宏觀視角下的國家網(wǎng)絡安全監(jiān)測預警平臺建設構(gòu)想

摘" "要：[研究目的]監(jiān)測預警是網(wǎng)絡安全工作的重要環(huán)節(jié)，建立中央統(tǒng)一指揮的國家網(wǎng)絡安全監(jiān)測預警平臺，有助于改變我國現(xiàn)行網(wǎng)絡安全監(jiān)測預警自下而上的逆向工作模式和條塊分割的監(jiān)測預警方式，提高整體網(wǎng)絡安全監(jiān)測預警能力，適應大安全工作格局的需要。[研究方法]通過案例分析、文獻研究和對比分析的方法找出我國網(wǎng)絡監(jiān)測預警工作的不足，應用量化方法和數(shù)學方法設計出包含監(jiān)測、分析、預警和響應處置模塊的一體化平臺。[研究結(jié)論]分散的監(jiān)測預警方式不利于從全局統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作，常規(guī)的監(jiān)測技術手段對危險的識別存在滯后性，以致其預警作用不足，因此現(xiàn)有的工作模式和技術手段需要調(diào)整和更新。應當通過應用國家一體化平臺，形成中央統(tǒng)一指揮的閉環(huán)系統(tǒng)，將網(wǎng)絡安全監(jiān)測信息量化計算處理后，于評價體系中進行對比分析處理，以此直觀地反映網(wǎng)絡安全狀況。再根據(jù)風險類別和等級發(fā)出預警信號，使責任主體能夠及時采取應對處置措施，降低風險，在網(wǎng)絡對抗攻防中取得主動權(quán)，提升我國的網(wǎng)絡安全能力。

關鍵詞：網(wǎng)絡安全；監(jiān)測預警；國家一體化平臺；量化計算；數(shù)據(jù)分析；響應處置

中圖分類號：TP309.2 文獻標識碼：A DOI：10.19881/j.cnki.1006-3676.2025.01.05

一、國家網(wǎng)絡安全監(jiān)測預警平臺建設構(gòu)想提出的背景

當前，網(wǎng)絡技術全方位滲透到人類社會生活的各個方面，網(wǎng)絡世界已與現(xiàn)實世界高度融合。在網(wǎng)絡技術飛速發(fā)展的同時，在網(wǎng)絡與現(xiàn)實世界中也出現(xiàn)了新的安全問題。由于通過網(wǎng)絡技術可以實現(xiàn)對目標的控制和攻擊，因此網(wǎng)絡空間成為新型犯罪的滋生地，網(wǎng)絡攻擊武器大行其道。2023年，全球網(wǎng)絡安全事件層出不窮，政治、經(jīng)濟、軍事、社會等領域都出現(xiàn)了網(wǎng)絡安全問題：例如，英國選舉委員會數(shù)據(jù)被盜事件中，8年間參與過投票的約4000萬選民的信息被泄露；美國拉斯維加斯兩家大公司所遭受的勒索軟件的攻擊，使公司遭受了重大的損失；美國馬薩諸塞州空軍國民警衛(wèi)隊情報部門成員杰克·特謝拉（Jack Teixeira）在網(wǎng)站泄露了高度敏感的軍事文件，將烏克蘭戰(zhàn)場上各種敏感的信息傳遍了全球互聯(lián)網(wǎng)，為俄羅斯軍隊打擊烏克蘭軍隊提供了方便，破壞了美國與其盟友的關系；印度黑客攻擊新冠病毒檢測數(shù)據(jù)庫，將8.15億印度居民用于數(shù)字身份證、支付賬單的個人信息進行出售。網(wǎng)絡安全問題已成為世界性的國家安全問題[1]。我國是互聯(lián)網(wǎng)大國，網(wǎng)絡用戶體量巨大，同樣不可避免地成為網(wǎng)絡攻擊的對象。國家互聯(lián)網(wǎng)應急中心（CNCERT）的《網(wǎng)絡安全信息與動態(tài)周報》顯示，在2024年1月1日至9月8日共計36周的時間內(nèi)，國家互聯(lián)網(wǎng)應急中心聯(lián)動各運營主體共處理網(wǎng)絡安全事件9603件，每周的事件數(shù)量呈波動上升態(tài)勢。圖1為國家互聯(lián)網(wǎng)應急中心2024年1月1日至9月8日網(wǎng)絡安全周報態(tài)勢圖1。

網(wǎng)絡安全已成為國家安全的重要組成部分。網(wǎng)絡安全領域的技術核心就是數(shù)據(jù)的加密傳輸，網(wǎng)絡攻擊是不斷嘗試連接和破譯加密的過程；與攻擊的對抗，就是不斷攔截和修復的過程。網(wǎng)絡數(shù)據(jù)需要通過物理媒介進行傳輸和存儲，這種特性也導致了網(wǎng)絡攻擊具有遲延性和留痕現(xiàn)象。遲延性體現(xiàn)在攻擊者不斷試探和優(yōu)化攻擊方案以確保攻擊效果的時間差上；而留痕體現(xiàn)在日志文件、惡意代碼、網(wǎng)絡流量和物理設備的文件痕跡上。監(jiān)測和分析這些痕跡，利用時間差能夠?qū)撛诘木W(wǎng)絡攻擊提出預警。網(wǎng)絡安全監(jiān)測是對國家網(wǎng)絡安全形勢過去時和現(xiàn)在時的分析，網(wǎng)絡安全預警是在網(wǎng)絡安全監(jiān)測的基礎上，通過對收集到的安全信息進行分析和判斷，提前發(fā)現(xiàn)潛在的安全風險，并發(fā)出警告，以便相關單位能夠及時采取應對措施，將風險消除或者將損失降到最低。網(wǎng)絡安全預警是一種將來時的分析。“網(wǎng)絡的絕對安全不具有技術上的可能性”[2]，因此網(wǎng)絡安全監(jiān)測預警環(huán)節(jié)至關重要，通過監(jiān)測預警能夠有效阻斷網(wǎng)絡安全事件的發(fā)生，最大限度降低損害，對于網(wǎng)絡安全意義重大。

