王大為

摘 ? 要：文章針對(duì)各級(jí)網(wǎng)絡(luò)安全或行業(yè)網(wǎng)絡(luò)安全監(jiān)管部門開(kāi)展等級(jí)保護(hù)監(jiān)管工作的業(yè)務(wù)現(xiàn)狀和存在的困難進(jìn)行深入研究，在當(dāng)前監(jiān)管工作流程的基礎(chǔ)上，提出了利用態(tài)勢(shì)感知技術(shù)和其掌握的各監(jiān)管單位安全建設(shè)情況進(jìn)行框架設(shè)計(jì)并細(xì)化功能，構(gòu)建具備動(dòng)態(tài)監(jiān)測(cè)和監(jiān)管展示的系統(tǒng)。為等級(jí)保護(hù)的監(jiān)督管理工作提供可靠的數(shù)據(jù)情報(bào)和高效的管理手段。

關(guān)鍵詞：等級(jí)保護(hù);態(tài)勢(shì)感知;動(dòng)態(tài)監(jiān)測(cè);數(shù)據(jù)情報(bào)

1 ? ?等級(jí)保護(hù)概況

近年來(lái)，我國(guó)信息技術(shù)發(fā)展迅猛，現(xiàn)階段各級(jí)政府部門及企事業(yè)單位基本上實(shí)現(xiàn)了業(yè)務(wù)信息化，并且為了便于為民眾提供服務(wù)，將其系統(tǒng)面向互聯(lián)網(wǎng)進(jìn)行開(kāi)放。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自2017年6月1日起正式施行，要求各大系統(tǒng)不但要注重安全合規(guī)性建設(shè)，更要及時(shí)完成等級(jí)保護(hù)的備案、整改建設(shè)和測(cè)評(píng)工作。

2 ? ?等級(jí)保護(hù)監(jiān)管過(guò)程中產(chǎn)生的問(wèn)題

（1）等級(jí)保護(hù)工作基礎(chǔ)數(shù)據(jù)收集不完備，信息涵蓋單位系統(tǒng)各個(gè)方面的基礎(chǔ)數(shù)據(jù)。傳統(tǒng)管理方式往往是所轄單位各自匯報(bào)，存在漏報(bào)、瞞報(bào)的情況，而監(jiān)管部門由于沒(méi)有技術(shù)手段進(jìn)行比對(duì)、判斷和總結(jié)、整理，很容易出現(xiàn)疏漏。

（2）缺乏監(jiān)督預(yù)警手段，難以把控管轄范圍內(nèi)的安全情況，大多采用定期組織檢查的形式開(kāi)展重要信息系統(tǒng)安全大檢查，既浪費(fèi)了人力、物力，也缺乏實(shí)時(shí)性，還存在標(biāo)準(zhǔn)執(zhí)行不統(tǒng)一等問(wèn)題，難以真正把控存在的安全問(wèn)題，更無(wú)法作到預(yù)先發(fā)現(xiàn)和經(jīng)驗(yàn)總結(jié)。

（3）缺乏技術(shù)手段管理監(jiān)管成果，建設(shè)和整改情況缺乏信息化的管理手段。在等級(jí)保護(hù)監(jiān)督管理過(guò)程中，一般是通過(guò)對(duì)當(dāng)前周期的安全檢查成果進(jìn)行總結(jié)，給出響應(yīng)的法律文書(shū)或者通告發(fā)文，被通知單位的負(fù)責(zé)人員進(jìn)行簽收、處置并反饋處理結(jié)果，不利于歸納、總結(jié)和對(duì)比。

（4）安全威脅情報(bào)的獲取和推送，安全資源難以積累、總結(jié)，不但浪費(fèi)人力、物力，而且時(shí)效性、針對(duì)性差，不能很好地進(jìn)行資源儲(chǔ)備和經(jīng)驗(yàn)總結(jié)，對(duì)過(guò)往積累也存在不足。

