◆胡國良 張超 胡嘉俊

網(wǎng)絡(luò)安全技術(shù)手段建設(shè)存在問題與應(yīng)對措施淺析

◆胡國良 張超 胡嘉俊通訊作者

（國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心湖南分中心 湖南 410000）

隨著國家對網(wǎng)絡(luò)安全的高度重視，越來越多涉網(wǎng)監(jiān)管部門著手加強(qiáng)網(wǎng)絡(luò)安全技術(shù)手段建設(shè)，網(wǎng)絡(luò)安全態(tài)勢感知能力得到提升，網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)及治理取得一定成效，但由于頂層設(shè)計(jì)及國家標(biāo)準(zhǔn)有待健全，建設(shè)單位對技術(shù)手段建設(shè)工作認(rèn)識和駕馭能力不足，帶來了一系列問題。本文通過總結(jié)當(dāng)前涉網(wǎng)監(jiān)管部門網(wǎng)絡(luò)安全技術(shù)手段建設(shè)采用的技術(shù)方案，分析其存在的問題，提出應(yīng)對措施，希望能夠?yàn)橄嚓P(guān)部門開展網(wǎng)絡(luò)安全手段建設(shè)工作提供參考，針對存在的問題有的放矢，采取必要措施，有效提高監(jiān)測能力，切實(shí)保障網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全；態(tài)勢感知；威脅治理；監(jiān)測能力

當(dāng)前，我國已成為網(wǎng)絡(luò)大國，但還不是網(wǎng)絡(luò)強(qiáng)國，網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)。沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略高度。為切實(shí)提高網(wǎng)絡(luò)安全保障能力，越來越多涉網(wǎng)監(jiān)管部門著手加強(qiáng)網(wǎng)絡(luò)安全技術(shù)手段建設(shè)，因而，研究網(wǎng)絡(luò)安全技術(shù)手段建設(shè)存在的問題與應(yīng)對措施十分必要。

1 技術(shù)治網(wǎng)管網(wǎng)迫切需要解決的問題

由于之前很長一段時(shí)間我國對信息化的重視程度遠(yuǎn)大于網(wǎng)絡(luò)安全，導(dǎo)致網(wǎng)絡(luò)安全滯后于信息化發(fā)展。網(wǎng)絡(luò)安全監(jiān)管體制機(jī)制不健全，相關(guān)監(jiān)管部門職能交叉、職權(quán)不明、虛而不實(shí)；信息化建設(shè)和運(yùn)營單位網(wǎng)絡(luò)安全認(rèn)識不足，重發(fā)展輕安全、重建設(shè)輕防護(hù)；網(wǎng)絡(luò)安全產(chǎn)業(yè)起步晚基礎(chǔ)差，核心技術(shù)受制于人；全民網(wǎng)絡(luò)安全意識薄弱；信息化資產(chǎn)底數(shù)不清、情況不明。

隨著國家對網(wǎng)絡(luò)安全的高度重視，采取了一系列重大舉措加大網(wǎng)絡(luò)安全和信息化發(fā)展的力度，包括《網(wǎng)絡(luò)安全法》頒布實(shí)行、網(wǎng)絡(luò)安全和信息化監(jiān)管體制機(jī)制改革等。但安全的本質(zhì)還是技術(shù)問題，需要依靠技術(shù)來解決，而采用技術(shù)治網(wǎng)管網(wǎng)迫切需要解決的問題是摸清家底，認(rèn)清風(fēng)險(xiǎn)。

2 技術(shù)手段建設(shè)常用技術(shù)及不足

當(dāng)前網(wǎng)絡(luò)安全建設(shè)手段建設(shè)主要圍繞“摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”的工作要求，建設(shè)包括資產(chǎn)探測、態(tài)勢感知、監(jiān)測發(fā)現(xiàn)、預(yù)警通報(bào)、責(zé)任考核等功能在內(nèi)的綜合性管理平臺(tái)，而在態(tài)勢感知、監(jiān)測發(fā)現(xiàn)等核心能力實(shí)現(xiàn)方面通常采取如下技術(shù)：

（1）漏洞掃描方式。采用漏洞掃描專用設(shè)備對目標(biāo)資產(chǎn)進(jìn)行安全掃描，發(fā)現(xiàn)可能存在的安全威脅或隱患。不足：掃描效率不高、掃描結(jié)果誤報(bào)率高、掃描行為容易被安全設(shè)備攔截、對目標(biāo)系統(tǒng)造成一定影響等。

（2）資產(chǎn)探測方式。通過主動(dòng)向目標(biāo)網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的數(shù)據(jù)包，并從返回?cái)?shù)據(jù)包的相關(guān)信息中提取目標(biāo)指紋，與指紋進(jìn)庫中的指紋進(jìn)行比對，實(shí)現(xiàn)對開放端口、操作系統(tǒng)、服務(wù)及應(yīng)用類型的探測，可用于資產(chǎn)發(fā)現(xiàn)和管理，風(fēng)險(xiǎn)預(yù)警等。不足：探測結(jié)果全面性相對有限、探測行為容易被安全設(shè)備攔截、對目標(biāo)系統(tǒng)造成一定影響等。

