网络攻防的发展趋势_网络攻防能力国家

是什么造成了我过信息安全技术实力较弱

目前我国信息安全仍存在产业根基不牢、攻防能力不足、技术实力较弱等问题。当前信息技术发展日新月异，相对较弱的技术实力将使我国在面对新型信息安全威胁方面处于劣势。

一、产业根基不牢，信息安全面临严重威胁

我国核心技术能力与西方国家差距较大，产业支撑能力不足，信息安全保障任务艰巨。一方面，我国在信息技术方面起步较晚，核心技术方面一直受制于西方国家，重要信息系统和基础信息网络大量使用国外基础软件及核心关键设备，而西方国家借助市场占有率、事实性标准等构建技术壁垒，以维持其网络霸权。另一方面，以美国为首的西方国家利用技术产业优势，通过研发和定制各种网络攻击武器实现网络威慑，并打造各种网络监控手段，甚至通过控制国际标准的制定来实现监控，这些都给我国国家安全带来严重威胁。

二、攻防能力不足，网络空间缺乏战略威慑

我国在网络空间的攻防能力上与西方国家差距逐步拉大，无法形成网络空间战略威慑力。一方面，我国网络空间战略部署不足，缺乏针对国家级、有组织网络攻击的全网态势感知技术手段，对诸如“棱镜门”事件反映出的深层次高隐蔽性的安全威胁、APT等高级别复杂性威胁还难以有效发现，并缺乏有效的反击手段。另一方面，西方国家则不断加强网络空间军事部署，如美军网络司令部9月25日透露，旨在保护美国国内电网、核电站等基础设施计算机系统的网络部队已投入运行。英国国防部9月29日表示已着手成立新的网络防御部队，旨在保护英国关键计算机网络免受攻击。此外，俄罗斯国防部7月份宣布将成立一个“科技连”以研发新软件供俄罗斯军方应用。

三、技术实力较弱，应对安全威胁面临挑战

当前信息技术发展很快，由于技术实力相对较弱，我国在面对新型信息安全威胁方面处于劣势。一方面，我国在应对新兴技术信息安全问题方面反应过慢，而且缺乏有效的应对手段。与广泛推出云计算安全解决方案的国际信息安全企业相比，国内企业还很少能够提供相关服务。

另一方面，网络攻击、网络犯罪技术不断革新，我国在这些方面缺乏有效应对。网络犯罪逐步采用匿名技术和分布式技术等先进技术，而且网络攻击更多地与移动技术和云计算等新兴技术联系起来，如移动设备的普及导致针对社交媒体的攻击方法呈现泛滥趋势。我国当前对网络犯罪技术研究不足，缺乏对新兴技术中信息安全风险的检测和评估手段，难以有效应对未来网络犯罪带来的影响。

网络安全攻防战究竟该怎么打

一年前的4月19日，**总书记在北京主持召开网络安全和信息化工作座谈会，对发展网信事业，建设网络强国做出了高屋建瓴的指示。一年后，央视《焦点访谈》栏目再度聚焦网络信息安全，并对国家层面的网络安全进行了解读，360公司董事长周鸿祎也应邀在节目中发表了自己的看法。

据介绍，中国已经成为世界上受网络攻击最为严重的国家之一。周鸿祎表示，网络安全是一场攻防战，针对网络安全的威胁来源和攻击手段也在不断变化，“最终的攻击目标可能是基础设施，也可能是国家机密。”

面对挑战，构建金融、能源、电力、通信、交通等关键信息基础设施的安全保障体系，已经成为网络安全的重中之重。在黑客手段越来越高的情况下，能全天候、全方位迅速感知、判断威胁，可谓至关重要。

作为中国最大的互联网安全公司，360在网络威胁感知预警方面拥有强大的技术实力和人才储备。周鸿祎说：“在过去几年里面，360已经建立了具有领先水平的全球网络攻击预警系统，利用基于大数据的威胁情报，利用人工智能，对未知的网络威胁进行判断。”

去年10月，美国曾出现了大面积互联网断网事件，造成的损失高达百亿美元。事实上，在断网事件发生之前，360就已经监测到了可能的黑客攻击并发出了预警。之后应美方邀请，360也作为唯一的中国机构参与进行全球协同处置。

如今在网络安全领域，打破个体、企业、包括管理部门之间的信息孤岛，克服孤立的各自为战，建立起网络安全协同体系，已经变得非常急迫。周鸿祎也曾多次倡导多方协作共建国家网络安全。在周鸿祎看来，国家网络安全建设不能仅靠**自己的力量，或者某个企业的力量，而是要将**、民间企业、安全企业、科研院所甚至个人的力量都融合进来，才能更好地解决安全问题，守护国家网络安全。

等级保护常见问题和解答

答：等级保护是公安部第三研究为响应国务院147号令而牵头制定的信息安全标准和规范，全称《信息安全等级保护》。等级保护截止目前为止分为两个版本，等级保护1.0和等级保护2.0，基本内容要求分别参考GB/T 22239-2008和GB/T 22239-2019，由此可见等级保护1.0是从2008年开始实施的，而等级保护2.0是从2019年开始实施的。

