過佳敏

（江蘇安國信檢測(cè)技術(shù)有限公司，江蘇 蘇州 215124）

1 新時(shí)代網(wǎng)絡(luò)安全服務(wù)發(fā)展背景

1.1 網(wǎng)絡(luò)安全服務(wù)等級(jí)提升

我國于2016年頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，實(shí)現(xiàn)了我國網(wǎng)絡(luò)安全領(lǐng)域立法的完善，在網(wǎng)絡(luò)安全法實(shí)施基礎(chǔ)上確立了網(wǎng)絡(luò)安全服務(wù)立法架構(gòu)，并在科學(xué)統(tǒng)籌下，形成了較為統(tǒng)一的體系，由此也提高了網(wǎng)絡(luò)安全領(lǐng)域權(quán)益的法治保護(hù)水平。在新時(shí)代背景下，各項(xiàng)網(wǎng)絡(luò)安全技術(shù)水平正不斷提升，并且網(wǎng)絡(luò)安全服務(wù)已經(jīng)逐漸由大范圍層次保護(hù)向分層級(jí)保護(hù)方向邁進(jìn)。我國網(wǎng)絡(luò)安全法中也明確提出了網(wǎng)絡(luò)安全保護(hù)等級(jí)制度、等級(jí)保護(hù)方式的網(wǎng)絡(luò)安全服務(wù)提供逐漸由行業(yè)規(guī)則向法律規(guī)則轉(zhuǎn)化，由此也使得網(wǎng)絡(luò)安全等級(jí)保護(hù)制度成為網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的核心。為確保網(wǎng)絡(luò)安全法能夠有效落實(shí)，各相關(guān)單位不斷加強(qiáng)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)制度內(nèi)容的深入解讀，以提高網(wǎng)絡(luò)安全等級(jí)服務(wù)體系的系統(tǒng)化、標(biāo)準(zhǔn)化與規(guī)范化水平[1]。

1.2 網(wǎng)絡(luò)安全服務(wù)要求提升

由于近年來外部網(wǎng)絡(luò)攻擊和非法訪問行為事件頻發(fā)，嚴(yán)重威脅著用戶的人身安全和財(cái)產(chǎn)安全。網(wǎng)絡(luò)運(yùn)營者要想確保能夠營造出健康、安全的運(yùn)營環(huán)境，確保其經(jīng)濟(jì)效益增長(zhǎng)，就要提高網(wǎng)絡(luò)安全服務(wù)的標(biāo)準(zhǔn)。只有真正能夠消除網(wǎng)絡(luò)安全隱患，用戶的信息才可以在網(wǎng)絡(luò)空間中安全存儲(chǔ)和應(yīng)用。

1.2.1 服務(wù)對(duì)象不斷擴(kuò)展

在以往網(wǎng)絡(luò)安全背景下信息系統(tǒng)是網(wǎng)絡(luò)安全的主要服務(wù)對(duì)象，技術(shù)研發(fā)和功能設(shè)置也是以信息系統(tǒng)作為重要的保護(hù)對(duì)象。而伴隨著我國等級(jí)保護(hù)2.0時(shí)代的到來，網(wǎng)絡(luò)安全服務(wù)對(duì)象開始不斷拓展，并覆蓋了物聯(lián)網(wǎng)、云平臺(tái)和大數(shù)據(jù)以及技術(shù)信息網(wǎng)絡(luò)，而且在網(wǎng)絡(luò)安全保護(hù)領(lǐng)域當(dāng)中增設(shè)了安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估入侵預(yù)警、案件調(diào)查等新的服務(wù)內(nèi)容。服務(wù)對(duì)象和服務(wù)內(nèi)容的不斷增多，等級(jí)保護(hù)的核心標(biāo)準(zhǔn)也產(chǎn)生了新的改變，其在原有傳統(tǒng)基礎(chǔ)之上，逐漸向多領(lǐng)域蔓延和擴(kuò)充。

