第一节 网络安全监测与信息收集

一、《网络安全法》相关规定及释义

《网络安全法》第二十一条第三款要求网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。《网络安全法》第二十六条通过列举方式界定了网络安全信息的范围。《网络安全法》第五十一条明确要求国家建立网络安全监测预警和信息通报制度。实践中，要求国家安全、公安、工信、国家保密行政管理、国家密码管理等有关部门，网络运营者，关键信息基础设施的运营者，省级政府有关部门、机构和人员等采用技术手段实时监测其运营或主管的信息系统网络运行状态，及时收集和发现异常的网络安全事件及相关信息，如网络安全态势感知、脆弱性、入侵攻击事件及如何减少危害的信息等。

（一）网络安全监测的概念及其分类

网络安全监测，是指采用技术手段对网络与信息系统进行实时、动态且持续性的监控，以全面掌握网络的运行状态，发现网络入侵、攻击等网络安全风险的活动。网络安全监测是及时准确预警的前提和基础，通过监测研判的结果能够为预警提供科学的依据。全国网络安全标准化技术委员会《网络安全技术网络安全监测基本要求与实施指南（征求意见稿）》第4.2条规定，按照监测目标的不同，网络安全监测分为以下四类。①网络安全事件监测：对具有损害业务运作和威胁网络安全的事件，按照网络安全事件不同分类、分级要求，分析识别并进行展示与告警；②运行状态监测：对监测对象的运行状态进行实时捕捉，如各类设备和系统的可用性状态信息；③脆弱性与威胁监测：对监测对象的脆弱性、威胁进行评估分析，发现资产所面临的安全风险；④策略与配置监测：对各类设备和系统安全策略和配置信息进行核查分析，评估安全合规性情况。

（二）网络安全监测信息的来源

《国家网络安全事件应急预案》明确要求，各有关部门按照“谁主管谁负责、谁运行谁负责”的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省（区、市）网信部门结合本地区实际，统筹组织开展对本地区网络和信息系统的安全监测工作。各省（区、市）、各部门将重要监测信息报应急办，应急办组织开展跨省（区、市）、跨部门的网络安全信息共享。由此可见，网络安全监测预警和信息通报制度所涉及的网络安全信息来源于各有关部门的网络安全监测过程，即网络安全信息的来源主要包括自主监测信息和外部情报信息。参照工信部《互联网网络安全信息通报实施办法》和《公共互联网网络安全威胁监测与处置办法》，以及美国国家标准与技术研究院（National Institute of Standards and Technology, NIST）2014年发布的《网络威胁信息共享指南（草案）》[Guide to Cyber Threat Information Sharing（Draft）]的相关规定，具体包括以下内容。

（1）自主监测信息，即由国家和地方政府有关部门、网络运营者、关键信息基础设施运营者等采用技术手段在对网络与信息系统进行实时、动态且持续性监控的过程中所获取的网络安全事件及潜在风险的相关信息。该类信息的来源包括入侵检测和防护系统、安全信息和事件管理产品、防病毒软件和文件完整性检查软件的警报，操作系统、网络、服务和应用的日志等，如异常的网络行为、DNS日志、防火墙溢出、Web代理日志、网络/Http日志。

（2）外部情报信息，来源于国家网信、公安、工信等政府有关部门，计算机应急响应小组，网络安全企业、科研机构及公众平台（如国家网络安全漏洞共享平台、乌云漏洞平台等）提供的网络安全情报信息，在特定领域内建立信息共享合作伙伴关系（如金融、电力、医疗等行业获得同样安全信息），以及从提供类似威胁情报和其他收费增值能力的商业网络威胁情报服务供应商处获得相关信息等。此外，还可通过互联网访问的公开安全信息公布危害指标信息、黑名单、恶意软件和病毒信息、垃圾邮件发送者名单，以及其他新出现的威胁等信息。

