?????????網(wǎng)絡(luò)空間安全問題分類及說明【參考《網(wǎng)絡(luò)空間安全問題分析與體系研究》表2.1網(wǎng)絡(luò)空間安全問題】

????從內(nèi)容和種類上我們大概總結(jié)歸納了十七個(gè)要點(diǎn)，主要涵蓋的網(wǎng)絡(luò)空間安全重點(diǎn)問題有：取法高可靠、實(shí)時(shí)的溯源能力、缺乏具有法律效力的取證能力、信息起源問題、內(nèi)部威脅問題、惡意軟件遏制問題、僵尸網(wǎng)絡(luò)遏制問題、、隱私安全問題、復(fù)雜威脅下多方力量協(xié)同問題、如何減少產(chǎn)品漏洞的問題、現(xiàn)有安全技術(shù)缺乏效率和功效的問題、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知 的問題、時(shí)間敏感系統(tǒng)的可用性保障問題、缺乏動(dòng)態(tài)評(píng)估問題、缺乏強(qiáng)調(diào)安全性的設(shè)計(jì)開發(fā)能力問題、網(wǎng)絡(luò)攻防的非對(duì)稱問題、缺乏靈活的可信空間構(gòu)建能力問題、缺乏企業(yè)級(jí)別安全度量的問題。

????今天我們從第13點(diǎn)繼續(xù)來進(jìn)行理解和輸出。

????13，【缺乏動(dòng)態(tài)評(píng)估】

????當(dāng)前面向復(fù)雜系統(tǒng)攻擊技術(shù)和工具不斷演進(jìn)的趨勢(shì)，與面相，耽設(shè)備簡(jiǎn)單系統(tǒng)，針對(duì)靜態(tài)攻擊手段的現(xiàn)有評(píng)估能力之間，存在的差距，帶來了嚴(yán)重的安全威脅，典型的是0日攻擊，攻擊者利用發(fā)現(xiàn)漏洞與打補(bǔ)丁之間的時(shí)間差，輕易完成了攻擊，在缺乏動(dòng)態(tài)評(píng)估能力的條件下，這一安全威脅將難以解決。這種0日攻擊的影響以及破壞力也就導(dǎo)致了當(dāng)前他的價(jià)值提升 ，想想一個(gè)0日漏洞多少錢就知道了。

????14，【缺乏強(qiáng)調(diào)安全性的設(shè)計(jì)開發(fā)能力】

????首先對(duì)于大多數(shù)信息系統(tǒng)而言，安全性優(yōu)先度排在其業(yè)務(wù)功能和性能要求之后，在設(shè)計(jì)過程中甚至可能完全忽略了安全性，只有系統(tǒng)建設(shè)完成或者是業(yè)務(wù)系統(tǒng)完成設(shè)計(jì)后，再設(shè)計(jì)安全系統(tǒng)作為外掛，或配套支撐系統(tǒng)，在外圍增加保護(hù)。

????對(duì)于現(xiàn)有的移動(dòng)通信系統(tǒng)，工業(yè)控制系統(tǒng)等這一些問題非常突出，這就導(dǎo)致了大量安全漏洞的出現(xiàn)，以至于嚴(yán)重影響業(yè)務(wù)的安全性，其次補(bǔ)丁式的安全系統(tǒng)會(huì)產(chǎn)生，與業(yè)務(wù)系統(tǒng)不匹配，兼容性不足，或者是業(yè)務(wù)沒有預(yù)留好足夠的資源，從而導(dǎo)致安全性下降，影響業(yè)務(wù)效率等等，使業(yè)務(wù)與安全完全失衡的狀態(tài)，對(duì)后續(xù)升級(jí)也帶來很大的影響。

????針對(duì)這類問題當(dāng)前已經(jīng)有不少產(chǎn)品面市，比如現(xiàn)在我們可能很多企業(yè)都已經(jīng)開始接觸或使用中的Devsecops技術(shù)，通過對(duì)安全左移將我們的安全開發(fā)進(jìn)一步加強(qiáng)。

????15，【網(wǎng)絡(luò)攻防的非對(duì)稱問題】

????在信息化趨勢(shì)不可擋的背景下數(shù)字話，經(jīng)濟(jì)越來越突出，如果無法扭轉(zhuǎn)網(wǎng)絡(luò)攻防，非對(duì)稱的局面將導(dǎo)致信息化依賴程度越來越深，越是千瘡百孔的嚴(yán)重后果。在投入巨量資源的情況下，仍難以抵擋黑客犯罪組織敵對(duì)國(guó)家勢(shì)力的網(wǎng)絡(luò)攻擊行為，給公民個(gè)人財(cái)產(chǎn)安全及國(guó)家安全造成不可估量的損失，更使得國(guó)家在戰(zhàn)略層面進(jìn)入一種既然信息化又無法完全依賴網(wǎng)絡(luò)空間的進(jìn)退兩難的局面。

????16，【缺乏靈活的可信空間構(gòu)造能力】

????關(guān)鍵系統(tǒng)及其運(yùn)行環(huán)境必須是可信的，尤其是在非協(xié)作或威脅環(huán)境下，但目前許多傳統(tǒng)系統(tǒng)是基于存在的可信計(jì)算基礎(chǔ)的假設(shè)基礎(chǔ)，上去建立的并在此基礎(chǔ)上來執(zhí)行相關(guān)的計(jì)算任務(wù)，然而這個(gè)假設(shè)至今沒有被證明是成立的，因此傳統(tǒng)系統(tǒng)多數(shù)存在各式各樣的問題，影響著對(duì)計(jì)算結(jié)果的可信性和功能的可行性問題如何解決基于不可信部件以及環(huán)境系統(tǒng)構(gòu)造相對(duì)可信的信息系統(tǒng)成為一個(gè)基本的理論問題和工程問題。

????17，【缺乏企業(yè)級(jí)安全度量的問題】

????企業(yè)級(jí)安全度量的最大潛在威脅就是錯(cuò)誤指標(biāo)所帶來的錯(cuò)誤引導(dǎo)以及錯(cuò)誤結(jié)果，某些無關(guān)緊要的指標(biāo)會(huì)引導(dǎo)用戶過度在意其意義，進(jìn)而引導(dǎo)錯(cuò)的行為，引發(fā)一系列重大的安全問題，這類度量分析的普遍風(fēng)險(xiǎn)在于他們都是基于模糊的假設(shè)，不完備的模型算法，有問題的應(yīng)用工具或指標(biāo)本身錯(cuò)誤所帶來的結(jié)果，此外還有一個(gè)風(fēng)險(xiǎn)點(diǎn)就是將指標(biāo)過度關(guān)注于組件級(jí)而沒有系統(tǒng)級(jí)工程級(jí)的進(jìn)行融合，這些對(duì)技術(shù)的威脅和風(fēng)險(xiǎn)會(huì)導(dǎo)致錯(cuò)誤的。結(jié)論進(jìn)而浪費(fèi)投入的資源，所涉及的就是人財(cái)物，并且對(duì)改善脆弱性無任何意義。

????此章完結(jié)。

【注：以上作者淺見，也有部分網(wǎng)上學(xué)習(xí)得到，僅作為參考】

聲明：文章中部分展示圖例來源于網(wǎng)絡(luò)，版權(quán)并不屬于作者

##文章雖不長(zhǎng)，但都是精心收集和整理的，請(qǐng)大家?guī)忘c(diǎn)贊、收藏、評(píng)論，我將及時(shí)回復(fù)，感謝。

總結(jié)

以上是生活随笔為你收集整理的网络空间问题之缺乏动态评估、安全开发、非对称攻防以及可信空间构造能力的问题的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。