网络安全应急管理科技支撑体系建设研究

2024-01-11杨海

电脑知识与技术 2023年17期

杨海

（国家计算机网络应急技术处理协调中心贵州分中心，贵州贵阳 550001）

当前，网络安全问题已深入影响着经济社会发展、人民生产生活，成为影响国家安全的重要问题之一，是当今世界各国均面临的重大问题和风险挑战。我国对网络安全问题高度重视，已出台相关一系列的法律法规和政策文件，加强对网络安全问题的监督和管理。然而，网络攻击事件依然时有发生，尤其是针对政府机关、金融机构、重要基础设施等重点目标的攻击，给国家安全稳定带来了不小的威胁，网络安全应急管理工作面临巨大挑战。作为网络安全应急管理工作的重要组成部分，网络安全应急管理科技支撑体系建设与适应当前网络安全应急管理的发展需求还有一定的差距。

1 网络安全应急管理科技支撑体系建设发展现状

近些年，我国的网络安全应急管理科技支撑建设已经取得了长足的进展，《网络安全法》专章对监测预警与应急处置提出了明确要求，《国家网络空间安全战略》明确了对完善网络安全监测预警和网络安全重大事件应急处置机制的要求，《网络空间国际合作战略》也提出要推动加强各国在预警防范、应急响应、技术创新、标准规范、信息共享等方面合作[1]。将网络安全应急响应能力建设提升到了新的高度。

在关键性技术研究方面，我国一直致力于网络安全的研究和技术攻关。例如，已经研发出了一些核心技术，如面向高速网络的入侵检测、攻击防御系统和基于大数据的网络安全威胁情报分析平台等，这些技术都可以用于应对网络安全事件的应急处理。此外，我国还积极推进新一代网络技术的研究和发展，比如IPv6、5G、物联网等，这些新技术也可以为网络安全应急管理提供更好的支撑。

在政策法规制定方面，《网络安全法》第二章“网络安全支持与促进”中规定，国家建立和完善网络安全标准体系，扶持重点网络安全技术产业和项目，支持网络安全技术的研究与应用，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务，支持网络安全相关教育与培训等。通过法律的规定和要求，促进了网络安全技术的研究与应用，为健全网络安全应急管理科技支撑体系提供了法律保障和政策支持。

在应急队伍建设方面，近年来，国家计算机网络应急技术处理协调中心成功处置爆发的wannacry 勒索软件病毒、重要单位DDoS 攻击事件，及时做好网络安全预警工作，发布如“魔盗”窃密木马、Mirai 变种Miori 僵尸网络、Fodcha 僵尸网络、BlackMoon 僵尸网络等大规模传播的风险，以及各类重要信息漏洞风险，反映出我国拥有的应急队伍已经在应对突发网络安全事件中发挥了重要作用[2]。

在标准规范制定方面，全国信息安全标准化技术委员会（TC260）积极组织开展应急响应相关标准制定工作，发布了《信息安全事件管理第一部分:事件管理原理》（GB/T 20985.1-2017）、《信息安全应急响应计划规范》（GB/T 24363-2009）、《信息系统灾难恢复规范》（GB/T 20988-2007）等标准。国家计算机网络应急技术处理协调中心主导或参与制定了如《网络安全事件描述和交换格式》《信息安全漏洞管理规范》《安全漏洞分类》《网络与信息安全应急处理服务资质评估方法》《网络安全应急处理小组建设指南》等多项国标和行标[3]。这些标准的制定和发布为我国开展网络安全事件应急处置工作夯实了基础，为提高网络安全应急处置的能力水平发挥着重要作用。

2 网络安全应急管理科技支撑体系建设需要应对的新问题

随着移动互联网、工业控制系统、人工智能、云计算、大数据、物联网等新应用新技术的普遍应用，以及在网络空间领域国际竞争的愈发激烈，产生了许多新型网络安全问题，如何适应网络安全事件的发展，做好网络安全应急管理科技支撑体系建设，需要应对以下新问题。

