【连载】2016年中国网络空间安全年报（十三）

2016年中国网络空间安全年报

安全监管的现状与网络安全法落地思考

在第一章与第二章中，阐述了当前网络空间中国面临的安全风险，并提出了应对的安全保障模式，但是网络安全中技术与管理二者缺一不可，尤其是网络安全监管是督促各行业提升安全水平的重要力量，本章节将会结合网络安全法进行解读，并就网络安全技术与管理机制提出了具体落地推进措施，包括加强网络安全保障、建立应用监测预警与处置联动机制等，建议采用大数据态势感知与业务流程监管相结合的技术手段，实现技术+管理相结合，推进监管要求落地，实现可见可管可控的效果。

网络安全监管现状分析

10.1 我国信息化发展要求更高的安全保障与监管能力

随着信息化的发展，国民经济和社会各领域对信息化的依赖程度不断加深，信息化过程中所面临的各种信息安全威胁也在不断增加。由于当前各地信息化基础网络覆盖范围大，网络上运行的各种信息化应用系统众多，因而面临着严峻的信息安全威胁，一旦发生大规模、突发性的信息安全事件，其影响将是全局性和破坏性的。在这种情况下，必须全面提高各主管单位在电子政务、电子商务、广播电视、公共服务等国民经济和社会各领域的信息安全保障，而监管单位则需要提升对各地保障能力的监测、督促、指导等更高的管理水平，才能与我国信息化的总体目标相适应。

10.2. 信息安全防御难度日益加大

随着信息化应用日益广泛，信息系统中存储的大量有价值的信息和数据已经成为各种境内外敌对组织、网络犯罪组织和恶意势力的攻击目标。网络攻击行为日趋复杂，更为频繁；各种攻击方法相互融合，攻击手段更为隐蔽，破坏性更强；黑客攻击行为组织性更强；攻击目标从单纯追求虚荣向获取多方面实际利益转变。随着各种网络应用的普及和复杂化，网络和应用系统中存在的安全漏洞数量也大量增加，从漏洞公布到利用相应漏洞的攻击工具出现的时间缩短，使得开发相关补丁、安装补丁以及采取防范措施的时间压力大大增加。应对新技术条件下的信息安全问题，也是各单位面临的信息安全挑战之一。

10.3. 全局性和群体性信息安全事件发生可能性增加

信息和网络技术的进步使得所有的信息系统已经不再是孤立的系统，一个信息系统的安全事件完全可能影响其他系统，而以“心脏出血”、“破壳”等为代表的新型、大范围0 day攻击手段层出不穷，使得全局性和群体性信息安全事件发生的可能性越来越大，要完全防止这类事件的难度也越来越大。

全局性和群体性安全事件的后果是其影响范围会非常大，甚至会直接威胁一个区域、一个国家甚至全球信息系统的运行。因此，如何应对这些全局性和群体性信息安全事件将是各监管单位做好信息安全监管工作面临的主要挑战之一。

10.4 关键信息基础设施情况不明晰

进行全面网络安全监管的基础条件，是掌握区域的关键信息基础设施情况，包括所有互联网中重要信息系统的在线主机、网络设备、业务系统与其他设备的资产情况。只有当监管对象资产情况明晰，才可能对其基本属性、安全属性及管理权责归属等基本数据进行准确登记，以问题通报的针对性与真实性。

然而，目前由于各地运营商、机关单位、科研院所、院校各类系统与服务器器数量众多、种类多样、情况复杂，难以理清资产情况，自然也难以加强安全监管力量。

10.5. 政策性监管要求难落地

2012年国务院办公厅发布了《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知 国办函〔2012〕102号》，提到各地应检查政府信息系统、重点行业和省政领域信息系统的信息安全情况，各地纷纷出台重要信息系统安全自检方案指南。

2015年公安部发布了《关于加快推进网络与信息安全信息通报机制建设的通知》，要求各地开展“平安网络”建设，建设形成：

● 快速安全通报平台

● 安全预警体系

● 安全事件应急处置体系

以及下文中提到的2016年发布的网络安全法中的相关要求，需要建立实施监测预警以及通报处置机制，为了满足已颁布的各类文件政策需求，各监管单位目前尚缺乏可落地的技术手段与管理机制来开展监管工作。

