莊洪林，姚樂，汪生，顧嘉祥，吳曄，解凱

（信息系統(tǒng)安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，北京 100191）

一、前言

戰(zhàn)略預(yù)警指國家為防御突然襲擊，運(yùn)用預(yù)警技術(shù)及早發(fā)現(xiàn)并監(jiān)視敵對(duì)勢力戰(zhàn)略進(jìn)攻性武器活動(dòng)態(tài)勢的綜合性警戒手段，是國家安全的重要保障。當(dāng)前，網(wǎng)絡(luò)空間已成為與陸、海、空、天并列的全球第五大空間，是經(jīng)濟(jì)社會(huì)發(fā)展的新支柱、國家安全的新領(lǐng)域。強(qiáng)化網(wǎng)絡(luò)空間態(tài)勢感知，提升戰(zhàn)略預(yù)警能力，確保信息網(wǎng)絡(luò)疆域安全，是國家安全面臨的新型重大課題。

目前，有關(guān)網(wǎng)絡(luò)空間安全預(yù)警研究的學(xué)術(shù)成果主要有：基于入侵事件統(tǒng)計(jì)規(guī)律的網(wǎng)絡(luò)安全預(yù)警方法 [1]、基于決策需求的網(wǎng)絡(luò)安全戰(zhàn)略情報(bào)保障能力 [2]、基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù) [3]等。這些研究成果從不同側(cè)面就網(wǎng)絡(luò)空間態(tài)勢感知和安全預(yù)警建設(shè)進(jìn)行了有益探索。美國基于網(wǎng)絡(luò)大數(shù)據(jù)建立了網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系，通過監(jiān)控全球網(wǎng)絡(luò)通信數(shù)據(jù)、獲取國內(nèi)各大企業(yè)服務(wù)器數(shù)據(jù)、共享部門與各盟國間的數(shù)據(jù)等手段獲取情報(bào)信息，實(shí)現(xiàn)網(wǎng)絡(luò)安全預(yù)警與響應(yīng)的全系統(tǒng)聯(lián)動(dòng) [4]。

為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)空間安全形勢，有效抵御國家級(jí)的大規(guī)模網(wǎng)絡(luò)攻擊，我國應(yīng)高度重視網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系能力建設(shè)，完善網(wǎng)絡(luò)空間預(yù)警機(jī)制。本文在理論分析、現(xiàn)狀研判的基礎(chǔ)上，針對(duì)網(wǎng)絡(luò)資產(chǎn)掌握不全面、安全監(jiān)測數(shù)據(jù)難共享、網(wǎng)絡(luò)攻擊取證難等問題，提出了網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系應(yīng)建設(shè)的重點(diǎn)內(nèi)容和對(duì)策建議。

二、網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的概念、特點(diǎn)及運(yùn)用價(jià)值

（一）網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的基本概念

按照傳統(tǒng)定義，戰(zhàn)略預(yù)警指為早期發(fā)現(xiàn)、跟蹤、識(shí)別來襲的遠(yuǎn)程彈道導(dǎo)彈、戰(zhàn)略轟炸機(jī)、巡航導(dǎo)彈等戰(zhàn)略武器并及時(shí)發(fā)出警報(bào)所采取的措施。其任務(wù)是：盡早探明來襲目標(biāo)及其各種參數(shù)，處理所獲信息，對(duì)來襲目標(biāo)進(jìn)行跟蹤、識(shí)別，為軍事決策、戰(zhàn)略武器運(yùn)用、民防準(zhǔn)備等提供實(shí)時(shí)信息 [5]。

網(wǎng)絡(luò)空間是有別于陸、海、空、天等物理空間的虛擬空間，網(wǎng)絡(luò)攻擊瞬時(shí)生效、裂變性強(qiáng)，網(wǎng)絡(luò)防御的重點(diǎn)是國家級(jí)黑客的重大網(wǎng)絡(luò)攻擊、烈性病毒傳播破壞。借鑒戰(zhàn)略預(yù)警的傳統(tǒng)定義，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警指一個(gè)國家或集團(tuán)為早期發(fā)現(xiàn)、跟蹤、識(shí)別、報(bào)知來襲的重大網(wǎng)絡(luò)攻擊或烈性病毒傳播破壞而建立的監(jiān)測告警體系 [6]，是國家防御體系的重要組成部分。

（二）網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的特點(diǎn)

相比物理空間對(duì)抗，網(wǎng)絡(luò)空間攻防有其自身的獨(dú)特機(jī)理，由此帶來網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警與傳統(tǒng)物理空間在國家戰(zhàn)略預(yù)警方面的顯著區(qū)別。惟有深刻認(rèn)識(shí)網(wǎng)絡(luò)空間對(duì)抗的機(jī)理特點(diǎn)，才能更有效地開展戰(zhàn)略預(yù)警工作。

