基于态势感知的等级保护监管技术研究

王大为

摘   要：文章针对各级网络安全或行业网络安全监管部门开展等级保护监管工作的业务现状和存在的困难进行深入研究，在当前监管工作流程的基础上，提出了利用态势感知技术和其掌握的各监管单位安全建设情况进行框架设计并细化功能，构建具备动态监测和监管展示的系统。为等级保护的监督管理工作提供可靠的数据情报和高效的管理手段。

关键词：等级保护;态势感知;动态监测;数据情报

1    等级保护概况

近年来，我国信息技术发展迅猛，现阶段各级政府部门及企事业单位基本上实现了业务信息化，并且为了便于为民众提供服务，将其系统面向互联网进行开放。《中华人民共和国网络安全法》自2017年6月1日起正式施行，要求各大系统不但要注重安全合规性建设，更要及时完成等级保护的备案、整改建设和测评工作。

2    等级保护监管过程中产生的问题

（1）等级保护工作基础数据收集不完备，信息涵盖单位系统各个方面的基础数据。传统管理方式往往是所辖单位各自汇报，存在漏报、瞒报的情况，而监管部门由于没有技术手段进行比对、判断和总结、整理，很容易出现疏漏。

（2）缺乏监督预警手段，难以把控管辖范围内的安全情况，大多采用定期组织检查的形式开展重要信息系统安全大检查，既浪费了人力、物力，也缺乏实时性，还存在标准执行不统一等问题，难以真正把控存在的安全问题，更无法作到预先发现和经验总结。

（3）缺乏技术手段管理监管成果，建设和整改情况缺乏信息化的管理手段。在等级保护监督管理过程中，一般是通过对当前周期的安全检查成果进行总结，给出响应的法律文书或者通告发文，被通知单位的负责人员进行签收、处置并反馈处理结果，不利于归纳、总结和对比。

（4）安全威胁情报的获取和推送，安全资源难以积累、总结，不但浪费人力、物力，而且时效性、针对性差，不能很好地进行资源储备和经验总结，对过往积累也存在不足。

3    实现等级保护安全监管技术的思路

通过态势感知技术构建等级保护监管平台，对信息系统备案情况、基础资产情况、信息安全资产情况、信息系统配置情况、等级保护建设整改情况等进行标准化登录与采集，加强安全监管检查能力[1-2]。

首先，要实现等级保护全过程的监管并形成分析、分享、研判机制，既要总结整个监管过程中的各个环节和信息要素，又要结合态势感知技术形成标准化的流程监管技术体系。

其次，综合利用采集数据，使用数据挖掘技术，做到更好的等级保护监管态势分析，对已知信息进行归类、对比，展示预见的风险和未知的威胁。

最后，通过知识库和经验总结并利用信息推送技术实现风险揭示、情报分享以及研判处置推送，形成各环节信息推送机制，用技术手段解决人力、物力的不足，提高监管能力和效率。

通过对上述3个方面进行分析，能够形成标准化的监督管理流程。信息化技术手段可以将监管的整个过程和各节点的情况有效地反应并记录，能够对监督管理提供风险和威胁分析的参考依据，这个过程的主要工作如下：

（1）总结标准流程，通过对等级保护监管工作全过程的总结，分析其监管流程和关键属性元素，将监管过程流程化、程序化，对其各个过程节点的属性元素标准化，形成标准流程。

（2）组建系统平台，通过对等级保护监管各个环节管理过程的总结及标准的拟定，形成具备风险研判、预警能力的监管系统平台，提高监管能力。

4    体系架构及实现

依据《中华人民共和国网络安全法》、网络安全等级保护制度及各行业对信息安全下发的相关标准和监督管理政策，研究、开发一个集信息系统安全建设基础信息采集、监测、挖掘、分析预警及展示的平臺，使等级保护变得监管可视化、可管理、可预测，体系架构如图1所示。依托的技术有以下5个[3-4]。

4.1  多种异构数据源

进行等级保护监督管理，其数据来源复杂，包括：（1）等级保护系统信息同步、等级保护工具箱的检查、大数据导入、网站ICP注册等公开信息。（2）网站监测引擎、搜索引擎、网络情报、资产审计以及监控、运维工具的日志分析。（3）平台收集、汇总的历史大数据和知识库。