網(wǎng)絡空間的全球性特征促使世界各國普遍將網(wǎng)絡安全問題提升至國家戰(zhàn)略層面進行考量。橫向?qū)Ρ雀鲊木W(wǎng)絡安全政策，可以看出這一政策因國家和地區(qū)之間的差異而各有側(cè)重。例如，歐洲理事會2024年12月2日通過了《歐盟網(wǎng)絡團結(jié)法案》，旨在加強聯(lián)盟層面的團結(jié)，提高歐盟的實時監(jiān)測和態(tài)勢感知能力[3]；日本注重國際合作，“試圖搶占主動權(quán)，塑造網(wǎng)絡安全領導者角色，在網(wǎng)絡安全議題上承擔‘同盟義務’，與美國聯(lián)手牽制中國，并且在技術層面將人工智能技術引入通信、監(jiān)測系統(tǒng)以提高防衛(wèi)能力”[4]；美國政府在特朗普主政期間成立了網(wǎng)絡安全與基礎設施安全局（CISA），使其在預警監(jiān)測、態(tài)勢評估和威脅識別等方面發(fā)揮重要職責[5]。總體而言，全世界各個國家和地區(qū)都將監(jiān)測預警作為網(wǎng)絡安全的重要防御手段，美國的監(jiān)測預警模式值得研究借鑒。

二、美國網(wǎng)絡安全預警監(jiān)測機制特點及借鑒意義

網(wǎng)絡安全涵蓋基礎設施安全，關鍵基礎設施安全是網(wǎng)絡安全的主要組成部分。美國是網(wǎng)絡技術高度發(fā)達的國家，其關鍵基礎設施對網(wǎng)絡高度依賴。美國幾屆政府對網(wǎng)絡威脅的不同認知，導致了不同總統(tǒng)任內(nèi)制定了不同的美國網(wǎng)絡安全策略，布什政府的網(wǎng)絡安全措施和政策都旨在保護關鍵基礎設施免受網(wǎng)絡威脅，奧巴馬政府將網(wǎng)絡安全提高到國家安全層面，旨在提升國內(nèi)治理能力和網(wǎng)絡空間的國際合作，特朗普政府注重關鍵基礎設施的信息安全，拜登政府則側(cè)重對華競爭、投資新興技術、組建民主技術聯(lián)盟[6]。不論美國政府的網(wǎng)絡安全策略如何轉(zhuǎn)變，但其基礎始終是關鍵基礎設施的安全。雖然關鍵基礎設施保護機制在不斷演進，但是從技術層面上監(jiān)測預警始終是核心。監(jiān)測預警機制經(jīng)過不斷的完善之后，形成了一套科學、完整、高效的運行體系。這套運行體系通過建立和不斷優(yōu)化指揮機構(gòu)，依托法律、政令等制度，與私營部門合作建立安全的網(wǎng)絡環(huán)境。

美國在2003年啟動了“愛因斯坦計劃”，這一計劃是美國國土安全部主導的國家網(wǎng)絡空間安全保護系統(tǒng)（NCPS）的重要項目，旨在通過對聯(lián)邦政府網(wǎng)絡進行監(jiān)測預警，以保護聯(lián)邦政府網(wǎng)絡的安全。第一代愛因斯坦計劃E1主要是通過傳感器對聯(lián)邦政府的網(wǎng)絡流量數(shù)據(jù)進行采集和分析，2008年部署的第二代愛因斯坦計劃E2增加了被動響應功能，2013年啟動的第三代愛因斯坦計劃E3能夠檢測并自動阻斷惡意流量，主動防御功能被增強了[7]。由于網(wǎng)絡攻擊技術的進一步發(fā)展，愛因斯坦計劃在前端對未知威脅檢測能力和后端數(shù)據(jù)處理功能方面顯現(xiàn)出了缺陷，美國國土安全部下屬的網(wǎng)絡安全與基礎設施安全局（CISA）從2021年開始啟動了網(wǎng)絡分析和數(shù)據(jù)系統(tǒng)（CADS），以替代國家網(wǎng)絡空間安全保護系統(tǒng)（NCPS），網(wǎng)絡分析和數(shù)據(jù)系統(tǒng)功能強大，通過統(tǒng)一的數(shù)據(jù)平臺，應用云計算和大數(shù)據(jù)實現(xiàn)了網(wǎng)絡安全的數(shù)據(jù)采集、分析、預警和防御功能[8]。

