以“三化六防”措施構建網絡安全綜合防控體系

周佑源 柳少凱

（武漢安域信息安全技術有限公司，湖北 武漢 430077）

1 網絡強國戰略思想

網絡安全事關國家主權、人民共同利益，事關國家安全。維護我國網絡安全是實現“兩個一百年”奮斗目標、實現中華民族偉大復興中國夢的重要保障[1]。回顧近年來國家網絡安全大事記，深入學習網絡安全對貫徹落實國家戰略布局與重要舉措意義重大。國家網絡安全保障體系健全完善，是有效消除潛在網絡安全隱患、維護社會和諧穩定發展的重要組成部分，可以充分挖掘我國網絡空間的潛力，使更多的居民享受到網絡技術發展帶來的便利，最終推動社會進步。

2016年12月27日，國家互聯網信息辦公室發布《國家網絡空間安全戰略》。

2017 年6 月1 日，《中華人民共和國網絡安全法》頒布實施，這是我國網絡安全的“基本法”，是網絡安全法律法規體系的核心。

2018 年3 月21 日，中央網絡安全和信息化領導小組改為中國共產黨中央網絡安全和信息化委員會。

2019 年5 月13 日，網絡安全等級保護制度2.0 標準正式發布，國家對信息安全技術與網絡安全保護邁入2.0 時代。

《中華人民共和國數據安全法》于2021 年9 月1日起施行。

2 “三化六防”理念舉措

2020 年7 月22 日，公安部印發了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，指導意見明確要求要求重點行業以及相關部門能夠高度認識到網絡安全管理的重要性，并將其作為全面推動網絡安全建設的重要一環，最終消除潛在網絡安全隱患[2]。在新的時期，通過全面落實“四新”要求和“三化六防”新舉措，成為發現網絡安全隱患、主動處置網絡安全問題的重要組成部分。

所謂“三化六防”是指“實戰化、體系化、常態化”，“動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控”，以此構建國家網絡安全綜合防控系統，深入推進等保和關保的積極實踐。根據指導意見明確要求，在貫徹落實等保和關保雙制度，總體提出以下以等級保護為基礎，突出關鍵信息基礎設施保護、平臺化安全運營服務理念。

2.1 網絡對戰視角看“三化”理念

“實戰化、體系化、常態化”的內涵是非常豐富的，聯系緊密有序，站在網絡戰的角度從“實戰化、體系化、常態化”出發，構建網絡空間綜合防御作戰體系。

第一，強調網絡安全的“實戰化”，攻防是網絡安全的本質，習近平總書記指示網絡安全的本質在對抗，對抗的本質在攻防兩端的能力較量。未來的網絡安全攻擊將呈現高級化、大型化特點，網絡戰成為首選之一[3]。奪取并掌握“制網權”，一場沒有硝煙的戰爭已悄然拉開序幕。從“震網”開啟網絡戰新時代，世界各國成立網絡作戰部隊，關鍵基礎設施網絡攻擊愈演愈烈，成為國家當前不得不面對的嚴重問題。

第二，強調網絡安全的“體系化”，從網絡對戰思想上，作戰需要有部隊，部隊分不同軍種，每一種軍種要有特色打仗的武器，同時還要有多軍種協同作戰。作戰還得有指揮調度平臺，平臺運作要有相關的保證。相對而言，網絡安全對應網絡安全產品使用、人員體系、領導決策、行業監管等均涉及多各方面，缺一不可。

第三，強調網絡安全的“常態化”，網絡戰隱蔽性強，網絡作戰時間不局限于白天或者夜幕，而是真正的全天候、全時域作戰，網絡潛伏和偵查早已進入戰場，防護要求“常態化”，猶如當今時代以“和平與發展”為主題，更要有一種“居安思危”的意識，日常訓練、對戰演練等，加強國防建設具有極大的重要性。

