网络安全工作面临的典型困境和解决思路探讨

2022-12-08李慧芹宋灿李云龙汪亚娟

网络安全技术与应用 2022年3期

◆李慧芹宋灿李云龙汪亚娟

◆李慧芹1宋灿1李云龙2汪亚娟1

（1.国网客服中心信息运维中心天津 300309；2.国网思极检测技术（北京）有限公司北京 102211）

企业网络安全工作存在着管理机制不完善、防御体系不成熟、人员技能待提升等问题。本文结合实际工作经验，讨论了当前网络安全工作中存在的典型困境，包括网络安全与业务发展的关系、防护水平的评估与完善、人员技能培养等问题，并探讨了后续的工作思路，为网络安全工作的开展与完善提供参考。

网络安全；管理机制；技防体系；持续评估

国家越来越重视网络安全，各企业也先后开展本单位的网络安全工作并建立了基本的管理机制和防御体系，然而当前网络安全工作仍存在很多困境亟须解决，比如安全管理制度不完善、安全设备老旧、资产梳理不清晰、防护体系不足、人员安全意识薄弱等[1-3]。笔者结合自身工作经验，总结了当前存在的三个突出问题，包括安全与发展的“矛盾”关系、防护水平缺乏评估手段、员工网络安全素质有待提升，并对解决思路进行了探讨，为后续的网络安全工作的完善提供了思路。

1 网络安全工作面临的问题

网络空间已经成为继陆、海、空、天之后的“第五大作战领域，网络安全已成为大国博弈的重要战场。习近平总书记多次强调：没有网络安全就没有国家安全。自2017年国家颁布实施《网络安全法》以来，又相继出台了《密码法》《数据安全法》《个人信息保护法》等，逐步将网络安全法制化。在此背景下，各企业已在不同程度上开展网络安全相关工作。一是建立了一套网络安全管理体系，制定各层级安全责任清单，要求“管业务必须管安全”、“一把手负责制”等；二是在网络边界上部署了防火墙、入侵防御设备、入侵检测系统、Web应用防火墙以及流量分析、威胁感知等安全产品[4-6]；三是初步建立了一支网络安全队伍，开展日常的安全加固、威胁监测分析与处置、渗透测试与漏洞整改等工作。但在实际的安全工作开展中，仍存在很多问题，比较突出的有以下三方面。

1.1 安全与发展存在“对抗”关系

开展网络安全工作，必然要对企业各个专业的各个工作环节进行安全把控，使其满足各类符合性要求，这与工作效率天然存在着“对抗”关系。比如，微信作为一种广泛使用的即时聊天软件，已成为各类工作协调沟通的重要渠道，人员信息、建设方案等敏感信息也经常通过微信传播，存在敏感信息泄露的风险，安全管控极为困难。再如，业务的快速发展往往依赖于信息系统的快速迭代，而信息系统在上线前必须要经过第三方测试及发版安全测试，将发现的漏洞全部整改完成后才能上线，这就难以实现快速迭代、敏捷开发的目标，但从安全角度来说决不能容忍系统“带病上线”。

以上种种矛盾会使得其他专业员工对网络安全工作产生敌意和对抗心理，如何权衡安全隐患和工作效率是做好网络安全工作的一个重要挑战，需要有双方都能接受的解决措施，网络安全工作才能长远发展。

1.2 网络安全防护水平缺乏评估手段

当前企业普遍认可的防御体系为纵深防御体系，它是指通过构筑多条防线防御攻击，当一个或多个防御措施失效时，仍能通过其他防线和措施弥补、抵抗网络攻击行为。在纵深防御体系中，企业在信息系统构筑了多层安全防护，比如对外做好边界防护，对内开展访问控制，主机做好杀毒审计，将关键系统进行隔离，把核心信息加密，同时常态开展渗透测试提早发现和整改安全漏洞[7]。

在纵深防御体系中，不同的网络安全设备专注于实现不同的功能，比如Web攻击检测、木马病毒邮件检测、主机安全加固、数据防泄漏、数据脱敏、攻击溯源等。即便是实现相同功能的不同品牌的网络安全设备其检测机制也不尽相同，导致对同一种攻击威胁其检测结果也不相同[8]。这就导致在网络安全经费方面投入较高的企业部署了市面上的大部分安全产品，而在网络安全经费方面投入有限的企业在选择产品时难以选择到真正有效的产品。另一方面，网络安全威胁来源和攻击手段不断变化[9]，这就要求企业的安全运维人员除了及时将设备的特征库更新到最新版本以检测到最新的安全威胁外，还需要根据企业业务情况及面临的威胁动态调整安全设备的策略。

