網絡空間戰略預警體系的建設思考

莊洪林，姚樂，汪生，顧嘉祥，吳曄，解凱

（信息系統安全技術重點實驗室，北京 100191）

一、前言

戰略預警指國家為防御突然襲擊，運用預警技術及早發現并監視敵對勢力戰略進攻性武器活動態勢的綜合性警戒手段，是國家安全的重要保障。當前，網絡空間已成為與陸、海、空、天并列的全球第五大空間，是經濟社會發展的新支柱、國家安全的新領域。強化網絡空間態勢感知，提升戰略預警能力，確保信息網絡疆域安全，是國家安全面臨的新型重大課題。

目前，有關網絡空間安全預警研究的學術成果主要有：基于入侵事件統計規律的網絡安全預警方法 [1]、基于決策需求的網絡安全戰略情報保障能力 [2]、基于數據融合的網絡安全態勢感知技術 [3]等。這些研究成果從不同側面就網絡空間態勢感知和安全預警建設進行了有益探索。美國基于網絡大數據建立了網絡空間戰略預警體系，通過監控全球網絡通信數據、獲取國內各大企業服務器數據、共享部門與各盟國間的數據等手段獲取情報信息，實現網絡安全預警與響應的全系統聯動 [4]。

為應對日益復雜的網絡空間安全形勢，有效抵御國家級的大規模網絡攻擊，我國應高度重視網絡空間戰略預警體系能力建設，完善網絡空間預警機制。本文在理論分析、現狀研判的基礎上，針對網絡資產掌握不全面、安全監測數據難共享、網絡攻擊取證難等問題，提出了網絡空間戰略預警體系應建設的重點內容和對策建議。

二、網絡空間戰略預警的概念、特點及運用價值

（一）網絡空間戰略預警的基本概念

按照傳統定義，戰略預警指為早期發現、跟蹤、識別來襲的遠程彈道導彈、戰略轟炸機、巡航導彈等戰略武器并及時發出警報所采取的措施。其任務是：盡早探明來襲目標及其各種參數，處理所獲信息，對來襲目標進行跟蹤、識別，為軍事決策、戰略武器運用、民防準備等提供實時信息 [5]。

網絡空間是有別于陸、海、空、天等物理空間的虛擬空間，網絡攻擊瞬時生效、裂變性強，網絡防御的重點是國家級黑客的重大網絡攻擊、烈性病毒傳播破壞。借鑒戰略預警的傳統定義，網絡空間戰略預警指一個國家或集團為早期發現、跟蹤、識別、報知來襲的重大網絡攻擊或烈性病毒傳播破壞而建立的監測告警體系 [6]，是國家防御體系的重要組成部分。

（二）網絡空間戰略預警的特點

相比物理空間對抗，網絡空間攻防有其自身的獨特機理，由此帶來網絡空間戰略預警與傳統物理空間在國家戰略預警方面的顯著區別。惟有深刻認識網絡空間對抗的機理特點，才能更有效地開展戰略預警工作。

1. 預警的職責主體為政府

物理空間的邊界明確，對外防衛主要表現為陸防、海防、空防、天防，其中來自空、天的戰略武器威脅較大 [7]，相應戰略預警的職責主要由國防專業力量承擔?；ヂ摼W、電信網是網絡空間的主體，相應管理主要由政府部門負責。按照“誰主管，誰負責”的原則，網絡空間戰略預警的職責主體應是政府。

2. 預警防范對象更廣

網絡攻擊既可以來自外部實施，也可以從內部發起；既可能是國家行為，也可能是非法組織或個人行為。物理空間的防范對象主要為敵對國家軍隊，而網絡空間防范的對象既包括國家級高級可持續威脅攻擊（APT）組織和恐怖勢力，也包括民間黑客組織和內部人員。因此，網絡空間戰略預警防范的對象范圍更廣、更復雜。

3. 預警時間更加短促

網絡攻擊會對目標直接發起攻擊并瞬時生效，網絡的互通性、病毒的裂變傳播性不僅會使受攻擊網絡出現“一機中招、多機感染、區域癱瘓”的局面，還會跨網迅速擴散并影響其他網絡。與傳統物理空間戰略攻擊通常因誘發因素出現戰爭動向相比，網絡空間的攻擊門檻低，攻擊時間隨機且短促，隨時都有可能遭受敵對勢力和黑客攻擊，因此提前預警的迫切性凸顯。

4. 預警目標動態性強

網絡信息技術不斷發展，針對網絡特性變化、技術設施更新，網絡空間攻擊手段不斷調整升級，攻防手段在博弈中互相促進、競爭發展，呈現出此消彼長、互促互進的態勢。就某種具體的網絡攻擊手段而言，攻擊效果也是動態變化的，對戰略性評估構成了挑戰。

