新时代网络安全服务能力体系建设思路
2023-03-22过佳敏
过佳敏
(江苏安国信检测技术有限公司,江苏 苏州 215124)
1 新时代网络安全服务发展背景
1.1 网络安全服务等级提升
我国于2016年颁布了《中华人民共和国网络安全法》,实现了我国网络安全领域立法的完善,在网络安全法实施基础上确立了网络安全服务立法架构,并在科学统筹下,形成了较为统一的体系,由此也提高了网络安全领域权益的法治保护水平。在新时代背景下,各项网络安全技术水平正不断提升,并且网络安全服务已经逐渐由大范围层次保护向分层级保护方向迈进。我国网络安全法中也明确提出了网络安全保护等级制度、等级保护方式的网络安全服务提供逐渐由行业规则向法律规则转化,由此也使得网络安全等级保护制度成为网络安全相关法律法规的核心。为确保网络安全法能够有效落实,各相关单位不断加强对网络安全等级保护相关制度内容的深入解读,以提高网络安全等级服务体系的系统化、标准化与规范化水平[1]。
1.2 网络安全服务要求提升
由于近年来外部网络攻击和非法访问行为事件频发,严重威胁着用户的人身安全和财产安全。网络运营者要想确保能够营造出健康、安全的运营环境,确保其经济效益增长,就要提高网络安全服务的标准。只有真正能够消除网络安全隐患,用户的信息才可以在网络空间中安全存储和应用。
1.2.1 服务对象不断扩展
在以往网络安全背景下信息系统是网络安全的主要服务对象,技术研发和功能设置也是以信息系统作为重要的保护对象。而伴随着我国等级保护2.0时代的到来,网络安全服务对象开始不断拓展,并覆盖了物联网、云平台和大数据以及技术信息网络,而且在网络安全保护领域当中增设了安全检测、风险评估入侵预警、案件调查等新的服务内容。服务对象和服务内容的不断增多,等级保护的核心标准也产生了新的改变,其在原有传统基础之上,逐渐向多领域蔓延和扩充。
1.2.2 服务内容不断增多
在等级保护2.0时代背景下,针对等级保护的内容也进行了相应的调整,传统等级保护内容主要覆盖了定级、备案、整改、测评与监督。新时代,在原有五项基础之上,增设了预警、检测、评估、调查等多项等级保护内容,而且针对等级保护相关标准体系也进行了升级,实现了对等级保护对象的拓展,以及对相关内容进行了细化。例如,在网络安全服务等级当中,其所涵盖的评审内容或层级主要包括保护对象层级评定、服务对象备案操作安全问题整改、安全水平等级和网络安全服务基础体系。而且在评审体系当中,除原有层级内容之外,还涉及风险评审、操作和应用风险监测。针对多元化网络安全服务评审内容,网络安全服务所提供的操作标准也实现了扩大化,覆盖范围不断拓展,网络安全服务对象更为广泛,其内容越来越细致化。
2 新时代网络安全服务所面临的机遇
2.1 供应商所承担的责任出现了变化
现代信息技术与大数据技术以及云计算技术水平进步速度不断加快,对相关技术的应用也越来越广泛。在日常生活中,人们已经离不开先进的信息技术、网络技术、云计算技术以及大数据技术,传统信息系统边界开始逐渐模糊。而在以往所应用的信息系统当中,用户在购买和部署产品之后,需要负责相关安全,而为用户提供相关产品的供应商以及产品提供方只需要负责进行相关设备的日常维护,在信息系统安全责任方面并没有做出较为具体的规定。而在新时代背景下,云服务供应商和用户之间因服务模式不同,安全责任的相关规定也开始发生变化。在现代云计算环境中,作为网络产品的供应商,其在服务模式方面与传统相比产生了诸多变化,尤其在安全责任上变化最为明显,网络产品供应商要能够根据用户实际网络运行环境提供有针对性的安全防护服务。
2.2 网络安全服务目标越来越宽泛
通常情况下,网络安全服务往往是借助于为用户提供安全产品来予以体现,然而,随着现代网络安全形势的急剧烈变化和网络领域当中多项新技术的涌现与广泛应用以及大范围推广,用户安全需求开始不断提升,越来越重视安全保护需求。基于这一基本要求所产生的网络安全服务目标变化也越来越明显。而无论是用户还是网络服务供应商,在实际安全需求的研究与分析方面所开展的工作往往是针对单独的安全产品是否能够具备满足用户实际安全需求功能,只能够从内容上进行深化和细化,导致网络安全服务的目标越来越宽泛。例如,以往主要以安全产品开发和功能升级为核心,而如今则是向整个生命周期蔓延。
2.3 网络安全服务人才需求多样化
网络安全服务行业所需要的人才较多,而且由于其所涉及的相关理论知识和专业技术较为烦杂,因而网络安全服务是属于一项人才较为密集的服务行业。在新时代背景下,网络安全服务的内容越来越宽泛,而且逐渐向着专业化与精细化方向迈进,在技术水平不断升级这一需求的推动下,对于复合型、综合型人才的需求也与日俱增。然而,网络安全服务行业人员流动性相对较高,这也是其较为明显的人才特征之一。人才过高的流动率影响了网络安全服务项目的实施进度和服务质量。目前,网络安全服务能力体系建设当中就存在着这项影响其建设水平和建设进度的问题——人才稀缺,尤其技术骨干频频跳槽,技术队伍不稳定,行业企业之间竞争压力极大,这些严重阻碍了网络安全服务能力体系的建设和整体安全服务水平的提升。
3 国家关于网络安全服务能力体系建设的文件标准