网络安全法的的重点要求解读

为了更好地指导后续的网络安全保障与监管工作，2016年发布的《网络安全法》中提出了需要建立基础网络安全的运行保障机制，如建设网络安全监测预警、信息通报和应急处置工作体系等，这些指引性的条文理顺了网络安全监管工作体制，下文对网信、工业和信息化、公安等监管部门在这几方面的条文提供了相应的解读。

11.1. 强化基础网络安全的运行保障机制

基础网络安全包含三个层面：一是关键信息基础设施的安全运营；二是网络产品自身及服务安全；三是网络运营者的安全保障。三个层面都需要更深的监管措施来强化相应的保障机制。

11.1.1 加强对关键信息基础设施安全监测预警

关键信息基础设施是维护国家安全、经济安全和保障民生的基石，应对其进行重点保护，范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。其中基础信息网络、重要行业和领域的重要信息系统、军事网络及重要政务网络是监管的重点，由于各单位安全水平参差不齐，防御能力差异化较大，因此需要加强监管力度。

11.1.2 强化网络产品自身及服务安全监控管制

维护网络安全，首先要保障网络产品和服务的安全。通过明确网络产品和服务提供者的安全义务，将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律层面；另一方面，网络安全监管单位需要对正在使用、运营中的产品安全进行检查、预警，或建立对核心机房/系统的网络产品监控机制，及时发现产品的运行故障与安全问题。

11.1.3 加强网络运营者进行安全通报督促

保障网络运行安全，必须落实网络运营者第一责任人的责任。通过明确网络运营者处置违法信息的义务，界定网络运营者的法律责任及处罚措施，能够对网络运营者起到警示及震慑作用，是推进《网络安全法》落地的重要举措之一。在监管过程中，由于网络运营者的数量众多，可以采用定期进行安全检测、安全通报督促的方式来减少存在侥幸心理的组织。

11.2 建立监测预警和应急处置联动机制

网络安全法第四十四条明确规定，网络安全信息收集、分析和通报工作是一项强制性的技术要求。为落实上述法律责任，建设和推进大数据安全分析系统迫在眉睫，应进一步加大大数据安全分析系统的相关技术研究和建设工作，同时对大数据安全分析提出了更高的要求：

■ 应加快应急处置联动机制建设。各监管单位及行业管理机构有必要建设统一的应急处置响应机制和平台，特别是部委垂直监管及行业垂直管理的相关管理单位，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息，实现对下辖单位的有效监管和控制，通过应急处置联运。

■ 各监管单位及行业管理机构应加大网络安全监测预警体系建设，必须建设强有力的网络安全监测预警体系，有效的通报预警是降低网络安全损失的重要手段，通过大数据安全分析系统实时对各单位、各系统进行安全识别、过滤、研判，及时发现网络安全威胁，和自身存在的脆弱性，并进行实时安全预警通报，处置跟踪。

■ 当发生网络安全事件时，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

网络安全监管落地的解决方案

结合《网络安全法》的相关要求，我们分析发现网络安全监管的落实除了监测感知能力本身，还应完善监管的业务闭环。从安全的监测能力到威胁的分析，再到大数据存储、分析、建模，结合通报预警机制完成事前、事中的威胁感知与预警，最后由日志的分析及处置调查机制，完善事后的分析与处置，形成可落地的技术解决方案。下文从完整的安全数据感知至闭环的通报预警机制等方面提供建议，以构建体系化、规范化的网络安全监管机制。

▲ 网络安全监管流程

12.1 采用网络空间大数据探测，采集多源安全数据

建设网络安全监管完整体系的基础，是需要采集被监管地区的相关安全数据。严格来说，网络安全的数据量不会少于业务数据，但是在建设过程中，可有针对性地进行数据梳理，逐步获取，以降低建设难度，不必一次性采集完毕。其中建设初期需要进行多源数据的采集与汇总，从数据采集的来源上，共包括网络空间中的基础设施情况并进行指纹采集、重要系统的安全监测、分光流量检测、边界防护设备的信息采集、重点黑客活动场所的监控的数据等，下文分别介绍各类数据的提供方式。