3 ? ?實(shí)現(xiàn)等級(jí)保護(hù)安全監(jiān)管技術(shù)的思路

通過(guò)態(tài)勢(shì)感知技術(shù)構(gòu)建等級(jí)保護(hù)監(jiān)管平臺(tái)，對(duì)信息系統(tǒng)備案情況、基礎(chǔ)資產(chǎn)情況、信息安全資產(chǎn)情況、信息系統(tǒng)配置情況、等級(jí)保護(hù)建設(shè)整改情況等進(jìn)行標(biāo)準(zhǔn)化登錄與采集，加強(qiáng)安全監(jiān)管檢查能力[1-2]。

首先，要實(shí)現(xiàn)等級(jí)保護(hù)全過(guò)程的監(jiān)管并形成分析、分享、研判機(jī)制，既要總結(jié)整個(gè)監(jiān)管過(guò)程中的各個(gè)環(huán)節(jié)和信息要素，又要結(jié)合態(tài)勢(shì)感知技術(shù)形成標(biāo)準(zhǔn)化的流程監(jiān)管技術(shù)體系。

其次，綜合利用采集數(shù)據(jù)，使用數(shù)據(jù)挖掘技術(shù)，做到更好的等級(jí)保護(hù)監(jiān)管態(tài)勢(shì)分析，對(duì)已知信息進(jìn)行歸類、對(duì)比，展示預(yù)見(jiàn)的風(fēng)險(xiǎn)和未知的威脅。

最后，通過(guò)知識(shí)庫(kù)和經(jīng)驗(yàn)總結(jié)并利用信息推送技術(shù)實(shí)現(xiàn)風(fēng)險(xiǎn)揭示、情報(bào)分享以及研判處置推送，形成各環(huán)節(jié)信息推送機(jī)制，用技術(shù)手段解決人力、物力的不足，提高監(jiān)管能力和效率。

通過(guò)對(duì)上述3個(gè)方面進(jìn)行分析，能夠形成標(biāo)準(zhǔn)化的監(jiān)督管理流程。信息化技術(shù)手段可以將監(jiān)管的整個(gè)過(guò)程和各節(jié)點(diǎn)的情況有效地反應(yīng)并記錄，能夠?qū)ΡO(jiān)督管理提供風(fēng)險(xiǎn)和威脅分析的參考依據(jù)，這個(gè)過(guò)程的主要工作如下：

（1）總結(jié)標(biāo)準(zhǔn)流程，通過(guò)對(duì)等級(jí)保護(hù)監(jiān)管工作全過(guò)程的總結(jié)，分析其監(jiān)管流程和關(guān)鍵屬性元素，將監(jiān)管過(guò)程流程化、程序化，對(duì)其各個(gè)過(guò)程節(jié)點(diǎn)的屬性元素標(biāo)準(zhǔn)化，形成標(biāo)準(zhǔn)流程。

（2）組建系統(tǒng)平臺(tái)，通過(guò)對(duì)等級(jí)保護(hù)監(jiān)管各個(gè)環(huán)節(jié)管理過(guò)程的總結(jié)及標(biāo)準(zhǔn)的擬定，形成具備風(fēng)險(xiǎn)研判、預(yù)警能力的監(jiān)管系統(tǒng)平臺(tái)，提高監(jiān)管能力。

4 ? ?體系架構(gòu)及實(shí)現(xiàn)

依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度及各行業(yè)對(duì)信息安全下發(fā)的相關(guān)標(biāo)準(zhǔn)和監(jiān)督管理政策，研究、開(kāi)發(fā)一個(gè)集信息系統(tǒng)安全建設(shè)基礎(chǔ)信息采集、監(jiān)測(cè)、挖掘、分析預(yù)警及展示的平臺(tái)，使等級(jí)保護(hù)變得監(jiān)管可視化、可管理、可預(yù)測(cè)，體系架構(gòu)如圖1所示。依托的技術(shù)有以下5個(gè)[3-4]。