2.1 新型网络安全事件应急缺乏经验

近年来，以不断演变、变种的勒索病毒为例的新型网络安全事件不断出现，已成为目前最活跃、影响最直接的安全威胁。网络黑客往往可以直接利用网络上曝出的“武器库”等专业整合类工具，大大降低了网络攻击的门槛，不仅可以从互联网端直接使用工具攻破系统，甚至可以采用“跳板”攻击至业务网、内网等多类网络环境造成严重危害。同时，新一代技术的快速演进，如5G、区块链、IPv6等新技术广泛运用于车联网、物联网等领域，人工智能领域的快速兴起发展，如通过ChatGPT 可以更加自动化地编写病毒、木马程序，更加隐蔽地植入恶意代码等。面对这样的新常态，已出现传统网络安全应急经验跟不上新技术发展的情况，相应的网络安全应急管理科技支撑建设也面临同样的问题。

2.2 网络安全工作应急的时间窗口越来越短

网络安全应急工作的重点任务之一是发现和修补系统平台的安全漏洞。当一个漏洞被公开后，漏洞的补丁研发者和攻击工具的研发者需要与时间“赛跑”，很多漏洞的攻击利用工具会先于或同步于补丁研发出来。据国外安全服务机构rapid7公司《2021年度漏洞情报报告》指出，黑客在2021 年利用软件漏洞的速度要快得多，平均利用时间从2020 年的42 天减少到现在的12 天，黑客组织利用漏洞时间减少了71%。主要原因一方面是安全漏洞的数量不断增多，补天漏洞响应平台发布的《2022年补天漏洞响应平台年度分析报告》显示，2022年全年，补天平台共收录白帽子报告的全国各类网站安全漏洞约16.8 万个，较2021 年的14.6 万个增长约15%。另一方面是利用漏洞进行攻击的获利性更高，近年来遭受攻击的案例中，常见的有勒索病毒软件、钓鱼木马等事件，具有较高的非法牟利价值。

2.3 网络安全事件的应急工作更加复杂

一是攻击手段更加多样化。随着网络攻击技术的不断发展，攻击手段变得越来越多样化。从最初的简单的病毒攻击、DDoS 攻击，到现在的APT 攻击、0day 漏洞攻击等，攻击手段越来越复杂，难以通过传统的防御技术进行防范[4]。二是靶向性更强。网络攻击者的攻击目标越来越明确，攻击更加有针对性。攻击者不再是随意地攻击某个组织或个人，而是对目标进行全面侦查和分析，精准地选择攻击目标，攻击效果更加显著。三是可持续性更高。网络攻击者可以利用僵尸网络、后门程序等技术实现攻击的持续性，对目标进行长期攻击，获取目标网络的更多信息，并利用目标网络实施更大规模的攻击。四是隐蔽性更强。攻击者在攻击时更注重隐蔽性，往往使用一些隐蔽的攻击手段，如植入木马程序、修改日志记录等，以避免被发现。这使得网络安全应急管理的任务变得更加困难，需要更加高效的技术手段来识别和防范攻击。五是影响范围更广。网络攻击的影响范围也越来越广泛，不再局限于单个组织或个人，而是可以跨越国界和地域。

2.4 关键信息基础设施网络安全应急需求更加突出

关键信息基础设施是保障人民生活生产、经济社会发展甚至国家安全的重要基础设施。通常具有的有以下几个方面显著特点。从包含数据的方面来说，涉及数据量大、数据种类多、涉及人群多等；从使用的技术方面来说，其信息化水平高、使用技术多、网络拓扑结构和服务器节点复杂等；从遭受攻击造成后果的方面来说，影响范围广、造成损失重、敏感性高、社会关注度大等。如：伊朗的核电站曾遭受“震网”病毒攻击，影响了核电站几年的正常工作运行；波兰的罗兹市发生过因遭到网络攻击，导致有轨电车系统被控制，发生人员受伤、列车脱轨的事件；美国科洛尼尔管道运输公司油管道系统被植入勒索病毒，不得已暂停服务，导致部分地区汽油、柴油等燃料供应受到影响，并使美国宣布进入紧急状态。许多案例表明，关键信息基础设施已成为网络攻击的重点，一旦遭到攻击，不仅影响面广，而且破坏程度大，导致网络安全应急工作更加困难。

