网络安全检测评估是安全能力的验证过程,是确保网络安全的补充方法之一。我国检测评估工作起步晚但发展快。2017 年以来,累计出台 10 部法律法规对网络安全检测评估作了具体规定,并制定修订了 10 余项有关检测评估的国家标准,形成了系列评估评价体系,总体上呈现出多重安全检测风险评估态势,对维护网络主权、国家安全和发展利益,提升网络空间防护能力起到了重要支撑作用。

相关研究指出,“国家安全”与“网络安全”深度交融,无序的数据信息流动可能损害国家安全,有必要建立统一的安全审核机构和分类分级审核策略,合理设定网络服务提供者的义务,随着 IT 技术和通信技术的发展,云计算和虚拟化等技术应用的普及,网络环境日趋复杂,网络边界变得模糊。面对网络生态中不断涌现新风险、新挑战、新态势及具有隐蔽性、持续性、趋利性等特性的高级网络威胁增多,亟需转变思路,从更高维度,以系统性和整体性视角,通过多主体参与、多手段结合的方式,立足于总体国家安全观,加强网络生态治理,降低检测评估成本并改善信息孤岛,提高参与共享各方的威胁检测与应急响应能力 。通过立法建立网络安全信息共享制度体系,构建网络安全信息共享组织体系,建立国家层面的网络威胁情报共享分析中心 ,形成政府主导、全社会积极参与,高度统筹协同的多层次网络治理模式。然而,暂时没有研究报告发布关于检测评估领域因多重评估、评估孤岛、评估活动而引起资源浪费的问题。检测评估作为网络治理体系的关键环节,如不及时从顶层设计角度进行整合统筹和检测评估服务网络安全治理,资源浪费现象或将进一步凸显,可能成为影响网络空间创新发展的重要因素,基于此,开展网络安全检测评估分类整合研究势在必行。

1我国检测评估的演进与成效

网络安全检测评估主要经历了起步、积极推进、跨越式发展、成熟完善 4 个阶段,随着检测评估相关要求的落实,网络安全事件大幅减少、处置能力显著增强、网络安全意识有效提升。

1.1 检测评估法律体系的演进

起步阶段(1994 年 2 月—2007 年 6 月),1994 年 2 月,国务院发布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护;2004 年 9 月,公安部等国家四部委办印发《关于信息安全等级保护工作的实施意见》,提出等级保护是我国的一项基本制度,信息系统须实行等级保护制度。

积极推进阶段(2007 年 6 月—2017 年 6 月),2007 年 6 月,公安部等国家四部委办印发《信息安全等级保护管理办法》,提出三级以上等级系统、重要涉密信息系统定级分级方法和检查测评周期,要求信息系统运用密码技术进行保护;同年 7 月,公安部等国家四部委办印发《关于开展全国重要信息系统安全等级保护定级工作的通知》,明确了等级保护工作程序;2009年 10 月,公安部印送《关于开展信息安全等级保护安全建设整改工作的指导意见》,细化了等级保护管理制度和技术措施;2010 年 3 月,公安部印发《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,规范了等级保护测评活动,制定了测评机构目录;2014 年 12月,中央网络安全和信息化领导小组办公室发布《关于加强党政部门云计算服务网络安全管理的意见》,明确了党政部门云计算服务模式,提出安全责任不变、数据归属不变、管理标准不变、敏感信息不出境的要求;2016 年 11 月,《中华人民共和国网络安全法》公布,在立法层面明确了国家实行网络安全等级保护制度,网络运营者应当按照要求履行安全保护义务,关键信息基础设施每年至少进行一次检测评估。

跨越式发展阶段(2017 年 6 月—2021 年 6月),2019 年 7 月,国家互联网信息办公室等国家四部委办联合发布《云计算服务安全评估办法》,为提高党政机关、关键信息基础设施运营者使用云计算服务安全可控水平,开展云计算服务安全评估,评估结果有效期为 3 年;2020 年 4 月, 国 家 互 联 网 信 息 办 公 室 等 国 家十二部委办联合制定《网络安全审查办法》,为确保关键信息基础设施供应链安全,要求运营者采购网络产品和服务,影响或者可能影响国家安全的,应当进行审查;2020 年 7 月,公安部制定《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,要坚持“谁主管、谁负责,谁运营、谁负责”原则,落实“三化六防”综合安全防控措施,关键信息基础设施应当使用商用密码进行保护,对第三级以上网络和关键信息基础设施每年开展一次等级测评,并同步开展密码应用安全性评估。

