第一節(jié) 網(wǎng)絡(luò)安全監(jiān)測與信息收集

一、《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定及釋義

《網(wǎng)絡(luò)安全法》第二十一條第三款要求網(wǎng)絡(luò)運(yùn)營者采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。《網(wǎng)絡(luò)安全法》第二十六條通過列舉方式界定了網(wǎng)絡(luò)安全信息的范圍。《網(wǎng)絡(luò)安全法》第五十一條明確要求國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。實(shí)踐中，要求國家安全、公安、工信、國家保密行政管理、國家密碼管理等有關(guān)部門，網(wǎng)絡(luò)運(yùn)營者，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，省級政府有關(guān)部門、機(jī)構(gòu)和人員等采用技術(shù)手段實(shí)時監(jiān)測其運(yùn)營或主管的信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行狀態(tài)，及時收集和發(fā)現(xiàn)異常的網(wǎng)絡(luò)安全事件及相關(guān)信息，如網(wǎng)絡(luò)安全態(tài)勢感知、脆弱性、入侵攻擊事件及如何減少危害的信息等。

（一）網(wǎng)絡(luò)安全監(jiān)測的概念及其分類

網(wǎng)絡(luò)安全監(jiān)測，是指采用技術(shù)手段對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行實(shí)時、動態(tài)且持續(xù)性的監(jiān)控，以全面掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵、攻擊等網(wǎng)絡(luò)安全風(fēng)險的活動。網(wǎng)絡(luò)安全監(jiān)測是及時準(zhǔn)確預(yù)警的前提和基礎(chǔ)，通過監(jiān)測研判的結(jié)果能夠?yàn)轭A(yù)警提供科學(xué)的依據(jù)。全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實(shí)施指南（征求意見稿）》第4.2條規(guī)定，按照監(jiān)測目標(biāo)的不同，網(wǎng)絡(luò)安全監(jiān)測分為以下四類。①網(wǎng)絡(luò)安全事件監(jiān)測：對具有損害業(yè)務(wù)運(yùn)作和威脅網(wǎng)絡(luò)安全的事件，按照網(wǎng)絡(luò)安全事件不同分類、分級要求，分析識別并進(jìn)行展示與告警；②運(yùn)行狀態(tài)監(jiān)測：對監(jiān)測對象的運(yùn)行狀態(tài)進(jìn)行實(shí)時捕捉，如各類設(shè)備和系統(tǒng)的可用性狀態(tài)信息；③脆弱性與威脅監(jiān)測：對監(jiān)測對象的脆弱性、威脅進(jìn)行評估分析，發(fā)現(xiàn)資產(chǎn)所面臨的安全風(fēng)險；④策略與配置監(jiān)測：對各類設(shè)備和系統(tǒng)安全策略和配置信息進(jìn)行核查分析，評估安全合規(guī)性情況。

（二）網(wǎng)絡(luò)安全監(jiān)測信息的來源

《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》明確要求，各有關(guān)部門按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的要求，組織對本單位建設(shè)運(yùn)行的網(wǎng)絡(luò)和信息系統(tǒng)開展網(wǎng)絡(luò)安全監(jiān)測工作。重點(diǎn)行業(yè)主管或監(jiān)管部門組織指導(dǎo)做好本行業(yè)網(wǎng)絡(luò)安全監(jiān)測工作。各省（區(qū)、市）網(wǎng)信部門結(jié)合本地區(qū)實(shí)際，統(tǒng)籌組織開展對本地區(qū)網(wǎng)絡(luò)和信息系統(tǒng)的安全監(jiān)測工作。各省（區(qū)、市）、各部門將重要監(jiān)測信息報應(yīng)急辦，應(yīng)急辦組織開展跨省（區(qū)、市）、跨部門的網(wǎng)絡(luò)安全信息共享。由此可見，網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度所涉及的網(wǎng)絡(luò)安全信息來源于各有關(guān)部門的網(wǎng)絡(luò)安全監(jiān)測過程，即網(wǎng)絡(luò)安全信息的來源主要包括自主監(jiān)測信息和外部情報信息。參照工信部《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實(shí)施辦法》和《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》，以及美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology, NIST）2014年發(fā)布的《網(wǎng)絡(luò)威脅信息共享指南（草案）》[Guide to Cyber Threat Information Sharing（Draft）]的相關(guān)規(guī)定，具體包括以下內(nèi)容。