1. 預(yù)警的職責(zé)主體為政府

物理空間的邊界明確，對(duì)外防衛(wèi)主要表現(xiàn)為陸防、海防、空防、天防，其中來自空、天的戰(zhàn)略武器威脅較大 [7]，相應(yīng)戰(zhàn)略預(yù)警的職責(zé)主要由國防專業(yè)力量承擔(dān)?；ヂ?lián)網(wǎng)、電信網(wǎng)是網(wǎng)絡(luò)空間的主體，相應(yīng)管理主要由政府部門負(fù)責(zé)。按照“誰主管，誰負(fù)責(zé)”的原則，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的職責(zé)主體應(yīng)是政府。

2. 預(yù)警防范對(duì)象更廣

網(wǎng)絡(luò)攻擊既可以來自外部實(shí)施，也可以從內(nèi)部發(fā)起；既可能是國家行為，也可能是非法組織或個(gè)人行為。物理空間的防范對(duì)象主要為敵對(duì)國家軍隊(duì)，而網(wǎng)絡(luò)空間防范的對(duì)象既包括國家級(jí)高級(jí)可持續(xù)威脅攻擊（APT）組織和恐怖勢力，也包括民間黑客組織和內(nèi)部人員。因此，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警防范的對(duì)象范圍更廣、更復(fù)雜。

3. 預(yù)警時(shí)間更加短促

網(wǎng)絡(luò)攻擊會(huì)對(duì)目標(biāo)直接發(fā)起攻擊并瞬時(shí)生效，網(wǎng)絡(luò)的互通性、病毒的裂變傳播性不僅會(huì)使受攻擊網(wǎng)絡(luò)出現(xiàn)“一機(jī)中招、多機(jī)感染、區(qū)域癱瘓”的局面，還會(huì)跨網(wǎng)迅速擴(kuò)散并影響其他網(wǎng)絡(luò)。與傳統(tǒng)物理空間戰(zhàn)略攻擊通常因誘發(fā)因素出現(xiàn)戰(zhàn)爭動(dòng)向相比，網(wǎng)絡(luò)空間的攻擊門檻低，攻擊時(shí)間隨機(jī)且短促，隨時(shí)都有可能遭受敵對(duì)勢力和黑客攻擊，因此提前預(yù)警的迫切性凸顯。

4. 預(yù)警目標(biāo)動(dòng)態(tài)性強(qiáng)

網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展，針對(duì)網(wǎng)絡(luò)特性變化、技術(shù)設(shè)施更新，網(wǎng)絡(luò)空間攻擊手段不斷調(diào)整升級(jí)，攻防手段在博弈中互相促進(jìn)、競爭發(fā)展，呈現(xiàn)出此消彼長、互促互進(jìn)的態(tài)勢。就某種具體的網(wǎng)絡(luò)攻擊手段而言，攻擊效果也是動(dòng)態(tài)變化的，對(duì)戰(zhàn)略性評(píng)估構(gòu)成了挑戰(zhàn)。

5. 戰(zhàn)略性判定與防御對(duì)象屬性相關(guān)

遠(yuǎn)程彈道導(dǎo)彈、戰(zhàn)略轟炸機(jī)、巡航導(dǎo)彈等實(shí)體空間武器的戰(zhàn)略性很容易界定，國際上也有一致認(rèn)可。網(wǎng)絡(luò)攻擊武器針對(duì)性強(qiáng)，攻擊效果與受攻擊方的網(wǎng)絡(luò)結(jié)構(gòu)、屬性以及所采用的軟硬件系統(tǒng)、防范機(jī)制等密切相關(guān)，不易判定。因此，衡量一種網(wǎng)絡(luò)攻擊手段是否具有戰(zhàn)略性，需結(jié)合被攻擊對(duì)象的網(wǎng)絡(luò)屬性特征；只有匹配并可達(dá)成戰(zhàn)略性威脅的網(wǎng)絡(luò)攻擊手段，才應(yīng)列為重點(diǎn)預(yù)警對(duì)象。

（三）網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的運(yùn)用價(jià)值

網(wǎng)絡(luò)空間對(duì)抗具有技術(shù)性強(qiáng)、目標(biāo)多元、要素復(fù)雜、時(shí)間敏感、地域模糊、數(shù)據(jù)量大等特點(diǎn)，建設(shè)具有全面掌握網(wǎng)絡(luò)軟硬件資產(chǎn)情況、深度挖掘信息系統(tǒng)安全漏洞、廣泛獲取網(wǎng)絡(luò)攻擊手段與行為特征、實(shí)時(shí)感知網(wǎng)絡(luò)攻擊威脅、有效監(jiān)測并匯聚各種異常行為、分析發(fā)現(xiàn)安全事件內(nèi)在關(guān)系、綜合研判網(wǎng)絡(luò)安全發(fā)展態(tài)勢等核心能力的網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系，對(duì)于網(wǎng)絡(luò)防御行動(dòng)的科學(xué)決策、贏得主動(dòng)，推進(jìn)網(wǎng)絡(luò)治理能力現(xiàn)代化具有重要的戰(zhàn)略意義。

