二、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力建設(shè)
網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的服務(wù)能力由技術(shù)、管理、資源等綜合因素構(gòu)成,它直接影響國家網(wǎng)絡(luò)安全服務(wù)水平和網(wǎng)絡(luò)空間治理的工作成效,因此,提高網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力建設(shè)需要政府、網(wǎng)絡(luò)安全服務(wù)需求方和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等攜手并進(jìn)、共同發(fā)力。
1.構(gòu)建全方位、立體式的網(wǎng)絡(luò)安全服務(wù)保障體系
網(wǎng)絡(luò)安全是保障國家安全、社會穩(wěn)定的關(guān)鍵。服務(wù)機(jī)構(gòu)應(yīng)該依據(jù)服務(wù)對象、國家法律法規(guī)和相關(guān)行業(yè)標(biāo)準(zhǔn)的特點(diǎn),結(jié)合本機(jī)構(gòu)的實(shí)際情況建立具有全面性、穩(wěn)定性、及時性的機(jī)構(gòu)網(wǎng)絡(luò)安全服務(wù)保障體系。網(wǎng)絡(luò)安全服務(wù)保障不能完全依靠安全產(chǎn)品,也不能停留在“三分技術(shù)、七分管理”的概念上,應(yīng)建立以風(fēng)險(xiǎn)分析、策略制定、設(shè)計(jì)、實(shí)施、維護(hù)、改進(jìn)等環(huán)節(jié)構(gòu)成的閉環(huán)控制的網(wǎng)絡(luò)安全保障模型。在網(wǎng)絡(luò)安全保障模型基礎(chǔ)上,采取技術(shù)、管理、基礎(chǔ)資源等安全保障措施,開展適合服務(wù)對象的具體安全服務(wù),將風(fēng)險(xiǎn)控制到可接受的范圍和程度,從而實(shí)現(xiàn)業(yè)務(wù)發(fā)展的安全使命。
網(wǎng)絡(luò)安全是“矛”與“盾”的持續(xù)較量,風(fēng)險(xiǎn)是動態(tài)存在的,為了抵御不斷變化的威脅,網(wǎng)絡(luò)安全技術(shù)水平應(yīng)蹄疾步穩(wěn)、卓越提升,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)要不斷將新的技術(shù)手段、應(yīng)用等融入網(wǎng)絡(luò)安全服務(wù)保障系當(dāng)中,滿足網(wǎng)絡(luò)安全服務(wù)過程中不斷提升的網(wǎng)絡(luò)安全需求。
建立高效、健全、可執(zhí)行的網(wǎng)絡(luò)安全管理體系。避免體系建立與應(yīng)用割裂,讓體系運(yùn)行的理念深入人心,只有全體員工熟悉理解標(biāo)準(zhǔn),才能主動自覺地按標(biāo)準(zhǔn)及工作程序去執(zhí)行,建立的體系才能有效運(yùn)行,不斷完善,持續(xù)改進(jìn)。
構(gòu)成網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力的因素不僅是技術(shù)、管理,對基礎(chǔ)安全服務(wù)資源能力的提升同樣重要。在安全服務(wù)過程中,人是安全服務(wù)資源最重要的,應(yīng)建立人員能力提升機(jī)制,對安全服務(wù)人員進(jìn)行內(nèi)部、外部培訓(xùn),不斷提升技能;安全服務(wù)工具的安全可控,避免使用開源、未經(jīng)安全性驗(yàn)證的安全工具等?;A(chǔ)安全服務(wù)資源構(gòu)成了滿足網(wǎng)絡(luò)安全服務(wù)安全需求的基本要素,發(fā)揮了作為在網(wǎng)絡(luò)安全服務(wù)過程中支撐技術(shù)、管理等要素的作用。
2.加快《網(wǎng)絡(luò)安全法》配套法律法規(guī)與戰(zhàn)略政策的部署落地
