王大為

摘 ? 要：文章針對各級網(wǎng)絡(luò)安全或行業(yè)網(wǎng)絡(luò)安全監(jiān)管部門開展等級保護監(jiān)管工作的業(yè)務(wù)現(xiàn)狀和存在的困難進行深入研究，在當前監(jiān)管工作流程的基礎(chǔ)上，提出了利用態(tài)勢感知技術(shù)和其掌握的各監(jiān)管單位安全建設(shè)情況進行框架設(shè)計并細化功能，構(gòu)建具備動態(tài)監(jiān)測和監(jiān)管展示的系統(tǒng)。為等級保護的監(jiān)督管理工作提供可靠的數(shù)據(jù)情報和高效的管理手段。

關(guān)鍵詞：等級保護;態(tài)勢感知;動態(tài)監(jiān)測;數(shù)據(jù)情報

1 ? ?等級保護概況

近年來，我國信息技術(shù)發(fā)展迅猛，現(xiàn)階段各級政府部門及企事業(yè)單位基本上實現(xiàn)了業(yè)務(wù)信息化，并且為了便于為民眾提供服務(wù)，將其系統(tǒng)面向互聯(lián)網(wǎng)進行開放?！吨腥A人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起正式施行，要求各大系統(tǒng)不但要注重安全合規(guī)性建設(shè)，更要及時完成等級保護的備案、整改建設(shè)和測評工作。

2 ? ?等級保護監(jiān)管過程中產(chǎn)生的問題

（1）等級保護工作基礎(chǔ)數(shù)據(jù)收集不完備，信息涵蓋單位系統(tǒng)各個方面的基礎(chǔ)數(shù)據(jù)。傳統(tǒng)管理方式往往是所轄單位各自匯報，存在漏報、瞞報的情況，而監(jiān)管部門由于沒有技術(shù)手段進行比對、判斷和總結(jié)、整理，很容易出現(xiàn)疏漏。

（2）缺乏監(jiān)督預警手段，難以把控管轄范圍內(nèi)的安全情況，大多采用定期組織檢查的形式開展重要信息系統(tǒng)安全大檢查，既浪費了人力、物力，也缺乏實時性，還存在標準執(zhí)行不統(tǒng)一等問題，難以真正把控存在的安全問題，更無法作到預先發(fā)現(xiàn)和經(jīng)驗總結(jié)。

（3）缺乏技術(shù)手段管理監(jiān)管成果，建設(shè)和整改情況缺乏信息化的管理手段。在等級保護監(jiān)督管理過程中，一般是通過對當前周期的安全檢查成果進行總結(jié)，給出響應的法律文書或者通告發(fā)文，被通知單位的負責人員進行簽收、處置并反饋處理結(jié)果，不利于歸納、總結(jié)和對比。

（4）安全威脅情報的獲取和推送，安全資源難以積累、總結(jié)，不但浪費人力、物力，而且時效性、針對性差，不能很好地進行資源儲備和經(jīng)驗總結(jié)，對過往積累也存在不足。

3 ? ?實現(xiàn)等級保護安全監(jiān)管技術(shù)的思路

通過態(tài)勢感知技術(shù)構(gòu)建等級保護監(jiān)管平臺，對信息系統(tǒng)備案情況、基礎(chǔ)資產(chǎn)情況、信息安全資產(chǎn)情況、信息系統(tǒng)配置情況、等級保護建設(shè)整改情況等進行標準化登錄與采集，加強安全監(jiān)管檢查能力[1-2]。

首先，要實現(xiàn)等級保護全過程的監(jiān)管并形成分析、分享、研判機制，既要總結(jié)整個監(jiān)管過程中的各個環(huán)節(jié)和信息要素，又要結(jié)合態(tài)勢感知技術(shù)形成標準化的流程監(jiān)管技術(shù)體系。

其次，綜合利用采集數(shù)據(jù)，使用數(shù)據(jù)挖掘技術(shù)，做到更好的等級保護監(jiān)管態(tài)勢分析，對已知信息進行歸類、對比，展示預見的風險和未知的威脅。

最后，通過知識庫和經(jīng)驗總結(jié)并利用信息推送技術(shù)實現(xiàn)風險揭示、情報分享以及研判處置推送，形成各環(huán)節(jié)信息推送機制，用技術(shù)手段解決人力、物力的不足，提高監(jiān)管能力和效率。