美國網(wǎng)絡安全監(jiān)測預警機制就是由國會立法，總統(tǒng)決策并發(fā)布行政命令，國土安全部、國防部、司法部等聯(lián)邦政府職能部門分工負責，通過大數(shù)據(jù)和云計算平臺統(tǒng)一采集網(wǎng)絡數(shù)據(jù)，分析判斷后阻斷攻擊并發(fā)出預警。美國重視網(wǎng)絡監(jiān)測預警在網(wǎng)絡安全中的作用，監(jiān)測預警制度完善，技術先進，從未發(fā)生過重大網(wǎng)絡安全事故。其完善的法令、高效統(tǒng)一的指揮機構(gòu)，加之公私協(xié)作的信息共享共同防范的機制值得借鑒。

三、我國網(wǎng)絡安全制度與監(jiān)測預警機制

我國網(wǎng)絡安全方面的單行法較多，主要有《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）、《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國電子簽名法》，同時還有不少相關的規(guī)章，主要有《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》《國家網(wǎng)絡安全事件應急預案》《互聯(lián)網(wǎng)網(wǎng)絡安全信息通報實施辦法》《關鍵信息基礎設施安全保護條例》《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》《互聯(lián)網(wǎng)信息服務管理辦法》《非經(jīng)營性互聯(lián)網(wǎng)信息服務備案管理辦法》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《信息安全等級保護管理辦法》《網(wǎng)絡安全審查辦法》《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅檢測與處置辦法》。網(wǎng)絡安全的法律規(guī)定比較零散，對于監(jiān)測預警的規(guī)定比較詳細，《網(wǎng)絡安全法》第5章對監(jiān)測預警與應急處置作出了專門規(guī)定，其他規(guī)章也有監(jiān)測預警和響應的規(guī)定，但是我國監(jiān)測預警的歸責機制是“誰運營誰負責”。

《網(wǎng)絡安全法》第8條規(guī)定了我國網(wǎng)絡安全管理和領導模式是各自分工負責，網(wǎng)絡安全責任的主體分散在各行業(yè)主管部門和縣級以上人民政府。第51條規(guī)定：“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門加強網(wǎng)絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息。”[9]《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅檢測與處置辦法》第3條規(guī)定：“工業(yè)和信息化部負責組織開展全國公共互聯(lián)網(wǎng)安全威脅監(jiān)測與處置工作……”《國家網(wǎng)絡安全事件應急預案》3.2小節(jié)“預警監(jiān)測”規(guī)定：“各單位按照‘誰主管誰負責、誰運行誰負責’的要求，組織對本單位建設運行的網(wǎng)絡和信息系統(tǒng)開展網(wǎng)絡安全監(jiān)測工作[10]。重點行業(yè)主管或監(jiān)管部門組織指導做好本行業(yè)網(wǎng)絡安全監(jiān)測工作。各省（區(qū)、市）網(wǎng)信部門結(jié)合本地區(qū)實際，統(tǒng)籌組織開展對本地區(qū)網(wǎng)絡和信息系統(tǒng)的安全監(jiān)測工作。各省（區(qū)、市）、各部門將重要監(jiān)測信息報應急辦，應急辦組織開展跨省（區(qū)、市）、跨部門的網(wǎng)絡安全信息共享。”根據(jù)上述規(guī)定，網(wǎng)絡安全預警和信息通報責任主體是中華人民共和國國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“網(wǎng)信辦”），網(wǎng)絡安全監(jiān)測預警工作的主管部門是電信主管部門，中華人民共和國工業(yè)和信息化部（以下簡稱“工信部”），而責任主體是各網(wǎng)絡運營單位。國家網(wǎng)絡安全通報中心公開通報的預警信息是針對已經(jīng)發(fā)起的攻擊，例如2024年10月21日發(fā)布的《重點防范境外惡意網(wǎng)址和惡意IP》。國家互聯(lián)網(wǎng)應急中心發(fā)布的《網(wǎng)絡安全周報》也是關于已經(jīng)發(fā)生的漏洞和攻擊以及對檢查發(fā)現(xiàn)的運營主體不履行網(wǎng)絡安全保護義務和數(shù)據(jù)安全保護義務進行處罰的信息[11]。

我國互聯(lián)網(wǎng)技術行業(yè)已經(jīng)規(guī)模化、市場化，幾百家企業(yè)形成了產(chǎn)業(yè)鏈細分市場，網(wǎng)絡安全技術市場又細分成監(jiān)測預警技術等子級。各大互聯(lián)網(wǎng)企業(yè)都有自己的網(wǎng)絡安全技術，網(wǎng)絡安全產(chǎn)品各有優(yōu)勢。各個行業(yè)、企業(yè)自行研發(fā)、采購網(wǎng)絡安全產(chǎn)品，沒有單個企業(yè)能夠掌握全部的網(wǎng)絡安全技術。我國網(wǎng)絡安全監(jiān)測預警沒有國家級的組織領導機構(gòu)，政策、制度出自多家，作用分散，技術開發(fā)市場化，國防、關鍵基礎設施、互聯(lián)網(wǎng)企業(yè)、中央、地方條塊分割，九龍治水。雖然網(wǎng)絡遭受攻擊的情況由國家統(tǒng)一通報，但是網(wǎng)絡安全分而治之的局面不能適應網(wǎng)絡安全監(jiān)測預警快速響應和大安全工作格局的需要。網(wǎng)絡安全技術呈現(xiàn)多點發(fā)力的局面，使其發(fā)展也受到限制。