（3）關(guān)口前移的方式。通過在目標(biāo)單位網(wǎng)絡(luò)關(guān)鍵出口位置部署DPI引擎，實(shí)現(xiàn)安全關(guān)口前移，對應(yīng)用層流量進(jìn)行檢測和控制，收集分析訪問日志、告警日志或原始流量。不足：回傳原始流量帶來新的數(shù)據(jù)安全問題，部署節(jié)點(diǎn)的多少影響監(jiān)測全面性或資金投入，回傳告警或訪問日志的方式誤報(bào)率高、人工分析工作量大，監(jiān)測規(guī)則更新及系統(tǒng)運(yùn)維專業(yè)要求高。

（4）威脅情報(bào)補(bǔ)充方式。通過與專業(yè)第三方合作，共享或采購網(wǎng)絡(luò)安全威脅情報(bào)數(shù)據(jù)服務(wù)，包括漏洞、威脅、特征、行為等一系列證據(jù)的知識集合及可操作性建議，補(bǔ)充提升系統(tǒng)監(jiān)測能力。不足：威脅情報(bào)獲取途徑有限、共享難度較大，情報(bào)收集未達(dá)到預(yù)期效果，威脅情報(bào)缺少深度分析，威脅情報(bào)分析人員數(shù)量有限、影響價(jià)值發(fā)揮。

3 技術(shù)手段建設(shè)存在的問題

為強(qiáng)化技術(shù)治網(wǎng)和管網(wǎng)能力，各級網(wǎng)信、工信、公安和行業(yè)主管部門正著力加強(qiáng)或籌備網(wǎng)絡(luò)安全技術(shù)手段建設(shè)，發(fā)揮了一定效果，但也暴露了不少問題。

（1）頂層設(shè)計(jì)和協(xié)同機(jī)制不完善。

各級涉網(wǎng)監(jiān)管機(jī)構(gòu)和行業(yè)主管部門大都基于自身職責(zé)和業(yè)務(wù)需求開展技術(shù)手段建設(shè)，各自為政，缺乏同級協(xié)同，上下級聯(lián)動(dòng)，存在大量重復(fù)建設(shè)，資源無法整合的現(xiàn)象，造成數(shù)據(jù)孤島，資源浪費(fèi)，能力有限等問題。

（2）建設(shè)經(jīng)驗(yàn)缺乏，模式不成熟。

網(wǎng)絡(luò)安全監(jiān)管需要各涉網(wǎng)監(jiān)管部門齊抓共管，為此需要建設(shè)一個(gè)公共的技術(shù)平臺(tái)為多部門提供監(jiān)管支撐，但大多監(jiān)管部門網(wǎng)絡(luò)安全技術(shù)手段建設(shè)剛起步，互聯(lián)網(wǎng)海量數(shù)據(jù)接入、存儲(chǔ)、分析和處理等建設(shè)經(jīng)驗(yàn)缺乏，各監(jiān)管部門間相互支撐的合作模式不成熟。

（3）特殊數(shù)據(jù)和技術(shù)缺乏。

在網(wǎng)絡(luò)安全管理工作中，無論是在摸底排查、風(fēng)險(xiǎn)監(jiān)測中，還是在事件處置中，均需要特殊互聯(lián)網(wǎng)技術(shù)和數(shù)據(jù)的支撐，如網(wǎng)站備案數(shù)據(jù)、IP地址庫、威脅情報(bào)庫等。而單一的監(jiān)管部門很難實(shí)現(xiàn)對相關(guān)數(shù)據(jù)的統(tǒng)籌使用。

（4）經(jīng)費(fèi)投入有限，專業(yè)技術(shù)支撐隊(duì)伍缺乏。

互聯(lián)網(wǎng)技術(shù)加速向全領(lǐng)域滲透，各種新技術(shù)層出不窮，對網(wǎng)絡(luò)安全形成長期挑戰(zhàn)。因而需要具備持續(xù)的經(jīng)費(fèi)投入、專業(yè)的技術(shù)支撐隊(duì)伍，長期跟蹤互聯(lián)網(wǎng)新技術(shù)，掌握應(yīng)對互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的豐富經(jīng)驗(yàn)和能力，而現(xiàn)階段，各監(jiān)管部門普遍存在經(jīng)費(fèi)投入有限，專業(yè)技術(shù)支撐隊(duì)伍缺乏的問題。

（5）網(wǎng)絡(luò)安全產(chǎn)業(yè)不強(qiáng)，核心技術(shù)受制于人。

我國網(wǎng)絡(luò)安全產(chǎn)業(yè)底子薄，發(fā)展水平低，在產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、技術(shù)研發(fā)、監(jiān)管體系等各個(gè)方面仍然存在諸多不足，未形成具備關(guān)鍵核心技術(shù)和能力的產(chǎn)品。我國的網(wǎng)絡(luò)安全和信息化核心技術(shù)仍受制于人，難以做到自主可控，容易受到國際網(wǎng)絡(luò)安全事件的沖擊。