第一，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警是快速、高效處置重大網(wǎng)絡(luò)安全事件的重要基礎(chǔ)。構(gòu)建網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)信息庫、挖掘掌握信息系統(tǒng)安全漏洞是網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的基礎(chǔ)環(huán)節(jié)。地圖是人們認(rèn)知理解環(huán)境的重要工具，虛擬的網(wǎng)絡(luò)空間同樣需要由詳實(shí)信息構(gòu)成、完整描述各要素狀態(tài)關(guān)系的“網(wǎng)絡(luò)地圖”，即網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)信息庫；對(duì)于重要大型網(wǎng)絡(luò)，加強(qiáng)網(wǎng)絡(luò)軟硬件資產(chǎn)的安全管理至關(guān)重要。部署網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)，掌握網(wǎng)絡(luò)體系架構(gòu)、重要節(jié)點(diǎn)、關(guān)鍵設(shè)備、重點(diǎn)保護(hù)對(duì)象，發(fā)現(xiàn)“風(fēng)險(xiǎn)資產(chǎn)”，是實(shí)施網(wǎng)絡(luò)防御行動(dòng)的基礎(chǔ)。網(wǎng)絡(luò)攻防在很大程度上表現(xiàn)為漏洞利用與修補(bǔ)在時(shí)間窗口上的博弈，基于已構(gòu)建的網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)信息庫，可在發(fā)現(xiàn)新漏洞的第一時(shí)間從信息庫中快速搜尋出受漏洞影響的網(wǎng)絡(luò)設(shè)備及地址，從而為開展積極防御行動(dòng)、及時(shí)進(jìn)行漏洞修復(fù)提供精準(zhǔn)的目標(biāo)指向。

第二，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警是掌握網(wǎng)絡(luò)空間防御戰(zhàn)略主動(dòng)的重要保障。掌握網(wǎng)絡(luò)威脅行為特征，構(gòu)建威脅情報(bào)支持平臺(tái)，可為實(shí)施安全預(yù)警提供可靠的情報(bào)保障。目前，世界上約有數(shù)十萬名黑客，對(duì)于國家層級(jí)的黑客群體，防御方需要時(shí)刻感知其攻擊的技術(shù)手段、行為特征和所威脅的系統(tǒng)，掌握其攻擊代碼并監(jiān)測發(fā)展變化，評(píng)估已方網(wǎng)絡(luò)面臨的潛在危害，從而實(shí)施有效應(yīng)對(duì)。即使是發(fā)生在其他地方的網(wǎng)絡(luò)攻擊，掌握其攻擊代碼和行為特征，對(duì)于監(jiān)測和預(yù)警針對(duì)已方網(wǎng)絡(luò)的威脅、掌握網(wǎng)絡(luò)空間防御戰(zhàn)略主動(dòng)，同樣具有重要意義。

第三，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警是綜合把握網(wǎng)絡(luò)空間安全態(tài)勢的重要手段。傳統(tǒng)的單一入侵檢測系統(tǒng)已經(jīng)過時(shí)，單機(jī)殺毒軟件容易失效。構(gòu)建以大數(shù)據(jù)、云技術(shù)為支撐，注重多源數(shù)據(jù)融合和情報(bào)共享，通過各類系統(tǒng)的綜合集成，形成全域覆蓋、上下貫通的完整體系，構(gòu)建一體化、分布式結(jié)構(gòu)的安全監(jiān)控綜合預(yù)警系統(tǒng)，有助于提高對(duì)異常行為的獲知能力，發(fā)現(xiàn)潛在未知威脅，精確定位攻擊源頭，預(yù)判安全事件演變趨勢。