2022年4月，西北工業(yè)大學遭受境外網(wǎng)絡攻擊。西北工業(yè)大學發(fā)現(xiàn)學校信息系統(tǒng)出現(xiàn)木馬程序，機密數(shù)據(jù)可能被竊取，西北工業(yè)大學報警后，公安機關聯(lián)合國家計算機病毒應急處理中心、360公司組成的技術團隊成立專案組，經(jīng)過調(diào)查發(fā)現(xiàn)，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）先后使用41種專用網(wǎng)絡攻擊武器裝備、54臺跳板機和代理服務器對西北工業(yè)大學信息系統(tǒng)進行了上萬次攻擊，竊取了關鍵網(wǎng)絡設備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術數(shù)據(jù)[12]。技術團隊的調(diào)查報告顯示，美國國家安全局對我國重要領域長期進行秘密黑客攻擊活動。這次攻擊是美國的國家行為，對被視為競爭對象的中國，應用世界最先進水平的攻擊武器，實行多點位高頻次的攻擊。從這個案例能夠看出，監(jiān)測和預警在技術上的應有作用沒有充分發(fā)揮出來。

美國政府“不遺余力地將網(wǎng)絡威懾作為遏制對手的手段，將霸權(quán)延伸到與網(wǎng)絡空間及與之關聯(lián)的各領域”[13]，將主動攻擊視為網(wǎng)絡安全防護措施，將中國視為重要競爭對手[14]。我國應當積極應對與美之間的長期博弈，適時調(diào)整網(wǎng)絡安全戰(zhàn)略和技術手段，應當在總體國家安全觀與《中華人民共和國國家安全法》《網(wǎng)絡安全法》的框架下制定網(wǎng)絡安全戰(zhàn)略，明確政府是網(wǎng)絡安全責任主體，成立專門領導機構(gòu)、技術研發(fā)機構(gòu)和執(zhí)法機構(gòu)，發(fā)揮出監(jiān)測預警的作用，在對抗中掌握主動權(quán)。

四、我國網(wǎng)絡安全監(jiān)測預警平臺建設構(gòu)想

網(wǎng)絡安全涉及國家安全的全部領域是國家安全的重要內(nèi)容，網(wǎng)絡安全監(jiān)測預警直接正面接觸網(wǎng)絡攻擊，是網(wǎng)絡安全的主戰(zhàn)場。應當由國家組織、領導和實施，制定監(jiān)測預警工作規(guī)范，建立國家監(jiān)測預警平臺，統(tǒng)一技術標準，政府企業(yè)共享網(wǎng)絡安全信息，改變現(xiàn)行網(wǎng)絡用戶各自監(jiān)測預警的分散逆向工作格局。網(wǎng)絡安全監(jiān)測預警工作主要包括以下幾個方面的內(nèi)容，首先是對網(wǎng)絡自身和外部異常數(shù)據(jù)的監(jiān)測，然后是對監(jiān)測數(shù)據(jù)的應用，最后是對判斷的響應，因此網(wǎng)絡安全監(jiān)測預警平臺應當包括監(jiān)測、分析、預警和響應處置四大模塊。

（一）網(wǎng)絡安全監(jiān)測模塊

網(wǎng)絡監(jiān)測是指通過技術手段全方位掌握網(wǎng)絡運行狀態(tài)的過程。可以將網(wǎng)絡空間測繪技術應用于網(wǎng)絡監(jiān)測預警[15]，對全國網(wǎng)絡資產(chǎn)進行界定，將全國網(wǎng)絡數(shù)據(jù)集中到國家網(wǎng)絡監(jiān)測預警平臺進行監(jiān)測分析。針對其為預警提供依據(jù)的目的，監(jiān)測模塊應當包含兩方面的功能。一是常規(guī)監(jiān)測，通過巡檢對常規(guī)運行狀態(tài)的監(jiān)測，發(fā)現(xiàn)網(wǎng)絡自身的問題和漏洞；二是異常監(jiān)測，對已經(jīng)發(fā)現(xiàn)的異常、可疑情形實行進一步的跟蹤監(jiān)測，為分析確定攻擊危險發(fā)出預警提供數(shù)據(jù)。

1.常規(guī)監(jiān)測

網(wǎng)絡安全存在的風險主要來源于外部的攻擊和內(nèi)部的技術原因和管理原因。國家保密局科技司司長劉艷在將來自內(nèi)部的網(wǎng)絡安全風險總結(jié)為“主要在于系統(tǒng)的脆弱性，表現(xiàn)為技術系統(tǒng)的漏洞和后門以及管理的漏洞等”[16]，管理漏洞主要存在于“人員管理、業(yè)務管理和行政管理中的過程與控制等方面存在不到位的情況”[16]。常規(guī)監(jiān)測的目的在于發(fā)現(xiàn)網(wǎng)絡自身的風險，因此數(shù)據(jù)主要來自內(nèi)部的風險信息數(shù)據(jù)，這些數(shù)據(jù)可能有內(nèi)部技術漏洞數(shù)據(jù)、管理漏洞數(shù)據(jù)。技術漏洞主要是指基礎設施、數(shù)據(jù)庫本身和連接控制系統(tǒng)不完善以及國家標準本身及使用問題。管理漏洞主要包括在人員管理、業(yè)務管理、行政管理等方面的漏洞。網(wǎng)絡安全風險類別框架圖如圖2所示。通過定期和不定期的模擬攻擊，向用戶發(fā)出攻擊類的監(jiān)測信號，來發(fā)現(xiàn)技術漏洞，而通過這種方式可以發(fā)現(xiàn)管理漏洞。