4.2  信息挖掘和数据融合

利用数据融合技术，对采集和汇集的数据实现标准化和归一化存储，并在此基础上进行数据碰撞、信息理解和数据挖掘。实现多种攻击溯源，包括：DDoS、僵木蠕、APT攻击溯源、安全情报溯源、综合溯源等。

4.3  可视化展现

使用主流的各种可视化工具及3D网络拓扑、资产展示效果，实现在电子地图上准确显示被攻击的单位、网站以及网站的可用性、网络攻击路线，直观显示通报排查的进展。

4.4  通报和排查工作流

依据总结出的标准事件通报和隐患排查工作流，可用于“部—省—市—区/县”等多级系统之间，基于态势感知的安全事件和网络隐患进行处置，并支持监管部门上门检查和整改告知流程[5-6]。

4.5  知识库与历史大数据

研究出完备的知识库、网络安全专家库、网络隐患提取和数据采集的规则库、历史事件处理的经验库和最佳实践等，可用于帮助监管部门处理新增的安全事件和网络隐患，同时，把它们都保存、汇总到历史大数据库中。

5    研究效益分析

（1）基础数据融合，易于资产梳理，并直观了解建设情况。将被监测的重要信息系统基础数据利用技术手段实现收集和融合，包括ICP信息、单位信息，例如地理位置、行业等。此外，融合了等级保护系统的数据，可以直观掌握所辖重要信息系统的等级保护建设情况，直观掌握盲区信息，发现监管漏洞。

（2）便于開展监督检查工作，降低监管工作对人力、物力的需求，提高监管能力。作为各级公安网监部门或各行业信息安全监督管理部门，可以根据态势感知给出的分析检测结果，开展所辖重要信息系统监督管理工作，并依靠分析结果开展安全事件通报、信息安全隐患排查等工作。减少以往需要大量人力、物力的基础排查工作，并将信息通告到督促整改的全过程利用信息化的手段完成，提高监管能力。

（3）资产与工具整合，构建开放平台。通过将基础数据信息、信息系统状态信息、网络安全情报、信息安全动态及监督检查数据等进行集成，实现等级保护监管体系的建立。对这些数据进行归集、分析，并结合整个监督管理流程，实现等级保护监管工作的信息化、智能化，覆盖整个等级保护监督管理的全过程。可通过融入更多的新技术和第三方功能模块，源源不断地增加该技术体系的功能。

6    结语

在分析了各级公安网安部门和各行业信息安全监管部门在监督管理过程中的难点、重点后，结合实际监管过程中发现的各种问题、状况，分析了当前各监管部门在进行等级保护监管过程中的不足和需求。在捋顺、明确等级保护管理的各阶段目标和现阶段态势感知技术所能达到的技术服务能力的基础上，研究并设计出利用态势感知技术来进行等级保护监管工作的技术体系，以应对现阶段乃至未来一段时期等级保护监管工作的人力、物力和技术要求带来的困境，实现等级保护监管标准化、流程化、信息化。

本研究可以帮助等级保护监管部门在现有人力、物力的背景下，有效开展其所辖范围内重要信息系统的监督管理工作。因此，需要对基于态势感知的等级保护监管技术予以应有的重视，深入进行理论研究和科学实践，尽快投放社会应用。

[参考文献]

[1]北京市公安局网络安全保卫处.北京市公安局等级保护监督检查工作情况介绍[J].警察技术，2010（2）：15-17.

[2]杨兵兵.等级保护工作的实践与思考[J].金融电子化，2012（5）：38.

[3]王慧强，赖积保，朱亮，等.网络态势感知系统研究综述[J].计算机科学，2006（10）：5-10.

[4]BASS，TIM.Intrusion detection systems and multisensor data fusion[C].Harbin：Association for Computing Machinery，2000.

[5]NONAME.Cyberspace awareness[C].Harbin：Association for Computing Machinery，2000.

[6]STEPHEN L.The spinging cude of potential doom[C].Harbin：Association for Computing Machinery，2000.

Abstract：This paper makes an in-depth study on the current status and difficulties of the network security supervision departments at all levels and industries to carry out the classified protection supervision work. Based on the current supervision workflow， it proposes the use of situational awareness technology and the safety construction of various supervisory units to design the framework and refine features， and a system with dynamic monitoring and regulatory display is constructed. Provide reliable data intelligence and efficient management tools for the supervision and management of classified protection.

Key words：classified protection; situational awareness; dynamic monitoring; data intelligence