1.2.2 服務(wù)內(nèi)容不斷增多

在等級(jí)保護(hù)2.0時(shí)代背景下，針對(duì)等級(jí)保護(hù)的內(nèi)容也進(jìn)行了相應(yīng)的調(diào)整，傳統(tǒng)等級(jí)保護(hù)內(nèi)容主要覆蓋了定級(jí)、備案、整改、測(cè)評(píng)與監(jiān)督。新時(shí)代，在原有五項(xiàng)基礎(chǔ)之上，增設(shè)了預(yù)警、檢測(cè)、評(píng)估、調(diào)查等多項(xiàng)等級(jí)保護(hù)內(nèi)容，而且針對(duì)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)體系也進(jìn)行了升級(jí)，實(shí)現(xiàn)了對(duì)等級(jí)保護(hù)對(duì)象的拓展，以及對(duì)相關(guān)內(nèi)容進(jìn)行了細(xì)化。例如，在網(wǎng)絡(luò)安全服務(wù)等級(jí)當(dāng)中，其所涵蓋的評(píng)審內(nèi)容或?qū)蛹?jí)主要包括保護(hù)對(duì)象層級(jí)評(píng)定、服務(wù)對(duì)象備案操作安全問題整改、安全水平等級(jí)和網(wǎng)絡(luò)安全服務(wù)基礎(chǔ)體系。而且在評(píng)審體系當(dāng)中，除原有層級(jí)內(nèi)容之外，還涉及風(fēng)險(xiǎn)評(píng)審、操作和應(yīng)用風(fēng)險(xiǎn)監(jiān)測(cè)。針對(duì)多元化網(wǎng)絡(luò)安全服務(wù)評(píng)審內(nèi)容，網(wǎng)絡(luò)安全服務(wù)所提供的操作標(biāo)準(zhǔn)也實(shí)現(xiàn)了擴(kuò)大化，覆蓋范圍不斷拓展，網(wǎng)絡(luò)安全服務(wù)對(duì)象更為廣泛，其內(nèi)容越來越細(xì)致化。

2 新時(shí)代網(wǎng)絡(luò)安全服務(wù)所面臨的機(jī)遇

2.1 供應(yīng)商所承擔(dān)的責(zé)任出現(xiàn)了變化

現(xiàn)代信息技術(shù)與大數(shù)據(jù)技術(shù)以及云計(jì)算技術(shù)水平進(jìn)步速度不斷加快，對(duì)相關(guān)技術(shù)的應(yīng)用也越來越廣泛。在日常生活中，人們已經(jīng)離不開先進(jìn)的信息技術(shù)、網(wǎng)絡(luò)技術(shù)、云計(jì)算技術(shù)以及大數(shù)據(jù)技術(shù)，傳統(tǒng)信息系統(tǒng)邊界開始逐漸模糊。而在以往所應(yīng)用的信息系統(tǒng)當(dāng)中，用戶在購買和部署產(chǎn)品之后，需要負(fù)責(zé)相關(guān)安全，而為用戶提供相關(guān)產(chǎn)品的供應(yīng)商以及產(chǎn)品提供方只需要負(fù)責(zé)進(jìn)行相關(guān)設(shè)備的日常維護(hù)，在信息系統(tǒng)安全責(zé)任方面并沒有做出較為具體的規(guī)定。而在新時(shí)代背景下，云服務(wù)供應(yīng)商和用戶之間因服務(wù)模式不同，安全責(zé)任的相關(guān)規(guī)定也開始發(fā)生變化。在現(xiàn)代云計(jì)算環(huán)境中，作為網(wǎng)絡(luò)產(chǎn)品的供應(yīng)商，其在服務(wù)模式方面與傳統(tǒng)相比產(chǎn)生了諸多變化，尤其在安全責(zé)任上變化最為明顯，網(wǎng)絡(luò)產(chǎn)品供應(yīng)商要能夠根據(jù)用戶實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境提供有針對(duì)性的安全防護(hù)服務(wù)。

2.2 網(wǎng)絡(luò)安全服務(wù)目標(biāo)越來越寬泛

通常情況下，網(wǎng)絡(luò)安全服務(wù)往往是借助于為用戶提供安全產(chǎn)品來予以體現(xiàn)，然而，隨著現(xiàn)代網(wǎng)絡(luò)安全形勢(shì)的急劇烈變化和網(wǎng)絡(luò)領(lǐng)域當(dāng)中多項(xiàng)新技術(shù)的涌現(xiàn)與廣泛應(yīng)用以及大范圍推廣，用戶安全需求開始不斷提升，越來越重視安全保護(hù)需求?；谶@一基本要求所產(chǎn)生的網(wǎng)絡(luò)安全服務(wù)目標(biāo)變化也越來越明顯。而無論是用戶還是網(wǎng)絡(luò)服務(wù)供應(yīng)商，在實(shí)際安全需求的研究與分析方面所開展的工作往往是針對(duì)單獨(dú)的安全產(chǎn)品是否能夠具備滿足用戶實(shí)際安全需求功能，只能夠從內(nèi)容上進(jìn)行深化和細(xì)化，導(dǎo)致網(wǎng)絡(luò)安全服務(wù)的目標(biāo)越來越寬泛。例如，以往主要以安全產(chǎn)品開發(fā)和功能升級(jí)為核心，而如今則是向整個(gè)生命周期蔓延。