（三）网络安全信息收集的内容

《网络安全法》第二十六条通过列举方式界定了网络安全信息，包括系统漏洞、计算机病毒、网络攻击、网络侵入等，这是从网络安全信息的技术类型角度给出的定义，体现了网络安全信息承载网络安全风险的基本功能。《网络安全法》第五十一条明确要求国家网信部门统筹协调有关部门加强网络安全信息收集工作，关键信息基础设施的运营者、省级政府有关部门等应当实时监测其运营或主管的信息系统网络运行状态，及时收集和发现异常的网络安全事件及相关信息，如网络态势感知、脆弱性、入侵事件及如何减少危害的信息等，尤其是涉及国家安全、公共健康和安全、国民经济及公众信心的已经发现或潜在的安全漏洞或网络威胁事件，并应当及时准确地掌握各种深层次、前瞻性的情报信息，以准确把握事件发生的规律和动态。具体而言，根据工信部《互联网网络安全信息通报实施办法》、《公共互联网网络安全威胁监测与处置办法》，以及美国2015年《网络安全信息共享法》等相关规定，网络安全信息收集的内容应当包括以下方面。

（1）安全事件信息：关于成功的或未遂的网络攻击的细节信息，包括丢失的信息、攻击中使用的技术、攻击意图、造成的影响等。安全事件所涵盖的范围从一次被成功封阻的攻击到造成严重国家安全危机的攻击。

（2）威胁信息：包括尚未认识清楚但可导致潜在严重影响的事项；门户网站、域名解析服务系统等网络基础设施发生阻断、瘫痪、拥堵、数据泄露、解析异常、域名劫持等异常情况；感染指标，如恶意文件、被窃取的电子邮箱地址、受影响的IP地址、恶意代码样本；关于威胁实施者的信息。该类信息有助于发现安全事件，从攻击中吸取教训，创造解决方案等。

（3）漏洞信息：软件、硬件、商业流程中可被恶意利用的漏洞。

（4）态势感知信息：此类信息包括对被利用漏洞、活跃的威胁、攻击的实时遥测，还包括攻击目标、网络状况等信息，能够帮助决策人员响应安全事件。

二、网络安全监测与信息收集的制度概述

（一）美国网络安全信息收集的立法实践

美国2003年《保护网络空间国家战略》（National Strategy to Secure Cyberspace）要求联邦政府应当在政府和非政府中与网络空间安全有关的核心网络运行中心内安装网络预警和信息网，以供传播分析和预警信息，并负责完成危机协调工作。2006年《国家基础设施保护计划》（National Infrastructure Protection Plan, NIPP）提出了构建关键基础设施伙伴网络，共享国家基础设施相关预警信息，这一网络的核心是国家通信平台——国土安全信息网络（Homeland Security Information Network, HSIN）, HSIN是由州和地方授权机构开发的涉及综合各种危害因素信息的共享通信系统，它连接了50个州、5个地域机构、华盛顿特区、50个主要城市区域。HSIN是通过通信、协调和信息共享等方式来加强国家关键基础设施保护，确保在其关键基础设施领域内或领域间，建立一个安全的、加密的且仅供官方使用的通信网络。

具体而言，美国加强对网络安全事件的监测和信息收集主要有3种方式。①建立可信互联网连接，通过减少和整合联邦政府信息系统互联网外部出口连接数量，提高对互联网出口的监测和态势感知能力，加强对互联网出口的监测和管理。②部署爱因斯坦系统，为US-CERT和CERT团队提供实时的、更强的网络安全事件检测、收集、应急处置和报告的能力。③提高自动化管理水平，美国要求各联邦政府机构应具备监控安全相关信息的能力，这种能力应该是持续的、可管理及可控制的。为了实现这一目标，美国要求各政府机构加快安全相关行动的自动化进程并开发自动化的风险模型，以便在安全管理工具中将风险模型应用于系统弱点和威胁的识别。