2.異常監(jiān)測

異常監(jiān)測也可以定義為非法侵入和攻擊監(jiān)測，主要是指外部的攻擊，也包括內(nèi)部人員利用管理漏洞實施的非法侵入。平臺通過采集用戶“網(wǎng)絡流量、設備日志、資產(chǎn)和脆弱性數(shù)據(jù)、威脅情報等海量數(shù)據(jù)，運用機器學習、數(shù)據(jù)關聯(lián)分析等智能引擎，將人工智能技術應用于網(wǎng)絡安全領域，高效識別和預警安全威脅風險”[17]。仍以西北工業(yè)大學遭受的網(wǎng)絡攻擊為例，通過國家監(jiān)測中心平臺就能檢測到該校網(wǎng)絡數(shù)據(jù)異常，遭遇了多達上萬次非法鏈接和侵入，進而發(fā)現(xiàn)植入木馬、追蹤到境外跳板機和服務器等線索。

（二）數(shù)據(jù)分析模塊

通過監(jiān)測得到的數(shù)據(jù)經(jīng)過分析才具有應用的價值。劉躍進教授提出“在國家安全領域可以嘗試非傳統(tǒng)安全思維，引進數(shù)學和實證方法”[18]。通過建立安全模型，再量化具體指標，應用數(shù)學計算，與安全模型對比，能夠直觀地反映安全狀況。對于常規(guī)監(jiān)測而言，通過量化計算，最終確定網(wǎng)絡安全等級，是網(wǎng)絡安全工作的科學方法。常規(guī)監(jiān)測的數(shù)據(jù)分屬不同類別，各自獨立又相互聯(lián)系和影響，通過建立數(shù)學模型的方式，可以將原本不同類別的數(shù)據(jù)通過函數(shù)運算計算出直觀量化的結(jié)果。因收集的樣本類別存在較大差異，出現(xiàn)了類別不平衡的數(shù)據(jù)情況，而使用加權(quán)法，賦予不同類別數(shù)據(jù)權(quán)重比是有效的解決辦法。目前，國家網(wǎng)絡安全標準委員會發(fā)布了近400項網(wǎng)絡安全國家標準，其中包含了3個一級子類、10個二級子類，涵蓋密碼、鑒別與授權(quán)、信息安全評估、通信安全、信息管理安全、云計算和大數(shù)據(jù)等領域[19]，網(wǎng)絡安全技術國家標準分類圖如圖3所示。

網(wǎng)絡安全技術國家標準按1、2、3級子類，每類下設具體的國家標準，可以對這些具體國家標準指標的應用進行監(jiān)測打分。G的分值應該是對1級子類A、B、C的分值賦予權(quán)重比，用加權(quán)法計算出分值；同樣A的分值是對2級子類A1、A2、A3、A4賦予權(quán)重比，用加權(quán)法計算出的分值，而再下一級是對具體國標以同樣方法計算出的分值。

計算公式如下：

G=A×W1＋B×W2＋C×W3

A=A1×W4＋A2×W5＋A3×W6＋A4×W7

T=L×W8+R×W9+J×W10＋G×W11" " " " " " " （1）

用同樣方法，可以計算出內(nèi)部風險P的分值，0分為最嚴重的危險，99分也代表已經(jīng)出現(xiàn)漏洞，根據(jù)分值可以劃分出威脅的等級。0～25分對應特別重大危險，26～50分重大危險，51～75分較大危險，76～99分則是指存在一般危險。安全類型的判斷需要大量實際數(shù)據(jù)作為基礎支撐，需要大量的調(diào)研和科學測評。各項指標的分值和權(quán)重比需要經(jīng)過科學的統(tǒng)計方法和數(shù)學計算方法，以及模擬發(fā)生網(wǎng)絡安全事件等進行大量的統(tǒng)計計算和驗證，可能某一低分值的指標會觸發(fā)引起一系列的連鎖反應，導致網(wǎng)絡安全事件發(fā)生，或者造成潛在的、不易發(fā)覺的風險。網(wǎng)絡信息技術飛速發(fā)展的今天，人工智能（AI）在學習能力和信息處理能力的優(yōu)勢顯而易見，將人工智能技術引入網(wǎng)絡安全監(jiān)測預警平臺將是未來發(fā)展的趨勢，可以對傳統(tǒng)安全預警模式進行補充和輔助，因此在網(wǎng)絡安全監(jiān)測預警機制的構(gòu)建中，應當考慮給人工智能技術留有一席之地，在計算和分析中發(fā)揮作用。

對于外部攻擊而言，因其攻擊方式、攻擊的緊迫性和危險性與內(nèi)部風險截然不同，可以根據(jù)威脅的程度和客體劃分出等級，并通過分析，確定危險等級。參照中華人民共和國公安部等部門的《信息安全等級保護管理辦法》對信息系統(tǒng)遭到破壞劃分的等級，可以將國家網(wǎng)絡監(jiān)測預警平臺監(jiān)測到的外部攻擊和非法侵入威脅劃分為五級：“第五級可能對國家安全造成特別嚴重損害；第四級可能會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；第三級可能會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；第二級可能會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第一級可能會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。”[20]