（1）自主監(jiān)測信息，即由國家和地方政府有關(guān)部門、網(wǎng)絡(luò)運(yùn)營者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者等采用技術(shù)手段在對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行實(shí)時、動態(tài)且持續(xù)性監(jiān)控的過程中所獲取的網(wǎng)絡(luò)安全事件及潛在風(fēng)險的相關(guān)信息。該類信息的來源包括入侵檢測和防護(hù)系統(tǒng)、安全信息和事件管理產(chǎn)品、防病毒軟件和文件完整性檢查軟件的警報，操作系統(tǒng)、網(wǎng)絡(luò)、服務(wù)和應(yīng)用的日志等，如異常的網(wǎng)絡(luò)行為、DNS日志、防火墻溢出、Web代理日志、網(wǎng)絡(luò)/Http日志。

（2）外部情報信息，來源于國家網(wǎng)信、公安、工信等政府有關(guān)部門，計算機(jī)應(yīng)急響應(yīng)小組，網(wǎng)絡(luò)安全企業(yè)、科研機(jī)構(gòu)及公眾平臺（如國家網(wǎng)絡(luò)安全漏洞共享平臺、烏云漏洞平臺等）提供的網(wǎng)絡(luò)安全情報信息，在特定領(lǐng)域內(nèi)建立信息共享合作伙伴關(guān)系（如金融、電力、醫(yī)療等行業(yè)獲得同樣安全信息），以及從提供類似威脅情報和其他收費(fèi)增值能力的商業(yè)網(wǎng)絡(luò)威脅情報服務(wù)供應(yīng)商處獲得相關(guān)信息等。此外，還可通過互聯(lián)網(wǎng)訪問的公開安全信息公布危害指標(biāo)信息、黑名單、惡意軟件和病毒信息、垃圾郵件發(fā)送者名單，以及其他新出現(xiàn)的威脅等信息。

（三）網(wǎng)絡(luò)安全信息收集的內(nèi)容

《網(wǎng)絡(luò)安全法》第二十六條通過列舉方式界定了網(wǎng)絡(luò)安全信息，包括系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等，這是從網(wǎng)絡(luò)安全信息的技術(shù)類型角度給出的定義，體現(xiàn)了網(wǎng)絡(luò)安全信息承載網(wǎng)絡(luò)安全風(fēng)險的基本功能。《網(wǎng)絡(luò)安全法》第五十一條明確要求國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集工作，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者、省級政府有關(guān)部門等應(yīng)當(dāng)實(shí)時監(jiān)測其運(yùn)營或主管的信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行狀態(tài)，及時收集和發(fā)現(xiàn)異常的網(wǎng)絡(luò)安全事件及相關(guān)信息，如網(wǎng)絡(luò)態(tài)勢感知、脆弱性、入侵事件及如何減少危害的信息等，尤其是涉及國家安全、公共健康和安全、國民經(jīng)濟(jì)及公眾信心的已經(jīng)發(fā)現(xiàn)或潛在的安全漏洞或網(wǎng)絡(luò)威脅事件，并應(yīng)當(dāng)及時準(zhǔn)確地掌握各種深層次、前瞻性的情報信息，以準(zhǔn)確把握事件發(fā)生的規(guī)律和動態(tài)。具體而言，根據(jù)工信部《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實(shí)施辦法》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》，以及美國2015年《網(wǎng)絡(luò)安全信息共享法》等相關(guān)規(guī)定，網(wǎng)絡(luò)安全信息收集的內(nèi)容應(yīng)當(dāng)包括以下方面。

（1）安全事件信息：關(guān)于成功的或未遂的網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息，包括丟失的信息、攻擊中使用的技術(shù)、攻擊意圖、造成的影響等。安全事件所涵蓋的范圍從一次被成功封阻的攻擊到造成嚴(yán)重國家安全危機(jī)的攻擊。

（2）威脅信息：包括尚未認(rèn)識清楚但可導(dǎo)致潛在嚴(yán)重影響的事項(xiàng)；門戶網(wǎng)站、域名解析服務(wù)系統(tǒng)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)生阻斷、癱瘓、擁堵、數(shù)據(jù)泄露、解析異常、域名劫持等異常情況；感染指標(biāo)，如惡意文件、被竊取的電子郵箱地址、受影響的IP地址、惡意代碼樣本；關(guān)于威脅實(shí)施者的信息。該類信息有助于發(fā)現(xiàn)安全事件，從攻擊中吸取教訓(xùn)，創(chuàng)造解決方案等。

（3）漏洞信息：軟件、硬件、商業(yè)流程中可被惡意利用的漏洞。

（4）態(tài)勢感知信息：此類信息包括對被利用漏洞、活躍的威脅、攻擊的實(shí)時遙測，還包括攻擊目標(biāo)、網(wǎng)絡(luò)狀況等信息，能夠幫助決策人員響應(yīng)安全事件。