三、網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的基本要求和應(yīng)用樣式

（一）網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的基本要求

網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警應(yīng)具有發(fā)現(xiàn)、跟蹤、識(shí)別網(wǎng)絡(luò)空間戰(zhàn)略破壞的能力以及分析判斷和網(wǎng)絡(luò)反制的溯源能力 [8]。為此，網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系需要具備以下基本能力：①全面性，在難以判斷危害嚴(yán)重程度的情況下，按照“不漏情”的原則對(duì)危害網(wǎng)絡(luò)空間安全的行為進(jìn)行預(yù)警；②預(yù)控性，鑒于網(wǎng)絡(luò)空間預(yù)警時(shí)間短促，有必要將網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警關(guān)口前移，平時(shí)常態(tài)化開展網(wǎng)絡(luò)空間安全或戰(zhàn)略危機(jī)的分析預(yù)測，實(shí)施早期控制；③診斷性，在網(wǎng)絡(luò)系統(tǒng)建設(shè)和管理過程中，對(duì)可能存在的網(wǎng)絡(luò)安全問題進(jìn)行強(qiáng)化測試和診斷，記錄網(wǎng)絡(luò)軟硬件及其狀態(tài)，據(jù)此分析判斷各類網(wǎng)絡(luò)攻擊手段的潛在危害；④動(dòng)態(tài)性，密切跟蹤網(wǎng)絡(luò)新技術(shù)發(fā)展、新問題發(fā)現(xiàn)、環(huán)境因素的新變化，及時(shí)調(diào)整我國網(wǎng)絡(luò)建設(shè)的發(fā)展思路、應(yīng)對(duì)全球網(wǎng)絡(luò)攻擊手段變化，同時(shí)持續(xù)加強(qiáng)分析判斷模型、應(yīng)對(duì)措施方法的更新升級(jí)；⑤規(guī)范性，運(yùn)用系統(tǒng)性的計(jì)劃策略和理性分析方法，開展針對(duì)網(wǎng)絡(luò)危害戰(zhàn)略性判斷、應(yīng)對(duì)措施與方法的程序化決策。

（二）網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的應(yīng)用樣式

1. 安全漏洞預(yù)警

安全漏洞預(yù)警屬于早期預(yù)警，主要是通過主動(dòng)挖掘和分析重要網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、應(yīng)用服務(wù)系統(tǒng)（如域名服務(wù)系統(tǒng)、電子郵件系統(tǒng)）等存在的安全漏洞缺陷，及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的后門、設(shè)計(jì)缺陷以及設(shè)備與系統(tǒng)管理漏洞，盡早開展封堵處理，防止被惡意利用；主要針對(duì)國際上尚未公布的安全漏洞進(jìn)行預(yù)警。

2. 安全威脅預(yù)警

安全威脅預(yù)警屬于中期預(yù)警，主要是通過部署的網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)、網(wǎng)絡(luò)空間威脅情報(bào)感知系統(tǒng)，發(fā)現(xiàn)“風(fēng)險(xiǎn)資產(chǎn)”，實(shí)時(shí)跟蹤監(jiān)測重要網(wǎng)絡(luò)被控、全球僵尸網(wǎng)絡(luò)構(gòu)建、蠕蟲病毒傳播、黑客組織攻擊活動(dòng)、已公開的安全漏洞、網(wǎng)絡(luò)攻擊最新技術(shù)手段等情況，預(yù)測潛在的網(wǎng)絡(luò)破壞性攻擊行為對(duì)網(wǎng)絡(luò)系統(tǒng)安全帶來的影響范圍、危害程度、持續(xù)時(shí)間等；按照規(guī)定和程序，及時(shí)通報(bào)相關(guān)威脅，盡快采取應(yīng)對(duì)措施；主要針對(duì)已經(jīng)在其他地方出現(xiàn)，但尚未涉及到所防護(hù)網(wǎng)絡(luò)的威脅源。

3. 入侵攻擊預(yù)警

入侵攻擊預(yù)警屬于臨近預(yù)警，主要是通過在網(wǎng)絡(luò)信道出入口、重要服務(wù)器、重要應(yīng)用系統(tǒng)等關(guān)鍵部位布設(shè)網(wǎng)絡(luò)入侵檢測系統(tǒng)、行為審計(jì)系統(tǒng)，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)攻擊者對(duì)網(wǎng)絡(luò)的滲透、重要數(shù)據(jù)訪問等異常行為；發(fā)現(xiàn)后實(shí)時(shí)報(bào)警、響應(yīng)，通過其他防護(hù)系統(tǒng)自動(dòng)進(jìn)行行為中止或由安全防護(hù)人員迅速處置，阻止大規(guī)模入侵、破壞行為的發(fā)生，防止事態(tài)擴(kuò)大；主要針對(duì)已經(jīng)接觸到所防護(hù)網(wǎng)絡(luò)的攻擊行為。

4. 異常行為預(yù)警

異常行為預(yù)警屬于對(duì)內(nèi)預(yù)警，主要是通過監(jiān)測、審計(jì)重要內(nèi)部網(wǎng)絡(luò)的用戶操作和網(wǎng)絡(luò)行為，及時(shí)發(fā)現(xiàn)違規(guī)操作、蓄意破壞、病毒傳播等直接危害網(wǎng)絡(luò)安全的異常情況，準(zhǔn)確追蹤定位威脅源頭；主要對(duì)發(fā)生在內(nèi)部網(wǎng)絡(luò)中的異常行為或攻擊企圖進(jìn)行預(yù)警。

四、網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警監(jiān)測體系的發(fā)展現(xiàn)狀

（一）國外網(wǎng)絡(luò)空間預(yù)警監(jiān)測建設(shè)情況

信息基礎(chǔ)設(shè)施發(fā)達(dá)的國家和地區(qū)高度重視網(wǎng)絡(luò)空間安全戰(zhàn)略預(yù)警能力建設(shè)。以美國為例，代表性做法如下 [4]。