內(nèi)部風險與外部攻擊雖然同樣會給網(wǎng)絡安全帶來風險，但是有顯著的區(qū)別，主要體現(xiàn)在：一是風險的主觀因素不同，外部攻擊都是故意的行為，甚至包括國家使用網(wǎng)絡武器的攻擊行為，內(nèi)部風險一般是過失造成的，但是也不能完全排除故意，一般情況是被動造成的風險；二是風險范圍不同，外部攻擊目標確定，而內(nèi)部風險一般是潛在的風險，危害范圍不確定；三是危急程度不同，外部攻擊從發(fā)現(xiàn)異常數(shù)據(jù)判斷出風險到造成損害之間存在時間差，視攻擊武器和攻擊難度影響而有差異，需要立即做出反應；而內(nèi)部風險不一定都是現(xiàn)實的風險；四是危險程度不同，外部風險如果不立即采取措施，一定會造成損失，而內(nèi)部風險多數(shù)是潛在的風險，可能不會立即造成損失；五是響應措施不同，外部攻擊需要快速反應阻斷攻擊，技術難度大，內(nèi)部風險只要按照規(guī)定和技術標準完善漏洞即可。因此雖同屬監(jiān)測到的網(wǎng)絡風險，但需要發(fā)出不同類別的預警，作出不同的響應。

（三）預警模塊

漢語詞典解釋預警為“事先發(fā)出警報”，預警包含兩層意思：預先和警報。因此預警具有事前性。目前我國的預警更多是在發(fā)生網(wǎng)絡攻擊事件后發(fā)出的警報，作用是防止網(wǎng)絡安全事件擴大，減小損失，準確地說其應該是危險警報。監(jiān)測預警平臺的建立，從內(nèi)部風險角度來說，能夠在發(fā)生危害前發(fā)現(xiàn)漏洞，避免危害發(fā)生。從外部攻擊和內(nèi)部非法侵入角度來說，通過監(jiān)測到的異常，預判出攻擊風險，能夠在攻擊發(fā)生前發(fā)出預警。為了區(qū)分，將內(nèi)部風險稱為Ⅰ類預警信息，外部攻擊稱為Ⅱ類預警信息。

根據(jù)國家標準《信息安全技術 網(wǎng)絡安全預警指南》[GB/T3294—2016（20170301）]4.2.1的概述，網(wǎng)絡安全預警級別根據(jù)網(wǎng)絡安全保護對象的重要程度和可能受到損害的程度分為四個級別：紅色預警、橙色預警、黃色預警和藍色預警，并對應這四個預警級別來發(fā)布預警信息。表1為內(nèi)部安全等級對應的分值表。

劃分后內(nèi)部風險等級為Ⅰ類紅色預警、Ⅰ類橙色預警、Ⅰ黃色預警、Ⅰ藍色預警。外部攻擊等級為Ⅱ類一級預警、Ⅱ類二級預警、Ⅱ類三級預警、Ⅱ類四級預警、Ⅱ類五級預警。國家網(wǎng)絡監(jiān)測預警平臺的優(yōu)勢在于可以高效地集中監(jiān)測預警和統(tǒng)一指揮，預警通過平臺能迅速傳達和被響應。

（四）響應和處置模塊

響應和處置模塊應當具備指揮和處置功能。中央網(wǎng)絡安全和信息化委員會辦公室于2017年1月10日印發(fā)了《國家網(wǎng)絡安全事件應急預案》，對應急處置作出了規(guī)定，將預警響應共分為四個等級。該規(guī)定適用范圍為網(wǎng)絡安全事件，是針對已經(jīng)發(fā)生的危害。目前沒有對尚未發(fā)生危害的預警響應制定規(guī)定和預案。《國家網(wǎng)絡安全事件應急預案》的響應模式和指揮、處置可以通用，但是應當對應Ⅰ類、Ⅱ類預警分別調(diào)整響應、指揮和處置措施。Ⅰ類預警應當對應四級響應，主要是不同層級的主管機關承擔起監(jiān)督管理的責任，該處罰的依據(jù)《刑法》以及行政法規(guī)處罰，該整改的立即整改。對于Ⅱ類預警信息，應當作出調(diào)整，增加為對應五級響應，并且應當組織技術團隊和責任主體共同應對處置，主要措施是阻斷攻擊，防止網(wǎng)絡安全事故的發(fā)生。對于未能有效阻斷攻擊的，再適用《國家網(wǎng)絡安全事件應急預案》網(wǎng)絡安全事故處置的流程，繼續(xù)發(fā)出警報和處置。