二、網(wǎng)絡(luò)安全監(jiān)測與信息收集的制度概述

（一）美國網(wǎng)絡(luò)安全信息收集的立法實(shí)踐

美國2003年《保護(hù)網(wǎng)絡(luò)空間國家戰(zhàn)略》（National Strategy to Secure Cyberspace）要求聯(lián)邦政府應(yīng)當(dāng)在政府和非政府中與網(wǎng)絡(luò)空間安全有關(guān)的核心網(wǎng)絡(luò)運(yùn)行中心內(nèi)安裝網(wǎng)絡(luò)預(yù)警和信息網(wǎng)，以供傳播分析和預(yù)警信息，并負(fù)責(zé)完成危機(jī)協(xié)調(diào)工作。2006年《國家基礎(chǔ)設(shè)施保護(hù)計劃》（National Infrastructure Protection Plan, NIPP）提出了構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施伙伴網(wǎng)絡(luò)，共享國家基礎(chǔ)設(shè)施相關(guān)預(yù)警信息，這一網(wǎng)絡(luò)的核心是國家通信平臺——國土安全信息網(wǎng)絡(luò)（Homeland Security Information Network, HSIN）, HSIN是由州和地方授權(quán)機(jī)構(gòu)開發(fā)的涉及綜合各種危害因素信息的共享通信系統(tǒng)，它連接了50個州、5個地域機(jī)構(gòu)、華盛頓特區(qū)、50個主要城市區(qū)域。HSIN是通過通信、協(xié)調(diào)和信息共享等方式來加強(qiáng)國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)，確保在其關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)或領(lǐng)域間，建立一個安全的、加密的且僅供官方使用的通信網(wǎng)絡(luò)。

具體而言，美國加強(qiáng)對網(wǎng)絡(luò)安全事件的監(jiān)測和信息收集主要有3種方式。①建立可信互聯(lián)網(wǎng)連接，通過減少和整合聯(lián)邦政府信息系統(tǒng)互聯(lián)網(wǎng)外部出口連接數(shù)量，提高對互聯(lián)網(wǎng)出口的監(jiān)測和態(tài)勢感知能力，加強(qiáng)對互聯(lián)網(wǎng)出口的監(jiān)測和管理。②部署愛因斯坦系統(tǒng)，為US-CERT和CERT團(tuán)隊(duì)提供實(shí)時的、更強(qiáng)的網(wǎng)絡(luò)安全事件檢測、收集、應(yīng)急處置和報告的能力。③提高自動化管理水平，美國要求各聯(lián)邦政府機(jī)構(gòu)應(yīng)具備監(jiān)控安全相關(guān)信息的能力，這種能力應(yīng)該是持續(xù)的、可管理及可控制的。為了實(shí)現(xiàn)這一目標(biāo)，美國要求各政府機(jī)構(gòu)加快安全相關(guān)行動的自動化進(jìn)程并開發(fā)自動化的風(fēng)險模型，以便在安全管理工具中將風(fēng)險模型應(yīng)用于系統(tǒng)弱點(diǎn)和威脅的識別。

（二）歐盟網(wǎng)絡(luò)安全信息收集的立法實(shí)踐

2005年《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計劃》（The European Programme for Critical Infrastructure Protection, EPCIP）提出建立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)，以安全的方法為最好的實(shí)踐交流提供一個平臺。2009年《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)——保護(hù)歐洲免受大規(guī)模網(wǎng)絡(luò)攻擊和中斷：預(yù)備、安全和恢復(fù)力的通信》（Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions on Critical Information Infrastructure Protection “Protecting Europe from Large Scale Cyber-Attacks and Disruptions: Enhancing Preparedness, Security And Resilience”）中進(jìn)一步提出五個支柱以應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施面臨的挑戰(zhàn)，其中要求建立適當(dāng)?shù)脑缙陬A(yù)警機(jī)制和歐洲信息共享和預(yù)警系統(tǒng)，以落實(shí)檢測和響應(yīng)的具體要求。

