网络安全挂图作战之通报预警挂图作战

    新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力，需要建设网络安全保护平台，建设网络安全智慧大脑，利用大数据和人工智能等技术将网络安全业务上图，实施挂图作战。

    2020年3月24日，公安行业标准GA/T 1717—2020《信息安全技术 网络安全事件通报预警》发布。该标准规定了网络安全事件通报预警涉及的术语定义、流程规范及网络安全数据的分类方法、编码方法和标记标签体系，针对内网主机监测产品、异常流量检测和清洗产品、大数据平台安全管理产品、负载均衡产品、高性能网络入侵监测系统产品等安全产品，也提出了相应的安全技术要求。

    预警 warning：针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出的安全警示。[GB/T 32924--2016，定义3.5]

    通报 notification：为及时发现网络安全保护目标的风险和隐患，妥善处置网络安全事件而开展的重要工作。

    注：通报是国家网络与信息安全信息通报工作的重要组成部分。

    一是落实实时监测措施，建立完善网络安全监测机制，及时发现网络攻击、病毒木马传播、漏洞隐患等风险威胁，提升发现网络攻击的能力。

    二是落实信息通报预警措施，建立完善网络安全信息通报预警机制，对发现的威胁和风险及时进行通报预警，提升通报预警能力。

    三是落实重大事件处置措施，建立网络安全事件报告制度和应急处置机制，制定网络安全事件应急预案并进行演练，提升应对突发事件能力。

    四是落实技术应对措施，科学设计网络整体架构，对网络应用进行集中化、集约化建设，开展互联网暴露面治理，采取纵深防御措施，加强精准防护，及时发现、捕获和阻断攻击，提升技术对抗能力。

    五是落实协同联动措施，建立协同联动、信息共享与会商决策机制，提升联合应对重大威胁能力。

    六是实施“挂图作战”，研究网络空间智能认知、资产测绘、画像与定位、可视化表达、地理图谱构建、行为认知和智能挖掘等核心技术，绘制网络空间地理信息图谱，开发智慧大脑，实施“挂图作战”，提升整体实战能力。

随着网络安全保护工作的开展，网络安全威胁、事件、态势、线索及工作相关事项以文件/报告形式上传、下发的模式日渐成熟，形成了网络安全通报业务。在网络安全保护工作开展过程中，发现相关信息后，需要综合各类方法手段进行分析研判。经研判，如果相关事项较为重要，需要扩大知悉范围，就要以不同类型的通报形态上传、下发。相关事项由某领域权威部门面向更广大范围的受众发布，称为预警。预警一般是指针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出的安全警示。网络安全预警级别根据网络安全保护对象的重要程度和网络安全保护对象可能受到损害的程度，分为红色预警、橙色预警、黄色预警和蓝色预警。网络安全预警是一个动态过程，预警发布后，需要实时对网络安全事态进行监测，并根据实际情况对预警级别进行调整，直至威胁、风险消失时解除预警。通报预警挂图作战业务与要素如图所示。

图示　通报预警挂图作战业务与要素

    网络安全通报预警要素主要包括通报预警的主体（起草人、审核人和发布人），通报预警的内容（通知通报、态势通报、事件通报、威胁通报和专项通报），通报预警的受众（上下级单位、网络安全协调部门、网络安全监管部门、技术支持单位和社会民众），通报预警的流程（流程动作、过程判断、流程指令），以及事件和威胁（涉及网络安全事件的攻击源、被攻击目标、威胁事件行为活动、威胁事件分类分级）。

    通过对通报预警业务流程的梳理可以看出，网络安全通报预警负责人在处理相关业务时关心的主要问题如下。

• 需要进行通报预警的信息、事项有哪些？

• 经过分析研判，哪些信息、事项需要进行通报，哪些信息、事项需要进行预警？通报预警的理由或分析链条是怎样的？

• 通报业务流转情况如何？预警信息发布情况如何？

• 单一通报预警的详情如何？

• 通报预警的签收与反馈情况如何？

    实施网络安全挂图作战，必须从网络安全保护业务的实际需求出发，依托平台基础设施，通过面向分类业务的图层映射、要素提取与场景绘图，构建概览图、分级下钻图、解释图（涵盖流程图、关系图、逻辑图和各级地图），以丰富的图形展现网络安全保护平台信息数据，赋予作战“指挥官”判断、决策、指挥能力，支撑网络安全保护工作中等级保护、关键信息基础设施安全保护、安全监测、通报预警、应急处置、技术对抗、安全检查、威胁情报、追踪溯源、侦查打击、指挥调度等业务的开展。