過佳敏

（江蘇安國信檢測技術(shù)有限公司，江蘇 蘇州 215124）

1 新時代網(wǎng)絡(luò)安全服務(wù)發(fā)展背景

1.1 網(wǎng)絡(luò)安全服務(wù)等級提升

我國于2016年頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，實(shí)現(xiàn)了我國網(wǎng)絡(luò)安全領(lǐng)域立法的完善，在網(wǎng)絡(luò)安全法實(shí)施基礎(chǔ)上確立了網(wǎng)絡(luò)安全服務(wù)立法架構(gòu)，并在科學(xué)統(tǒng)籌下，形成了較為統(tǒng)一的體系，由此也提高了網(wǎng)絡(luò)安全領(lǐng)域權(quán)益的法治保護(hù)水平。在新時代背景下，各項網(wǎng)絡(luò)安全技術(shù)水平正不斷提升，并且網(wǎng)絡(luò)安全服務(wù)已經(jīng)逐漸由大范圍層次保護(hù)向分層級保護(hù)方向邁進(jìn)。我國網(wǎng)絡(luò)安全法中也明確提出了網(wǎng)絡(luò)安全保護(hù)等級制度、等級保護(hù)方式的網(wǎng)絡(luò)安全服務(wù)提供逐漸由行業(yè)規(guī)則向法律規(guī)則轉(zhuǎn)化，由此也使得網(wǎng)絡(luò)安全等級保護(hù)制度成為網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的核心。為確保網(wǎng)絡(luò)安全法能夠有效落實(shí)，各相關(guān)單位不斷加強(qiáng)對網(wǎng)絡(luò)安全等級保護(hù)相關(guān)制度內(nèi)容的深入解讀，以提高網(wǎng)絡(luò)安全等級服務(wù)體系的系統(tǒng)化、標(biāo)準(zhǔn)化與規(guī)范化水平[1]。

1.2 網(wǎng)絡(luò)安全服務(wù)要求提升

由于近年來外部網(wǎng)絡(luò)攻擊和非法訪問行為事件頻發(fā)，嚴(yán)重威脅著用戶的人身安全和財產(chǎn)安全。網(wǎng)絡(luò)運(yùn)營者要想確保能夠營造出健康、安全的運(yùn)營環(huán)境，確保其經(jīng)濟(jì)效益增長，就要提高網(wǎng)絡(luò)安全服務(wù)的標(biāo)準(zhǔn)。只有真正能夠消除網(wǎng)絡(luò)安全隱患，用戶的信息才可以在網(wǎng)絡(luò)空間中安全存儲和應(yīng)用。

1.2.1 服務(wù)對象不斷擴(kuò)展

在以往網(wǎng)絡(luò)安全背景下信息系統(tǒng)是網(wǎng)絡(luò)安全的主要服務(wù)對象，技術(shù)研發(fā)和功能設(shè)置也是以信息系統(tǒng)作為重要的保護(hù)對象。而伴隨著我國等級保護(hù)2.0時代的到來，網(wǎng)絡(luò)安全服務(wù)對象開始不斷拓展，并覆蓋了物聯(lián)網(wǎng)、云平臺和大數(shù)據(jù)以及技術(shù)信息網(wǎng)絡(luò)，而且在網(wǎng)絡(luò)安全保護(hù)領(lǐng)域當(dāng)中增設(shè)了安全檢測、風(fēng)險評估入侵預(yù)警、案件調(diào)查等新的服務(wù)內(nèi)容。服務(wù)對象和服務(wù)內(nèi)容的不斷增多，等級保護(hù)的核心標(biāo)準(zhǔn)也產(chǎn)生了新的改變，其在原有傳統(tǒng)基礎(chǔ)之上，逐漸向多領(lǐng)域蔓延和擴(kuò)充。

