◆李慧芹 宋燦 李云龍 汪亞娟

網絡安全工作面臨的典型困境和解決思路探討

◆李慧芹1宋燦1李云龍2汪亞娟1

（1.國網客服中心信息運維中心 天津 300309；2.國網思極檢測技術（北京）有限公司 北京 102211）

企業(yè)網絡安全工作存在著管理機制不完善、防御體系不成熟、人員技能待提升等問題。本文結合實際工作經驗，討論了當前網絡安全工作中存在的典型困境，包括網絡安全與業(yè)務發(fā)展的關系、防護水平的評估與完善、人員技能培養(yǎng)等問題，并探討了后續(xù)的工作思路，為網絡安全工作的開展與完善提供參考。

網絡安全；管理機制；技防體系；持續(xù)評估

國家越來越重視網絡安全，各企業(yè)也先后開展本單位的網絡安全工作并建立了基本的管理機制和防御體系，然而當前網絡安全工作仍存在很多困境亟須解決，比如安全管理制度不完善、安全設備老舊、資產梳理不清晰、防護體系不足、人員安全意識薄弱等[1-3]。筆者結合自身工作經驗，總結了當前存在的三個突出問題，包括安全與發(fā)展的“矛盾”關系、防護水平缺乏評估手段、員工網絡安全素質有待提升，并對解決思路進行了探討，為后續(xù)的網絡安全工作的完善提供了思路。

1 網絡安全工作面臨的問題

網絡空間已經成為繼陸、海、空、天之后的“第五大作戰(zhàn)領域，網絡安全已成為大國博弈的重要戰(zhàn)場。習近平總書記多次強調：沒有網絡安全就沒有國家安全。自2017年國家頒布實施《網絡安全法》以來，又相繼出臺了《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》等，逐步將網絡安全法制化。在此背景下，各企業(yè)已在不同程度上開展網絡安全相關工作。一是建立了一套網絡安全管理體系，制定各層級安全責任清單，要求“管業(yè)務必須管安全”、“一把手負責制”等；二是在網絡邊界上部署了防火墻、入侵防御設備、入侵檢測系統(tǒng)、Web應用防火墻以及流量分析、威脅感知等安全產品[4-6]；三是初步建立了一支網絡安全隊伍，開展日常的安全加固、威脅監(jiān)測分析與處置、滲透測試與漏洞整改等工作。但在實際的安全工作開展中，仍存在很多問題，比較突出的有以下三方面。

1.1 安全與發(fā)展存在“對抗”關系

開展網絡安全工作，必然要對企業(yè)各個專業(yè)的各個工作環(huán)節(jié)進行安全把控，使其滿足各類符合性要求，這與工作效率天然存在著“對抗”關系。比如，微信作為一種廣泛使用的即時聊天軟件，已成為各類工作協(xié)調溝通的重要渠道，人員信息、建設方案等敏感信息也經常通過微信傳播，存在敏感信息泄露的風險，安全管控極為困難。再如，業(yè)務的快速發(fā)展往往依賴于信息系統(tǒng)的快速迭代，而信息系統(tǒng)在上線前必須要經過第三方測試及發(fā)版安全測試，將發(fā)現(xiàn)的漏洞全部整改完成后才能上線，這就難以實現(xiàn)快速迭代、敏捷開發(fā)的目標，但從安全角度來說決不能容忍系統(tǒng)“帶病上線”。

以上種種矛盾會使得其他專業(yè)員工對網絡安全工作產生敵意和對抗心理，如何權衡安全隱患和工作效率是做好網絡安全工作的一個重要挑戰(zhàn)，需要有雙方都能接受的解決措施，網絡安全工作才能長遠發(fā)展。

1.2 網絡安全防護水平缺乏評估手段

當前企業(yè)普遍認可的防御體系為縱深防御體系，它是指通過構筑多條防線防御攻擊，當一個或多個防御措施失效時，仍能通過其他防線和措施彌補、抵抗網絡攻擊行為。在縱深防御體系中，企業(yè)在信息系統(tǒng)構筑了多層安全防護，比如對外做好邊界防護，對內開展訪問控制，主機做好殺毒審計，將關鍵系統(tǒng)進行隔離，把核心信息加密，同時常態(tài)開展?jié)B透測試提早發(fā)現(xiàn)和整改安全漏洞[7]。