成熟完善阶段(2021 年 6 月起),2021 年7 月,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,要求有关主管部门加强对重大网络产品安全漏洞风险开展联合评估和处置,向社会发布网络产品安全漏洞信息,不得在提供漏洞修补措施之前发布,有必要提前发布的,应当由工业和信息化部、公安部组织评估后进行发布;同月,国务院公布《关键信息基础设施安全保护条例》,规定重要行业和领域的重要网络设施、信息系统等关键信息基础设施每年至少进行一次网络安全检测和风险评估,运营者应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查,采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查;2021 年 8 月,《中华人民共和国个人信息保护法》公布,明确了国家机关、个人信息处理者、关键信息基础设施运营者确需向中华人民共和国境外提供个人信息的,应当按照国家网信部门的相关规定进行评估、认证或落实相关要求,个人信息保护影响评估报告和处理情况记录应当至少保存 3 年;2021 年 6 月,《中华人民共和国数据安全法》公布,明确了国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度基础上,履行数据安全保护义务,重要数据处理者应当对数据处理活动定期开展风险评估;2021 年 12 月,国家互联网信息办公室等国家十三部委办联合修订《网络安全审查办法》,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。

1.2 近 5 年检测评估取得的成效

一是网络安全事件大幅减少。党中央实行网络安全和信息化统一领导后,国家常态化开展检测评估治理网络。根据文献 [8-13] 综合分析得出,近 5 年来,我国互联网网络安全环境经过多年的持续治理效果显著,网络安全环境得到明显改善。特别是党中央加强了对网络安全和信息化工作的统一领导,党政机关和重要行业的网络安全事件、DDoS 攻击、政府网站被篡改等传统网络安全事件大幅减少,网络安全可控趋势日益提升(如表 1 所示)。国家信息安全漏洞共享 平 台(China National Vulnerability Database,CNVD)新增收录漏洞年均增长 17.6%,零日漏洞年均增长 47.5% 以上,感染恶意程序的计算机年均减少 25.1%。但网络治理过程中也出现过阵痛,例如,2017 年我国成为遭受 DDoS 攻击的重灾区,被攻击总次数高达 12200 万次,占全球受攻击总数的 84.79%,有 33661 个 DDoS僵尸网络“肉鸡”IP 发起攻击,其中 99.68% 的“肉鸡”IP 位于我国境内,主要原因是开展网络治理首年度,攻击者表现出反抗行为。

表 1 近 5 年国内网络安全态势

二是处置能力增强。随着我国网络安全法律法规和管理制度不断完善,在网络安全技术实力、人才队伍建设、国际合作等方面取得了显著成效。检测评估已成为一种衡量网络安全保护和应急响应处置能力的通用方式。2021 年7 月,经检测核实,某企业 25 款应用程序(App)存在严重违法违规收集使用个人信息问题,依据相关规定,被通知应用商店下架整改。随后,国家相关部委办联合进驻该企业开展网络安全审查,体现了国家层面的应急响应处置效率。

三是网络安全意识提升。我国持续加强网络 安 全 总 体 布 局,2014—2021 年, 中 央 网 信办等部门先后以“共建网络安全,共享网络文明”“网络安全为人民,网络安全靠人民”为主题举办国家网络安全宣传周活动。围绕重点行业领域关键信息基础设施及社会热点问题,组织了高水平网络安全专题会议、知识技能竞赛等活动。《中华人民共和国网络安全法》规定,实施网络产品销售前检测评估,根据国家互联网信息办公室、等级保护网、国家密码管理局、中国信息安全测评中心、中国网络安全审查技术与认证中心发布的数据显示,目前我国有不低于1225 家各类网络安全检测评估机构。为支持国家网络安全建设、加快网络安全人才培养,中央网信办和教育部共同打造一流网络安全学院建设示范项目,11 所高校入选此项目,同时,109 所大学开设信息安全专业。网络防诈骗、保密宣传教育走进社区和公共场所。综上所述,基本形成了“产教学研用”检测评估治理体系,营造了网络安全人人有责、人人参与的良好氛围,提升了广大网民网络安全意识和基本防护技能。