5. 戰略性判定與防御對象屬性相關

遠程彈道導彈、戰略轟炸機、巡航導彈等實體空間武器的戰略性很容易界定，國際上也有一致認可。網絡攻擊武器針對性強，攻擊效果與受攻擊方的網絡結構、屬性以及所采用的軟硬件系統、防范機制等密切相關，不易判定。因此，衡量一種網絡攻擊手段是否具有戰略性，需結合被攻擊對象的網絡屬性特征；只有匹配并可達成戰略性威脅的網絡攻擊手段，才應列為重點預警對象。

（三）網絡空間戰略預警的運用價值

網絡空間對抗具有技術性強、目標多元、要素復雜、時間敏感、地域模糊、數據量大等特點，建設具有全面掌握網絡軟硬件資產情況、深度挖掘信息系統安全漏洞、廣泛獲取網絡攻擊手段與行為特征、實時感知網絡攻擊威脅、有效監測并匯聚各種異常行為、分析發現安全事件內在關系、綜合研判網絡安全發展態勢等核心能力的網絡空間戰略預警體系，對于網絡防御行動的科學決策、贏得主動，推進網絡治理能力現代化具有重要的戰略意義。

第一，網絡空間戰略預警是快速、高效處置重大網絡安全事件的重要基礎。構建網絡資產基礎信息庫、挖掘掌握信息系統安全漏洞是網絡空間戰略預警的基礎環節。地圖是人們認知理解環境的重要工具，虛擬的網絡空間同樣需要由詳實信息構成、完整描述各要素狀態關系的“網絡地圖”，即網絡資產基礎信息庫；對于重要大型網絡，加強網絡軟硬件資產的安全管理至關重要。部署網絡空間資產探測系統，掌握網絡體系架構、重要節點、關鍵設備、重點保護對象，發現“風險資產”，是實施網絡防御行動的基礎。網絡攻防在很大程度上表現為漏洞利用與修補在時間窗口上的博弈，基于已構建的網絡資產基礎信息庫，可在發現新漏洞的第一時間從信息庫中快速搜尋出受漏洞影響的網絡設備及地址，從而為開展積極防御行動、及時進行漏洞修復提供精準的目標指向。

第二，網絡空間戰略預警是掌握網絡空間防御戰略主動的重要保障。掌握網絡威脅行為特征，構建威脅情報支持平臺，可為實施安全預警提供可靠的情報保障。目前，世界上約有數十萬名黑客，對于國家層級的黑客群體，防御方需要時刻感知其攻擊的技術手段、行為特征和所威脅的系統，掌握其攻擊代碼并監測發展變化，評估已方網絡面臨的潛在危害，從而實施有效應對。即使是發生在其他地方的網絡攻擊，掌握其攻擊代碼和行為特征，對于監測和預警針對已方網絡的威脅、掌握網絡空間防御戰略主動，同樣具有重要意義。

第三，網絡空間戰略預警是綜合把握網絡空間安全態勢的重要手段。傳統的單一入侵檢測系統已經過時，單機殺毒軟件容易失效。構建以大數據、云技術為支撐，注重多源數據融合和情報共享，通過各類系統的綜合集成，形成全域覆蓋、上下貫通的完整體系，構建一體化、分布式結構的安全監控綜合預警系統，有助于提高對異常行為的獲知能力，發現潛在未知威脅，精確定位攻擊源頭，預判安全事件演變趨勢。

三、網絡空間戰略預警的基本要求和應用樣式

（一）網絡空間戰略預警的基本要求

網絡空間戰略預警應具有發現、跟蹤、識別網絡空間戰略破壞的能力以及分析判斷和網絡反制的溯源能力 [8]。為此，網絡空間戰略預警體系需要具備以下基本能力：①全面性，在難以判斷危害嚴重程度的情況下，按照“不漏情”的原則對危害網絡空間安全的行為進行預警；②預控性，鑒于網絡空間預警時間短促，有必要將網絡空間戰略預警關口前移，平時常態化開展網絡空間安全或戰略危機的分析預測，實施早期控制；③診斷性，在網絡系統建設和管理過程中，對可能存在的網絡安全問題進行強化測試和診斷，記錄網絡軟硬件及其狀態，據此分析判斷各類網絡攻擊手段的潛在危害；④動態性，密切跟蹤網絡新技術發展、新問題發現、環境因素的新變化，及時調整我國網絡建設的發展思路、應對全球網絡攻擊手段變化，同時持續加強分析判斷模型、應對措施方法的更新升級；⑤規范性，運用系統性的計劃策略和理性分析方法，開展針對網絡危害戰略性判斷、應對措施與方法的程序化決策。