1.2.2 服務(wù)內(nèi)容不斷增多

在等級保護(hù)2.0時代背景下，針對等級保護(hù)的內(nèi)容也進(jìn)行了相應(yīng)的調(diào)整，傳統(tǒng)等級保護(hù)內(nèi)容主要覆蓋了定級、備案、整改、測評與監(jiān)督。新時代，在原有五項基礎(chǔ)之上，增設(shè)了預(yù)警、檢測、評估、調(diào)查等多項等級保護(hù)內(nèi)容，而且針對等級保護(hù)相關(guān)標(biāo)準(zhǔn)體系也進(jìn)行了升級，實(shí)現(xiàn)了對等級保護(hù)對象的拓展，以及對相關(guān)內(nèi)容進(jìn)行了細(xì)化。例如，在網(wǎng)絡(luò)安全服務(wù)等級當(dāng)中，其所涵蓋的評審內(nèi)容或?qū)蛹壷饕ūＷo(hù)對象層級評定、服務(wù)對象備案操作安全問題整改、安全水平等級和網(wǎng)絡(luò)安全服務(wù)基礎(chǔ)體系。而且在評審體系當(dāng)中，除原有層級內(nèi)容之外，還涉及風(fēng)險評審、操作和應(yīng)用風(fēng)險監(jiān)測。針對多元化網(wǎng)絡(luò)安全服務(wù)評審內(nèi)容，網(wǎng)絡(luò)安全服務(wù)所提供的操作標(biāo)準(zhǔn)也實(shí)現(xiàn)了擴(kuò)大化，覆蓋范圍不斷拓展，網(wǎng)絡(luò)安全服務(wù)對象更為廣泛，其內(nèi)容越來越細(xì)致化。

2 新時代網(wǎng)絡(luò)安全服務(wù)所面臨的機(jī)遇

2.1 供應(yīng)商所承擔(dān)的責(zé)任出現(xiàn)了變化

現(xiàn)代信息技術(shù)與大數(shù)據(jù)技術(shù)以及云計算技術(shù)水平進(jìn)步速度不斷加快，對相關(guān)技術(shù)的應(yīng)用也越來越廣泛。在日常生活中，人們已經(jīng)離不開先進(jìn)的信息技術(shù)、網(wǎng)絡(luò)技術(shù)、云計算技術(shù)以及大數(shù)據(jù)技術(shù)，傳統(tǒng)信息系統(tǒng)邊界開始逐漸模糊。而在以往所應(yīng)用的信息系統(tǒng)當(dāng)中，用戶在購買和部署產(chǎn)品之后，需要負(fù)責(zé)相關(guān)安全，而為用戶提供相關(guān)產(chǎn)品的供應(yīng)商以及產(chǎn)品提供方只需要負(fù)責(zé)進(jìn)行相關(guān)設(shè)備的日常維護(hù)，在信息系統(tǒng)安全責(zé)任方面并沒有做出較為具體的規(guī)定。而在新時代背景下，云服務(wù)供應(yīng)商和用戶之間因服務(wù)模式不同，安全責(zé)任的相關(guān)規(guī)定也開始發(fā)生變化。在現(xiàn)代云計算環(huán)境中，作為網(wǎng)絡(luò)產(chǎn)品的供應(yīng)商，其在服務(wù)模式方面與傳統(tǒng)相比產(chǎn)生了諸多變化，尤其在安全責(zé)任上變化最為明顯，網(wǎng)絡(luò)產(chǎn)品供應(yīng)商要能夠根據(jù)用戶實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境提供有針對性的安全防護(hù)服務(wù)。

2.2 網(wǎng)絡(luò)安全服務(wù)目標(biāo)越來越寬泛

通常情況下，網(wǎng)絡(luò)安全服務(wù)往往是借助于為用戶提供安全產(chǎn)品來予以體現(xiàn)，然而，隨著現(xiàn)代網(wǎng)絡(luò)安全形勢的急劇烈變化和網(wǎng)絡(luò)領(lǐng)域當(dāng)中多項新技術(shù)的涌現(xiàn)與廣泛應(yīng)用以及大范圍推廣，用戶安全需求開始不斷提升，越來越重視安全保護(hù)需求?；谶@一基本要求所產(chǎn)生的網(wǎng)絡(luò)安全服務(wù)目標(biāo)變化也越來越明顯。而無論是用戶還是網(wǎng)絡(luò)服務(wù)供應(yīng)商，在實(shí)際安全需求的研究與分析方面所開展的工作往往是針對單獨(dú)的安全產(chǎn)品是否能夠具備滿足用戶實(shí)際安全需求功能，只能夠從內(nèi)容上進(jìn)行深化和細(xì)化，導(dǎo)致網(wǎng)絡(luò)安全服務(wù)的目標(biāo)越來越寬泛。例如，以往主要以安全產(chǎn)品開發(fā)和功能升級為核心，而如今則是向整個生命周期蔓延。