一是打造全球網(wǎng)絡(luò)通信數(shù)據(jù)監(jiān)控能力。一方面，美國依托其全球信息樞紐的優(yōu)勢地位，在重要數(shù)據(jù)交換節(jié)點(diǎn)上大規(guī)模搜集基礎(chǔ)性數(shù)據(jù)；另一方面，采取改造監(jiān)控海底光纜等手段，將網(wǎng)絡(luò)監(jiān)測范圍覆蓋至美國境外地區(qū)；已將互聯(lián)網(wǎng)骨干網(wǎng)中50%以上的流量納入到監(jiān)測范圍。

二是政府相關(guān)部門加大對(duì)大型網(wǎng)絡(luò)運(yùn)營商、互聯(lián)網(wǎng)服務(wù)商監(jiān)測數(shù)據(jù)的利用力度。斯普林特公司、電話電報(bào)公司、威瑞森通信公司等頂級(jí)骨干網(wǎng)運(yùn)營商，微軟公司、谷歌公司、臉譜公司、蘋果公司等互聯(lián)網(wǎng)服務(wù)提供商，都是情報(bào)機(jī)構(gòu)的合作對(duì)象；對(duì)相應(yīng)的流量數(shù)據(jù)、網(wǎng)絡(luò)行為數(shù)據(jù)等進(jìn)行大數(shù)據(jù)關(guān)聯(lián)分析，找出潛在威脅。

三是廣泛開展深度的信息合作與數(shù)據(jù)共享。國土安全部、國防部、司法部強(qiáng)調(diào)對(duì)各自掌握的情報(bào)信息實(shí)施互聯(lián)互通，建立行動(dòng)性、預(yù)警性情報(bào)的“一知皆知”通報(bào)制度，實(shí)現(xiàn)網(wǎng)絡(luò)安全預(yù)警及響應(yīng)的全系統(tǒng)聯(lián)動(dòng)。同時(shí)，美國與英國、法國、德國等設(shè)立了基礎(chǔ)性的互聯(lián)網(wǎng)數(shù)據(jù)信息共享機(jī)制。

網(wǎng)絡(luò)空間預(yù)警監(jiān)測系統(tǒng)，如“愛因斯坦計(jì)劃”入侵防御項(xiàng)目，旨在支持政府機(jī)構(gòu)應(yīng)對(duì)網(wǎng)絡(luò)空間安全威脅，提供入侵檢測、入侵防御、取證分析、信息共享等能力。“愛因斯坦計(jì)劃”由國家統(tǒng)籌規(guī)劃、統(tǒng)一部署，監(jiān)視政府各部門的網(wǎng)絡(luò)出入口流量；一旦遭受網(wǎng)絡(luò)攻擊，監(jiān)測系統(tǒng)將自動(dòng)向國土安全部下屬的美國計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）報(bào)警，安全專家將實(shí)時(shí)縱覽跨機(jī)構(gòu)的安全事件并采取應(yīng)急處置措施 [9,10]。

（二）我國網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警監(jiān)測體系建設(shè)情況

1. 法律法規(guī)層面

在網(wǎng)絡(luò)監(jiān)測預(yù)警與應(yīng)急處置方面，《中華人民共和國網(wǎng)絡(luò)安全法》明確了國家和省級(jí)相關(guān)政府職能部門的職責(zé)，為國家網(wǎng)絡(luò)空間安全預(yù)警、安全事件處置提供了法律保障。該法規(guī)主要強(qiáng)調(diào)，國家網(wǎng)絡(luò)安全和信息化部門應(yīng)注重統(tǒng)籌協(xié)調(diào)，加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息；建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織演練。負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度，按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息；制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織演練。在網(wǎng)絡(luò)安全事件發(fā)生風(fēng)險(xiǎn)可能增大時(shí)，省級(jí)以上人民政府有關(guān)部門應(yīng)按照規(guī)定的權(quán)限和程序，根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特點(diǎn)和可能造成的危害采取措施。

2. 技術(shù)層面

許多網(wǎng)絡(luò)安全公司已建有較為成熟的網(wǎng)絡(luò)威脅感知分析平臺(tái)，主要采取互聯(lián)網(wǎng)在線探測感知、重要網(wǎng)絡(luò)樞紐探測感知兩種方式，廣泛收集互聯(lián)網(wǎng)設(shè)備信息、出入口流量、安防系統(tǒng)運(yùn)行數(shù)據(jù)，再經(jīng)過大數(shù)據(jù)和人工智能分析，感知網(wǎng)絡(luò)基礎(chǔ)設(shè)施、關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)的威脅，在一定程度上實(shí)現(xiàn)了針對(duì)網(wǎng)絡(luò)攻擊的早期發(fā)現(xiàn)、入侵途徑回溯、攻擊源定位。國內(nèi)外一些網(wǎng)絡(luò)安全公司建有專門的網(wǎng)絡(luò)空間測繪平臺(tái)、漏洞收集分析平臺(tái)并在互聯(lián)網(wǎng)上開放服務(wù)，可為網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警、安全事件快速處置提供數(shù)據(jù)支撐。