《網(wǎng)絡(luò)安全法》發(fā)布實(shí)施后,我國在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全法律、法規(guī)領(lǐng)域邁出了重要一步,為我國網(wǎng)絡(luò)安全服務(wù)行業(yè)的發(fā)展起了巨大的推動作用,使我們的安全服務(wù)領(lǐng)域有法可依、規(guī)范服務(wù)。針對網(wǎng)絡(luò)安全法的實(shí)施,我們需要盡快建立更加細(xì)化的配套法律、法規(guī)措施服務(wù)網(wǎng)絡(luò)安全市場,使網(wǎng)絡(luò)安全服務(wù)行業(yè)在法律的框架約束下健康發(fā)展,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)在法律的規(guī)范下以提升安全服務(wù)能力、輸出高水平的安全服務(wù)而獲得市場的認(rèn)可。
針對目前存在的問題,政府需盡快推出行之有效的網(wǎng)絡(luò)安全服務(wù)相關(guān)標(biāo)準(zhǔn)及行業(yè)規(guī)范,從政策、標(biāo)準(zhǔn)層面對網(wǎng)絡(luò)安全服務(wù)進(jìn)行標(biāo)準(zhǔn)化的定義,對安全服務(wù)需達(dá)到的服務(wù)水平進(jìn)行相關(guān)基線的定性、定量等的指標(biāo)。標(biāo)準(zhǔn)和規(guī)范的制定完成不是終點(diǎn),而僅僅是標(biāo)準(zhǔn)生命周期的第一步,其科學(xué)性、適用性和可操作性是需要持續(xù)的驗(yàn)證和逐步完善的。加大對各方,各領(lǐng)域的標(biāo)準(zhǔn)和規(guī)范的宣貫與推廣工作,建立有效的機(jī)制,鼓勵和便于收集標(biāo)準(zhǔn)及規(guī)范使用中的意見和建議。
加快國家對網(wǎng)絡(luò)安全專業(yè)人才戰(zhàn)略的落地實(shí)施。政府、企業(yè)高校和社會都應(yīng)高度關(guān)注和重視,大力創(chuàng)建網(wǎng)絡(luò)安全科技人才健康成長的外部環(huán)境,加快人才培養(yǎng)的速度和力度,改革人事分配制度,營造優(yōu)秀人才脫穎而出的社會環(huán)境,有效改變網(wǎng)絡(luò)安全科技人才短缺的現(xiàn)狀。將《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中“實(shí)施網(wǎng)絡(luò)安全人才工程,加強(qiáng)網(wǎng)絡(luò)安全學(xué)科專業(yè)建設(shè),打造一流網(wǎng)絡(luò)安全學(xué)院和創(chuàng)新園區(qū)”落到實(shí)處、落在關(guān)鍵處。網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)內(nèi)部還需進(jìn)一步重視人才培養(yǎng)和人才獎勵機(jī)制的建設(shè)。合理調(diào)配和使用人才,加強(qiáng)人才梯隊(duì)的科學(xué)化發(fā)展。挖掘網(wǎng)絡(luò)安全優(yōu)秀人才、留住網(wǎng)絡(luò)安全專業(yè)特才,使人才有歸屬感、成就感,進(jìn)而為人才的科學(xué)發(fā)展搭建良好的孵化平臺。
3.網(wǎng)絡(luò)安全服務(wù)需求方及第三方機(jī)構(gòu)亟待建立科學(xué)的服務(wù)能力評價(jià)體系
網(wǎng)絡(luò)安全服務(wù)需求方是通過供求關(guān)系角度促進(jìn)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)提升能力的重要環(huán)節(jié)。它們結(jié)合本行業(yè)、本單位業(yè)務(wù)特點(diǎn)建立科學(xué)的網(wǎng)絡(luò)安全服務(wù)能力評價(jià)方法。一方面是對滿足本單位網(wǎng)絡(luò)安全服務(wù)需求負(fù)責(zé),另一方面是對網(wǎng)絡(luò)安全服務(wù)行業(yè)服務(wù)提供機(jī)構(gòu)能力的提升發(fā)揮了重要的市場“風(fēng)向標(biāo)”作用。