2.3 網(wǎng)絡(luò)安全服務(wù)人才需求多樣化

網(wǎng)絡(luò)安全服務(wù)行業(yè)所需要的人才較多，而且由于其所涉及的相關(guān)理論知識和專業(yè)技術(shù)較為煩雜，因而網(wǎng)絡(luò)安全服務(wù)是屬于一項人才較為密集的服務(wù)行業(yè)。在新時代背景下，網(wǎng)絡(luò)安全服務(wù)的內(nèi)容越來越寬泛，而且逐漸向著專業(yè)化與精細(xì)化方向邁進(jìn)，在技術(shù)水平不斷升級這一需求的推動下，對于復(fù)合型、綜合型人才的需求也與日俱增。然而，網(wǎng)絡(luò)安全服務(wù)行業(yè)人員流動性相對較高，這也是其較為明顯的人才特征之一。人才過高的流動率影響了網(wǎng)絡(luò)安全服務(wù)項目的實(shí)施進(jìn)度和服務(wù)質(zhì)量。目前，網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)當(dāng)中就存在著這項影響其建設(shè)水平和建設(shè)進(jìn)度的問題——人才稀缺，尤其技術(shù)骨干頻頻跳槽，技術(shù)隊伍不穩(wěn)定，行業(yè)企業(yè)之間競爭壓力極大，這些嚴(yán)重阻礙了網(wǎng)絡(luò)安全服務(wù)能力體系的建設(shè)和整體安全服務(wù)水平的提升。

3 國家關(guān)于網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)的文件標(biāo)準(zhǔn)

我國于2016年所頒布的《中華人民共和國網(wǎng)絡(luò)安全法》是屬于網(wǎng)絡(luò)安全領(lǐng)域當(dāng)中的一項基礎(chǔ)性法律法規(guī)，其對網(wǎng)絡(luò)安全相關(guān)服務(wù)內(nèi)容和服務(wù)對象做出了極為嚴(yán)格且細(xì)致的規(guī)定。結(jié)合網(wǎng)絡(luò)安全法關(guān)于網(wǎng)絡(luò)服務(wù)供應(yīng)商相關(guān)法律法規(guī)條款第17條、22條、24條、48條、62條等相關(guān)法律內(nèi)容可以發(fā)現(xiàn)，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者不可在產(chǎn)品當(dāng)中設(shè)置惡意軟件程序，如果發(fā)現(xiàn)所提供的網(wǎng)絡(luò)產(chǎn)品或網(wǎng)絡(luò)安全服務(wù)存在安全隱患、漏洞和缺陷等諸多威脅網(wǎng)絡(luò)安全的風(fēng)險，需立即給予補(bǔ)救，并且按照國家相關(guān)法律規(guī)定詳細(xì)告知用戶，同時向相關(guān)主管部門提交詳細(xì)的產(chǎn)品報告和補(bǔ)救措施方案。所有網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)安全服務(wù)供應(yīng)商必須要能夠做到產(chǎn)品與安全服務(wù)的持續(xù)性維護(hù)，在合同或約定時間范圍內(nèi)不可隨意終止安全維護(hù)。

當(dāng)前，網(wǎng)絡(luò)安全服務(wù)相關(guān)標(biāo)準(zhǔn)主要是以服務(wù)能力評價和服務(wù)供應(yīng)商具體選擇為核心，在等級保護(hù)2.0標(biāo)準(zhǔn)體系當(dāng)中最為關(guān)鍵的一項標(biāo)準(zhǔn)之一，即為信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求，明確提出了網(wǎng)絡(luò)安全服務(wù)供應(yīng)商所必須依循的內(nèi)容，其中還規(guī)定：第一，服務(wù)供應(yīng)商所做出的選擇必須要符合國家相關(guān)法律法規(guī)的規(guī)定；第二，必須要簽訂所選定的相關(guān)服務(wù)協(xié)議，針對服務(wù)供應(yīng)鏈各方要明確必須要履行的網(wǎng)絡(luò)安全義務(wù)；第三，嚴(yán)格進(jìn)行各項監(jiān)督和評審以及審核工作，尤其要定期對網(wǎng)絡(luò)安全服務(wù)供應(yīng)商所提供的服務(wù)效果和質(zhì)量以及效率進(jìn)行監(jiān)督和審核，對于其中所發(fā)生的一些變更內(nèi)容，必須要嚴(yán)格控制和評審。這些要求都需要建立在所選擇地供應(yīng)商，具備國家審核并通過相關(guān)資質(zhì)標(biāo)準(zhǔn)及協(xié)議控制等要求基礎(chǔ)上，以保證網(wǎng)絡(luò)安全服務(wù)供應(yīng)商能夠在整個服務(wù)過程當(dāng)中為用戶提供更加安全、可靠且優(yōu)質(zhì)的服務(wù)。

