近年来,我国对于网络安全工作以及网络安全信息化工作给予高度重视。从国家的层面来看,网络强国战略的实现在很大程度上要依赖于网络安全,网络安全服务也成为网络安全发展过程中一个重要的基础条件。在网络安全的发展过程中,网络安全服务水平的作用是不可替代的,全面提升服务水平需要建立在加强网络安全服务供应商能力建设的基础上。
1新时代网络安全服务发展的特征
1.1等级保护2.0时代
我国在2017年6月1日正式颁布了《网络安全法》,随着这一法律的颁布和具体实施,我国开始正式进入等级保护工作2.0时代。基于这一法律使得我国的网络安全领域等级保护的核心作用被初步确立,能够适应当今时代新技术、新形势的不断变化,在保护对象、保护内容等多个方面,等级保护2.0都做出了全面的扩充和调整。
1.2等级保护对象扩展
在传统网络安全形势下,信息系统是网络安全的主要保护对象,但随着等级保护2.0时代的来临,网络信息保护对象进一步拓展到了云平台、物联网、大数据以及基础信息网络等多个领域。而且在等级保护2.0时代,网络安全保护领域中逐渐加入了风险评估、安全检测、通报预警、案件调查等几项新的保护内容[1]。在保护对象和保护内容得到进一步拓展和延伸之后,等级保护核心标准也在逐渐发生变化,在原有的基础上向各个领域进行了扩充和修订。例如,针对云计算领域,进一步提出了云计算安全扩展的具体要求[2]。
2新时代网络安全面临的机遇和挑战
2.1供应商承担责任变化
在当前的信息化时代,云计算、大数据已经逐渐深入人们的生活中,而且传统信息系统的边界也逐渐被打破。在传统的信息系统中,用户在购买和部署产品之后,需要对安全负责,而作为供应商和产品提供方,仅仅需要针对设备开展日常的维护工作,而信息系统安全责任基本与其无关。而云计算环境下,云服务供应商和用户之间在服务模式不同的情况下,安全责任划定也存在一定的差异。基于云计算环境,作为供应商,与传统的服务模式相比,在安全责任方面需要承担更多的压力,而且多数情况下是针对用户实际网络运行环境开展安全服务。
2.2网络安全服务目标和内容更加广泛
网络安全在其初期发展阶段,大部分用户在全面综合可靠、安全等各种因素之后,多数情况下都是通过购买软硬件安全设备来保障基本的安全需求。在这种情形下,满足用户的基本需求、符合性是网络安全服务的基本目标,而且多数情况下,开展网络安全服务都是通过为用户提供安全产品来实现[3]。随着网络安全形势的不断变化,以及网络领域中各种新技术的不断出现和应用,用户的安全需求不断提升,人们开始更加注重真正的安全保护需求。而在这一基本需求目标的转变过程中,不管是用户还是供应商都开始对安全产品能否真正保障安全的问题进行搜索,针对单独的安全产品销售能否真正满足用户的实际安全需求进行搜索。安全服务只有从内容上不断实现深化和细化,从传统以安全产品为主逐渐延伸到整个生命周期[4]。
3网络安全服务能力构建分析
3.1模型阐述
网络安全供应商是网络安全服务能力建设最主要的参与方,而且在此构建过程中也有直接参与,针对一些建设工作供应商和需求方必须经过协调后才能共同完成。对于网络安全服务能力模型的构建过程来说,其主要是针对整个网络系统全生命周期系统开发的需求、安全开发、安全测试、安全运维等各个阶段通过提供基本保障来实现业务的可持续发展,其主要的安全服务宗旨是保障网络系统在全生命周期中能够得到符合实际需求的安全服务,通过构建完善的技术、管理、责任、标准、监督等几个体系之后[5],为网络安全服务需求方提供全方位的网络安全服务保障。
3.2网络安全服务体系描述
3.2.1技术体系对于网络安全来说,其体系的运行本身是矛和盾之间的冲突和较量,因此网络安全本身的风险也处在动态变化中。为了能够对动态的网络风险威胁进行有效防御。作为安全服务供应商应该针对网络安全服务不断将新型的技术和应用融入其中,并充分借助基础的服务资源和先进的技术理念,合理应用同时能够兼顾安全和可控的相关服务工具,来构建相应的技术体系。而且在此过程中要坚决杜绝使用没有经过安全验证或者是开源的安全工具,从而才能充分满足当前不断提升的动态网络安全服务需求。3.2.2管理体系对于网络服务安全能力的构建,首先建立起高效、完善、可执行的网络安全体系是一项非常重要的工作。只有在充分保障管理制度的合理性、有效性的前提下,才能够为开展各项网络安全服务提供依据,同时也能够充分保障网络安全服务的项目进度和项目质量。而且在针对网络服务安全人员进行全面培训后,让其能够对安全服务工作的各项流程进行熟练掌握,以此来有效避免在服务能力体系的构建过程中出现脱离实际情况的现象。3.2.3标准体系在进行各项体系的构建过程中,必须严格按照国际以及国内关于网络安全服务的相关标准执行,在充分参照相关的标准规范之后,针对网络安全服务水平从定性以及定量两个角度进行评价。与此同时,还要充分保证服务标准体系要具备较强的适用性和可操作性,这就要求在具体的服务过程中针对标准体系进行持续验证和不断完善。3.2.4责任体系和监督评价体系针对上述几个指标体系的构建,通常情况下是由网络安全服务供应商来实现,而在针对责任体系和监督评价体系进行构建的过程中,必须充分结合服务供应商和服务需求方的意见。在构建起完善的监督评价体系后,能够对服务供应商不断提升自身安全服务水平形成有效的鞭策,与此同时也能充分保障服务需求方的基本安全需求得到满足。同时,在进行监督评价体系构建的过程中,需要针对服务前、服务中、服务后有针对性地构建相应的监督机制和相关评价指标,在此基础上才能够实现安全服务水平和安全服务质量的全面提升。
4结语
在信息化时代,网络安全已经成为广受社会关注的一个重要话题,而随着等级保护2.0的到来,网络安全服务在迎来新发展机遇的同时也面临着巨大的挑战,鉴于此,必须充分结合网络安全服务供应商和需求方的具体特征后构建完善的网络安全服务能力体系,从而才能实现网络安全服务水平的全面提升。
参考文献
[1]朱继东.新时期领导干部意识形态能力建设[D].北京:中国社会科学院研究生院,2013.
[2]王鹏飞.网络经济对我国居民消费的促进作用研究[D].北京:中共中央党校,2014.
[3]雷志春.马克思主义群众观视域下中国网络空间治理模式研究[D].武汉:华中科技大学,2018.
[4]王翼男.城乡基本公共文化服务均等化研究[D].成都:西华大学,2018.
[5]欧小佳.新媒体时代地方政府网络舆情治理的研究[D].成都:电子科技大学,2019.
《新时代网络安全服务能力体系建设思路》来源:《信息与电脑》,作者:彭永生