孫建立 朱衛(wèi)東 李歆麗

摘? ?要：基于深信服公司的網(wǎng)絡(luò)安全技術(shù)，結(jié)合高校特殊網(wǎng)絡(luò)環(huán)境，文章提出網(wǎng)絡(luò)安全服務(wù)的一種新模式，內(nèi)容包括：以安全防護、風險發(fā)現(xiàn)、檢測響應(yīng)、態(tài)勢感知等4大組件為基礎(chǔ)，結(jié)合“人機共智”的理念，實現(xiàn)實際網(wǎng)絡(luò)防護的最新安全狀況同步云端大數(shù)據(jù)中心并進行綜合分析匯總的安全可視化平臺;添加安全專家服務(wù)、風險中心、報告中心3大業(yè)務(wù)風險管理中心，提供全方位網(wǎng)絡(luò)安全的立體化展示，做到事前風險預(yù)警、事中安全防御、事后應(yīng)急處置。

關(guān)鍵詞：安全防護;風險發(fā)現(xiàn);檢測響應(yīng);態(tài)勢感知;大數(shù)據(jù);人機共智

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1673-8454（2021）03-0027-05

一、引言

近幾年，隨著區(qū)塊鏈和勒索病毒等新型技術(shù)和威脅的出現(xiàn)，整個黑產(chǎn)發(fā)生了很大的變化，因為勒索病毒改變了獲利模式;比特幣，改變了交易模式，兩者結(jié)合讓安全事件發(fā)生頻率大大提高，讓攻防對抗變得更加不對等。

近期，CNCERT捕獲勒索軟件近14萬個，總體呈現(xiàn)快速增長趨勢。勒索軟件 GandCrab一年時間內(nèi)就約出現(xiàn)了19個版本，其更新迭代速度遠超安全廠商的產(chǎn)品迭代速度。其次伴隨“勒索軟件即服務(wù)”產(chǎn)業(yè)的興起，活躍勒索軟件數(shù)量同樣呈現(xiàn)快速增長趨勢，且更新頻率和威脅影響范圍都大幅度增加，導(dǎo)致用戶網(wǎng)絡(luò)安全的有效性面臨極大的挑戰(zhàn)。

根據(jù)威瑞森 2019年數(shù)據(jù)泄露調(diào)查報告，攻擊者啟動攻擊到攻擊成功往往只需要數(shù)分鐘甚至幾十秒便可完成。針對這些攻擊事件，防守方的平均檢測時間及平均處置時間卻越來越長，普遍需要幾周、幾個月才能發(fā)現(xiàn)攻擊行為并加以處置。

安全工作不是一蹴而就的，它始終貫穿于日常生活中。針對高校網(wǎng)絡(luò)環(huán)境，實際存在諸多網(wǎng)絡(luò)安全問題難以解決，包括以下幾方面。[1]①資產(chǎn)管理困難：內(nèi)部資產(chǎn)數(shù)量不清楚，資產(chǎn)變動無感知。②防御邊界模糊：業(yè)務(wù)交互復(fù)雜，暴露面過多，防護邊界模糊，給黑客留下大量機會。③脆弱性難修復(fù)：存在大量脆弱性問題，修復(fù)措施難推進，修復(fù)狀態(tài)無管理。④防守策略無效：安全策略配置依賴工程師的主觀判斷，策略有效性難保障。⑤事件響應(yīng)被動：安全事件發(fā)生摸不著，看不見，處置難，損失大;難以主動發(fā)現(xiàn)、快速止損。⑥高端人才緊缺：缺乏專業(yè)的安全對抗專業(yè)人才;薪資要求高，招聘難。

為了解決高校網(wǎng)絡(luò)安全人員缺口的瓶頸問題，結(jié)合北京交通大學實際網(wǎng)絡(luò)安全環(huán)境與深信服安全科技公司實際進行探討，最終基于網(wǎng)絡(luò)安全態(tài)勢感知平臺[2]的理念，提出進行基于大數(shù)據(jù)分析與云端的安全服務(wù)綜合平臺（以下簡稱云網(wǎng)絡(luò)安全服務(wù)平臺）的建設(shè)與應(yīng)用。通過把安全專家資源池化的方式，讓更多的單位能隨時享受到專業(yè)的安全團隊服務(wù)。同時，再將安全團隊實際處理問題的經(jīng)驗固化到云網(wǎng)絡(luò)安全服務(wù)平臺中，實現(xiàn)精準的監(jiān)測告警并輸出專業(yè)的處置建議，達到“人機共智”的效果。通過“人機共智”理念打造的網(wǎng)絡(luò)安全運營服務(wù)，將從資產(chǎn)、漏洞、威脅、事件四個要素出發(fā)，全面、持續(xù)地進行信息安全風險管理，與用戶一同構(gòu)建持續(xù)（7×24小時）、主動、閉環(huán)的安全運營體系，幫助用戶實現(xiàn)安全合規(guī)、風險可控、能力提升、價值可視。