3 网络安全应急管理科技支撑体系建设中的存在问题的原因分析

一是重要性认识不足。建设和完善网络安全应急管理科技支撑体系是应对网络空间威胁的重要保障，部分单位和主要负责人对这项工作的重要性认识不足，没有将体系建设上升到战略认识的高度上。主体责任意识不强，存在一定的侥幸心理，缺乏对网络安全应急工作的危机意识，对完善科技支撑体系建设，提高网络安全应急能力，遏制和防范重大网络安全事件发生的积极性不高。二是专业队伍建设不足。网络安全领域专业队伍的建设和配备存在不足，一些单位没有配备专职人员，有的虽然配置了专职人员，但技术力量有限，不能深入发现其他网络安全风险隐患，导致网络安全事件接连发生。安全服务大多依赖第三方服务机构，缺乏独立、自主的专业能力。三是政策法规配套细则还不够完善。目前，我国在网络安全应急管理领域法律法规的配套细则尚需完善，同时因网络安全领域技术和威胁变化迅速，配套政策法规的制定和完善往往落后于实际需求，这就给科技支撑体系建设带来了困难和挑战。四是资源分配不合理。一些经济欠发达地区或者一些基础设施建设不完善的地区，往往缺乏相关的网络安全基础设施和专业人才，难以满足网络安全应急管理科技支撑体系建设的需要。一些地区虽然具备资源条件，但不同程度的存在“重发展、轻安全”思维，将网络安全工作地投入放在次要位置，导致网络安全应急管理科技支撑体系建设滞后。

4 加强网络安全应急管理科技支撑体系建设的对策及建议

围绕应对当前网络安全应急管理工作所面临的新形势和新挑战，以应急管理理论为指导，结合应急管理事前、事发、事中、事后四个阶段的不同任务内容，在分析存在问题及原因的基础上，对加强网络安全应急管理科技支撑体系建设提出以下五个方面的对策建议。

4.1 增强网络安全应急管理科技支撑基础能力建设

一是加强网络安全应急管理科技理论研究。要构建完善的理论框架，深入研究网络安全威胁和漏洞，探索网络安全应急管理技术体系，加强网络安全应急管理标准化研究，推动国际标准和国家标准的协调和统一。二是加强网络安全应急管理专业技术人才队伍建设。建立多元化的人才选拔机制，建立完善的培训机制和体系，营造良好的工作氛围和发展环境，推动行业和学界合作，实现人才资源共享和优势互补。三是加强网络安全应急管理科技核心技术攻关。制定网络安全应急管理科技核心技术攻关计划，加强网络安全应急管理的本质、原理、方法和手段的基础研究，实现网络安全科技自主可控，促进技术成果向实际应用落地。

4.2 建立网络安全应急管理预防科技支撑体系

一是加强网络安全应急管理综合保障能力建设。掌握网络资产底数，了解网络中所有的设备和软件以及这些设备和软件的所有信息，包括类型、名称、数量、用途、IP 地址、操作系统、配置文件等。可搭建网络安全演练综合平台，检验网络安全防御和应急响应的有效性和可靠性，发现存在的薄弱环节并及时修复。建立安全培训与教育机制，培养干部职工的安全意识和安全素养，减少安全风险的出现。建立安全技术资料库，进一步提升团队整体的技术水平。二是加强网络安全风险评估能力建设。建立适用的风险评估方法和模型，通过采用定量分析、定性分析、威胁建模等方法，构建可用于不同类型网络安全风险的评估模型。加强风险情报收集和分析能力，通过建立与安全情报相关的内外部信息交换机制，建立风险情报分析系统，加强风险隐患的发现能力。加强数据分析和应用能力，借助人工智能等技术手段，对安全风险隐患数据进行分析，提高数据的价值和应用效果。加强安全风险应对方案制定，针对不同类型的网络安全风险，制定相应的应对方案，提高网络安全风险的应对能力水平[5]。