（二）網絡空間戰略預警的應用樣式

1. 安全漏洞預警

安全漏洞預警屬于早期預警，主要是通過主動挖掘和分析重要網絡設備、操作系統、應用軟件、應用服務系統（如域名服務系統、電子郵件系統）等存在的安全漏洞缺陷，及時發現系統中存在的后門、設計缺陷以及設備與系統管理漏洞，盡早開展封堵處理，防止被惡意利用；主要針對國際上尚未公布的安全漏洞進行預警。

2. 安全威脅預警

安全威脅預警屬于中期預警，主要是通過部署的網絡空間資產探測系統、網絡空間威脅情報感知系統，發現“風險資產”，實時跟蹤監測重要網絡被控、全球僵尸網絡構建、蠕蟲病毒傳播、黑客組織攻擊活動、已公開的安全漏洞、網絡攻擊最新技術手段等情況，預測潛在的網絡破壞性攻擊行為對網絡系統安全帶來的影響范圍、危害程度、持續時間等；按照規定和程序，及時通報相關威脅，盡快采取應對措施；主要針對已經在其他地方出現，但尚未涉及到所防護網絡的威脅源。

3. 入侵攻擊預警

入侵攻擊預警屬于臨近預警，主要是通過在網絡信道出入口、重要服務器、重要應用系統等關鍵部位布設網絡入侵檢測系統、行為審計系統，實時監測網絡攻擊者對網絡的滲透、重要數據訪問等異常行為；發現后實時報警、響應，通過其他防護系統自動進行行為中止或由安全防護人員迅速處置，阻止大規模入侵、破壞行為的發生，防止事態擴大；主要針對已經接觸到所防護網絡的攻擊行為。

4. 異常行為預警

異常行為預警屬于對內預警，主要是通過監測、審計重要內部網絡的用戶操作和網絡行為，及時發現違規操作、蓄意破壞、病毒傳播等直接危害網絡安全的異常情況，準確追蹤定位威脅源頭；主要對發生在內部網絡中的異常行為或攻擊企圖進行預警。

四、網絡空間戰略預警監測體系的發展現狀

（一）國外網絡空間預警監測建設情況

信息基礎設施發達的國家和地區高度重視網絡空間安全戰略預警能力建設。以美國為例，代表性做法如下 [4]。

一是打造全球網絡通信數據監控能力。一方面，美國依托其全球信息樞紐的優勢地位，在重要數據交換節點上大規模搜集基礎性數據；另一方面，采取改造監控海底光纜等手段，將網絡監測范圍覆蓋至美國境外地區；已將互聯網骨干網中50%以上的流量納入到監測范圍。

二是政府相關部門加大對大型網絡運營商、互聯網服務商監測數據的利用力度。斯普林特公司、電話電報公司、威瑞森通信公司等頂級骨干網運營商，微軟公司、谷歌公司、臉譜公司、蘋果公司等互聯網服務提供商，都是情報機構的合作對象；對相應的流量數據、網絡行為數據等進行大數據關聯分析，找出潛在威脅。

三是廣泛開展深度的信息合作與數據共享。國土安全部、國防部、司法部強調對各自掌握的情報信息實施互聯互通，建立行動性、預警性情報的“一知皆知”通報制度，實現網絡安全預警及響應的全系統聯動。同時，美國與英國、法國、德國等設立了基礎性的互聯網數據信息共享機制。

網絡空間預警監測系統，如“愛因斯坦計劃”入侵防御項目，旨在支持政府機構應對網絡空間安全威脅，提供入侵檢測、入侵防御、取證分析、信息共享等能力?！皭垡蛩固褂媱潯庇蓢医y籌規劃、統一部署，監視政府各部門的網絡出入口流量；一旦遭受網絡攻擊，監測系統將自動向國土安全部下屬的美國計算機應急響應小組（US-CERT）報警，安全專家將實時縱覽跨機構的安全事件并采取應急處置措施 [9,10]。

（二）我國網絡空間戰略預警監測體系建設情況

1. 法律法規層面

在網絡監測預警與應急處置方面，《中華人民共和國網絡安全法》明確了國家和省級相關政府職能部門的職責，為國家網絡空間安全預警、安全事件處置提供了法律保障。該法規主要強調，國家網絡安全和信息化部門應注重統籌協調，加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息；建立健全網絡安全風險評估和應急工作機制，制定網絡安全事件應急預案，定期組織演練。負責關鍵信息基礎設施安全保護工作的部門，應建立健全本行業、本領域的網絡安全監測預警和信息通報制度，按照規定報送網絡安全監測預警信息；制定本行業、本領域的網絡安全事件應急預案，定期組織演練。在網絡安全事件發生風險可能增大時，省級以上人民政府有關部門應按照規定的權限和程序，根據網絡安全風險的特點和可能造成的危害采取措施。