  等保2.0之后都是由专家进行定级，也就是在当地公安网监部门进行等保备案的时候进行定级评估。一般遵循如下原则：

答：等保的指标项参考基本要求项GBT 22239和测评项 GBT 28448；原则上可以通过配置和自身调整实现的基本要求项和测评项就不需要额外购买软硬件来弥补，如果实在消耗人力和资源过大和无法通过自身资源调整实现，那最快最使用的方式就是购买第三方软硬件和服务来实现该项的要求。

答：等级保护的范围是全国所有非涉密系统，无论系统在内网还是互联网，都需要做等保。

答：等级保护是以信息系统为整体，而不是以公司或部门。

  比如有一个公司有10个信息系统，那么除去不重要的，还有5个。

a、有两个信息系统之间存在较多的数据之间的交互，则可以以一个整体做等保；

b、如有较少的数据交互或不存在交互，则建议单独定级。

答：等保二级每两年一次，没有明确的标准说明，一般都是建议每两年做一次。

等保三级每年都需做一次，参考见《信息安全等级保护管理办法》(公通字[2007]43号)，又称43号文第十四条明确规定。

  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

  如果你的信息系统没做等保，那被攻击了，造成一定影响了，首先是你没履行网络安全义务，其次是黑客犯法，两者都将收到严惩。

  关键信息基础设施简称“关保”，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

  等级保护与关键信息基础设施保护的区别在于，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。

  目前“关保”的基本要求、测评指南、高风险判例等均已完成，相关工作已启动。等保的受众范围比关保要广泛，通常要做关保建设的主体都要做等保建设，而要做等保建设的不一定要做关保建设，关保建设是针对重要行业和领域的，是基于等保之上进行重点保护的。

  《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

  等级保护工作是保障我国网络安全的基本动作，目前各单位需按照所在行业及保护对象重要程度，依据网络安全法及相关部门要求，按照“同步规划、同步建设、同步使用”的原则，开展等级保护工作。

  一个二级或三级的系统整体持续周期1-2个月。

  现场测评周期一般1周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。

  小规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1-2周。

  目前各地根据各自省份或城市的情况，还存在单独规定测评实施周期的情况，一般是签订测评合同之日起3-6个月必须出具测评报告。

  等级保护工作属于属地化管理，测评收费非全国统一价，测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。

如某省的参考报价为：二级系统测评费5万，三级系统测评费9万。

  等级保护采用备案与测评机制而非认证机制，不存在包过的说法，盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分，咨询专业的第三方安全咨询服务机构来开展等建设工作。

  测评后无合格证书。等级保护采用备案与测评机制而非认证机制，在属地网安备案后可获得《信息系统安全等级保护备案证明》，测评工作完成后会收到具有法律效率的“测评报告（至少要加盖测评机构公章和测评专用章）”。

  全国各省网警管理有所差异，一般提交备案流程后，如资料完备，顺利通过审核后15个工作日即可拿到备案证明。

  等级保护2.0测评结果包括得分与结论评价；得分为百分制，及格线为70分；结论评价分为优、良、中、差四个等级。

  不同公司作为两个独立承担法律的主体单位，必须明确唯一的备案主体，不能算一个系统。同一单位的业务系统，如确实经过改造，入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。

  选择有测评资质的测评公司，优先考虑本地测评公司。可参照中国网络安全等级保护网（ djbh.net ）的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标，同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。

  等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下：

  不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

  一般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专用章。

  要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

  很多人认为，完成等保测评就万事大吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但是，安全是一个动态而非静止的过程，不是通过一次测评，就可以一劳永逸的。

  企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评工作开展，以“一个中心、三重防护”好“三化六防”等为指导，不断提升网络攻防能力。

  首先，等保的每隔一段时间进行评测的，是一个持续不断的过程；即使投机取巧今年过了，明年后年也还是要进行测评的。

  其次，并没有要求一定要自己购买，只需要提供有相关的服务证明即可，租赁合同也可以的。

  首先声明等保是没有明文规定要求去购买第三方软件和硬件的，第三方的软件和硬件只是作为补偿措施；在应用系统本身无法都满足等保要求的情况下，可以借助一些补偿措施来弥补应用系统上的不足，让应用系统符合等级保护测评项的相关要求。

漏洞扫描： 基本所有级别的等保都建议要进行漏洞扫描

渗透测试： 三级等保要求必须做，二级等保虽然不是强制要求但是首次进行等保建设还是建议先做一次的。

基线核查： 并非等保要求，但是方便去整改；如果在测评之前做了基线核查工作，那么整改起来也会方便很多。

最快也得一周，具体看当地网监部门的审核进度。

日本防卫省研发人工智能用深度学习防御网络攻击？

据日本《产经新闻》1月7日报道称，日本防卫省于6日宣布：为强化对网络攻击的应对能力，已经确定要将人工智能（AI）引入日本自卫队信息通信网络的防御系统中。预计将于明年开始为期两年的调查研究，于2020年着手进行软件开发，2022年实际运用，并且也开始考虑在日本政府全体的网络防御系统中应用AI。