3. 當(dāng)前面臨的主要問題

①網(wǎng)絡(luò)資產(chǎn)掌握不夠，缺乏全面的網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)數(shù)據(jù)庫，政府部門、重要行業(yè)的單位企業(yè)對(duì)自身網(wǎng)絡(luò)資產(chǎn)信息掌握不夠，在態(tài)勢分析、應(yīng)急響應(yīng)處置方面缺少資產(chǎn)數(shù)據(jù)支撐。②安全監(jiān)測數(shù)據(jù)不能共享，國家關(guān)口數(shù)據(jù)、城市區(qū)域數(shù)據(jù)、行業(yè)內(nèi)網(wǎng)數(shù)據(jù)不能匯聚，各單位之間缺乏監(jiān)測數(shù)據(jù)、威脅情報(bào)感知數(shù)據(jù)的共享機(jī)制，無法全面開展網(wǎng)絡(luò)攻擊事件的綜合性關(guān)聯(lián)分析。③網(wǎng)絡(luò)攻擊行為的取證難度大，有的單位在遭受網(wǎng)絡(luò)攻擊后，拒絕提供取證數(shù)據(jù)，甚至擅自刪除日志，影響了網(wǎng)絡(luò)攻擊行為的溯源與追蹤，降低了國家網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警的實(shí)際效果。

五、網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系的重點(diǎn)建設(shè)內(nèi)容

（一）網(wǎng)絡(luò)空間測繪系統(tǒng)

網(wǎng)絡(luò)空間測繪系統(tǒng)是網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警體系建設(shè)的基礎(chǔ)。只有全面掌握自身網(wǎng)絡(luò)的軟硬件資產(chǎn)情況，才能在網(wǎng)絡(luò)防御行動(dòng)中掌控全局、爭取主動(dòng)。開展網(wǎng)絡(luò)空間測繪，要以大規(guī)模網(wǎng)絡(luò)空間軟硬件資產(chǎn)探測為先導(dǎo)，以主動(dòng)感知、大數(shù)據(jù)挖掘分析、知識(shí)學(xué)習(xí)推理、可視化展示等關(guān)鍵技術(shù)為支撐，強(qiáng)化網(wǎng)絡(luò)空間軟硬件資產(chǎn)基礎(chǔ)庫構(gòu)建與數(shù)據(jù)深度挖掘分析，實(shí)現(xiàn)網(wǎng)絡(luò)空間地圖的多層級(jí)直觀展示。

（二）漏洞收集預(yù)警平臺(tái)

漏洞收集預(yù)警平臺(tái)是預(yù)警體系早期預(yù)警的主要手段。漏洞信息主要通過自主挖掘、國內(nèi)外相關(guān)機(jī)構(gòu)公開的漏洞庫、社會(huì)人員提交等方式獲得。截至2021年3月5日，全球公開漏洞披露平臺(tái)（CVE）包含了約1.49×105個(gè)公開漏洞 [11]，我國國家信息安全漏洞庫（CNNVD）包含了約1.59×105個(gè)公開漏洞 [12]。這些漏洞數(shù)據(jù)庫提供了漏洞名稱、編號(hào)、類型、來源、威脅類型、危害等級(jí)、修復(fù)補(bǔ)丁、漏洞影響的具體設(shè)備、軟件版本等基本信息。但多樣化的漏洞信息來源存在數(shù)據(jù)格式不統(tǒng)一、非結(jié)構(gòu)化等問題，需要專業(yè)人員開展進(jìn)一步的融合分析、驗(yàn)證、整理，統(tǒng)一結(jié)構(gòu)化設(shè)計(jì)，構(gòu)建兼容不同數(shù)據(jù)格式的漏洞預(yù)警信息庫，并根據(jù)需要進(jìn)行信息發(fā)布和定向推送。此外，還需注意漏洞信息庫中關(guān)鍵字段與軟硬件資產(chǎn)庫的適配性設(shè)計(jì)，為網(wǎng)絡(luò)空間態(tài)勢感知、快速進(jìn)行威脅預(yù)警提供數(shù)據(jù)支撐。

（三）威脅情報(bào)感知推送系統(tǒng)

