概述

《信息安全技术 关键信息基础设施安全保护要求》中，针对关键信息基础设施的活动环节中包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面，其中对监测预警层面提出了六项管理制度要求和十一项技术要求。

制定并实施网络安全监测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁及时进行预警通报。建立监测预警体系能及时发现和处置网络安全威胁，提高监测覆盖面和准确度，能提升网络应对风险能力，减少安全事件的发生，保障国家和人民群众的利益。

(资料图片仅供参考)

本文通过对《关基保护要求》中的关键信息基础设施监测预警关键点进行整理总结，可供关键信息基础设施落实安全监测预警建设工作时参考。

关键信息基础设施网络安全技术要求

关键点总结

在关键信息基础设施安全保护要求监测预警中明确提出关于制度建设、监测和预警三个方面技术要求，具体如下：

制度建设要求

关键信息基础设施的安全保障需要建立和落实多项机制，包括常态化监测预警、快速响应机制、通报预警及协作处置机制、沟通与合作机制、信息共享机制等。关键点总结如下：

1. 根据关键信息基础设施保护工作部门网络安全监测预警和信息通报的要求，制定符合自身的监测预警和信息通报制度。明确预警信息分级标准，如将预警信息分为四级，分别对应发生或可能发生特别重大事件、重大事件、较大事件和一般事件等，明确不同级别预警信息报告和处置流程，定期召开协调会议，共同研判、处置网络安全问题，同时建立和外联单位联系列表，包括外联单位名称、合作内容， 联系人和联系方式等信息，以便在发生安全事件时能够快速响应。

2. 建立并关注与关键信息基础设施保护工作部门、研究机构等网络安全信息共享渠道，常态化收集漏洞信息和安全事件，如：关注CICSVD国家工业信息安全平台最新发布的漏洞信息、国外CICSVD工业互联网安全应急响应中心安全事件等，建立完善的共享机制，共享漏洞信息、威胁信息、最佳实践、前沿技术等。

监测技术要求

保障关键信息基础设施的网络安全需要从多个维度建设完善的安全监测预警体系，包括攻击监测、系统监测、日志收集与分析、安全态势分析等，关键点总结如下：

关键信息基础设施运营者应采取监测预警技术措施，以满足以下要求：

1. 应在关键节点部署攻击监测设备，对关键业务所涉及的系统进行监测，并采取保护措施，以防止网络攻击和未知威胁。如：在核心交换机或网络出口部署入侵检测、高级威胁感知等相关安全设备，实现对网络流量检测，及时发现网络攻击行为和未知威胁。同时，应注意保护监测信息，避免信息遭受未授权的访问、修改和删除。

2. 应分析系统通信流量或事态的模式，建立常见模型，并使用这些模型调整监测工具参数，以减少误报和漏报；如：在工业现场网络当中可以通过建立工业协议指令白名单，生成基于业务指令的安全防护策略，对不符合工业现场业务指令的数据进行告警，从而减少误报告警，并对网络设备日志、安全设备告警日志、主机系统操作日志分析和集中存储，满足日志集中存储6个月技术要求。

3. 采用自动化机制，整合分析监测信息，分析关键信息基础设施的网络安全态势，构建动态感知能力，实现对资产态势的脆弱性、威胁进行分析和联动处置。同时，将涉及的各类信息进行关联分析，包括不同存储库的审计日志、系统审计记录信息与物理访问监控的信息等，以加强整体安全态势分析。

4. 通过对资产和网络态势监测预警分析结果来安全态势和安全策略的有效性，必要时及时更新安全技术措施。

预警技术要求

保障关键信息基础设施的网络安全预警包括自动报警、信息分析、内部预警、安全预警信息获取等要求，关键点总结如下：

1. 建立自动化的报警机制，当发现可能危害或影响关键业务的安全威胁时，安全防护设备或软件能够自动弹出对话框或发出声音等措施及时向相关人员发出相应级别的报警信息，以便相关管理人员能及时响应处置。

2. 建立网络安全共享信息和报警信息机制，对影响较大的安全事件经过评估后依照信息通报制度对内部进行预警响应，当安全隐患得以控制或消除时，执行预警解除流程。

小结

关键信息基础设施安全保护要求一是明确开展监测预警工作的管理和要求。制定监测策略，明确监测对象、监测流程、监测内容，主动掌握威胁态势；明确不同级别预警信息的报告、响应和处置流程；建立综合评估机制，综合评估特定时间期限内的监测预警情况；构建完善监测预警和信息通报机制。

二是提升监测预警技术措施。监测预警能力的构建，发现网络攻击和安全威胁，与安全防护、事件处置、攻防对抗等业务活动信息共享，提高对安全宏观态势的掌控、分析和评估水平；有效的将平台、人员、制度、流程有机的结合起来，形成安全工作的闭环，实现安全运营工作的自动化，提高安全管理和运营效率；持续监测新技术应用的安全状态。

附表 ：关键信息基础设施安全防护产品及服务建议

关键词：