2检测评估存在的问题及主要原因

当前,检测评估多角度开展但协同不够,导致评估孤岛、资金重复投入问题,本节分析了多重检测评估冗余产生的主要原因,提出了整合的必要性。

2.1 存在问题

2.1.1 检测评估工作繁重 

等级测评、密码应用安全性评估、云计算服务安全评估等在国家标准层面对检测评估已形成了系列具体措施。

例 如, 国 家 标 准 GB/T 22239—2019《 信息安全技术 网络安全等级保护基本要求》强调“一个中心三重防护”(安全管理中心,通信网络防护、区域边界防护、计算环境防护),提出 10 个方面通用要求和 4 个方面扩展要求,国家标准 GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》强调身份认证、传输加密、存储加密,提出 10 个方面要求,两项测评主要实现网络数据的可用性、完整性和保密性。

又如,国家标准 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》云计算安全扩展要求提出云计算平台达到可用性、完整性和保密性保护,在“一个中心三重防护”方面应具备的能力,国家标准 GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》强调供应链安全审查,注重业务可持续性和可移植性,国家标准 GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算安全管理责任和标准、资源所有权、司法管辖关系提出了要求,明确“先审后用”的原则。

其他有关检测评估的国家标准正在论证或制定中,国家标准相关要求形成了以网络安全等级测评为基础,对检测评估开展多角度分析的趋势。若所有要求均须落实,将给运营者带来较繁重的检测评估工作。

2.1.2 评估孤岛

网络安全等级测评和商用密码应用安全性评估同属于安全保护工作,但机构间认定过程和工作机制不协同,产生了商用密码应用安全性评估引用等级测评结论,但等级测评不认同商用密码应用安全性评估结论的现象。关键信息基础设施风险评估存在与商用密码应用安全性评估类似的问题。云计算安全评估和网络安全等级测评云计算安全扩展要求在云平台保护方面存在同样的问题。

2.1.3 评估资金重复投入

为便于测算,在不考虑第二级网络系统的情况下,建立检测评估资金测算模型。根据网络收集数据初步统计,现有 98 个中央国家机关,1914个省直党政部门,128 家中央企业,1280 家省属国有企业(每省按 40 家企业计算),作如下假设:

各省非国有企业开展检测评估的网络系统数量与省属国有企业数量应一致。

各省直部门开展检测评估的网络系统规模与省直以下所有部门总和相当。

参照公开招标中标结果,设每个网络系统S的检测评估单价P=10 万元。

每个单位有第三级网络系统 3 个,应同步开展等级测评、密码应用安全性评估,10% 的第三级网络系统列为关键信息基础设施,应开展风险评估。

每个中央国家机关有 1 个云计算平台、每个省总共有 3 个云计算平台需要开展云计算服务安全评估。

5% 的中央企业、5% 的各省属国有企业和非国有企业的网络系统每年应开展数据处理风险评估和个人信息保护影响评估。


假设全国每年需要开展网络安全审查的总数为第三级网络系统的 1%,其中,网络产品重大漏洞风险联合评估不是常规工作,不计入年检测评估费用,得出年度检测评估费用为:

2020 年,开展等级测评、关键信息基础设施风险评估、安全审查、云计算服务安全评估 4项检测评估费用约为:亿元。

2021 年,除数据处理风险评估、个人信息保护影响评估外,开展 5 项检测评估费用约为:亿元。

2022 年,同步开展等级测评、关键信息基础设施风险评估、密码应用安全性评估、云计算服务安全评估、数据处理风险评估、个人信息保护影响、网络安全审查评估 7 项,全国每年检测评估费用约为:亿元。