4 技術(shù)手段建設(shè)應(yīng)對建議

（1）完善頂層設(shè)計(jì)、整合優(yōu)勢資源。

各涉網(wǎng)監(jiān)管部門應(yīng)不斷完善技術(shù)治網(wǎng)管網(wǎng)頂層設(shè)計(jì)、深化協(xié)同配合，形成工作合力，打造高效協(xié)同的監(jiān)管機(jī)制。整合網(wǎng)絡(luò)安全優(yōu)勢資源，做到資源共享，構(gòu)建綜合防御體系。

（2）明確建設(shè)模式、確立建設(shè)標(biāo)準(zhǔn)。

各上級涉網(wǎng)監(jiān)管部門，特別是國家級涉網(wǎng)監(jiān)管部門應(yīng)根據(jù)互聯(lián)網(wǎng)全程全網(wǎng)的特點(diǎn)，建立上下可聯(lián)動(dòng)，橫向可擴(kuò)展的建設(shè)模式，并形成建設(shè)標(biāo)準(zhǔn)，指導(dǎo)下級部門開展技術(shù)手段建設(shè)。

（3）建立國家級、省級基礎(chǔ)技術(shù)平臺(tái)。

網(wǎng)絡(luò)安全技術(shù)手段建設(shè)中通常使用漏洞掃描、資產(chǎn)探測、關(guān)口設(shè)備、威脅情報(bào)等技術(shù)能力或資源，宜在國家和省級層面確定“集中建設(shè)、綜合利用、信息共享、業(yè)務(wù)協(xié)同”思路，建立部省聯(lián)動(dòng)的基礎(chǔ)技術(shù)平臺(tái)，整合優(yōu)勢能力和資源，形成可對外輸出服務(wù)的能力清單、專用設(shè)備、漏洞庫和威脅情報(bào)庫等，為各涉網(wǎng)監(jiān)管部門及終端客戶開展網(wǎng)絡(luò)安全技術(shù)手段建設(shè)提供基本保障。

（4）落實(shí)專項(xiàng)經(jīng)費(fèi)、組建專業(yè)技術(shù)機(jī)構(gòu)。

各級政府應(yīng)建立并落實(shí)網(wǎng)絡(luò)安全技術(shù)手段建設(shè)專項(xiàng)經(jīng)費(fèi)，組建專業(yè)技術(shù)機(jī)構(gòu)。由專業(yè)技術(shù)機(jī)構(gòu)統(tǒng)一負(fù)責(zé)技術(shù)手段建設(shè)，一方面避免重復(fù)建設(shè)造成浪費(fèi)，另一方面，面對快速發(fā)展的互聯(lián)網(wǎng)技術(shù)新業(yè)務(wù)，能夠保證技術(shù)平臺(tái)的先進(jìn)性，確保技術(shù)監(jiān)管始終跟得上形勢發(fā)展需要。

（5）創(chuàng)新產(chǎn)業(yè)布局、引領(lǐng)核心技術(shù)突破。

習(xí)近平指出，核心技術(shù)是國之重器。政府要下定決心、保持恒心、找準(zhǔn)重心，加速推動(dòng)信息領(lǐng)域核心技術(shù)突破；要?jiǎng)?chuàng)新并做好產(chǎn)業(yè)布局，優(yōu)中選優(yōu)、重點(diǎn)突破；不斷加強(qiáng)對網(wǎng)絡(luò)安全基礎(chǔ)性、通用性、前瞻性技術(shù)創(chuàng)新研究投入，努力突破關(guān)鍵技術(shù)，掌握安全發(fā)展主動(dòng)權(quán)。

5 結(jié)語

綜合本文論述，網(wǎng)絡(luò)安全事關(guān)國家安全和發(fā)展，為增強(qiáng)網(wǎng)絡(luò)安全保障能力，各涉網(wǎng)監(jiān)管部門不斷強(qiáng)化網(wǎng)絡(luò)安全技術(shù)手段建設(shè)，提升技術(shù)管網(wǎng)治網(wǎng)水平，本文分析總結(jié)了當(dāng)前網(wǎng)絡(luò)安全技術(shù)手段建設(shè)常用技術(shù)和不足，分析其存在的現(xiàn)實(shí)問題，并就如何做好手段建設(shè)工作提出應(yīng)對建議。

[1]李湘寧.2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[D].北京：國家互聯(lián)網(wǎng)應(yīng)急中心，2020.

[2]胡國良，肖剛，張超.新形勢下網(wǎng)絡(luò)安全管理存在的問題和應(yīng)對建議淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020．

[3]王宸東，郭淵博，甄帥輝，楊威超.網(wǎng)絡(luò)資產(chǎn)探測技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2018.

[4]單琳.網(wǎng)絡(luò)威脅情報(bào)發(fā)展現(xiàn)狀綜述[J].技術(shù)天地，2016.

[5]付保兵.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展與應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020.

[6]王慧強(qiáng)，賴積保，朱亮，梁穎.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006.