二、云網(wǎng)絡(luò)安全服務(wù)平臺

平臺在云端為使用者配置了多種級別的安全專家，根據(jù)使用者遇到的網(wǎng)絡(luò)安全事件級別，對安全專家進行合理分配。平臺云端的安全專家，全都是擁有5年及以上安全工作經(jīng)驗的人員。云網(wǎng)絡(luò)安全服務(wù)平臺依托深信服的技術(shù)優(yōu)勢，匯聚了很多高階安全專家，為用戶虛擬成高級安全專家池。

當使用者遇到安全問題比較多時，云網(wǎng)絡(luò)安全服務(wù)平臺可以持續(xù)投入安全專家，甚至是云網(wǎng)絡(luò)安全服務(wù)平臺的首席專家和研發(fā)團隊。采用人機共智的方式，確保了安全服務(wù)的持續(xù)性，并且持續(xù)進化、環(huán)形迭代。自動化運營平臺模塊用來保障更好的服務(wù)效果。這套系統(tǒng)解決了以往高校安全設(shè)備自運營階段，工作量大、精力不足的問題。也解決了聘用第三方安全服務(wù)人員業(yè)務(wù)能力參差不齊、服務(wù)效果達不到預(yù)期的問題。

從大的層面上說，在安全體系建設(shè)中，大家比較常聽到的是技術(shù)體系， 技術(shù)體系主要是通過一些技術(shù)手段和技術(shù)措施來實現(xiàn)?，F(xiàn)在技術(shù)手段越做越多，技術(shù)體系的安全效果越來越低，并不是說我們使用的安全設(shè)備產(chǎn)品不行，而是現(xiàn)在安全的形式變化太快了，可是我們高校網(wǎng)絡(luò)安全人員的精力有限，沒有辦法對每個安全產(chǎn)品都達到精通的狀態(tài)，更沒有能力將外部的威脅和自身的業(yè)務(wù)情況結(jié)合起來，形成動態(tài)調(diào)整的安全防御措施。

云網(wǎng)絡(luò)安全服務(wù)平臺引入了管理體系，通過制定人員行為、流程來規(guī)范化。但是現(xiàn)實中，管理體系真正運轉(zhuǎn)起來的高校非常少，更多的是一堆體系文件放在那里。并不是說我們的技術(shù)體系和管理體系不行，而且我們現(xiàn)在缺少了這樣的一個運營機制，幫助技術(shù)體系更好地發(fā)揮安全效果、幫助管理體系更好地落地。云網(wǎng)絡(luò)安全服務(wù)平臺意在幫助使用單位構(gòu)建規(guī)范的安全運營體系，發(fā)揮技術(shù)體系安全效果，將管理體系更好地落地。

圖1是云網(wǎng)絡(luò)安全服務(wù)平臺的架構(gòu)，由安全組件、云端平臺、云端專家、服務(wù)內(nèi)容和服務(wù)機制五部分構(gòu)成。

在用戶端部署的這個安全組件的作用是為了收集用戶現(xiàn)場安全設(shè)備的安全日志。隨后將安全日志匯聚到云端平臺，形成我們單位獨特的內(nèi)部網(wǎng)絡(luò)安全信息，達到知己的狀態(tài)。同時平臺也可以采集外部的安全信息，看看大環(huán)境下有哪些安全事件，這些安全事件的行為特征是什么，攻擊的路徑是什么，傳播的方式是什么，達到知彼的狀態(tài)。將這兩個狀態(tài)通過AI引擎碰撞后，形成針對我們單位特有的威脅消息，這個威脅消息一定是立足于現(xiàn)在并且展望于未來的。從而可以去推動我們管理體系中的人員、流程去跟進處置這個事情。