五、國家網(wǎng)絡監(jiān)測預警平臺建設的可行性分析

自1994年4月20日我國開通64K國際專線與國際互聯(lián)網(wǎng)接軌至今，網(wǎng)絡安全問題一直伴隨我國互聯(lián)網(wǎng)發(fā)展，并共同走過了30年的歷程，從互聯(lián)網(wǎng)企業(yè)研制殺毒軟件到“國家隊”出手治理網(wǎng)絡空間安全，我國的網(wǎng)絡安全工作逐漸形成了今天的國家統(tǒng)籌領導、全社會參與治理的工作格局。隨著內(nèi)外部環(huán)境的變化，舊的工作模式已經(jīng)與當前的大安全工作格局不匹配、與國際網(wǎng)絡安全環(huán)境不適應，更新技術手段，建立一套國家統(tǒng)一指揮的網(wǎng)絡監(jiān)測預警平臺，是當前網(wǎng)絡安全工作的現(xiàn)實需要。但是這個平臺的建立首先需要解決的是將全國網(wǎng)絡數(shù)據(jù)統(tǒng)一接入國家網(wǎng)絡監(jiān)測預警平臺的技術問題。對海量數(shù)據(jù)的處理不僅需要龐大設備的支持，還需要超強的計算能力。美國早已能夠利用海底光纜的優(yōu)勢，對全球?qū)嵤┐笠?guī)模、系統(tǒng)性的網(wǎng)絡監(jiān)聽和竊密[21]。其次是數(shù)據(jù)異構(gòu)帶來的融合難題。2024年9月25日國家發(fā)展和改革委員會、國家數(shù)據(jù)局等六部門聯(lián)合印發(fā)《國家數(shù)據(jù)標準體系建設指南》，提出到2026年底基本建成國家數(shù)據(jù)標準體系，屆時將實現(xiàn)順暢的數(shù)據(jù)流通、融合[22]。第三是對監(jiān)測模式的整合。實際上國家層面已經(jīng)開始對網(wǎng)絡安全漏洞進行監(jiān)測和檢查，例如2024年9月20日國家網(wǎng)絡安全通報中心排查出近期安全風險突出的30個網(wǎng)絡服務或應用程序?qū)亩丝谔枺⑾蛴脩敉▓骩23]；再如2024年9月19日國家網(wǎng)絡安全通報中心通報多家單位不履行網(wǎng)絡安全保護義務，以致系統(tǒng)帶病工作，甚至被惡意篡改的問題[24]。監(jiān)測檢查出這些風險和問題是國家網(wǎng)絡監(jiān)測預警平臺應該具備的基本功能，這種功能在技術層面已經(jīng)得以實現(xiàn)，進一步將全國的網(wǎng)絡數(shù)據(jù)進行整合已不具備技術障礙。而且整合后的平臺的監(jiān)測功能將顯現(xiàn)出巨大的威力和效益。最后，這個平臺的建立涉及工作格局和責任主體的調(diào)整，需要通過對現(xiàn)行法律和規(guī)章進行解釋、對規(guī)范性文件進行修改的方式予以解決。建立這樣的平臺在技術上并無太多障礙，更多的是涉及觀念的轉(zhuǎn)變和政策的調(diào)整。

六、結(jié)語

網(wǎng)絡安全不僅涉及網(wǎng)絡自身數(shù)據(jù)庫的安全，還涉及網(wǎng)絡延伸的社會生活的各角落，是國家安全的重要部分。因此網(wǎng)絡安全預警工作不是孤立的各自為政，而是應該從宏觀視角下統(tǒng)籌的大格局問題。信息溝通不及時、安全標準不統(tǒng)一，都將嚴重影響總體安全。本文試圖通過頂層設計，建立統(tǒng)一的中央領導機構(gòu)、搭建統(tǒng)一的監(jiān)測數(shù)據(jù)分析和預警平臺，來統(tǒng)籌協(xié)調(diào)解決問題，以此實現(xiàn)網(wǎng)絡安全預警機制的構(gòu)想。應用全國網(wǎng)絡監(jiān)測預警平臺，結(jié)合網(wǎng)絡空間測繪技術，對全國網(wǎng)絡數(shù)據(jù)實施監(jiān)測，通過量化評分分析出安全風險等級，在實際發(fā)生網(wǎng)絡安全事件前發(fā)出預警，真正起到防患未然的作用。

網(wǎng)絡安全防范是一個動態(tài)的過程，網(wǎng)絡安全技術與外部攻擊技術此消彼長，并且演變成國家之間的戰(zhàn)略競爭。只有通過不斷實踐，調(diào)整戰(zhàn)略，完善包括監(jiān)測預警在內(nèi)的防范措施，及時發(fā)現(xiàn)潛在的風險，真正實現(xiàn)預警作用，才能在網(wǎng)絡攻防戰(zhàn)中占據(jù)主動，最大限度地保護人民生命財產(chǎn)安全、保障社會穩(wěn)定和國家安全。

注釋：

1. 統(tǒng)計數(shù)據(jù)來源于國家互聯(lián)網(wǎng)應急中心：https：//www.cert.org.cn/。

參考文獻：

[1] 網(wǎng)信遼寧.2023年國際重大網(wǎng)絡安全事件年度盤點[EB/OL].（2024-01-09）[2025-01-12].https：//mp.weixin.qq.com/s？__biz=MzA4NTkyODA1Ng==amp;mid=2650555654amp;idx=3amp;sn=af607e8d33de2e3da8ee328ef7c6615camp;chksm=87d89411b0af1d07afd2d10f22712974859f875cfef0e1b56562ebc4f9dcc97bc14758c9aab2amp;scene=27.

[2] 馬民虎，李江鴻.我國信息安全法的法理念探析[J].西安交通大學學報（社會科學版），2007（3）：74-80.

[3] 秦天弘.歐盟通過新法加強網(wǎng)絡安全能力[N].經(jīng)濟參考報，2024-12-04（4）.

[4] 包霞琴，黃貝.日本網(wǎng)絡安全政策的現(xiàn)狀與發(fā)展趨勢[J].太平洋學報，2021，29（6）：51-61.

[5] 張成，李晴霞，孔增強.美國關鍵基礎設施網(wǎng)絡應急管理與應急處置分析[J].工業(yè)信息安全，2024（5）：12-18.

[6] 張心志，鄭文佳.美國網(wǎng)絡安全戰(zhàn)略的演進：對華政策與應對策略[J/OL].智庫理論與實踐，1-13[2025-01-12].http：//kns.cnki.net/kcms/detail/10.1413.N.20240820.1509.006.html.

[7] 趙陽光，黃海波.美國“愛因斯坦計劃”研究[J].信息安全研究，2020，6（11）：1013-1016.