2.2 網絡安全能力看“六防”措施

“三化”可以理解為用戶在網絡安全方面的一種要求，而“六防”代表一種能力，是需要掌握和具體實現的。

1.動態防御：相對而言，現階段的網絡安全問題呈現出明顯的復雜態勢，為了能夠實現網絡安全預防的目標，則需要工作人員能夠從當前的技術手段出發進行網絡安全風險防控，例如積極開展網絡安全入侵檢測、積極強化防火墻功能、做好病毒查殺等方法，上述一系列網絡安全防控工作都可以在靜態網絡環境下進行，依托網絡安全管理手段，在實現網絡協議以及網絡結構不變的基礎上，快速發現潛在網絡安全問題進行處置，例如系統可以直接識別有無網絡入侵現象等，根據系統識別的結果可以針對性地采取網絡安全控制，將網絡安全控制在萌芽狀態。動態防御則改變游戲規則，動態防御在網絡安全管理上具有明顯的靈活性特征，不會遵循傳統生硬的網絡安全管理模式，而是真正實現了網絡安全控制的隨機動態特征[4]。

2.主動防御：老舊的安全防護有防火墻、入侵檢測、病毒防范被動防御模式，面對日益猖獗的安全威脅防不勝防。基于可信計算技術改變傳統的網絡安全管理模式，形成新的安全防控體系，在網絡安全體系運行過程中能夠結合威脅情報、態勢感知，及時發現和處置未知威脅，落實主動防護措施。針對主動防御具有擾亂網絡攻擊的能力，部署二代蜜罐，進而誘導網絡攻擊行為，方便相關人員進行有效處理，并且由此造成的損失幾乎可以忽略不計。

3.縱深防御：施行分區域管理，區域間進行安全隔離和認證；實行事前監測，事中遏制及阻斷，事后跟蹤及恢復，實現攻擊的層層狙擊，全流程防御。縱深防御在電力行業信息系統防護層面得到借鑒，強調安全防護原則，在實現網絡架構安全防護分區的基礎上，加強“綜合防護”的要求，內網建立安全監視，部署網絡安全監測平臺。

4.精準防護：基于資產的自動化管理，協同威脅情報，檢測未知威脅、異常行為等，實現對核心資產的精準防護，提供內生安全、主動免疫能力。在國內疫情防控上類似，精準打擊妨害疫情防控犯罪，避免政策把握粗放化、簡單化。網絡安全防護也當如此，不能追求一概而論，同樣也要精準發力，不能簡單地“一刀切”。

5.整體防護：以保護關鍵業務鏈為目標，進行整體安全設計，建立協同聯動、高效統一的安全防護體系。改變傳統單純依靠強化局部網絡安全管控能力來達到消除風險的效果，真正實現了從全局整體出發，提升事前、事中、事后的閉環運營。

6.聯防聯控：建立與國家監管部門、保護工作部門、其他利益相關方的協調配合，聯動共防機制，建設“打防管控”一體化網絡安全綜合防控體系，提升國家整體應對網絡攻擊威脅的能力。應積極融入網絡安全整治，并與監管部門緊密合作，配合相關主管部門，共建聯防聯控的安全保護體系。

3 融合“三化六防”思路工作開展

3.1 以網絡安全實戰攻防，發現防護安全問題

問題都是被“打”出來的，安全經驗偏重于“防”，通過近年來的護網總結的漏洞匯總情況來看，國家、省、地市或行業的實戰攻防中，在告知攻擊時間、限定攻擊手段等前提下，攻破率（取得核心系統權限、獲取核心敏感數據）一般在30%以上。而且針對產品服務廠商，特別是網絡安全防護產品漏洞比重上升趨勢。通過實戰攻防和典型的安全事件，突出問題主要如下：

3.1.1 互聯網資產梳理與暴露面收斂不全面

通過護網防守工作，在互聯網層面資產梳理、暴露面收斂等是防守的一大關鍵要素。正如“你無法保護你看不見的東西”。隨著基礎設備的擴展和應用的接入，一些容易被忽視的弱點導致安全人員難以察覺，影子資產很容易成為漏網之魚，往往這些資產責任防護落實不到位，存在漏洞修復不及時，導致被攻擊利用的可能性增大[5]。

3.1.2 供應鏈風險排查風險機制不完善

通過安全防控措施來看，往往在正面防護和防線嚴格，在抵御互聯網正面網絡攻擊防護強度高，部署了大量的人員、技術、設備進行防護。在攻擊方的角度，一個單位系統組織結構、直屬單位帶動供應商、設計單位、第三方單位等供應鏈伙伴錯綜復雜，這些供應商參與的信息集成、業務協作和資源共享，往往這些單位進行側面攻擊，同樣給攻擊方帶來了多渠道化的攻擊途徑。