這些威脅消息首先到達平臺云端的T2安全運營專家，由T2安全運營專家初步研判處置。如果威脅消息過多，平臺可以持續(xù)投入T2的安全運營專家;當威脅消息過于復(fù)雜時，T3首席安全專家會及時介入并列出解決方案后，通知用戶和T1工程師，由T1工程師與用戶確定解決方案的具體實現(xiàn)和跟進狀態(tài)，解決方案最終又作用于我們的安全組件。

實際上，我們在安全組件、云端平臺、云端專家提供的是一種安全運營的持續(xù)閉環(huán)能力，在此基礎(chǔ)之上，平臺又會提供七大安全服務(wù)內(nèi)容，包括安全評估、漏洞管理、策略管理、攻擊對抗、未公開威脅處置、事件分析與處置、應(yīng)急響應(yīng)等。貌似這七大服務(wù)內(nèi)容跟以往的安全服務(wù)有些重合，但是其實不然，會比以往的安全服務(wù)更進步，后面會詳細展開說?；谝陨戏?wù)內(nèi)容，去構(gòu)建一個持續(xù)評估、持續(xù)保護、快速響應(yīng)的服務(wù)機制。

1.安全評估（見圖2）

標準安全評估指通過安全防護組件、風險發(fā)現(xiàn)組件和安全評估器的安裝部署，從而完成外部威脅檢測、Web安全掃描、系統(tǒng)漏洞掃描、系統(tǒng)基線檢測、暴露面檢查和防護有效性檢查。其中風險發(fā)現(xiàn)組件具備資產(chǎn)可視化檢測、大數(shù)據(jù)分析平臺、智能分布式網(wǎng)絡(luò)爬蟲、脆弱性檢測引擎、0DAY檢測引擎等專業(yè)能力;安全防護組件具備攻擊威脅檢測和防護能力;安全評估器則具備邊界防護有效性檢測能力，通過模擬攻擊測試查看防護狀況。

最佳修復(fù)方案指通過安全專家的全面風險分析后，結(jié)合業(yè)務(wù)特性與行業(yè)最佳實踐，最后交付用戶安全風險加固方案和風險應(yīng)對措施。

整個過程包括現(xiàn)場調(diào)研，獲取用戶的網(wǎng)絡(luò)拓撲和業(yè)務(wù)情況，并進行安全設(shè)備并入和拓撲圖的優(yōu)化。一線服務(wù)人員針對用戶的業(yè)務(wù)網(wǎng)絡(luò)情況，進行資產(chǎn)梳理和安全組件的部署實施。安全服務(wù)專家結(jié)合用戶的《風險評估報告》和《安全能力成熟度差距分析報告》，對用戶的業(yè)務(wù)情況進行綜合評估，產(chǎn)生最終服務(wù)方案。

在這個階段，我們主要做的事情是理清有效資產(chǎn)、識別評估方向、異常狀態(tài)檢查、缺陷路徑發(fā)現(xiàn)、業(yè)務(wù)安全脆弱性評估、邊界安全脆弱性評估、安全脆弱性修復(fù)、風險應(yīng)對及建議。

2.漏洞管理（見圖3）

安全托管漏洞管理服務(wù)是通過上線評估、每日復(fù)查、每月復(fù)評這3大階段，對用戶的業(yè)務(wù)資產(chǎn)進行暴露面檢查、漏洞檢查、基線核查等全面的風險管理。以持續(xù)評估流程，加上精準的人工審核，確保風險及時發(fā)現(xiàn)。通過將業(yè)務(wù)風險及時通知到業(yè)務(wù)部門和持續(xù)復(fù)查，跟蹤整個漏洞的處理閉環(huán)。

依托安全防護組件、風險發(fā)現(xiàn)組件，為用戶提供新增資產(chǎn)增量評估、資產(chǎn)變更持續(xù)檢測、高危風險持續(xù)復(fù)查、指定漏洞定向檢測、每月全面檢查等服務(wù)，云端大數(shù)據(jù)安全專家持續(xù)對0Day漏洞進行檢測/監(jiān)控。結(jié)合人工審核機制確保無誤判以及甲級修復(fù)建議和報告解讀。

整個過程通過安全運營中心自動定期下發(fā)掃描任務(wù)，與用戶確認后對用戶的風險漏洞進行識別確認，提前發(fā)現(xiàn)漏洞風險。當業(yè)務(wù)變更或新漏洞爆發(fā)后，及時與用戶確認后下發(fā)掃描任務(wù)。安全工程師（T1）針對發(fā)現(xiàn)的漏洞及時進行線上安全防護組件的策略調(diào)整和規(guī)則庫升級，并由高級安全運營專家（T2）給出專業(yè)的修復(fù)建議。通過定時漏洞復(fù)測，安全工程師（T1）持續(xù)跟蹤用戶的漏洞修復(fù)情況，確保用戶的漏洞風險得以修復(fù)和解決。