4.1 ?多種異構(gòu)數(shù)據(jù)源

進(jìn)行等級(jí)保護(hù)監(jiān)督管理，其數(shù)據(jù)來(lái)源復(fù)雜，包括：（1）等級(jí)保護(hù)系統(tǒng)信息同步、等級(jí)保護(hù)工具箱的檢查、大數(shù)據(jù)導(dǎo)入、網(wǎng)站ICP注冊(cè)等公開(kāi)信息。（2）網(wǎng)站監(jiān)測(cè)引擎、搜索引擎、網(wǎng)絡(luò)情報(bào)、資產(chǎn)審計(jì)以及監(jiān)控、運(yùn)維工具的日志分析。（3）平臺(tái)收集、匯總的歷史大數(shù)據(jù)和知識(shí)庫(kù)。

4.2 ?信息挖掘和數(shù)據(jù)融合

利用數(shù)據(jù)融合技術(shù)，對(duì)采集和匯集的數(shù)據(jù)實(shí)現(xiàn)標(biāo)準(zhǔn)化和歸一化存儲(chǔ)，并在此基礎(chǔ)上進(jìn)行數(shù)據(jù)碰撞、信息理解和數(shù)據(jù)挖掘。實(shí)現(xiàn)多種攻擊溯源，包括：DDoS、僵木蠕、APT攻擊溯源、安全情報(bào)溯源、綜合溯源等。

4.3 ?可視化展現(xiàn)

使用主流的各種可視化工具及3D網(wǎng)絡(luò)拓?fù)?、資產(chǎn)展示效果，實(shí)現(xiàn)在電子地圖上準(zhǔn)確顯示被攻擊的單位、網(wǎng)站以及網(wǎng)站的可用性、網(wǎng)絡(luò)攻擊路線，直觀顯示通報(bào)排查的進(jìn)展。

4.4 ?通報(bào)和排查工作流

依據(jù)總結(jié)出的標(biāo)準(zhǔn)事件通報(bào)和隱患排查工作流，可用于“部—省—市—區(qū)/縣”等多級(jí)系統(tǒng)之間，基于態(tài)勢(shì)感知的安全事件和網(wǎng)絡(luò)隱患進(jìn)行處置，并支持監(jiān)管部門上門檢查和整改告知流程[5-6]。

4.5 ?知識(shí)庫(kù)與歷史大數(shù)據(jù)

研究出完備的知識(shí)庫(kù)、網(wǎng)絡(luò)安全專家?guī)臁⒕W(wǎng)絡(luò)隱患提取和數(shù)據(jù)采集的規(guī)則庫(kù)、歷史事件處理的經(jīng)驗(yàn)庫(kù)和最佳實(shí)踐等，可用于幫助監(jiān)管部門處理新增的安全事件和網(wǎng)絡(luò)隱患，同時(shí)，把它們都保存、匯總到歷史大數(shù)據(jù)庫(kù)中。

5 ? ?研究效益分析

（1）基礎(chǔ)數(shù)據(jù)融合，易于資產(chǎn)梳理，并直觀了解建設(shè)情況。將被監(jiān)測(cè)的重要信息系統(tǒng)基礎(chǔ)數(shù)據(jù)利用技術(shù)手段實(shí)現(xiàn)收集和融合，包括ICP信息、單位信息，例如地理位置、行業(yè)等。此外，融合了等級(jí)保護(hù)系統(tǒng)的數(shù)據(jù)，可以直觀掌握所轄重要信息系統(tǒng)的等級(jí)保護(hù)建設(shè)情況，直觀掌握盲區(qū)信息，發(fā)現(xiàn)監(jiān)管漏洞。

（2）便于開(kāi)展監(jiān)督檢查工作，降低監(jiān)管工作對(duì)人力、物力的需求，提高監(jiān)管能力。作為各級(jí)公安網(wǎng)監(jiān)部門或各行業(yè)信息安全監(jiān)督管理部門，可以根據(jù)態(tài)勢(shì)感知給出的分析檢測(cè)結(jié)果，開(kāi)展所轄重要信息系統(tǒng)監(jiān)督管理工作，并依靠分析結(jié)果開(kāi)展安全事件通報(bào)、信息安全隱患排查等工作。減少以往需要大量人力、物力的基礎(chǔ)排查工作，并將信息通告到督促整改的全過(guò)程利用信息化的手段完成，提高監(jiān)管能力。

