評估費用，將密碼應用安全性評估納入等級測評同步，允許檢測評估“向下兼容”，如關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估視為已開展等級測評，數(shù)據(jù)、個人信息、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全審查三者取其一循環(huán)。以合規(guī)且相對更合理的方式，推動整合共享管理[16]。基于此，預計在2022年以后，每年開展3 項檢測評估費用約為：M＇2022=20.2395 億元。在不降低檢測評估要求和效果的前提下，每年節(jié)省資金約為21.9606 億元，節(jié)省比例52.03%。

3.4 建立運行機制

建立強有力的統(tǒng)籌協(xié)調(diào)機制，保護工作部門加強工作協(xié)同數(shù)據(jù)共享。在安全檢查時，監(jiān)管部門與相關(guān)行業(yè)領(lǐng)域主管部門聯(lián)動，檢查結(jié)果互認。整合社會化檢測評估服務機構(gòu)，開展“多證合一”的資質(zhì)聯(lián)合認定、聯(lián)合培訓、動態(tài)管理。加強國家職能型檢測評估專業(yè)機構(gòu)的引導，重點面向國家安全、個人權(quán)益保護、數(shù)據(jù)處理等方面進行安全審查，鼓勵參與社會化檢測評估服務機構(gòu)認定。通過檢測評估整合、重組、兼容，推行“一評通用”，形成“查評改”檢測評估體系，“查”主要包括保護工作部門檢查和運營者自查；“評”是指第三方檢測評估機構(gòu)評價；“改”是指網(wǎng)絡(luò)系統(tǒng)為滿足合規(guī)性要求、健壯性提升、可持續(xù)性應用進行的整改加固。

4 結(jié) 語

本文分析了檢測評估的必要性及近5年來取得的顯著成效，分析了多重檢測評估冗余問題產(chǎn)生的原因，構(gòu)建了檢測評估整合模型并進行了驗證，提出整合運行機制有關(guān)建議。該模型在法律法規(guī)框架體系下，結(jié)合現(xiàn)實情況和網(wǎng)絡(luò)攻擊新態(tài)勢，通過高度集中、最優(yōu)化方法進行了檢測評估分類整合，同時建議檢測評估跨部門跨層級共享協(xié)同，以減少重復交叉工作，進一步提升實際效果，推動檢測評估高質(zhì)量發(fā)展。