威脅情報(bào)感知推送系統(tǒng)是預(yù)警體系中期預(yù)警的主要手段，分為威脅情報(bào)感知信息庫、威脅情報(bào)分析推送系統(tǒng)兩部分。威脅情報(bào)感知信息庫主要通過人工收集、自動(dòng)采樣、網(wǎng)絡(luò)平臺(tái)獲取、公開數(shù)據(jù)庫查詢等方式獲取信息，信息經(jīng)分析整理后入庫；相關(guān)內(nèi)容包括：互聯(lián)網(wǎng)中曾發(fā)起過攻擊行為的地址、黑客使用過的設(shè)備和域名、各種病毒木馬等惡意代碼樣本、漏洞安全威脅、黑客行為特征與手段、危險(xiǎn)超鏈地址、惡意軟件黑名單、某種攻擊可能威脅到的設(shè)備和系統(tǒng)等信息。威脅情報(bào)分析推送系統(tǒng)主要針對(duì)特定威脅、特定防護(hù)目標(biāo)、新發(fā)布漏洞，通過智能化數(shù)據(jù)挖掘與匹配算法，發(fā)現(xiàn)重要目標(biāo)潛在的安全威脅，智能化、自動(dòng)化、定向快速推送相關(guān)預(yù)警情報(bào)信息。

（四）安全監(jiān)控綜合預(yù)警系統(tǒng)

安全監(jiān)控綜合預(yù)警系統(tǒng)是預(yù)警體系臨近預(yù)警的主要手段，分為流量監(jiān)測分析系統(tǒng)、網(wǎng)絡(luò)入侵取證與行為審計(jì)系統(tǒng)等。流量監(jiān)測分析系統(tǒng)布設(shè)在網(wǎng)絡(luò)干線節(jié)點(diǎn)、各接入網(wǎng)出入口等位置，主要實(shí)現(xiàn)干線數(shù)據(jù)采集、異常網(wǎng)絡(luò)流量分析檢測、攻擊代碼檢測捕獲、安全事件融合分析、安全態(tài)勢綜合顯示、階段性網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)回訪等功能。網(wǎng)絡(luò)入侵取證與行為審計(jì)系統(tǒng)部署在重要網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵服務(wù)節(jié)點(diǎn)，主要進(jìn)行網(wǎng)絡(luò)攻擊的快速準(zhǔn)確定位。通過相關(guān)系統(tǒng)的綜合集成，構(gòu)建一體化、分布式結(jié)構(gòu)的安全監(jiān)控綜合預(yù)警系統(tǒng)。

六、對(duì)策建議

（一）強(qiáng)化頂層設(shè)計(jì)，加強(qiáng)統(tǒng)籌協(xié)調(diào)

網(wǎng)絡(luò)空間安全事關(guān)國家安全大局，需要做好頂層設(shè)計(jì)，多部門統(tǒng)籌并協(xié)調(diào)開展工作。戰(zhàn)略預(yù)警作為網(wǎng)絡(luò)安全的首要環(huán)節(jié)和常態(tài)化工作，應(yīng)整體統(tǒng)籌、分工推進(jìn)。建議由國家相關(guān)主管部門集中統(tǒng)一領(lǐng)導(dǎo)，統(tǒng)籌網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警規(guī)劃、系統(tǒng)建設(shè)、安全風(fēng)險(xiǎn)評(píng)估、重大事件應(yīng)急響應(yīng)等工作；各級(jí)政府部門、相關(guān)行業(yè)開展預(yù)警監(jiān)測和應(yīng)急響應(yīng)工作，依據(jù)職能分工，發(fā)揮各自優(yōu)勢，協(xié)作開展。

（二）注重多源數(shù)據(jù)融合和情報(bào)共享，打牢國家網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警基礎(chǔ)

建立和完善國家級(jí)安全防御預(yù)警監(jiān)測體系，全面匯聚政府部門、事關(guān)國計(jì)民生重要信息系統(tǒng)的互聯(lián)網(wǎng)出入口數(shù)據(jù)、重要單位的威脅情報(bào)數(shù)據(jù)?；诜植际角岸藬?shù)據(jù)收集、集中化后端數(shù)據(jù)分析模式，對(duì)多源數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析處理，及時(shí)分發(fā)經(jīng)過匯聚處理的情報(bào)信息，提升國家對(duì)網(wǎng)絡(luò)潛在異常行為的獲知能力、對(duì)網(wǎng)絡(luò)攻擊事件的檢測與協(xié)同防御能力；及時(shí)發(fā)出安全預(yù)警并采取相應(yīng)對(duì)策，必要時(shí)跟蹤溯源，對(duì)攻擊者進(jìn)行定位，為有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊提供支撐。

（三）加強(qiáng)多方專業(yè)力量參與，健全網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警力量體系