4.3 建立网络安全应急管理应急预警科技体系

一是加强网络安全监测预警系统建设。运用先进的技术手段。如运用大数据、人工智能等对网络安全事件进行实时监测和分析，发现网络安全威胁的趋势和特点，提高网络安全事件的预测准确性和预警及时性。要建立完善的数据源，健全包括网络日志、入侵检测、安全设备等多个方面的数据来源渠道，综合考虑数据的来源渠道、数据的精准度、数据的实时性等因素，确保获取的数据能够提供有效的支持。要做好系统集成和部署，强化系统的可靠性、稳定性、安全性，提升系统的扩展性和兼容性，确保系统能够稳定运行。要实现数据可视化，提高对网络安全事件的认识和理解，为管理决策提供直观的数据支撑。二是完善网络安全事件预警的信息报告与发布体系。加强信息收集与整合，包括对网络安全事件的相关数据、信息、资料等进行收集和整合，确保信息的真实性、准确性和完整性。加强信息研判与分析，分析得出网络安全事件的发生趋势和规律，进而预测和预警网络安全事件的发生发展。加强信息报告与发布，依据信息的紧急程度和重要性，确定信息报告的发布途径和方式。要加强信息验证与反馈，核实信息来源，多个渠道印证，如果验证后发现信息不实要及时予以纠正，避免因信息错误而导致的不必要的损失。加强信息存储与管理，保障数据的安全性和可靠性，确保信息不被泄露或丢失。

4.4 建立网络安全应急管理应急决策与处置科技体系

一是构建网络安全突发事件应急指挥平台。应急指挥平台应该具备灵活的响应能力，能够根据不同的突发事件类型和程度，自适应调整应急响应方案和处理方法。应具备可靠性，包括可靠的通信网络、数据传输、系统存储和备份等，以保证指挥决策和处置工作的顺利进行。应具备高效性，包括快速的信息处理和分析、高效的指挥决策和响应、快速的处置能力等，以最大程度地降低损失和影响。应具备设计合理的指挥组织结构和决策处置流程，要明确主体工作内容和责任边界，提高应急响应和处置工作的效率。二是加强决策指挥人才和专家队伍建设。要加强决策指挥人员的实践经验积累，包括在实际网络安全应急决策和处置工作中、应急演练中，加强对决策指挥人员的指导和培训，增加知识和技能储备，提高决策指挥人员和专家队伍在紧急情况下的协同配合能力。三是加强网络安全应急技术支撑队伍建设。建立完善的网络安全应急管理体系、明确网络安全应急技术支撑队伍的职责和任务、划定工作范围、规范工作程序等，提高网络安全应急技术支撑队伍的协同配合能力和工作效率，以更加高效的方式处理网络安全突发事件。建立完善的技术装备和资源保障，确保网络安全应急技术支撑队伍能够在应急响应过程中有效运作。

4.5 建立网络安全应急管理事后恢复科技体系

一是加强网络安全受灾损失快速评估和恢复科技指导。要加强网络安全受灾损失快速评估的理论研究，建立网络安全恢复指南和标准，加强网络安全受灾损失快速评估和恢复科技指导队伍的建设，为涉事单位在网络安全受灾损失快速评估和恢复过程中提供技术指导和支持。二是加强网络安全攻击溯源和结果分析。运用攻击溯源技术，提高网络安全攻击的检测和追踪能力，对网络攻击的来源和原因进行深入分析，为事后的安全事件调查提供重要的线索和证据。通过分析网络攻击的整体过程，及时发现和堵塞安全风险漏洞，调整安全技术策略和安全管理措施，增强信息系统的安全防御能力，提升防护的整体水平。