现在日本最有名的的人工智能（zhang），可能就是这位AI视频主播绊爱酱了……虽然都是人工智能，不过差别还是很大的

报道中称，自卫队将AI应用在网络安全方面的主要目的是依靠AI的“深度学习”能力，对网络攻击的特点和规律进行分析，以图预先为未来的网络攻击做好准备。报道中说，已经为2019年度的网络防御AI编列了8000万日元（约459万人民币）的预算。并准备参考网络防御和AI方面的先进国家如美国和以色列等国的技术。

同时，引入人工智能也可以提高网络防御工作的效率。目前，防卫省内缺乏足够的人员来进行网络攻击的防御工作。在著名的美国“网军”计划扩充到6200人的规模的同时，自卫队的网络防卫队现在只有110人，如果能够由AI承担一部分工作，现有人员的工作压力有望大幅度减轻。

观察者网军事评论员表示：AI在网络攻防作战中的效率正得到越来越清晰的认识。每天互联网上都会发生数以兆亿计的网络攻击，各种病毒和攻击手段层出不穷。这种情况让网络安全工程师疲于奔命，也为“深度学习”型AI提供了源源不断的数据。传统的安全程序需要由人来将病毒特征添加到数据库中，然后再将目标程序比对数据库中的现有病毒特征来判断其是否安全，但AI却能够通过深度学习来发现过去网络攻击中的共同点和特殊点，分析恶意程序和攻击手段的演化方向，因此能够更加迅速和精确地防御网络攻击。

正如AI棋手可以更深入地洞悉棋盘上的奥秘一样，网络安全AI也能够更深入地洞悉网络战场的奥秘

值得注意的是，在网络安全战场上，AI不但可以作为防御一方大显身手，也可以作为“攻”的一方大显神通，甚至还可能魔高一丈。“深度学习”功能同样可以用来追踪系统进化趋势和安全软件更新特点，从而迅速设计出新的，更强力的恶意程序来发动攻击。在2016年的黑客顶级盛会Defcon上，由Endgame 的安全专家海伦·安德森领衔的团队就成功地利用“黑客AI”突破了“网络安全AI”的保护。

目前，军方人员介入网络安全战场早已成为常态，美国著名的网络安全公司Cybereason其创办人正是来自以色列国防部下属精英网络部队8200部队。值得注意的是，2015年该公司接受了来自日本软银的为数1亿美元的融资，不知《产经新闻》提到的“以色列技术”是否来自该公司呢？

护网行动是什么?

护网行动是一场网络安全攻防演练。护网2019年由公安部11局组织，于2019年6月10日开始，持续3周，是针对全国范围的真实网络目标为对象的实战攻防活动。

具体开展方式是以国家组织牵头组织事业单位，国企单位，名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻，不管任何手段只要攻破防守方的网络并且留下标记就算成功。

护网行动意义  

网络安全人才，是建设网络强国的最重要资源。网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。其实质是人与人的对抗，就像周鸿祎所说，“解决网络安全的关键不是硬件，也不是软件，而是人才”。加快培养网络安全人才是解决网络安全问题的关键所在。

加强网络安全防范意识，网络安全关乎企业乃至国家安全，整个社会都该高度重视积极响应，提升安全防范意识，为网络安全基础设施建设贡献出一份力量。

什么是网络安全攻防演练?有什么意义？

攻防演练也称为护网行为，是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全问题，更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。那么什么是网络安全攻防演练?攻防演练的意义是什么?具体内容请看下文。

网络安全攻防演练是以获取指定目标系统的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击队，在保障业务系统稳定运行的前提下，采用不限攻击路径，不限制攻击手段的贴合实战方式，而形成的有组织的网络攻击行动。攻防演练通常是真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。

攻防演练的组织结构，由国家、行业主管机构、监督机构、大中型企事业单位自行组织。各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管机构或监管机构，针对要点行业和要点系统组织单位的攻击队和行业内企业单位的防御队进行实战攻防演练。

蓝队：模拟黑客的动机与行为，探测企业网络存在的薄弱点，加以利用并深入扩展，在授权范围内获得业务数据、服务器控制权限、业务控制权限。

红队：通过设备监测和日志及流量分析等手段，监测攻击行为并响应和处置。

网络安全攻防演练的意义

①攻防演练，实质是人与人之间的对抗。网络安全需网络安全人才来维护，是白帽和黑帽之间的较量，而白帽是建设网络强国的重要资源。攻防演练能够发现网络安全人才，清楚自身技术短板所在，并加以改进，提升安全技术。

②开展攻防演练，能够提早发现企业网络安全问题所在。针对问题及时整改，加强网络安全建设力度，提升企业的网络安全防护能力。

网络安全攻防演练的价值

①发现企业潜在安全威胁：通过模拟入侵来验证企业内部IT资产是否存在安全风险，从而寻求应对措施。

②强化企业安全意识：通过攻防演练，提高企业内部协同处置能力，预防风险事件的发生，确保企业的高度安全性。

③提升团队能力：通过攻防演练，以实际网络和业务环境为战场，真实模拟黑客攻击行为，防守方通过企业中多部门协同作战，实战大规模攻击情况下的防护流程及运营状态，提升应急处置效率和实战能力。