3.策略管理（見圖4）

策略管理存在的主要問題實際上是因為人員崗位流動性復(fù)雜，現(xiàn)任由于對上任所做的策略不了解，不敢刪除，導(dǎo)致策略越來越多，久而久之就造成了策略寬松、策略亂序、策略沖突、策略冗余。

安全設(shè)備上線之后，業(yè)務(wù)測試正常，所以安全策略就一成不變，導(dǎo)致了安全策略極其寬松。舉一個真實的案例：AF上面針對一個大網(wǎng)段做了SNAT映射，用于員工上網(wǎng)，然后針對服務(wù)器這個網(wǎng)段做了DNAT映射，用于服務(wù)器對外提供訪問。這個大網(wǎng)段包含服務(wù)器的網(wǎng)關(guān)，這意味著服務(wù)器就可以主動向外發(fā)起請求了，有一天，服務(wù)器中了一個木馬，這個木馬把服務(wù)器的重要文件都copy走了。針對這種情況，平臺提供了策略維護和策略指導(dǎo)的功能。當新增業(yè)務(wù)、業(yè)務(wù)變更時，平臺會主動提供專家級的策略指導(dǎo)。

4.攻擊對抗（見圖5）

安全風險按照來源可分為內(nèi)部風險和外部風險，外部最大的風險便來自于黑客攻擊，特別是針對性、持續(xù)性的攻擊。及早發(fā)現(xiàn)并遏制針對性、持續(xù)性攻擊是規(guī)避外部風險的有效手段。

安全托管持續(xù)攻擊對抗服務(wù)是基于云端情報和安全日志分析主動發(fā)現(xiàn)針對性或持續(xù)性攻擊，并提供實時攻擊對抗，將外部風險扼殺在萌芽之中，做到風險前移。

深信服會收集大量脫敏的攻擊日志，當然很多是來源于用戶的安全設(shè)備，還有一部分來源于合作伙伴共享，每天新增超過100G去重數(shù)據(jù)。

再通過深信服的大數(shù)據(jù)機器學習算法，根據(jù)黑客地理位置（例如是否境外）、時間隱蔽性（例如是否為凌晨、非業(yè)務(wù)時間）、攻擊手法（例如善于利用高危漏洞、社會工程學）、攻擊范圍（例如歷史攻擊事件、攻擊目標行業(yè)）、持續(xù)時間（例如長時間、有計劃、有針對性）等建立高危黑客模型形成黑客畫像。當發(fā)現(xiàn)有針對性或高級黑客正在攻擊所保護的用戶時立刻采取行動，封鎖黑客行為。

高級安全運營專家（T2）根據(jù)云腦識別的高危攻擊源形成應(yīng)對策略（如封鎖IP、調(diào)整防護閾值）。安全工程師（T1）實施應(yīng)對策略扼殺風險于萌芽。

5.未公開威脅處置（見圖6）

未公開威脅源自于專門白帽子團隊在安全實驗室中挖掘系統(tǒng)、中間件、開源框架等存在的未公開漏洞，全球100+合作伙伴（其中包含Google VirusTotal、微軟MAPP、RAPID7、卡巴斯基等等）的威脅情報共享，經(jīng)過用戶允許確認后的流量上報沙箱分析。再經(jīng)過安全專家確認后得到各類0Day漏洞、安全公司獨有漏洞或最新發(fā)現(xiàn)病毒的預(yù)防與處置解決方案。

依托風險發(fā)現(xiàn)組件和安全防護組件，通過高級安全運營專家及時對威脅進行通告、規(guī)避，并由研發(fā)團隊將防護能力整合到安全設(shè)備中，更快、更及時地應(yīng)對未公開威脅。其中包含安全專家負責對安全問題進行分析給出解決方案;運營專家負責安全策略的運營（通告預(yù)警、自定義策略臨時防護）、臨時應(yīng)對、規(guī)避風險等;技術(shù)研發(fā)負責安全功能的迭代（更新規(guī)則庫、升級安全組件），將防護能力集成到工具中，全面保障用戶的業(yè)務(wù)避免受到未公開威脅的攻擊，從而有效預(yù)防和解決用戶的安全問題。