我國已在安全漏洞、病毒木馬、黑客攻擊等方面建立了較為順暢的交流機(jī)制，具備了較強(qiáng)的網(wǎng)絡(luò)安全威脅早期預(yù)警和安全事件快速處置能力 [13]。建議進(jìn)一步健全由國家、行業(yè)和單位三級(jí)力量構(gòu)成的網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警力量體系。在國家相關(guān)部門的統(tǒng)籌協(xié)調(diào)下，積極引導(dǎo)高等院校、科研院所等有能力的單位參與，擔(dān)負(fù)操作系統(tǒng)軟件、重要信息系統(tǒng)軟硬件產(chǎn)品的漏洞分析任務(wù)，及時(shí)發(fā)現(xiàn)并排除各種預(yù)置后門和設(shè)計(jì)缺陷。重要網(wǎng)絡(luò)應(yīng)用行業(yè)的網(wǎng)絡(luò)安全防護(hù)專業(yè)力量，負(fù)責(zé)本行業(yè)專用軟件和重要應(yīng)用軟件的漏洞分析檢測，查找信息系統(tǒng)研制和集成過程中存在的安全漏洞；制定量化評(píng)定檢查標(biāo)準(zhǔn)，對(duì)本行業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行經(jīng)常性安全風(fēng)險(xiǎn)評(píng)估檢查。各單位網(wǎng)絡(luò)安全防護(hù)力量，針對(duì)所屬保障范圍內(nèi)的網(wǎng)絡(luò)信息系統(tǒng)，對(duì)本級(jí)和下級(jí)單位的內(nèi)部網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估檢查，查找安全漏洞并提出改進(jìn)意見。

（四）開展經(jīng)常性安全評(píng)估，促進(jìn)隱患早診斷、早發(fā)現(xiàn)

網(wǎng)絡(luò)安全是相對(duì)的、動(dòng)態(tài)的，需要在網(wǎng)絡(luò)應(yīng)用過程中不斷查找和發(fā)現(xiàn)問題，力求提前防范，這是實(shí)現(xiàn)網(wǎng)絡(luò)安全早期預(yù)警最重要的內(nèi)容。建議在行業(yè)內(nèi)部強(qiáng)化經(jīng)常性安全評(píng)估，政府相關(guān)部門組織網(wǎng)絡(luò)安全保障演練，及時(shí)查找種隱患，盡早提出應(yīng)對(duì)措施，促進(jìn)網(wǎng)絡(luò)安全防護(hù)能力的快速、持續(xù)提升。

（五）實(shí)行威脅預(yù)警分級(jí)機(jī)制，規(guī)范并細(xì)化配套應(yīng)對(duì)措施

美國、俄羅斯等國家對(duì)恐怖威脅的預(yù)警一般分為三級(jí)，如美國為公告預(yù)警、升級(jí)預(yù)警、緊急預(yù)警，俄羅斯則以藍(lán)、黃、紅3種顏色，從低到高進(jìn)行級(jí)別劃分 [14]。我國網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警可參考國際恐怖威脅預(yù)警的通常做法，進(jìn)行藍(lán)、黃、紅分級(jí)，并根據(jù)不同等級(jí)提出相應(yīng)的應(yīng)對(duì)措施。藍(lán)色預(yù)警主要針對(duì)重大漏洞發(fā)現(xiàn)、境外發(fā)生重大網(wǎng)絡(luò)攻擊，有可能對(duì)我國網(wǎng)絡(luò)安全造成較大危害的情況；黃色預(yù)警主要針對(duì)危害性大的病毒蠕蟲傳播、黑客組織對(duì)我國實(shí)施的較大規(guī)模網(wǎng)絡(luò)攻擊，將造成重大危害的情況；紅色預(yù)警主要針對(duì)敵對(duì)勢力、恐怖組織對(duì)我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施、事關(guān)國計(jì)民生重要信息系統(tǒng)實(shí)施的大規(guī)模擾亂癱瘓攻擊，預(yù)期后果特別嚴(yán)重的情況。

（六）發(fā)揮互聯(lián)網(wǎng)企業(yè)作用，建設(shè)網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警隊(duì)伍

增強(qiáng)互聯(lián)網(wǎng)企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域的使命感和責(zé)任感，共同促進(jìn)互聯(lián)網(wǎng)產(chǎn)業(yè)的持續(xù)健康發(fā)展，確保企業(yè)穩(wěn)健成長，這既是企業(yè)奮斗的目標(biāo)，也是國家發(fā)展的需要。網(wǎng)絡(luò)空間安全戰(zhàn)略預(yù)警宜發(fā)揮互聯(lián)網(wǎng)企業(yè)在網(wǎng)絡(luò)空間測繪、漏洞挖掘、網(wǎng)絡(luò)安全監(jiān)測、大數(shù)據(jù)分析等方面的技術(shù)、產(chǎn)品、數(shù)據(jù)、人才優(yōu)勢，建成覆蓋事關(guān)國計(jì)民生重要網(wǎng)絡(luò)、全面應(yīng)對(duì)網(wǎng)絡(luò)空間各種重大威脅、快速處置重大安全事件的網(wǎng)絡(luò)空間安全戰(zhàn)略保障隊(duì)伍。