数据结果表明,当前评估类别数量多、频次高、评估并行且常态化,导致评估资金重复投入。

2.2 主要原因

结合多重检测评估冗余产生的要素,引用因果分析法,从“主体、事项、法律、资金、对象”5个方面进行分析,得出如图 1 所示的 5 大类 24小类的原因。

图 1 检测评估冗余因果分析

2.2.1 主体

测评检测服务机构分散交叉。等级测评、网络安全服务、商用密码检测机构均为动态管理的市场化机构。截至 2021 年 7 月,初步统计有等级测评机构 207 家,商用密码应用安全性评估机构 48 家,网络安全服务机构 966 家,这些机构分别由不同监管部门监管,在经营状况、资质维持、专业技术人员培训方面需要分别核算支出。可通过“多证合一”的方式,进行资质整合、协同培训,以减少机构认证资源重复投入。

专业机构工作重复。一般由国家机关职能单位负责云计算服务安全评估和数据安全检测评估。其中,云计算服务安全评估、重大漏洞风险联合评估、数据安全检测评估等工作若同步开展,将存在部分工作内容重复,如果要求运营者选择开展其中一项评估并循环开展其他项评估,可减少重复工作,并保证检测评估效果。

跨部门协同配合信息共享不足。保护工作部门在法律政策规定的协同共享或可以协同共享方面,尚存在部分工作没有实现实质性协同共享。

2.2.2 事项

检测评估工作不同步。排查网络安全隐患漏洞和落实整改是运营者的法律义务。运营者每年度需要开展多种类型的检测评估,以确保合规实效。目前,监管部门针对运营者的各种检查分时段开展,运营者需要根据要求开展检测评估并提交相关材料。检测评估结果不兼容。关键信息基础设施检测评估是面向高等级或重要网络开展的更高标准的等级测评,但结果没有“向下兼容”等级测评。商用密码应用安全性评估直接引用等级测评的结论,可节省工作量,但其费用却未减少。对于数据处理活动风险、个人信息保护影响等新的评估可能同样出现不兼容情况。2.2.3 法律

检测评估的最终目的是服务于保障网络信息和数据安全,维护网络空间主权、国家安全、社会公共利益,保护公民、法人及其他组织的合法权益,维护国家主权安全和发展利益,保障关键信息基础设施和供应链安全,保护个人信息权益,提高云计算服务安全可控水平,防范网络安全风险。

2.2.4 资金

经费保障困难。《中华人民共和国密码法》是唯一要求将检测评估相关经费列入预算的法律文件,而其他文件要求运营者通过现有经费渠道保障检测评估经费投入,执行中的困难在于多个网络系统的检测评估费用数额大且常态化。

宣贯不足。法律法规及重点要求掌握不清晰,案例教学不够,缺少专题解读分析,从而导致在产业和应用落实层面出现偏离。

重视不够。目前,我国至少有 5 部法律法规对党管网络安全、党管数据,保障关键信息基础设施安全,落实网络安全责任等重大事项作出明确规定,但在执行层面的重视还不够。

2.2.5 对象

由于责任制落实有偏差,机构人员配置不合理,安全防护不足,导致业务连续性、系统完整性、数据可移植性存在隐患。例如,供应链隐患不易被发现,业务外包存在风险,网络系统产品漏洞整改不及时,数据和个人信息保护存在隐患。

2.3 整合的必要性

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》等法律法规明确要求运营者应在等级保护基础上履行保护义务,正确采用商用密码进行保护,关键信息基础设施每年至少进行一次检测评估,应有效衔接,避免重复评估测评,在开展检查时,应加强沟通协同配合,避免不必要的检查和交叉重复检查。

近年来,随着技术手段不断升级,漏洞利用攻击自动化、集成化、模块化、组织化更加明显,勒索病毒针对性更强,逐渐转向定向攻击。因此,有必要利用大数据和深度学习的方法开展风险评估 ,进行检测评估分类整合,加强高级可持续威胁检测评估。

3检测评估整合模型及运行机制

多重网络安全检测评估按安全保护、安全评估、安全审查 3 个维度进行整合,验证了整合模型的前后效果,提出了运行机制。

3.1 检测评估的分类

多重检测评估可归纳为安全保护、安全评估、安全审查 3 类。基于纵深防御的安全保护包括网络安全等级测评、关键信息基础设施风险评估、密码应用安全性评估;基于供应链管理的安全评估包括云计算服务安全评估、网络产品安全重大漏洞风险联合评估;基于国家安全个人权益保护的安全审查包括数据处理活动评估、个人信息保护影响评估、关键信息基础设施网络安全审查。

