网络安全技术手段建设存在问题与应对措施浅析

2021-03-06胡国良张超胡嘉俊

网络安全技术与应用 2021年1期

◆胡国良张超胡嘉俊

◆胡国良张超胡嘉俊通讯作者

（国家计算机网络与信息安全管理中心湖南分中心湖南 410000）

随着国家对网络安全的高度重视，越来越多涉网监管部门着手加强网络安全技术手段建设，网络安全态势感知能力得到提升，网络安全威胁发现及治理取得一定成效，但由于顶层设计及国家标准有待健全，建设单位对技术手段建设工作认识和驾驭能力不足，带来了一系列问题。本文通过总结当前涉网监管部门网络安全技术手段建设采用的技术方案，分析其存在的问题，提出应对措施，希望能够为相关部门开展网络安全手段建设工作提供参考，针对存在的问题有的放矢，采取必要措施，有效提高监测能力，切实保障网络安全。

网络安全；态势感知；威胁治理；监测能力

当前，我国已成为网络大国，但还不是网络强国，网络安全面临严峻挑战。没有网络安全就没有国家安全，网络安全已上升到国家战略高度。为切实提高网络安全保障能力，越来越多涉网监管部门着手加强网络安全技术手段建设，因而，研究网络安全技术手段建设存在的问题与应对措施十分必要。

1 技术治网管网迫切需要解决的问题

由于之前很长一段时间我国对信息化的重视程度远大于网络安全，导致网络安全滞后于信息化发展。网络安全监管体制机制不健全，相关监管部门职能交叉、职权不明、虚而不实；信息化建设和运营单位网络安全认识不足，重发展轻安全、重建设轻防护；网络安全产业起步晚基础差，核心技术受制于人；全民网络安全意识薄弱；信息化资产底数不清、情况不明。

随着国家对网络安全的高度重视，采取了一系列重大举措加大网络安全和信息化发展的力度，包括《网络安全法》颁布实行、网络安全和信息化监管体制机制改革等。但安全的本质还是技术问题，需要依靠技术来解决，而采用技术治网管网迫切需要解决的问题是摸清家底，认清风险。

2 技术手段建设常用技术及不足

当前网络安全建设手段建设主要围绕“摸清家底，认清风险，找出漏洞，通报结果，督促整改”的工作要求，建设包括资产探测、态势感知、监测发现、预警通报、责任考核等功能在内的综合性管理平台，而在态势感知、监测发现等核心能力实现方面通常采取如下技术：

（1）漏洞扫描方式。采用漏洞扫描专用设备对目标资产进行安全扫描，发现可能存在的安全威胁或隐患。不足：扫描效率不高、扫描结果误报率高、扫描行为容易被安全设备拦截、对目标系统造成一定影响等。

（2）资产探测方式。通过主动向目标网络资产发送构造的数据包，并从返回数据包的相关信息中提取目标指纹，与指纹进库中的指纹进行比对，实现对开放端口、操作系统、服务及应用类型的探测，可用于资产发现和管理，风险预警等。不足：探测结果全面性相对有限、探测行为容易被安全设备拦截、对目标系统造成一定影响等。

（3）关口前移的方式。通过在目标单位网络关键出口位置部署DPI引擎，实现安全关口前移，对应用层流量进行检测和控制，收集分析访问日志、告警日志或原始流量。不足：回传原始流量带来新的数据安全问题，部署节点的多少影响监测全面性或资金投入，回传告警或访问日志的方式误报率高、人工分析工作量大，监测规则更新及系统运维专业要求高。

（4）威胁情报补充方式。通过与专业第三方合作，共享或采购网络安全威胁情报数据服务，包括漏洞、威胁、特征、行为等一系列证据的知识集合及可操作性建议，补充提升系统监测能力。不足：威胁情报获取途径有限、共享难度较大，情报收集未达到预期效果，威胁情报缺少深度分析，威胁情报分析人员数量有限、影响价值发挥。

3 技术手段建设存在的问题

为强化技术治网和管网能力，各级网信、工信、公安和行业主管部门正着力加强或筹备网络安全技术手段建设，发挥了一定效果，但也暴露了不少问题。

（1）顶层设计和协同机制不完善。

各级涉网监管机构和行业主管部门大都基于自身职责和业务需求开展技术手段建设，各自为政，缺乏同级协同，上下级联动，存在大量重复建设，资源无法整合的现象，造成数据孤岛，资源浪费，能力有限等问题。

（2）建设经验缺乏，模式不成熟。

网络安全监管需要各涉网监管部门齐抓共管，为此需要建设一个公共的技术平台为多部门提供监管支撑，但大多监管部门网络安全技术手段建设刚起步，互联网海量数据接入、存储、分析和处理等建设经验缺乏，各监管部门间相互支撑的合作模式不成熟。

（3）特殊数据和技术缺乏。

在网络安全管理工作中，无论是在摸底排查、风险监测中，还是在事件处置中，均需要特殊互联网技术和数据的支撑，如网站备案数据、IP地址库、威胁情报库等。而单一的监管部门很难实现对相关数据的统筹使用。

（4）经费投入有限，专业技术支撑队伍缺乏。

互联网技术加速向全领域渗透，各种新技术层出不穷，对网络安全形成长期挑战。因而需要具备持续的经费投入、专业的技术支撑队伍，长期跟踪互联网新技术，掌握应对互联网新技术新业务的丰富经验和能力，而现阶段，各监管部门普遍存在经费投入有限，专业技术支撑队伍缺乏的问题。

（5）网络安全产业不强，核心技术受制于人。

我国网络安全产业底子薄，发展水平低，在产业发展、人才培养、技术研发、监管体系等各个方面仍然存在诸多不足，未形成具备关键核心技术和能力的产品。我国的网络安全和信息化核心技术仍受制于人，难以做到自主可控，容易受到国际网络安全事件的冲击。

4 技术手段建设应对建议

（1）完善顶层设计、整合优势资源。

各涉网监管部门应不断完善技术治网管网顶层设计、深化协同配合，形成工作合力，打造高效协同的监管机制。整合网络安全优势资源，做到资源共享，构建综合防御体系。

（2）明确建设模式、确立建设标准。

各上级涉网监管部门，特别是国家级涉网监管部门应根据互联网全程全网的特点，建立上下可联动，横向可扩展的建设模式，并形成建设标准，指导下级部门开展技术手段建设。

（3）建立国家级、省级基础技术平台。

网络安全技术手段建设中通常使用漏洞扫描、资产探测、关口设备、威胁情报等技术能力或资源，宜在国家和省级层面确定“集中建设、综合利用、信息共享、业务协同”思路，建立部省联动的基础技术平台，整合优势能力和资源，形成可对外输出服务的能力清单、专用设备、漏洞库和威胁情报库等，为各涉网监管部门及终端客户开展网络安全技术手段建设提供基本保障。

（4）落实专项经费、组建专业技术机构。

各级政府应建立并落实网络安全技术手段建设专项经费，组建专业技术机构。由专业技术机构统一负责技术手段建设，一方面避免重复建设造成浪费，另一方面，面对快速发展的互联网技术新业务，能够保证技术平台的先进性，确保技术监管始终跟得上形势发展需要。

（5）创新产业布局、引领核心技术突破。

习近平指出，核心技术是国之重器。政府要下定决心、保持恒心、找准重心，加速推动信息领域核心技术突破；要创新并做好产业布局，优中选优、重点突破；不断加强对网络安全基础性、通用性、前瞻性技术创新研究投入，努力突破关键技术，掌握安全发展主动权。