12.1.2 依靠大数据探测识别，理清关键信息基础设施

进行安全监管的基础条件是明确需要监管的资产范围，而传统的人工上报统计等方式往往存在大量遗漏的现象。从历史出现安全事件的资产来看，有较多被入侵的系统是非核心资产类，多是疏于维护的一类资产。所以我们需要采用更全面更有效的技术手段获取网络空间的分布的资产数据，可以采用大数据资产探测技术，对关键信息基础设施进行发现、分析的能力，进行全方位网络空间数据采集。该方式可通过对海量域名进行探测、指纹信息采集，形成全球安全基础知识库、基础资源库，包括全球域名库、IP信息库等，从而形成海量基础数据云中心。获取互联网与区域网络中的资产可为各类服务与分析提供丰富的数据中心。

大数据探测识别后可获取的在线系统基础信息如下：

资产信息数据包括：

▷ 信息系统域名

▷ 域名所有者：域名注册单位信息

▷ 域名解析者，即域名所采用的DNS解析服务器类型，如DNSPOD等

▷ 域名解析的的A记录与CNAME信息

▷ 网站与业务系统名称

▷ IP地址及其物理区域

▷ ICP备案信息：ICP备案号、注册单位以及单位性质

系统指纹数据包括以下类型及其对应版本：

▷ 应用服务器指纹：如nginx/tengine/apache/jboss等

▷ 操作系统指纹信息：如windows/unix/ubutun/redhat/centos等

▷ CMS指纹信息：如DEDEcms/TRScms/EmpireCMS/PHPCMS/JEECMS/DaHan/ 等

▷ 系统端口信息：常见端口与高危端口探测

▷ 网络协议信息：如SSH/FTP/RDP/HTTPS/HTTP/等常见协议

安全设备信息：如各品牌的网络交换机、防火墙、IPS等

12.1.2 关键信息基础设施进行实时安全监测

采用远程监测技术对关键系统提供7*24小时实时监测，通过对系统进行不间断的监测服务，实现网络空间指纹信息探测、篡改监测和可用性监测、系统漏洞监测、网页木马监测和敏感信息监测，提供详尽的数据与分析报告，从而全面掌握信息系统的安全态势，可有助于提升系统的安全防护能力和网站服务质量。

12.1.3 分光进行全流量的动态安全监控

前网络中存在大量已知和未知的威胁，这些威胁隐藏在海量的网络流量中，包括恶意病毒、异常木马、0day样本等，基于流量分析的恶意威胁分析技术可直接对网络流量进行快速抓包分析，深度解析各种传播数据，利用异常访问定位技术、邮件社工分析技术、WEB威胁自学习技术、shellcode静态跟踪技术、沙箱分析技术、云端的大数据分析技术来分析并发现各种已知和未知威胁攻击，最终通过云端大数据深度分析和挖掘这些威胁的趋势，感知网络安全态势。

12.1.4 网络产品安全监控与运行保障

为了进一步强化对网络产品自身的安全监测，需要对核心系统周边的网络设备进行日志收集，尤其是其中的安全设备可通过Syslog等方式进行日志转发，通过日志采集分析系统进行统一接收、处理。日志采集系统可主要针对重要信息系统网络边界防护设备的日志进行集中采集、泛化处理，并对所有的日志进行综合分析，发现其中存在的威胁、事件情况，包括攻击威胁中的DDOS攻击、注入攻击、跨站攻击、拒绝服务攻击、信息泄露、暴力攻击、网络异常、缓冲溢出，以及关键、敏感数据与信息的外泄事件。并可对网络设备异常情况进行监控，加强网络运营保障，包括系统模块损坏、系统配置出错、系统资源耗尽等。

▲ 日志数据采集分析架构

未完待续