我国于2016年所颁布的《中华人民共和国网络安全法》是属于网络安全领域当中的一项基础性法律法规,其对网络安全相关服务内容和服务对象做出了极为严格且细致的规定。结合网络安全法关于网络服务供应商相关法律法规条款第17条、22条、24条、48条、62条等相关法律内容可以发现,网络产品和服务提供者不可在产品当中设置恶意软件程序,如果发现所提供的网络产品或网络安全服务存在安全隐患、漏洞和缺陷等诸多威胁网络安全的风险,需立即给予补救,并且按照国家相关法律规定详细告知用户,同时向相关主管部门提交详细的产品报告和补救措施方案。所有网络产品和网络安全服务供应商必须要能够做到产品与安全服务的持续性维护,在合同或约定时间范围内不可随意终止安全维护。
当前,网络安全服务相关标准主要是以服务能力评价和服务供应商具体选择为核心,在等级保护2.0标准体系当中最为关键的一项标准之一,即为信息安全技术网络安全等级保护基本要求,明确提出了网络安全服务供应商所必须依循的内容,其中还规定:第一,服务供应商所做出的选择必须要符合国家相关法律法规的规定;第二,必须要签订所选定的相关服务协议,针对服务供应链各方要明确必须要履行的网络安全义务;第三,严格进行各项监督和评审以及审核工作,尤其要定期对网络安全服务供应商所提供的服务效果和质量以及效率进行监督和审核,对于其中所发生的一些变更内容,必须要严格控制和评审。这些要求都需要建立在所选择地供应商,具备国家审核并通过相关资质标准及协议控制等要求基础上,以保证网络安全服务供应商能够在整个服务过程当中为用户提供更加安全、可靠且优质的服务。
在信息技术与安全技术以及信息安全控制使用规则当中,明确提出供应商关系这一概念的解释,包括供应商关系、信息安全与供应链以及供应商服务监视评审与服务变更管理等多个方面,进行了网络安全服务供应商相关管理标准的阐述,同时在信息安全技术、信息安全服务能力评估准则当中设定了科学的信息安全服务组织能力评估指标。
4 新时代网路安全服务能力体系建设思路
4.1 模型构建
网络安全服务能力体系建设涵盖了网络安全服务供应商、网络安全服务用户等多个参与方,部分网络安全服务能力体系建设需要由双方共同努力和协调方能够完成,因此,网络安全服务能力体系建设必须要以网络系统生命周期为核心主干,根据系统的生命周期、系统需求进行开发和安全设计,同时要涵盖测试、部署和运维等多个安全服务阶段,要以保障业务持续发展为根本目标,结合系统生命周期,为用户提供更符合其实际需求的网络安全服务,通过技术体系、管理体系、标准体系、监督评审体系的建立,为用户提供各项安全规划、安全等级评测、安全监督以及评价等多项安全服务,从全角度来为用户提供网络安全服务。
4.2 技术体系
网络安全主要是攻击与防守两方的较量,既然存在较量,就必然存在动态风险。为确保能够全方位抵御不同变化所产生的网络风险威胁,网络安全服务供应商需要不断进行技术的研发升级,并真正将其完美地融入到网络安全服务体系当中,借助基础服务资源,借鉴国外先进技术经验和技术理念,运用功能先进且安全可控的相关服务工具来打造高水平的技术体系和安全服务产品体系,
4.3 标准体系
网络安全服务能力体系的建立必须要依循国内外相关网络安全服务标准要求,构建标准规范,同时还要设定清晰的服务水平定性与定量基线指标,各项服务标准必须要围绕可执行性和适用性来予以设计,并在不断的实践见证下予以逐步改进。
4.4 管理体系
在各项网络安全产品技术体系完善之后,还要注重各项网络安全管理体系的构建,真正打造科学、健全高效并具有较高可执行性的网络安全管理体系。这也是能够确保网络安全服务能力得以提升的重要内容,还要构建合理有效的管理机制,确保各项网络安全服务相关产品内容能够有据可查、有迹可循,确保其项目的整体进度和服务质量。此外还要组建专业化、高素质的网络安全服务管理团队。其既要掌握高超的技术,又要具备扎实的管理理论知识,掌握先进的管理方法,从而防止网络安全服务能力体系与实际需求相背离。
4.5 评价体系
技术体系、标准体系与管理体系的建设必须要建立在网络安全服务供应商执行能力和服务意识的前提下,同时还要搭配责任体系与监督评价体系,在网络服务供应商和用户需求基础上,进行责任体系与监督评价体系的构建,需依据相关安全服务内容明确责任,并以责任体系来提高其监督力度,防止责任边界模糊问题的出现。监督评价体系要能够有效提高网络服务供应商安全服务水平,而且能够满足用户的安全需求。需要结合本行业及企业业务实际特点来建立适用性较强的网络安全服务能力评价机制和方法,利用事前、事中和事后不同监督机制和评价指标来确保网络安全服务在整个服务过程当中,始终保持正确的目标,从而提高网络安全服务水平。
5 结束语
近年来,随着我国计算机技术的飞速发展,网络已成为当前社会的重要组成部分,其在为人们生活提供便利的同时也带来了一些网络安全问题,虽然网络安全技术水平不断提升,各项安全防护技术持续更新,但仍然存在很大的网络攻击风险,且网络攻击手段进步速度要超过网络安全防护技术进步速度,导致近年来网络攻击事件频发,出现了大量网络安全事件。国家一直十分重视网络安全服务,并将其提高到国家安全战略层面。这就需要不断加强网络安全服务能力体系的建设,使其能够在技术、功能上符合新时代网络安全的实际现状和具体要求。尤其要紧抓网络安全服务发展机遇,从多方面、多角度进行网络安全服务能力的提升,真正满足当前时代网络安全的实际需求,为用户营造出更加安全、可靠且优质的网络环境。■