整個過程通過云端威脅情報共享和知名安全廠商云腦大數(shù)據(jù)安全專家進行未公開威脅的實時收集，及時發(fā)現(xiàn)/分析問題、下發(fā)應(yīng)對策略。高級安全運營專家（T2）和首席安全專家（T4）快速更新防護策略、防護功能，保障用戶的業(yè)務(wù)風險得以規(guī)避。

其實大家都不同程度遇到過未公開威脅。當出現(xiàn)一個未公開威脅時，一般安全廠商的做法是在其微信公眾號、微博上進行通告預(yù)警。實際上這樣會導(dǎo)致一個問題，就是這個威脅有沒有對我、我的業(yè)務(wù)系統(tǒng)產(chǎn)生影響。相對于以往的安全服務(wù)，我們的做法是，直接告訴你說，我們發(fā)現(xiàn)了一個未公開威脅，這個威脅有什么危害，目前我們的AF 和EDR 已經(jīng)整合了相關(guān)的防護能力。如果需要掃描確認的，我們征得用戶同意后，就可以在云端下發(fā)掃描策略。從點到面的、又貼合實際場景地解決了我們的未公開威脅。例如，勒索病毒變種，我們當天通知了所有的云網(wǎng)絡(luò)安全服務(wù)平臺用戶，幫助用戶規(guī)避風險。還有前兩周的Weblogic反序化漏洞，我們也是當天通知了用戶，幫助用戶規(guī)避風險。

6.事件分析與處置（見圖7）

安全托管事件分析與處置服務(wù)是基于僵尸網(wǎng)絡(luò)、病毒、后門、黑鏈等各類安全事件的分析與處置，通過結(jié)合知名安全廠商主動發(fā)現(xiàn)、主動處置、被動響應(yīng)流程，為用戶提供以上安全事件的處置服務(wù)。

依托于安全防護組件、檢測響應(yīng)組件和云腦安全平臺，將海量安全數(shù)據(jù)脫敏，包括漏洞信息、共享威脅情報、異常流量、攻擊日志、病毒日志等數(shù)據(jù)，經(jīng)由大數(shù)據(jù)處理平臺（Spark、HBASE、Hadoop等技術(shù)），結(jié)合人工智能和云端安全專家，使用多種數(shù)據(jù)分析算法（SVM、貝葉斯網(wǎng)絡(luò)、隨機森林、LDA、DGA、馬爾科夫聚類、iForest、RNN等）模型進行數(shù)據(jù)歸因關(guān)聯(lián)分析，發(fā)現(xiàn)各類安全事件。

安全事件積極處置并分析出的勒索病毒、挖礦病毒、篡改事件、webshell、僵尸網(wǎng)絡(luò)等安全事件，安全服務(wù)專家對攻擊事件進行深入的分析，包括攻擊路徑溯源，從根本上給出安全修復(fù)整改建議和安全防護加固方案。

當發(fā)現(xiàn)安全事件后，安全工程師（T1）第一時間與用戶聯(lián)系對接，了解事件具體詳情，然后高級安全運營專家（T2）或首席安全專家（T3）根據(jù)用戶對事件的描述和事件嚴重等級分類標準確定影響范圍和事件性質(zhì)，確定安全事件的處理方案以及方案失敗的應(yīng)變和回退措施。

7.應(yīng)急響應(yīng)

安全托管應(yīng)急響應(yīng)服務(wù)是基于主動響應(yīng)和被動響應(yīng)流程，對用戶的頁面篡改、通報、斷網(wǎng)、webshell、黑鏈等各類嚴重安全事件進行緊急響應(yīng)和處置的解決方案。通過及時聯(lián)系用戶進行溯源分析排查，根據(jù)Web安全事件、惡意程序事件、網(wǎng)絡(luò)流量攻擊、信息破壞事件等不同事件的定級和響應(yīng)級別，提供給用戶專業(yè)的安全整改加固建議。

依托于安全防護組件和檢測響應(yīng)組件，實現(xiàn)入侵檢測（分鐘級檢測）、0Day檢測（24小時內(nèi)、觸發(fā)式檢測）、后門檢測（分鐘級檢測）、篡改檢測（域名首頁、每5分鐘一次），勒索病毒、挖礦病毒等安全檢測，支持緊急電話、郵件、Web管理端、微信公眾號等多種響應(yīng)渠道和方式，結(jié)合云端安全專家團隊和本地安全專家，對安全事件進行入侵影響抑制、入侵威脅清除、入侵原因分析、加固建議指導(dǎo)等服務(wù)。