2.3 網(wǎng)絡(luò)安全服務(wù)人才需求多樣化

網(wǎng)絡(luò)安全服務(wù)行業(yè)所需要的人才較多，而且由于其所涉及的相關(guān)理論知識(shí)和專業(yè)技術(shù)較為煩雜，因而網(wǎng)絡(luò)安全服務(wù)是屬于一項(xiàng)人才較為密集的服務(wù)行業(yè)。在新時(shí)代背景下，網(wǎng)絡(luò)安全服務(wù)的內(nèi)容越來越寬泛，而且逐漸向著專業(yè)化與精細(xì)化方向邁進(jìn)，在技術(shù)水平不斷升級(jí)這一需求的推動(dòng)下，對(duì)于復(fù)合型、綜合型人才的需求也與日俱增。然而，網(wǎng)絡(luò)安全服務(wù)行業(yè)人員流動(dòng)性相對(duì)較高，這也是其較為明顯的人才特征之一。人才過高的流動(dòng)率影響了網(wǎng)絡(luò)安全服務(wù)項(xiàng)目的實(shí)施進(jìn)度和服務(wù)質(zhì)量。目前，網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)當(dāng)中就存在著這項(xiàng)影響其建設(shè)水平和建設(shè)進(jìn)度的問題——人才稀缺，尤其技術(shù)骨干頻頻跳槽，技術(shù)隊(duì)伍不穩(wěn)定，行業(yè)企業(yè)之間競(jìng)爭(zhēng)壓力極大，這些嚴(yán)重阻礙了網(wǎng)絡(luò)安全服務(wù)能力體系的建設(shè)和整體安全服務(wù)水平的提升。

3 國家關(guān)于網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)的文件標(biāo)準(zhǔn)

我國于2016年所頒布的《中華人民共和國網(wǎng)絡(luò)安全法》是屬于網(wǎng)絡(luò)安全領(lǐng)域當(dāng)中的一項(xiàng)基礎(chǔ)性法律法規(guī)，其對(duì)網(wǎng)絡(luò)安全相關(guān)服務(wù)內(nèi)容和服務(wù)對(duì)象做出了極為嚴(yán)格且細(xì)致的規(guī)定。結(jié)合網(wǎng)絡(luò)安全法關(guān)于網(wǎng)絡(luò)服務(wù)供應(yīng)商相關(guān)法律法規(guī)條款第17條、22條、24條、48條、62條等相關(guān)法律內(nèi)容可以發(fā)現(xiàn)，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者不可在產(chǎn)品當(dāng)中設(shè)置惡意軟件程序，如果發(fā)現(xiàn)所提供的網(wǎng)絡(luò)產(chǎn)品或網(wǎng)絡(luò)安全服務(wù)存在安全隱患、漏洞和缺陷等諸多威脅網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，需立即給予補(bǔ)救，并且按照國家相關(guān)法律規(guī)定詳細(xì)告知用戶，同時(shí)向相關(guān)主管部門提交詳細(xì)的產(chǎn)品報(bào)告和補(bǔ)救措施方案。所有網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)安全服務(wù)供應(yīng)商必須要能夠做到產(chǎn)品與安全服務(wù)的持續(xù)性維護(hù)，在合同或約定時(shí)間范圍內(nèi)不可隨意終止安全維護(hù)。

當(dāng)前，網(wǎng)絡(luò)安全服務(wù)相關(guān)標(biāo)準(zhǔn)主要是以服務(wù)能力評(píng)價(jià)和服務(wù)供應(yīng)商具體選擇為核心，在等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系當(dāng)中最為關(guān)鍵的一項(xiàng)標(biāo)準(zhǔn)之一，即為信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，明確提出了網(wǎng)絡(luò)安全服務(wù)供應(yīng)商所必須依循的內(nèi)容，其中還規(guī)定：第一，服務(wù)供應(yīng)商所做出的選擇必須要符合國家相關(guān)法律法規(guī)的規(guī)定；第二，必須要簽訂所選定的相關(guān)服務(wù)協(xié)議，針對(duì)服務(wù)供應(yīng)鏈各方要明確必須要履行的網(wǎng)絡(luò)安全義務(wù)；第三，嚴(yán)格進(jìn)行各項(xiàng)監(jiān)督和評(píng)審以及審核工作，尤其要定期對(duì)網(wǎng)絡(luò)安全服務(wù)供應(yīng)商所提供的服務(wù)效果和質(zhì)量以及效率進(jìn)行監(jiān)督和審核，對(duì)于其中所發(fā)生的一些變更內(nèi)容，必須要嚴(yán)格控制和評(píng)審。這些要求都需要建立在所選擇地供應(yīng)商，具備國家審核并通過相關(guān)資質(zhì)標(biāo)準(zhǔn)及協(xié)議控制等要求基礎(chǔ)上，以保證網(wǎng)絡(luò)安全服務(wù)供應(yīng)商能夠在整個(gè)服務(wù)過程當(dāng)中為用戶提供更加安全、可靠且優(yōu)質(zhì)的服務(wù)。