此外，監(jiān)測預(yù)警是歐盟應(yīng)對網(wǎng)絡(luò)攻擊最主要的治理機(jī)制。針對網(wǎng)絡(luò)攻擊的監(jiān)測是指在歐盟層面和各成員國層面通過單項(xiàng)指標(biāo)預(yù)警與綜合指標(biāo)預(yù)警等兩種方法，以及其他技術(shù)手段對網(wǎng)絡(luò)攻擊與信息系統(tǒng)攻擊中的異常現(xiàn)象進(jìn)行監(jiān)測報告，并在此基礎(chǔ)上建立針對網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)攻擊的走向趨勢的預(yù)判。在歐洲議會和歐盟理事會《關(guān)于信息系統(tǒng)攻擊并取代理事會第2005/222/JHA號框架決定的第2013 /40 /EU號指令》（Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on Attacks against Information Systems and Replacing Council Framework Decision 2005/222/JHA）中，對信息系統(tǒng)攻擊的監(jiān)測預(yù)警主要體現(xiàn)在兩個方面：監(jiān)控與統(tǒng)計（Monitoring and Statistics）、信息系統(tǒng)漏洞的檢測與報告（Information System Vulnerability Detection and Reporting）。其中關(guān)于信息系統(tǒng)網(wǎng)絡(luò)攻擊的監(jiān)測機(jī)制主要是與犯罪有關(guān)的數(shù)據(jù)的監(jiān)控及統(tǒng)計，具體是指在涉及非法訪問信息系統(tǒng)、非法系統(tǒng)干擾、非法數(shù)據(jù)干擾、非法攔截和用于犯罪的工具等犯罪時，各成員應(yīng)記錄（Recording）、生成（Production）并提供（Provision）與此類型有關(guān)的犯罪統(tǒng)計數(shù)據(jù)及以該罪行起訴并定罪的人數(shù)。值得注意的是，歐洲議會和歐盟理事會指出，統(tǒng)計的數(shù)據(jù)應(yīng)該遵從最小化原則，即監(jiān)控與統(tǒng)計的數(shù)據(jù)應(yīng)該符合比例原則，不得收集涉及公民的個人隱私等與犯罪無關(guān)的不必要信息。

三、網(wǎng)絡(luò)安全監(jiān)測與信息收集的法規(guī)遵從框架及建議

根據(jù)《網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的要求，一方面，建設(shè)和運(yùn)行網(wǎng)絡(luò)安全威脅監(jiān)測處置平臺，實(shí)現(xiàn)對國際出入口、境內(nèi)骨干網(wǎng)絡(luò)核心節(jié)點(diǎn)的網(wǎng)絡(luò)安全威脅監(jiān)測，能夠有效提高對各類網(wǎng)絡(luò)攻擊威脅和安全事件的及時發(fā)現(xiàn)、有效處置和準(zhǔn)確溯源能力。另一方面，通過多種方式收集多種類型的數(shù)據(jù)，以及遵從網(wǎng)絡(luò)安全監(jiān)測日志的最低存留期限要求都是企業(yè)應(yīng)當(dāng)重點(diǎn)關(guān)注和履行的法規(guī)遵從義務(wù)。

網(wǎng)絡(luò)安全監(jiān)測與信息收集的法規(guī)遵從框架如表7-1所示。

針對網(wǎng)絡(luò)安全監(jiān)測與信息收集的法規(guī)遵從建議，表7-2梳理了網(wǎng)絡(luò)安全監(jiān)測信息采集、存儲及實(shí)施過程當(dāng)中的技術(shù)、環(huán)境和性能等具體要求，以及網(wǎng)絡(luò)運(yùn)營者在履行網(wǎng)絡(luò)安全監(jiān)測與信息收集義務(wù)時應(yīng)當(dāng)重點(diǎn)關(guān)注的方面。

四、監(jiān)督管理與法律責(zé)任

《網(wǎng)絡(luò)安全法》第八條第一款規(guī)定，國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。具體而言，為了協(xié)調(diào)國家有關(guān)部門網(wǎng)絡(luò)安全監(jiān)測和信息收集工作的協(xié)同性和一致性，《網(wǎng)絡(luò)安全法》第五十一條規(guī)定，國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測和信息收集工作，這是由網(wǎng)絡(luò)安全管理工作的特點(diǎn)決定的。網(wǎng)絡(luò)安全管理工作涉及諸多相關(guān)部門，包括國家安全、公安、工信、國家保密行政管理、國家密碼管理等，而網(wǎng)絡(luò)安全信息來源分散、數(shù)據(jù)體量大，要求上述各有關(guān)部門除了在其職責(zé)范圍內(nèi)負(fù)責(zé)落實(shí)網(wǎng)絡(luò)安全監(jiān)測與信息收集工作之外，還要加強(qiáng)各部門相互之間的溝通協(xié)作，接受國家網(wǎng)信部門在網(wǎng)絡(luò)安全監(jiān)測與信息收集工作方面的統(tǒng)籌協(xié)調(diào)。此外，工信部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》規(guī)定，工業(yè)和信息化部負(fù)責(zé)組織開展全國公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置工作。各省、自治區(qū)、直轄市通信管理局負(fù)責(zé)組織開展本行政區(qū)域內(nèi)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置工作。

在法律責(zé)任方面，針對違反網(wǎng)絡(luò)安全監(jiān)測與信息收集的相關(guān)規(guī)定，沒有按照《網(wǎng)絡(luò)安全法》第二十一條第三款規(guī)定的最低期限進(jìn)行監(jiān)測日志留存的，由網(wǎng)絡(luò)運(yùn)營者的有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。