坚持客观分类,考虑多维度交叉和可操作性。结合网络信息数据安全要素,对检测评估进行精细化、多维度整合,实现检测评估集约化。在分类维度选择方面,选取安全保护、安全评估、安全审查 3 个维度建立整合模型,实现多重网络安全检测评估整合分类。

3.1.1 安全保护维度

以“三化六防”为举措,将与防护防御相关的检测测评纳入安全保护维度。在技术整合矩阵(Technology Integration Matrix,TIM)模型中,学习环境特征维度包括主动性、协作性、建构性、真实性和目标指向性。将安全保护维度设为物理环境、通信网络、区域边界、计算环境、运营管理。

3.1.2 安全评估维度

在技术使用阶段,替代增强修改和重新定义(Substitution Augmentation Modification Redefinition,SAMR)模型和 TIM 模型主要体现在替代、强化、融合和重塑等方面。针对检测评估内容和目标,将安全评估维度设为可控性、完整性、安全性、连续性。

3.1.3 安全审查维度

根据安全审查重点和要素,将维度定位为网络产品和服务风险、数据处理安全风险、个人信息保护影响。

3.2 构建分类三维矩阵

安全保护维度与网络安全等级保护体系对应,安全评估维度与网络安全风险管理常态化对应,制作基于安全保护维度和安全评估维度交叉的二维矩阵(如表 2 所示)。在此基础上,围绕关键信息基础设施网络产品和服务、数据、个人信息安全审查,构建三维矩阵。

表 2 安全保护和安全评估交叉二维矩阵

3.3 验证整合模型

在上述检测评估资金测算模型假设的基础上,从安全保护、安全评估、安全审查 3 个维度,将 8 项检测评估整合为网络安全等级测评和关键信息基础设施检测评估、云计算服务和网络产品安全重大漏洞风险联合评估、数据信息和关键信息基础设施网络安全审查 3 项评估模型。其中,网络产品安全重大漏洞风险联合评估不计入年检测评估费用,将密码应用安全性评估纳入等级测评同步,允许检测评估“向下兼容”,如关键信息基础设施检测评估视为已开展等级测评,数据、个人信息、关键信息基础设施网络安全审查三者取其一循环。以合规且相对更合理的方式,推动整合共享管理。基于此,预计在 2022 年以后,每年开展 3 项检测评估费用约为:。在不降低检测评估要求和效果的前提下,每年节省资金约为21.9606 亿元,节省比例 52.03%。

3.4 建立运行机制

建立强有力的统筹协调机制,保护工作部门加强工作协同数据共享。在安全检查时,监管部门与相关行业领域主管部门联动,检查结果互认。整合社会化检测评估服务机构,开展“多证合一”的资质联合认定、联合培训、动态管理。加强国家职能型检测评估专业机构的引导,重点面向国家安全、个人权益保护、数据处理等方面进行安全审查,鼓励参与社会化检测评估服务机构认定。通过检测评估整合、重组、兼容,推行“一评通用”,形成“查评改”检测评估体系,“查”主要包括保护工作部门检查和运营者自查;“评”是指第三方检测评估机构评价;“改”是指网络系统为满足合规性要求、健壮性提升、可持续性应用进行的整改加固。

4结 语

本文分析了检测评估的必要性及近 5 年来取得的显著成效,分析了多重检测评估冗余问题产生的原因,构建了检测评估整合模型并进行了验证,提出整合运行机制有关建议。该模型在法律法规框架体系下,结合现实情况和网络攻击新态势,通过高度集中、最优化方法进行了检测评估分类整合,同时建议检测评估跨部门跨层级共享协同,以减少重复交叉工作,进一步提升实际效果,推动检测评估高质量发展。

引用本文:白荣华 . 网络安全多重检测评估分类整合模型 [J]. 信息安全与通信保密 ,2022(4):85-95.