在信息技術(shù)與安全技術(shù)以及信息安全控制使用規(guī)則當(dāng)中，明確提出供應(yīng)商關(guān)系這一概念的解釋，包括供應(yīng)商關(guān)系、信息安全與供應(yīng)鏈以及供應(yīng)商服務(wù)監(jiān)視評審與服務(wù)變更管理等多個方面，進(jìn)行了網(wǎng)絡(luò)安全服務(wù)供應(yīng)商相關(guān)管理標(biāo)準(zhǔn)的闡述，同時在信息安全技術(shù)、信息安全服務(wù)能力評估準(zhǔn)則當(dāng)中設(shè)定了科學(xué)的信息安全服務(wù)組織能力評估指標(biāo)。

4 新時代網(wǎng)路安全服務(wù)能力體系建設(shè)思路

4.1 模型構(gòu)建

網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)涵蓋了網(wǎng)絡(luò)安全服務(wù)供應(yīng)商、網(wǎng)絡(luò)安全服務(wù)用戶等多個參與方，部分網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)需要由雙方共同努力和協(xié)調(diào)方能夠完成，因此，網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)必須要以網(wǎng)絡(luò)系統(tǒng)生命周期為核心主干，根據(jù)系統(tǒng)的生命周期、系統(tǒng)需求進(jìn)行開發(fā)和安全設(shè)計，同時要涵蓋測試、部署和運(yùn)維等多個安全服務(wù)階段，要以保障業(yè)務(wù)持續(xù)發(fā)展為根本目標(biāo)，結(jié)合系統(tǒng)生命周期，為用戶提供更符合其實(shí)際需求的網(wǎng)絡(luò)安全服務(wù)，通過技術(shù)體系、管理體系、標(biāo)準(zhǔn)體系、監(jiān)督評審體系的建立，為用戶提供各項安全規(guī)劃、安全等級評測、安全監(jiān)督以及評價等多項安全服務(wù)，從全角度來為用戶提供網(wǎng)絡(luò)安全服務(wù)。

4.2 技術(shù)體系

網(wǎng)絡(luò)安全主要是攻擊與防守兩方的較量，既然存在較量，就必然存在動態(tài)風(fēng)險。為確保能夠全方位抵御不同變化所產(chǎn)生的網(wǎng)絡(luò)風(fēng)險威脅，網(wǎng)絡(luò)安全服務(wù)供應(yīng)商需要不斷進(jìn)行技術(shù)的研發(fā)升級，并真正將其完美地融入到網(wǎng)絡(luò)安全服務(wù)體系當(dāng)中，借助基礎(chǔ)服務(wù)資源，借鑒國外先進(jìn)技術(shù)經(jīng)驗和技術(shù)理念，運(yùn)用功能先進(jìn)且安全可控的相關(guān)服務(wù)工具來打造高水平的技術(shù)體系和安全服務(wù)產(chǎn)品體系，

4.3 標(biāo)準(zhǔn)體系

網(wǎng)絡(luò)安全服務(wù)能力體系的建立必須要依循國內(nèi)外相關(guān)網(wǎng)絡(luò)安全服務(wù)標(biāo)準(zhǔn)要求，構(gòu)建標(biāo)準(zhǔn)規(guī)范，同時還要設(shè)定清晰的服務(wù)水平定性與定量基線指標(biāo)，各項服務(wù)標(biāo)準(zhǔn)必須要圍繞可執(zhí)行性和適用性來予以設(shè)計，并在不斷的實(shí)踐見證下予以逐步改進(jìn)。