在信息技術(shù)與安全技術(shù)以及信息安全控制使用規(guī)則當(dāng)中，明確提出供應(yīng)商關(guān)系這一概念的解釋，包括供應(yīng)商關(guān)系、信息安全與供應(yīng)鏈以及供應(yīng)商服務(wù)監(jiān)視評(píng)審與服務(wù)變更管理等多個(gè)方面，進(jìn)行了網(wǎng)絡(luò)安全服務(wù)供應(yīng)商相關(guān)管理標(biāo)準(zhǔn)的闡述，同時(shí)在信息安全技術(shù)、信息安全服務(wù)能力評(píng)估準(zhǔn)則當(dāng)中設(shè)定了科學(xué)的信息安全服務(wù)組織能力評(píng)估指標(biāo)。

4 新時(shí)代網(wǎng)路安全服務(wù)能力體系建設(shè)思路

4.1 模型構(gòu)建

網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)涵蓋了網(wǎng)絡(luò)安全服務(wù)供應(yīng)商、網(wǎng)絡(luò)安全服務(wù)用戶等多個(gè)參與方，部分網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)需要由雙方共同努力和協(xié)調(diào)方能夠完成，因此，網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)必須要以網(wǎng)絡(luò)系統(tǒng)生命周期為核心主干，根據(jù)系統(tǒng)的生命周期、系統(tǒng)需求進(jìn)行開發(fā)和安全設(shè)計(jì)，同時(shí)要涵蓋測(cè)試、部署和運(yùn)維等多個(gè)安全服務(wù)階段，要以保障業(yè)務(wù)持續(xù)發(fā)展為根本目標(biāo)，結(jié)合系統(tǒng)生命周期，為用戶提供更符合其實(shí)際需求的網(wǎng)絡(luò)安全服務(wù)，通過技術(shù)體系、管理體系、標(biāo)準(zhǔn)體系、監(jiān)督評(píng)審體系的建立，為用戶提供各項(xiàng)安全規(guī)劃、安全等級(jí)評(píng)測(cè)、安全監(jiān)督以及評(píng)價(jià)等多項(xiàng)安全服務(wù)，從全角度來為用戶提供網(wǎng)絡(luò)安全服務(wù)。

4.2 技術(shù)體系

網(wǎng)絡(luò)安全主要是攻擊與防守兩方的較量，既然存在較量，就必然存在動(dòng)態(tài)風(fēng)險(xiǎn)。為確保能夠全方位抵御不同變化所產(chǎn)生的網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅，網(wǎng)絡(luò)安全服務(wù)供應(yīng)商需要不斷進(jìn)行技術(shù)的研發(fā)升級(jí)，并真正將其完美地融入到網(wǎng)絡(luò)安全服務(wù)體系當(dāng)中，借助基礎(chǔ)服務(wù)資源，借鑒國外先進(jìn)技術(shù)經(jīng)驗(yàn)和技術(shù)理念，運(yùn)用功能先進(jìn)且安全可控的相關(guān)服務(wù)工具來打造高水平的技術(shù)體系和安全服務(wù)產(chǎn)品體系，

4.3 標(biāo)準(zhǔn)體系

網(wǎng)絡(luò)安全服務(wù)能力體系的建立必須要依循國內(nèi)外相關(guān)網(wǎng)絡(luò)安全服務(wù)標(biāo)準(zhǔn)要求，構(gòu)建標(biāo)準(zhǔn)規(guī)范，同時(shí)還要設(shè)定清晰的服務(wù)水平定性與定量基線指標(biāo)，各項(xiàng)服務(wù)標(biāo)準(zhǔn)必須要圍繞可執(zhí)行性和適用性來予以設(shè)計(jì)，并在不斷的實(shí)踐見證下予以逐步改進(jìn)。