3.1.3 現有的安全防護被動、孤立和靜態

通過多起勒索病毒安全事件，“釣魚郵件”“口令爆破”“漏洞利用”攻擊是最常見的三類攻擊手段，從安全事件過程分析，勒索病毒的攻擊往往從第一臺設備感染，之后依托網絡或者局域網等傳輸平臺快速散播病毒，并開始同時攻擊業務系統以及服務器等，在連續的網絡攻擊下可能會造成系統癱瘓等嚴重問題，影響了正常的企業運營管理。從路徑和過程分析，勒索病毒從 “互聯網單臺設備感染→擴散至內網核心數據服務器→數據備份措施失效→數據丟失導致業務無法恢復”的流程，說明其基礎防護措施均沒有落實到位。

3.2 以合規建設為基礎，建立體系化防護框架

3.2.1 等級保護工作對象體系化

深入開展系統等級保護備案工作，全面對系統資產梳理，摸清家底，涉及的等級保護2.0 工作對象包括基礎信息網絡、工控系統、云計算、物聯網、移動互聯和大數據平臺等。科學確定網絡的安全保護等級，經相關部門審核后依法向公安機關備案，并向行業主管部門報備。

3.2.2 安全建設和整改體系化

網絡安全等級保護建設整改工作是開展等級保護工作的核心和落腳點，建設“一個中心”管理、“三重防護”體系，安全通用要求包括物理環境、安全便捷等多方面要求，并且隨著網絡系統功能的拓展，其完全管理的范疇被進一步擴大，包括物聯網安全拓展以及工業控制系統等，都成為當前網絡安全管理中不容忽視的問題[6]。由此可見，現階段的網絡安全問題已經發生明顯變化，其網絡安全架構以及安全管理范圍的增加都會明顯提升安全管理的難度，對網絡安全防護框架提出了更嚴格的要求。

安全通用模式下，網絡安全管理需要從全局性入手，在了解保護對象形態的基礎上快速形成網絡安全管理對策。而在這個過程中，網絡安全管理被賦予新的內涵，能夠滿足云計算、移動互聯等網絡架構的安全擴展要求。從技術方面：體現了從外部到內部，從邊界到終端的縱深防御思想。對物理環境、基礎網絡、區域邊界、計算環境、運營管控等的整體防護；從管理方面：網絡安全管理中必須要從多個管理途徑入手完成安全隱患的統一管理，這就需要相關人員能夠認識到網絡安全管理制度、安全管理策略等幾方面因素的影響后構建統一的網絡安全架構，并且網絡安全管理內容也要充分考慮到未來安全體系功能拓展等幾方面的要求，尤其是可以針對特殊安全管理對象展開多維度的網絡安全控制，最終達到消除風險的目標。

3.2.3 監測預警通報體系化

針對各類網絡安全事件展開預防控制是消除安全風險的重要手段，因此需要按管理要求向行業主管部門報告網絡安全事件。依托技術支持單位、專家、社會資源，以及公安機關等完成安全預警。同時，用戶在網絡安全規劃和建設中，需秉承“三化六防”理念措施，建立全面覆蓋運維、開發、服務全場景的安全防護體系與安全運行流程，形成安全運行的體系化、標準化支撐，建立“人+技術（平臺、數據）+流程”協同聯動的防御模式，建立網絡安全綜合防控體系框架[7]。

4 總結和展望

“三化六防”的理念措施，是隨著我們實際情況不斷發展和變化的。從整改建設的角度：建設模式從“局部整改外掛式”，走向“深度融合體系化”；從業務流程的角度，更多地需要考慮業務全流程保障要求，從體系化角度去進行安全規劃；從工程實現的角度，將安全需求分步實施，逐步建成面向未來的安全體系；從工作機制的角度，前、中、后三個階段深入融合形成閉環體系。

對現有防控體系的用戶，想要達到“三化六防”的要求還面臨不小的挑戰，對原有的防護框架進行變革，必定會大大增加企業運行的成本，在新起點、新目標的要求下，網絡安全和信息化建設需貫徹“三化六防”理念措施，即未來要具備更強的網絡安全攻防能力、預警分析決策能力、風險應對能力，更全面的管控以及更有效的安全運營能力。