（二）欧盟网络安全信息收集的立法实践

2005年《保护关键基础设施的欧洲计划》（The European Programme for Critical Infrastructure Protection, EPCIP）提出建立关键基础设施预警信息网络，以安全的方法为最好的实践交流提供一个平台。2009年《关键信息基础设施保护——保护欧洲免受大规模网络攻击和中断：预备、安全和恢复力的通信》（Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions on Critical Information Infrastructure Protection “Protecting Europe from Large Scale Cyber-Attacks and Disruptions: Enhancing Preparedness, Security And Resilience”）中进一步提出五个支柱以应对关键基础设施面临的挑战，其中要求建立适当的早期预警机制和欧洲信息共享和预警系统，以落实检测和响应的具体要求。

此外，监测预警是欧盟应对网络攻击最主要的治理机制。针对网络攻击的监测是指在欧盟层面和各成员国层面通过单项指标预警与综合指标预警等两种方法，以及其他技术手段对网络攻击与信息系统攻击中的异常现象进行监测报告，并在此基础上建立针对网络系统和信息系统攻击的走向趋势的预判。在欧洲议会和欧盟理事会《关于信息系统攻击并取代理事会第2005/222/JHA号框架决定的第2013 /40 /EU号指令》（Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on Attacks against Information Systems and Replacing Council Framework Decision 2005/222/JHA）中，对信息系统攻击的监测预警主要体现在两个方面：监控与统计（Monitoring and Statistics）、信息系统漏洞的检测与报告（Information System Vulnerability Detection and Reporting）。其中关于信息系统网络攻击的监测机制主要是与犯罪有关的数据的监控及统计，具体是指在涉及非法访问信息系统、非法系统干扰、非法数据干扰、非法拦截和用于犯罪的工具等犯罪时，各成员应记录（Recording）、生成（Production）并提供（Provision）与此类型有关的犯罪统计数据及以该罪行起诉并定罪的人数。值得注意的是，欧洲议会和欧盟理事会指出，统计的数据应该遵从最小化原则，即监控与统计的数据应该符合比例原则，不得收集涉及公民的个人隐私等与犯罪无关的不必要信息。

三、网络安全监测与信息收集的法规遵从框架及建议

根据《网络安全法》及相关法律法规的要求，一方面，建设和运行网络安全威胁监测处置平台，实现对国际出入口、境内骨干网络核心节点的网络安全威胁监测，能够有效提高对各类网络攻击威胁和安全事件的及时发现、有效处置和准确溯源能力。另一方面，通过多种方式收集多种类型的数据，以及遵从网络安全监测日志的最低存留期限要求都是企业应当重点关注和履行的法规遵从义务。

网络安全监测与信息收集的法规遵从框架如表7-1所示。

针对网络安全监测与信息收集的法规遵从建议，表7-2梳理了网络安全监测信息采集、存储及实施过程当中的技术、环境和性能等具体要求，以及网络运营者在履行网络安全监测与信息收集义务时应当重点关注的方面。

四、监督管理与法律责任

《网络安全法》第八条第一款规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体而言，为了协调国家有关部门网络安全监测和信息收集工作的协同性和一致性，《网络安全法》第五十一条规定，国家网信部门应当统筹协调有关部门加强网络安全监测和信息收集工作，这是由网络安全管理工作的特点决定的。网络安全管理工作涉及诸多相关部门，包括国家安全、公安、工信、国家保密行政管理、国家密码管理等，而网络安全信息来源分散、数据体量大，要求上述各有关部门除了在其职责范围内负责落实网络安全监测与信息收集工作之外，还要加强各部门相互之间的沟通协作，接受国家网信部门在网络安全监测与信息收集工作方面的统筹协调。此外，工信部《公共互联网网络安全威胁监测与处置办法》规定，工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。

在法律责任方面，针对违反网络安全监测与信息收集的相关规定，没有按照《网络安全法》第二十一条第三款规定的最低期限进行监测日志留存的，由网络运营者的有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。