4.4 管理體系

在各項(xiàng)網(wǎng)絡(luò)安全產(chǎn)品技術(shù)體系完善之后，還要注重各項(xiàng)網(wǎng)絡(luò)安全管理體系的構(gòu)建，真正打造科學(xué)、健全高效并具有較高可執(zhí)行性的網(wǎng)絡(luò)安全管理體系。這也是能夠確保網(wǎng)絡(luò)安全服務(wù)能力得以提升的重要內(nèi)容，還要構(gòu)建合理有效的管理機(jī)制，確保各項(xiàng)網(wǎng)絡(luò)安全服務(wù)相關(guān)產(chǎn)品內(nèi)容能夠有據(jù)可查、有跡可循，確保其項(xiàng)目的整體進(jìn)度和服務(wù)質(zhì)量。此外還要組建專業(yè)化、高素質(zhì)的網(wǎng)絡(luò)安全服務(wù)管理團(tuán)隊(duì)。其既要掌握高超的技術(shù)，又要具備扎實(shí)的管理理論知識(shí)，掌握先進(jìn)的管理方法，從而防止網(wǎng)絡(luò)安全服務(wù)能力體系與實(shí)際需求相背離。

4.5 評(píng)價(jià)體系

技術(shù)體系、標(biāo)準(zhǔn)體系與管理體系的建設(shè)必須要建立在網(wǎng)絡(luò)安全服務(wù)供應(yīng)商執(zhí)行能力和服務(wù)意識(shí)的前提下，同時(shí)還要搭配責(zé)任體系與監(jiān)督評(píng)價(jià)體系，在網(wǎng)絡(luò)服務(wù)供應(yīng)商和用戶需求基礎(chǔ)上，進(jìn)行責(zé)任體系與監(jiān)督評(píng)價(jià)體系的構(gòu)建，需依據(jù)相關(guān)安全服務(wù)內(nèi)容明確責(zé)任，并以責(zé)任體系來提高其監(jiān)督力度，防止責(zé)任邊界模糊問題的出現(xiàn)。監(jiān)督評(píng)價(jià)體系要能夠有效提高網(wǎng)絡(luò)服務(wù)供應(yīng)商安全服務(wù)水平，而且能夠滿足用戶的安全需求。需要結(jié)合本行業(yè)及企業(yè)業(yè)務(wù)實(shí)際特點(diǎn)來建立適用性較強(qiáng)的網(wǎng)絡(luò)安全服務(wù)能力評(píng)價(jià)機(jī)制和方法，利用事前、事中和事后不同監(jiān)督機(jī)制和評(píng)價(jià)指標(biāo)來確保網(wǎng)絡(luò)安全服務(wù)在整個(gè)服務(wù)過程當(dāng)中，始終保持正確的目標(biāo)，從而提高網(wǎng)絡(luò)安全服務(wù)水平。

5 結(jié)束語

近年來，隨著我國計(jì)算機(jī)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)已成為當(dāng)前社會(huì)的重要組成部分，其在為人們生活提供便利的同時(shí)也帶來了一些網(wǎng)絡(luò)安全問題，雖然網(wǎng)絡(luò)安全技術(shù)水平不斷提升，各項(xiàng)安全防護(hù)技術(shù)持續(xù)更新，但仍然存在很大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，且網(wǎng)絡(luò)攻擊手段進(jìn)步速度要超過網(wǎng)絡(luò)安全防護(hù)技術(shù)進(jìn)步速度，導(dǎo)致近年來網(wǎng)絡(luò)攻擊事件頻發(fā)，出現(xiàn)了大量網(wǎng)絡(luò)安全事件。國家一直十分重視網(wǎng)絡(luò)安全服務(wù)，并將其提高到國家安全戰(zhàn)略層面。這就需要不斷加強(qiáng)網(wǎng)絡(luò)安全服務(wù)能力體系的建設(shè)，使其能夠在技術(shù)、功能上符合新時(shí)代網(wǎng)絡(luò)安全的實(shí)際現(xiàn)狀和具體要求。尤其要緊抓網(wǎng)絡(luò)安全服務(wù)發(fā)展機(jī)遇，從多方面、多角度進(jìn)行網(wǎng)絡(luò)安全服務(wù)能力的提升，真正滿足當(dāng)前時(shí)代網(wǎng)絡(luò)安全的實(shí)際需求，為用戶營造出更加安全、可靠且優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境?！?/p>