無論網(wǎng)絡(luò)安全服務(wù)需求方還是第三方機(jī)構(gòu)在建立網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力評價(jià)方法的時候,一定要科學(xué)意識到機(jī)構(gòu)網(wǎng)絡(luò)安全服務(wù)能力不是技術(shù)、管理、硬件基礎(chǔ)資源等因素當(dāng)中任何一點(diǎn)能單獨(dú)決定的,而是上述因素共同決定的。第三方機(jī)構(gòu)作為對網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)服務(wù)能力的評價(jià)方,更應(yīng)該建立科學(xué)的、行之有效的評價(jià)體系為行業(yè)做出公正、公開、公平的評價(jià)結(jié)果,服務(wù)能力的評判也不應(yīng)該是“符合性”的,而應(yīng)該是“有效性”的。第三方的評價(jià)結(jié)果直接影響網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的市場效應(yīng),進(jìn)而影響機(jī)構(gòu)對自身服務(wù)能力提升的推動;影響服務(wù)需求方對安全服務(wù)機(jī)構(gòu)的選擇。
網(wǎng)絡(luò)安全服務(wù)需求方也可以通過與第三方共同合作,評價(jià)體系共享、評價(jià)結(jié)果共享的方式獲得適合的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),這樣利用市場供需、第三方綜合評判雙重因素的構(gòu)建,推動網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力的整體躍升。
以中國信息安全測評中心為例,多年來依據(jù)國際成熟安全標(biāo)準(zhǔn)SSE-CMM、結(jié)合國家標(biāo)準(zhǔn)GB/T30271,及行業(yè)內(nèi)的最優(yōu)安全實(shí)踐形成了科學(xué)的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力評價(jià)理論體系,從服務(wù)機(jī)構(gòu)的技術(shù)能力、管理能力、基礎(chǔ)資源能力綜合出發(fā),以服務(wù)“有效性”為評判標(biāo)準(zhǔn),為國內(nèi)近千家網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力進(jìn)行測評,評價(jià)結(jié)果公開、公正、公平得到行業(yè)內(nèi)的廣泛認(rèn)可。此評價(jià)體系為第三方機(jī)構(gòu)和網(wǎng)絡(luò)安全服務(wù)需求方提供了服務(wù)能力評價(jià)的理論依據(jù),評價(jià)結(jié)果為國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)所認(rèn)可(部分行業(yè)利用此體系建立了本行業(yè)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)評價(jià)體系),為網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力提升起到了巨大推動作用。依據(jù)中國網(wǎng)絡(luò)安全測評中心體系應(yīng)用調(diào)研數(shù)據(jù)顯示,應(yīng)用此體系的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)服務(wù)能力提升明顯,行業(yè)認(rèn)可度升高,提升市場業(yè)務(wù)收入在10%左右。
三、結(jié)語
隨著國家戰(zhàn)略政策的扶持和市場需求的不斷擴(kuò)大,我國網(wǎng)絡(luò)安全服務(wù)得到空前發(fā)展,未來前景喜人。在這樣的大趨勢和大背景下,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力水平將直接關(guān)系網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略目標(biāo)的實(shí)現(xiàn)、網(wǎng)絡(luò)空間治理工作成效以及社會的長治久安、民眾的安定福祉。未來,不斷強(qiáng)化網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力建設(shè)是我們國家網(wǎng)絡(luò)安全事業(yè)發(fā)展中至關(guān)重要的關(guān)鍵環(huán)節(jié),下好網(wǎng)絡(luò)安全服務(wù)的“先手棋”,開創(chuàng)網(wǎng)絡(luò)強(qiáng)國的“中國夢”。
已有0人發(fā)表了評論