通過對上述3個方面進行分析，能夠形成標準化的監(jiān)督管理流程。信息化技術(shù)手段可以將監(jiān)管的整個過程和各節(jié)點的情況有效地反應并記錄，能夠?qū)ΡO(jiān)督管理提供風險和威脅分析的參考依據(jù)，這個過程的主要工作如下：

（1）總結(jié)標準流程，通過對等級保護監(jiān)管工作全過程的總結(jié)，分析其監(jiān)管流程和關(guān)鍵屬性元素，將監(jiān)管過程流程化、程序化，對其各個過程節(jié)點的屬性元素標準化，形成標準流程。

（2）組建系統(tǒng)平臺，通過對等級保護監(jiān)管各個環(huán)節(jié)管理過程的總結(jié)及標準的擬定，形成具備風險研判、預警能力的監(jiān)管系統(tǒng)平臺，提高監(jiān)管能力。

4 ? ?體系架構(gòu)及實現(xiàn)

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護制度及各行業(yè)對信息安全下發(fā)的相關(guān)標準和監(jiān)督管理政策，研究、開發(fā)一個集信息系統(tǒng)安全建設(shè)基礎(chǔ)信息采集、監(jiān)測、挖掘、分析預警及展示的平臺，使等級保護變得監(jiān)管可視化、可管理、可預測，體系架構(gòu)如圖1所示。依托的技術(shù)有以下5個[3-4]。

4.1 ?多種異構(gòu)數(shù)據(jù)源

進行等級保護監(jiān)督管理，其數(shù)據(jù)來源復雜，包括：（1）等級保護系統(tǒng)信息同步、等級保護工具箱的檢查、大數(shù)據(jù)導入、網(wǎng)站ICP注冊等公開信息。（2）網(wǎng)站監(jiān)測引擎、搜索引擎、網(wǎng)絡(luò)情報、資產(chǎn)審計以及監(jiān)控、運維工具的日志分析。（3）平臺收集、匯總的歷史大數(shù)據(jù)和知識庫。

4.2 ?信息挖掘和數(shù)據(jù)融合

利用數(shù)據(jù)融合技術(shù)，對采集和匯集的數(shù)據(jù)實現(xiàn)標準化和歸一化存儲，并在此基礎(chǔ)上進行數(shù)據(jù)碰撞、信息理解和數(shù)據(jù)挖掘。實現(xiàn)多種攻擊溯源，包括：DDoS、僵木蠕、APT攻擊溯源、安全情報溯源、綜合溯源等。

4.3 ?可視化展現(xiàn)

使用主流的各種可視化工具及3D網(wǎng)絡(luò)拓撲、資產(chǎn)展示效果，實現(xiàn)在電子地圖上準確顯示被攻擊的單位、網(wǎng)站以及網(wǎng)站的可用性、網(wǎng)絡(luò)攻擊路線，直觀顯示通報排查的進展。

4.4 ?通報和排查工作流

依據(jù)總結(jié)出的標準事件通報和隱患排查工作流，可用于“部—省—市—區(qū)/縣”等多級系統(tǒng)之間，基于態(tài)勢感知的安全事件和網(wǎng)絡(luò)隱患進行處置，并支持監(jiān)管部門上門檢查和整改告知流程[5-6]。

4.5 ?知識庫與歷史大數(shù)據(jù)

研究出完備的知識庫、網(wǎng)絡(luò)安全專家?guī)臁⒕W(wǎng)絡(luò)隱患提取和數(shù)據(jù)采集的規(guī)則庫、歷史事件處理的經(jīng)驗庫和最佳實踐等，可用于幫助監(jiān)管部門處理新增的安全事件和網(wǎng)絡(luò)隱患，同時，把它們都保存、匯總到歷史大數(shù)據(jù)庫中。

5 ? ?研究效益分析

（1）基礎(chǔ)數(shù)據(jù)融合，易于資產(chǎn)梳理，并直觀了解建設(shè)情況。將被監(jiān)測的重要信息系統(tǒng)基礎(chǔ)數(shù)據(jù)利用技術(shù)手段實現(xiàn)收集和融合，包括ICP信息、單位信息，例如地理位置、行業(yè)等。此外，融合了等級保護系統(tǒng)的數(shù)據(jù)，可以直觀掌握所轄重要信息系統(tǒng)的等級保護建設(shè)情況，直觀掌握盲區(qū)信息，發(fā)現(xiàn)監(jiān)管漏洞。