即便做足了以上工作，大多数企业对自身网络安全防御体系的有效性很难有一个清晰的认识：对于常见的攻击手法，已有的安全设备和策略是否能够检测和拦截？同类产品中，哪家的安全设备检测能力更强？已有的防御体系是否完备？这些是困扰很多企业网络安全从业者的问题。

1.3 员工网络安全素质有待提升

这里的员工既包括专门从事网络安全专业的安全运维人员，也包括企业中的其他非网络安全专业人员，后者的安全意识及风险识别能力是整个安全防护工作的一大短板。

某知名安全厂商在2019年全事件响应观察报告中指出“三分之一的安全事件与安全管理疏忽或员工安全意识薄弱有关”、“在2019年处理的安全事件中，弱口令事件占比22%，钓鱼邮件相关事件占比7%”。社会工程学攻击已成为黑客常用的攻击手法之一，员工整体安全意识水平将很大程度决定了企业的网络安全水平，而目前大多数企业员工的安全意识水平较为淡薄。

在网络安全运维人员队伍中，大多数人员只能从事初级的告警分析和处置，对设备依赖程度较高，且难以自主优化安全策略；或者只关注于Web类、主机类、基线核查中某一小的领域，综合技术水平较低。与此同时，云安全、数据安全、移动安全等领域安全防护工作迫在眉睫，但很多企业缺乏拥有对应技能的网络安全人才。

2 网络安全防护工作优化思路探讨

2.1 根据安全形势调整工作重点

网络安全形势包括国内外重要的安全事件、国内新出台的法律法规、新的攻防手段、黑客的关注焦点、新的脆弱点及解决方案等。通过梳理，有助于企业把控自身网络安全建设的发展方向，及时调整工作重点。比如，《数据安全法》及《个人信息保护法》于2021年9月1日和2021年11月1日相继执行，企业应加强数据安全防护方面的研究和资金投入，以防止发生数据失泄密事件，降低企业违法风险。

2.2 动态完善网络安全管理机制

网络攻防具有动态对抗性，这就要求网络安全管理机制和技术手段均需要动态完善，而管理机制的动态调整恰恰是企业管理者容易忽视的。网络安全工作与其他工作的矛盾推动着管理手段必须不断查漏补缺，动态优化。比如，要降低通过微信等互联网渠道传输工作文件带来的数据泄露风险的同时兼顾工作效率，企业可以制定互联网传输工作文件的管理规定，明确哪些信息属于企业秘密或敏感信息，禁止通过互联网渠道传播。对于系统发版和安全测试的矛盾，在满足国家法律法规和等保2.0等规定的基础上，应结合不同系统的业务特性制定不同的发版安全测试要求，不可一刀切。企业应不断细化、完善自身的网络安全管理机制，解决好安全与发展的关系。

2.3 持续评估优化技防措施

网络攻防的动态性要求防御措施的动态性，新的攻击手法不断出现，如果还是依靠原有的设备和安全策略，则可能无法检测出某些威胁，可能造成系统被破坏、数据遭泄露等严重后果，应持续评估技防措施的有效性和完备性。比如通过模拟入侵攻击的方式，评估企业的纵深防御体系是否完善、是否缺少相关设备、不同厂家的设备对网络攻击的检测有效性是否达到预期、哪家设备功能和性能更优、安全策略是否需要调整、如何调整等。

2.4 推进员工网络安全素质和技能水平提升

通过线上线下培训与考试、签订网络安全保密协议、攻防实战演习、社工入侵测试等形式，提高企业员工整体的网络安全意识，使其了解基本的网络安全知识，具备识别钓鱼邮件、钓鱼链接等社会工程学攻击方式的能力。同时，建立联防联控的沟通渠道，使企业员工遇到疑似网络安全威胁时可以第一时间求助于网络安全运维人员。

在专业网络安全运维人员招聘及选拔方面，应及时补充具有数据安全、云安全、移动安全等方面技能的人才，定期举办专项培训，鼓励安全运维人员考取网络安全相关证书，做到持证上岗。同时做好一个企业红队和蓝队人员的一体化培养，蓝队人员了解攻击才能更好地防守，红队人员了解防守才能寻找和验证薄弱点，建成一支“红蓝一体、攻防一体”的网络安全人才队伍，共同提升企业网络安全防护水平。