[8] 中國科學院網(wǎng)信工作網(wǎng).美網(wǎng)絡安全與基礎設施局啟動網(wǎng)絡分析和數(shù)據(jù)系統(tǒng)計劃[EB/OL].（2023-04-23）[2024-12-13].http：//ecas.cas.cn/xxkw/kbcd/201115_129643/ml/xxhjsyjcss/202304/t20230423_4939738.html.

[9] 網(wǎng)絡安全法[EB/OL].（2016-11-07）[2024-12-07].https：//flk.npc.gov.cn/detail2.html？MmM5MDlmZGQ2NzhiZjE3OTAxNjc4YmY4Mjc2ZjA5M2Q%3D.

[10] 國家網(wǎng)絡安全事件應急預案[EB/OL].（2017-01-10）[2024-06-27].https：//www.cac.gov.cn/2017-06/27/c_1121220113.htm.

[11] 國家網(wǎng)絡安全通報中心.重點防范境外惡意網(wǎng)址和惡意IP[EB/OL].（2024-10-21）[2025-01-12].https：//mp.weixin.qq.com/s/uYVx7bAP7Oqey-DeSUjZJA.

[12] 朱永華.以新安全格局保障新發(fā)展格局[N].湖南日報，2022-10-17（15）.

[13] 丁迪.美國網(wǎng)絡威懾政策的演進與分析[J].教學與研究，2024（2）：85-99.

[14] 桂暢旎.拜登政府網(wǎng)絡安全政策基礎、取向與制約因素[J].中國信息安全，2021（2）：88-90，94.

[15] 王鵬，秦志鵬.網(wǎng)絡空間資產(chǎn)探測技術研究[J].網(wǎng)絡安全技術與應用，2024（5）：20-22.

[16] 李滿意，郝君婷.強化網(wǎng)絡安全監(jiān)測預警 維護國家信息安全保密：訪國家保密局科技司司長劉艷[J].保密科學技術，2017（12）：4-8，1.

[17] 黃昌熙，朱磊，余潤澤，等.智能化網(wǎng)絡安全監(jiān)測預警平臺建設和運營思路探討[J].郵電設計技術，2023（1）：27-31.

[18] 劉躍進.國家安全學科建設中的創(chuàng)新[J].江蘇警官學院學報，2009，24（6）：38-42.

[19] 上官曉麗，王秉政.網(wǎng)絡安全國家標準體系建設研究[J].信息技術與標準化，2021（5）：7-10，34.

[20] 信息安全等級保護管理辦法（試行）[EB/OL].（2006-10-12）[2024-12-08].http：//www.itsec.gov.cn/fgbz/xgfg/200610/t20061012_15247.html.

[21] 林子涵.美國網(wǎng)絡霸權(quán)就是這么赤裸裸[N].人民日報海外版，2021-07-29（6）.

[22] 關于印發(fā)《國家數(shù)據(jù)標準體系建設指南》的通知（發(fā)改數(shù)據(jù)〔2024〕1426號）[EB/OL].（2024-10-08）[2024-12-28].https：//www.ndrc.gov.cn/xxgk/zcfb/tz/202410/t20241008_1393509.html.

[23] 國家網(wǎng)絡安全通報中心.自查風險突出的30個服務高危端口[EB/OL].（2024-09-20）[2025-01-12].https：//mp.weixin.qq.com/s/J8jUaN1LjK_YYWHSZK4Edw.

[24] 國家網(wǎng)絡安全通報中心.不履行網(wǎng)絡安全保護義務是違法行為！多家單位被通報[EB/OL].（2024-09-19）[2025-01-12].https：//mp.weixin.qq.com/s/yiRnqNpufhP-IymGqXgUSA.

Concept of National Network Security Monitoring and Early Warning Platform Construction under Macro Perspective

Wang Lin" " Wang Yuyuan

（Northwest University of Political Science and Law，School of National Security，Shaanxi，Xi’an，710063）

Abstract：[Research purpose] Monitoring and early warning is an important part of cybersecurity work， and through the establishment of a national cybersecurity monitoring and early warning platform under the unified command of the central government， we will change the current bottom-up reverse working mode of cybersecurity monitoring and early warning and the fragmented monitoring and early warning method in China， so as to improve the overall cybersecurity monitoring and early warning capacity and adapt to the needs of the big security work pattern. [Research method] We identify the deficiencies and problems of China's network monitoring and early warning work through the methods of case study， literature research and comparative analysis， and applying quantitative and mathematical methods to design an integrated platform containing monitoring， analysis， early warning and response and disposal modules. [Research conclusion] Decentralized monitoring and early-warning methods are not conducive to the overall coordination of cybersecurity work， and conventional monitoring and technical means are lagging behind in the identification of dangers， resulting in insufficient early-warning effects， and the working mode and technical means need to be adjusted and updated. By applying the national integration platform， it should form a closed-loop system of central unified command， quantifying and calculating the network security monitoring information， comparing and analyzing the information with the evaluation system， intuitively reflecting the status of network security. Moreover， it should send out early warning signals according to the categories and levels of risks， the responsible parties can take timely response and disposal measures to reduce the risks， preventing the occurrence of network security incidents， and gaining the initiative in network confrontation， attack and defence， in order to improving our country's network security capabilities.

Keywords： cybersecurity; monitoring of early warning; national integration platforms; quantitative computing; data analysis; response disposition