（2）便于開展監(jiān)督檢查工作，降低監(jiān)管工作對人力、物力的需求，提高監(jiān)管能力。作為各級公安網(wǎng)監(jiān)部門或各行業(yè)信息安全監(jiān)督管理部門，可以根據(jù)態(tài)勢感知給出的分析檢測結(jié)果，開展所轄重要信息系統(tǒng)監(jiān)督管理工作，并依靠分析結(jié)果開展安全事件通報、信息安全隱患排查等工作。減少以往需要大量人力、物力的基礎(chǔ)排查工作，并將信息通告到督促整改的全過程利用信息化的手段完成，提高監(jiān)管能力。

（3）資產(chǎn)與工具整合，構(gòu)建開放平臺。通過將基礎(chǔ)數(shù)據(jù)信息、信息系統(tǒng)狀態(tài)信息、網(wǎng)絡(luò)安全情報、信息安全動態(tài)及監(jiān)督檢查數(shù)據(jù)等進行集成，實現(xiàn)等級保護監(jiān)管體系的建立。對這些數(shù)據(jù)進行歸集、分析，并結(jié)合整個監(jiān)督管理流程，實現(xiàn)等級保護監(jiān)管工作的信息化、智能化，覆蓋整個等級保護監(jiān)督管理的全過程?？赏ㄟ^融入更多的新技術(shù)和第三方功能模塊，源源不斷地增加該技術(shù)體系的功能。

6 ? ?結(jié)語

在分析了各級公安網(wǎng)安部門和各行業(yè)信息安全監(jiān)管部門在監(jiān)督管理過程中的難點、重點后，結(jié)合實際監(jiān)管過程中發(fā)現(xiàn)的各種問題、狀況，分析了當前各監(jiān)管部門在進行等級保護監(jiān)管過程中的不足和需求。在捋順、明確等級保護管理的各階段目標和現(xiàn)階段態(tài)勢感知技術(shù)所能達到的技術(shù)服務(wù)能力的基礎(chǔ)上，研究并設(shè)計出利用態(tài)勢感知技術(shù)來進行等級保護監(jiān)管工作的技術(shù)體系，以應對現(xiàn)階段乃至未來一段時期等級保護監(jiān)管工作的人力、物力和技術(shù)要求帶來的困境，實現(xiàn)等級保護監(jiān)管標準化、流程化、信息化。

本研究可以幫助等級保護監(jiān)管部門在現(xiàn)有人力、物力的背景下，有效開展其所轄范圍內(nèi)重要信息系統(tǒng)的監(jiān)督管理工作。因此，需要對基于態(tài)勢感知的等級保護監(jiān)管技術(shù)予以應有的重視，深入進行理論研究和科學實踐，盡快投放社會應用。

[參考文獻]

[1]北京市公安局網(wǎng)絡(luò)安全保衛(wèi)處.北京市公安局等級保護監(jiān)督檢查工作情況介紹[J].警察技術(shù)，2010（2）：15-17.

[2]楊兵兵.等級保護工作的實踐與思考[J].金融電子化，2012（5）：38.

[3]王慧強，賴積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學，2006（10）：5-10.

[4]BASS，TIM.Intrusion detection systems and multisensor data fusion[C].Harbin：Association for Computing Machinery，2000.

[5]NONAME.Cyberspace awareness[C].Harbin：Association for Computing Machinery，2000.

[6]STEPHEN L.The spinging cude of potential doom[C].Harbin：Association for Computing Machinery，2000.

Abstract：This paper makes an in-depth study on the current status and difficulties of the network security supervision departments at all levels and industries to carry out the classified protection supervision work. Based on the current supervision workflow， it proposes the use of situational awareness technology and the safety construction of various supervisory units to design the framework and refine features， and a system with dynamic monitoring and regulatory display is constructed. Provide reliable data intelligence and efficient management tools for the supervision and management of classified protection.

Key words：classified protection; situational awareness; dynamic monitoring; data intelligence