（3）資產(chǎn)與工具整合，構(gòu)建開(kāi)放平臺(tái)。通過(guò)將基礎(chǔ)數(shù)據(jù)信息、信息系統(tǒng)狀態(tài)信息、網(wǎng)絡(luò)安全情報(bào)、信息安全動(dòng)態(tài)及監(jiān)督檢查數(shù)據(jù)等進(jìn)行集成，實(shí)現(xiàn)等級(jí)保護(hù)監(jiān)管體系的建立。對(duì)這些數(shù)據(jù)進(jìn)行歸集、分析，并結(jié)合整個(gè)監(jiān)督管理流程，實(shí)現(xiàn)等級(jí)保護(hù)監(jiān)管工作的信息化、智能化，覆蓋整個(gè)等級(jí)保護(hù)監(jiān)督管理的全過(guò)程。可通過(guò)融入更多的新技術(shù)和第三方功能模塊，源源不斷地增加該技術(shù)體系的功能。

6 ? ?結(jié)語(yǔ)

在分析了各級(jí)公安網(wǎng)安部門和各行業(yè)信息安全監(jiān)管部門在監(jiān)督管理過(guò)程中的難點(diǎn)、重點(diǎn)后，結(jié)合實(shí)際監(jiān)管過(guò)程中發(fā)現(xiàn)的各種問(wèn)題、狀況，分析了當(dāng)前各監(jiān)管部門在進(jìn)行等級(jí)保護(hù)監(jiān)管過(guò)程中的不足和需求。在捋順、明確等級(jí)保護(hù)管理的各階段目標(biāo)和現(xiàn)階段態(tài)勢(shì)感知技術(shù)所能達(dá)到的技術(shù)服務(wù)能力的基礎(chǔ)上，研究并設(shè)計(jì)出利用態(tài)勢(shì)感知技術(shù)來(lái)進(jìn)行等級(jí)保護(hù)監(jiān)管工作的技術(shù)體系，以應(yīng)對(duì)現(xiàn)階段乃至未來(lái)一段時(shí)期等級(jí)保護(hù)監(jiān)管工作的人力、物力和技術(shù)要求帶來(lái)的困境，實(shí)現(xiàn)等級(jí)保護(hù)監(jiān)管標(biāo)準(zhǔn)化、流程化、信息化。

本研究可以幫助等級(jí)保護(hù)監(jiān)管部門在現(xiàn)有人力、物力的背景下，有效開(kāi)展其所轄范圍內(nèi)重要信息系統(tǒng)的監(jiān)督管理工作。因此，需要對(duì)基于態(tài)勢(shì)感知的等級(jí)保護(hù)監(jiān)管技術(shù)予以應(yīng)有的重視，深入進(jìn)行理論研究和科學(xué)實(shí)踐，盡快投放社會(huì)應(yīng)用。

[參考文獻(xiàn)]

[1]北京市公安局網(wǎng)絡(luò)安全保衛(wèi)處.北京市公安局等級(jí)保護(hù)監(jiān)督檢查工作情況介紹[J].警察技術(shù)，2010（2）：15-17.

[2]楊兵兵.等級(jí)保護(hù)工作的實(shí)踐與思考[J].金融電子化，2012（5）：38.

[3]王慧強(qiáng)，賴積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006（10）：5-10.

[4]BASS，TIM.Intrusion detection systems and multisensor data fusion[C].Harbin：Association for Computing Machinery，2000.

[5]NONAME.Cyberspace awareness[C].Harbin：Association for Computing Machinery，2000.

[6]STEPHEN L.The spinging cude of potential doom[C].Harbin：Association for Computing Machinery，2000.

Abstract：This paper makes an in-depth study on the current status and difficulties of the network security supervision departments at all levels and industries to carry out the classified protection supervision work. Based on the current supervision workflow， it proposes the use of situational awareness technology and the safety construction of various supervisory units to design the framework and refine features， and a system with dynamic monitoring and regulatory display is constructed. Provide reliable data intelligence and efficient management tools for the supervision and management of classified protection.

Key words：classified protection; situational awareness; dynamic monitoring; data intelligence