整個過程是通過安全工程師（T1）第一時間與用戶聯(lián)系對接了解事件具體詳情，然后由高級安全運營專家（T2）根據(jù)用戶對事件的描述、各方面收集的信息確定事件性質(zhì)和影響范圍，確定安全事件的應(yīng)急處理方案并包含方案失敗的應(yīng)變和回退措施。如果在響應(yīng)過程中，發(fā)現(xiàn)攻擊正在擴散、持續(xù)，或者正在對當前業(yè)務(wù)正常運行造成影響，知名安全廠商安全服務(wù)團隊將采取抑制手段，抑制事態(tài)發(fā)展是為了將事故的損害降到低程度。在對安全事件進行原因初步分析和影響抑制后，知名安全廠商安全團隊將進一步處理安全事件并留存證據(jù)。知名安全廠商首席安全專家（T3）將從網(wǎng)絡(luò)流量情況、主機系統(tǒng)日志、網(wǎng)站服務(wù)日志、業(yè)務(wù)應(yīng)用日志、數(shù)據(jù)庫日志等，結(jié)合已有安全設(shè)備數(shù)據(jù)，分析入侵方式，還原造成安全事件的過程。事件處理完畢后，根據(jù)整個事件情況進行分析匯總并提交一份《安全應(yīng)急響應(yīng)報告》。針對安全事件現(xiàn)象、處理過程、處理結(jié)果進行陳述，同時對入侵原因進行分析，并給出相應(yīng)的安全加固建議和安全防御體系建設(shè)指導(dǎo)。

三、云網(wǎng)絡(luò)安全服務(wù)平臺的研究

相對于以往的安全服務(wù)，云網(wǎng)絡(luò)安全服務(wù)平臺用評估、檢測、保護、響應(yīng)多種手段協(xié)同，結(jié)合云端人工智能算法以及云端安全專家，避免企業(yè)或組織對安全事件認知存在盲點，將各個維度的安全行為統(tǒng)納到云端進行全局思考交付。

通過持續(xù)評估、持續(xù)保護、快速響應(yīng)三大服務(wù)機制，對七大內(nèi)容系統(tǒng)化交付。避免了不一樣的現(xiàn)場人員服務(wù)效果不一樣的問題。

通過云端平臺解決了持續(xù)服務(wù)的問題，避免對安全事件的認識瓶頸，情報協(xié)作貫穿安全事件的生命周期。

我們提供安全組件的靈活擴展，也靈活按需提供安全服務(wù)。交付到用戶端的價值是，幫助用戶把安全運營體系建立起來，提供整體的安全效益。

四、結(jié)語

《網(wǎng)絡(luò)安全法》已于2017年6月1日正式實施，針對違法行為可直接處罰相關(guān)單位和相關(guān)人員，并首次在法律中明確國家實行網(wǎng)絡(luò)安全等級保護制度。隨后，“網(wǎng)絡(luò)安全等級保護2.0系列國家標準”悉數(shù)正式發(fā)布，并于2019年12月1日起正式實施。等保2.0成為我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。等保2.0系列標準相較于以往的等保1.0標準更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護，實現(xiàn)了對云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等保護對象的全覆蓋，以及除個人及家庭自建自用網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋。

根據(jù)調(diào)研，很多單位網(wǎng)絡(luò)安全的建設(shè)工作存在誤區(qū)，其中“重建設(shè)、輕運營”最為明顯。眾多單位安全建設(shè)集中在安全設(shè)備采購，部署后缺乏專人運轉(zhuǎn)，導(dǎo)致發(fā)生安全事件時不能及時發(fā)現(xiàn)以及動態(tài)防護，日常安全工作受限于人力、技術(shù)資源，安全運營經(jīng)驗不足，導(dǎo)致安全效果無法達到預(yù)期。

參考文獻：

[1]孫建立，李歆麗等.高校環(huán)境下的信息系統(tǒng)備案與安全管理研究[J]計算機科學，2018（46）：137-141.

[2]孫建立，楊志軍等.基于數(shù)據(jù)流量分析的網(wǎng)絡(luò)安全態(tài)勢感知平臺研究[J]計算機科學，2019（46）：275-280.

（編輯：王天鵬）