在縱深防御體系中，不同的網絡安全設備專注于實現(xiàn)不同的功能，比如Web攻擊檢測、木馬病毒郵件檢測、主機安全加固、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、攻擊溯源等。即便是實現(xiàn)相同功能的不同品牌的網絡安全設備其檢測機制也不盡相同，導致對同一種攻擊威脅其檢測結果也不相同[8]。這就導致在網絡安全經費方面投入較高的企業(yè)部署了市面上的大部分安全產品，而在網絡安全經費方面投入有限的企業(yè)在選擇產品時難以選擇到真正有效的產品。另一方面，網絡安全威脅來源和攻擊手段不斷變化[9]，這就要求企業(yè)的安全運維人員除了及時將設備的特征庫更新到最新版本以檢測到最新的安全威脅外，還需要根據(jù)企業(yè)業(yè)務情況及面臨的威脅動態(tài)調整安全設備的策略。

即便做足了以上工作，大多數(shù)企業(yè)對自身網絡安全防御體系的有效性很難有一個清晰的認識：對于常見的攻擊手法，已有的安全設備和策略是否能夠檢測和攔截？同類產品中，哪家的安全設備檢測能力更強？已有的防御體系是否完備？這些是困擾很多企業(yè)網絡安全從業(yè)者的問題。

1.3 員工網絡安全素質有待提升

這里的員工既包括專門從事網絡安全專業(yè)的安全運維人員，也包括企業(yè)中的其他非網絡安全專業(yè)人員，后者的安全意識及風險識別能力是整個安全防護工作的一大短板。

某知名安全廠商在2019年全事件響應觀察報告中指出“三分之一的安全事件與安全管理疏忽或員工安全意識薄弱有關”、“在2019年處理的安全事件中，弱口令事件占比22%，釣魚郵件相關事件占比7%”。社會工程學攻擊已成為黑客常用的攻擊手法之一，員工整體安全意識水平將很大程度決定了企業(yè)的網絡安全水平，而目前大多數(shù)企業(yè)員工的安全意識水平較為淡薄。

在網絡安全運維人員隊伍中，大多數(shù)人員只能從事初級的告警分析和處置，對設備依賴程度較高，且難以自主優(yōu)化安全策略；或者只關注于Web類、主機類、基線核查中某一小的領域，綜合技術水平較低。與此同時，云安全、數(shù)據(jù)安全、移動安全等領域安全防護工作迫在眉睫，但很多企業(yè)缺乏擁有對應技能的網絡安全人才。

2 網絡安全防護工作優(yōu)化思路探討

2.1 根據(jù)安全形勢調整工作重點

網絡安全形勢包括國內外重要的安全事件、國內新出臺的法律法規(guī)、新的攻防手段、黑客的關注焦點、新的脆弱點及解決方案等。通過梳理，有助于企業(yè)把控自身網絡安全建設的發(fā)展方向，及時調整工作重點。比如，《數(shù)據(jù)安全法》及《個人信息保護法》于2021年9月1日和2021年11月1日相繼執(zhí)行，企業(yè)應加強數(shù)據(jù)安全防護方面的研究和資金投入，以防止發(fā)生數(shù)據(jù)失泄密事件，降低企業(yè)違法風險。

2.2 動態(tài)完善網絡安全管理機制

網絡攻防具有動態(tài)對抗性，這就要求網絡安全管理機制和技術手段均需要動態(tài)完善，而管理機制的動態(tài)調整恰恰是企業(yè)管理者容易忽視的。網絡安全工作與其他工作的矛盾推動著管理手段必須不斷查漏補缺，動態(tài)優(yōu)化。比如，要降低通過微信等互聯(lián)網渠道傳輸工作文件帶來的數(shù)據(jù)泄露風險的同時兼顧工作效率，企業(yè)可以制定互聯(lián)網傳輸工作文件的管理規(guī)定，明確哪些信息屬于企業(yè)秘密或敏感信息，禁止通過互聯(lián)網渠道傳播。對于系統(tǒng)發(fā)版和安全測試的矛盾，在滿足國家法律法規(guī)和等保2.0等規(guī)定的基礎上，應結合不同系統(tǒng)的業(yè)務特性制定不同的發(fā)版安全測試要求，不可一刀切。企業(yè)應不斷細化、完善自身的網絡安全管理機制，解決好安全與發(fā)展的關系。