2. 技術層面

許多網絡安全公司已建有較為成熟的網絡威脅感知分析平臺，主要采取互聯網在線探測感知、重要網絡樞紐探測感知兩種方式，廣泛收集互聯網設備信息、出入口流量、安防系統運行數據，再經過大數據和人工智能分析，感知網絡基礎設施、關鍵業務網絡的威脅，在一定程度上實現了針對網絡攻擊的早期發現、入侵途徑回溯、攻擊源定位。國內外一些網絡安全公司建有專門的網絡空間測繪平臺、漏洞收集分析平臺并在互聯網上開放服務，可為網絡空間戰略預警、安全事件快速處置提供數據支撐。

3. 當前面臨的主要問題

①網絡資產掌握不夠，缺乏全面的網絡資產基礎數據庫，政府部門、重要行業的單位企業對自身網絡資產信息掌握不夠，在態勢分析、應急響應處置方面缺少資產數據支撐。②安全監測數據不能共享，國家關口數據、城市區域數據、行業內網數據不能匯聚，各單位之間缺乏監測數據、威脅情報感知數據的共享機制，無法全面開展網絡攻擊事件的綜合性關聯分析。③網絡攻擊行為的取證難度大，有的單位在遭受網絡攻擊后，拒絕提供取證數據，甚至擅自刪除日志，影響了網絡攻擊行為的溯源與追蹤，降低了國家網絡空間戰略預警的實際效果。

五、網絡空間戰略預警體系的重點建設內容

（一）網絡空間測繪系統

網絡空間測繪系統是網絡空間戰略預警體系建設的基礎。只有全面掌握自身網絡的軟硬件資產情況，才能在網絡防御行動中掌控全局、爭取主動。開展網絡空間測繪，要以大規模網絡空間軟硬件資產探測為先導，以主動感知、大數據挖掘分析、知識學習推理、可視化展示等關鍵技術為支撐，強化網絡空間軟硬件資產基礎庫構建與數據深度挖掘分析，實現網絡空間地圖的多層級直觀展示。

（二）漏洞收集預警平臺

漏洞收集預警平臺是預警體系早期預警的主要手段。漏洞信息主要通過自主挖掘、國內外相關機構公開的漏洞庫、社會人員提交等方式獲得。截至2021年3月5日，全球公開漏洞披露平臺（CVE）包含了約1.49×105個公開漏洞 [11]，我國國家信息安全漏洞庫（CNNVD）包含了約1.59×105個公開漏洞 [12]。這些漏洞數據庫提供了漏洞名稱、編號、類型、來源、威脅類型、危害等級、修復補丁、漏洞影響的具體設備、軟件版本等基本信息。但多樣化的漏洞信息來源存在數據格式不統一、非結構化等問題，需要專業人員開展進一步的融合分析、驗證、整理，統一結構化設計，構建兼容不同數據格式的漏洞預警信息庫，并根據需要進行信息發布和定向推送。此外，還需注意漏洞信息庫中關鍵字段與軟硬件資產庫的適配性設計，為網絡空間態勢感知、快速進行威脅預警提供數據支撐。

（三）威脅情報感知推送系統

威脅情報感知推送系統是預警體系中期預警的主要手段，分為威脅情報感知信息庫、威脅情報分析推送系統兩部分。威脅情報感知信息庫主要通過人工收集、自動采樣、網絡平臺獲取、公開數據庫查詢等方式獲取信息，信息經分析整理后入庫；相關內容包括：互聯網中曾發起過攻擊行為的地址、黑客使用過的設備和域名、各種病毒木馬等惡意代碼樣本、漏洞安全威脅、黑客行為特征與手段、危險超鏈地址、惡意軟件黑名單、某種攻擊可能威脅到的設備和系統等信息。威脅情報分析推送系統主要針對特定威脅、特定防護目標、新發布漏洞，通過智能化數據挖掘與匹配算法，發現重要目標潛在的安全威脅，智能化、自動化、定向快速推送相關預警情報信息。