4.4 管理體系

在各項網(wǎng)絡(luò)安全產(chǎn)品技術(shù)體系完善之后，還要注重各項網(wǎng)絡(luò)安全管理體系的構(gòu)建，真正打造科學(xué)、健全高效并具有較高可執(zhí)行性的網(wǎng)絡(luò)安全管理體系。這也是能夠確保網(wǎng)絡(luò)安全服務(wù)能力得以提升的重要內(nèi)容，還要構(gòu)建合理有效的管理機(jī)制，確保各項網(wǎng)絡(luò)安全服務(wù)相關(guān)產(chǎn)品內(nèi)容能夠有據(jù)可查、有跡可循，確保其項目的整體進(jìn)度和服務(wù)質(zhì)量。此外還要組建專業(yè)化、高素質(zhì)的網(wǎng)絡(luò)安全服務(wù)管理團(tuán)隊。其既要掌握高超的技術(shù)，又要具備扎實(shí)的管理理論知識，掌握先進(jìn)的管理方法，從而防止網(wǎng)絡(luò)安全服務(wù)能力體系與實(shí)際需求相背離。

4.5 評價體系

技術(shù)體系、標(biāo)準(zhǔn)體系與管理體系的建設(shè)必須要建立在網(wǎng)絡(luò)安全服務(wù)供應(yīng)商執(zhí)行能力和服務(wù)意識的前提下，同時還要搭配責(zé)任體系與監(jiān)督評價體系，在網(wǎng)絡(luò)服務(wù)供應(yīng)商和用戶需求基礎(chǔ)上，進(jìn)行責(zé)任體系與監(jiān)督評價體系的構(gòu)建，需依據(jù)相關(guān)安全服務(wù)內(nèi)容明確責(zé)任，并以責(zé)任體系來提高其監(jiān)督力度，防止責(zé)任邊界模糊問題的出現(xiàn)。監(jiān)督評價體系要能夠有效提高網(wǎng)絡(luò)服務(wù)供應(yīng)商安全服務(wù)水平，而且能夠滿足用戶的安全需求。需要結(jié)合本行業(yè)及企業(yè)業(yè)務(wù)實(shí)際特點(diǎn)來建立適用性較強(qiáng)的網(wǎng)絡(luò)安全服務(wù)能力評價機(jī)制和方法，利用事前、事中和事后不同監(jiān)督機(jī)制和評價指標(biāo)來確保網(wǎng)絡(luò)安全服務(wù)在整個服務(wù)過程當(dāng)中，始終保持正確的目標(biāo)，從而提高網(wǎng)絡(luò)安全服務(wù)水平。

5 結(jié)束語

近年來，隨著我國計算機(jī)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)已成為當(dāng)前社會的重要組成部分，其在為人們生活提供便利的同時也帶來了一些網(wǎng)絡(luò)安全問題，雖然網(wǎng)絡(luò)安全技術(shù)水平不斷提升，各項安全防護(hù)技術(shù)持續(xù)更新，但仍然存在很大的網(wǎng)絡(luò)攻擊風(fēng)險，且網(wǎng)絡(luò)攻擊手段進(jìn)步速度要超過網(wǎng)絡(luò)安全防護(hù)技術(shù)進(jìn)步速度，導(dǎo)致近年來網(wǎng)絡(luò)攻擊事件頻發(fā)，出現(xiàn)了大量網(wǎng)絡(luò)安全事件。國家一直十分重視網(wǎng)絡(luò)安全服務(wù)，并將其提高到國家安全戰(zhàn)略層面。這就需要不斷加強(qiáng)網(wǎng)絡(luò)安全服務(wù)能力體系的建設(shè)，使其能夠在技術(shù)、功能上符合新時代網(wǎng)絡(luò)安全的實(shí)際現(xiàn)狀和具體要求。尤其要緊抓網(wǎng)絡(luò)安全服務(wù)發(fā)展機(jī)遇，從多方面、多角度進(jìn)行網(wǎng)絡(luò)安全服務(wù)能力的提升，真正滿足當(dāng)前時代網(wǎng)絡(luò)安全的實(shí)際需求，為用戶營造出更加安全、可靠且優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。■