2.3 持續(xù)評估優(yōu)化技防措施

網絡攻防的動態(tài)性要求防御措施的動態(tài)性，新的攻擊手法不斷出現(xiàn)，如果還是依靠原有的設備和安全策略，則可能無法檢測出某些威脅，可能造成系統(tǒng)被破壞、數(shù)據(jù)遭泄露等嚴重后果，應持續(xù)評估技防措施的有效性和完備性。比如通過模擬入侵攻擊的方式，評估企業(yè)的縱深防御體系是否完善、是否缺少相關設備、不同廠家的設備對網絡攻擊的檢測有效性是否達到預期、哪家設備功能和性能更優(yōu)、安全策略是否需要調整、如何調整等。

2.4 推進員工網絡安全素質和技能水平提升

通過線上線下培訓與考試、簽訂網絡安全保密協(xié)議、攻防實戰(zhàn)演習、社工入侵測試等形式，提高企業(yè)員工整體的網絡安全意識，使其了解基本的網絡安全知識，具備識別釣魚郵件、釣魚鏈接等社會工程學攻擊方式的能力。同時，建立聯(lián)防聯(lián)控的溝通渠道，使企業(yè)員工遇到疑似網絡安全威脅時可以第一時間求助于網絡安全運維人員。

在專業(yè)網絡安全運維人員招聘及選拔方面，應及時補充具有數(shù)據(jù)安全、云安全、移動安全等方面技能的人才，定期舉辦專項培訓，鼓勵安全運維人員考取網絡安全相關證書，做到持證上崗。同時做好一個企業(yè)紅隊和藍隊人員的一體化培養(yǎng)，藍隊人員了解攻擊才能更好地防守，紅隊人員了解防守才能尋找和驗證薄弱點，建成一支“紅藍一體、攻防一體”的網絡安全人才隊伍，共同提升企業(yè)網絡安全防護水平。

3 結束語

國內網絡安全工作仍處于不斷探索和提升的階段，在實際工作開展過程中，可能會存在諸多問題，需要網絡安全從業(yè)者從管理、技術、人員技能等方面進行思考和改進，以不斷優(yōu)化和完善企業(yè)的網絡安全保障體系。

[1]趙翊軒. 機關事業(yè)單位網絡安全管理的現(xiàn)狀及對策[J]. 網絡安全技術與應用. 2021（08）：109-110.

[2]崔永波，潘東雷.檢察機關網絡安全事件應急處置研究[J].網絡安全技術與應用. 2021（08）：123-124.

[3]彭楚風，呂建富. 教育行業(yè)信息系統(tǒng)網絡安全風險分析與安全防護措施研究[J]. 中國信息技術教育. 2021（15）：97-100.

[4]陳薇伶，黃敏，大數(shù)據(jù)時代我國網絡信息安全控制體系構建[J]，重慶社會科學，2018，284（07）：95-101.

[5]夏晨，探究聯(lián)動式網絡安全系統(tǒng)的防御體系設計[J].網絡安全技術與應用，2020（02）：13-15.

[6]程杰，尚智婕，胡威，等. 智能電網信息系統(tǒng)安全隱患及應對策略[J].電氣應用. 2020，39（04）：99-102.

[7]劉衛(wèi)群，王建忠，袁帥，等. 基于安全滑動標尺的航天領域專用網絡縱深防御體系研究[C].第八屆中國指揮控制大會論文集. 中國北京：中國指揮與控制學會，2020：34-37.

[8]陸雨晶.基于多源日志的網絡安全威脅感知關鍵技術研究[D]. 鎮(zhèn)江：江蘇科技大學，2019.

[9]習近平．在網絡安全和信息化工作座談會上的講話[M]．北京：人民出版社，2016．