（四）安全監控綜合預警系統

安全監控綜合預警系統是預警體系臨近預警的主要手段，分為流量監測分析系統、網絡入侵取證與行為審計系統等。流量監測分析系統布設在網絡干線節點、各接入網出入口等位置，主要實現干線數據采集、異常網絡流量分析檢測、攻擊代碼檢測捕獲、安全事件融合分析、安全態勢綜合顯示、階段性網絡數據存儲回訪等功能。網絡入侵取證與行為審計系統部署在重要網絡系統和關鍵服務節點，主要進行網絡攻擊的快速準確定位。通過相關系統的綜合集成，構建一體化、分布式結構的安全監控綜合預警系統。

六、對策建議

（一）強化頂層設計，加強統籌協調

網絡空間安全事關國家安全大局，需要做好頂層設計，多部門統籌并協調開展工作。戰略預警作為網絡安全的首要環節和常態化工作，應整體統籌、分工推進。建議由國家相關主管部門集中統一領導，統籌網絡空間戰略預警規劃、系統建設、安全風險評估、重大事件應急響應等工作；各級政府部門、相關行業開展預警監測和應急響應工作，依據職能分工，發揮各自優勢，協作開展。

（二）注重多源數據融合和情報共享，打牢國家網絡空間戰略預警基礎

建立和完善國家級安全防御預警監測體系，全面匯聚政府部門、事關國計民生重要信息系統的互聯網出入口數據、重要單位的威脅情報數據。基于分布式前端數據收集、集中化后端數據分析模式，對多源數據進行關聯分析處理，及時分發經過匯聚處理的情報信息，提升國家對網絡潛在異常行為的獲知能力、對網絡攻擊事件的檢測與協同防御能力；及時發出安全預警并采取相應對策，必要時跟蹤溯源，對攻擊者進行定位，為有效應對網絡攻擊提供支撐。

（三）加強多方專業力量參與，健全網絡空間戰略預警力量體系

我國已在安全漏洞、病毒木馬、黑客攻擊等方面建立了較為順暢的交流機制，具備了較強的網絡安全威脅早期預警和安全事件快速處置能力 [13]。建議進一步健全由國家、行業和單位三級力量構成的網絡空間戰略預警力量體系。在國家相關部門的統籌協調下，積極引導高等院校、科研院所等有能力的單位參與，擔負操作系統軟件、重要信息系統軟硬件產品的漏洞分析任務，及時發現并排除各種預置后門和設計缺陷。重要網絡應用行業的網絡安全防護專業力量，負責本行業專用軟件和重要應用軟件的漏洞分析檢測，查找信息系統研制和集成過程中存在的安全漏洞；制定量化評定檢查標準，對本行業內部網絡進行經常性安全風險評估檢查。各單位網絡安全防護力量，針對所屬保障范圍內的網絡信息系統，對本級和下級單位的內部網絡進行安全風險評估檢查，查找安全漏洞并提出改進意見。

（四）開展經常性安全評估，促進隱患早診斷、早發現

網絡安全是相對的、動態的，需要在網絡應用過程中不斷查找和發現問題，力求提前防范，這是實現網絡安全早期預警最重要的內容。建議在行業內部強化經常性安全評估，政府相關部門組織網絡安全保障演練，及時查找種隱患，盡早提出應對措施，促進網絡安全防護能力的快速、持續提升。

（五）實行威脅預警分級機制，規范并細化配套應對措施

美國、俄羅斯等國家對恐怖威脅的預警一般分為三級，如美國為公告預警、升級預警、緊急預警，俄羅斯則以藍、黃、紅3種顏色，從低到高進行級別劃分 [14]。我國網絡空間戰略預警可參考國際恐怖威脅預警的通常做法，進行藍、黃、紅分級，并根據不同等級提出相應的應對措施。藍色預警主要針對重大漏洞發現、境外發生重大網絡攻擊，有可能對我國網絡安全造成較大危害的情況；黃色預警主要針對危害性大的病毒蠕蟲傳播、黑客組織對我國實施的較大規模網絡攻擊，將造成重大危害的情況；紅色預警主要針對敵對勢力、恐怖組織對我國網絡基礎設施、事關國計民生重要信息系統實施的大規模擾亂癱瘓攻擊，預期后果特別嚴重的情況。

（六）發揮互聯網企業作用，建設網絡空間戰略預警隊伍

增強互聯網企業在網絡安全領域的使命感和責任感，共同促進互聯網產業的持續健康發展，確保企業穩健成長，這既是企業奮斗的目標，也是國家發展的需要。網絡空間安全戰略預警宜發揮互聯網企業在網絡空間測繪、漏洞挖掘、網絡安全監測、大數據分析等方面的技術、產品、數據、人才優勢，建成覆蓋事關國計民生重要網絡、全面應對網絡空間各種重大威脅、快速處置重大安全事件的網絡空間安全戰略保障隊伍。