御安信息叶翔：互联网监测监管是实现威胁暴露面管理的前提和基础

AQNIU

随着新一代互联网技术的快速发展，企业组织业务发展对网络的依赖程度越来越高。然而，互联网的不稳定性和攻击风险也日益增加。为了保证网络系统的稳定运行和安全性，加强对互联网的监测监管已经成为国家网络安全战略层面的重点要求，也是企业数字化转型安全开展的关键因素。

浙江御安信息技术有限公司长期专注于互联网监测监管技术的研发与应用，基于“内控风险、外防威胁”的防护理念，公司目前已全面构建一套数字资产安全风险动态治理体系，包含了威胁的发现、识别、保护和响应等多种能力要素。日前，安全牛采访了御安信息总经理叶翔先生，从互联网监测监管的价值、流程、挑战和方法等维度，围绕企业开展互联网监测监管工作中的一些常见问题进行了讨论。

叶翔认为：随着威胁形势的不断变化，企业组织只有采用主动的风险管理心态，创建一个能够更加全面反映实际安全风险态势的威胁管理流程，才能真正降低重大安全事件的数量和损失。而开展互联网监测监管不仅是企业数字化安全发展的保障，更是做好持续威胁暴露面管理的前提和基础。

叶翔

现任浙江御安信息技术有限公司总经理，北京大学软件与微电子学院硕士，长三角优秀首席安全官，高级工程师，浙江省网络空间安全协会专家委员会委员、浙江省公安厅等保定级评审专家，超过20年通信与网安从业经验。曾就职于中国联通、中国电信、中国建设银行和华数集团。资深网络安全团队负责人，熟悉通信和网安行业，具备丰富的科技企业运营管理经验及人脉资源。参与组织建设中国下一代互联网等大型网络，曾获中国联通和广电行业科技进步一等奖。

01

安全牛

目前我国互联网监测监管工作的开展情况如何，对于普通的企业组织，是否也有必要积极开展互联网监测监管工作？

叶翔

加强对互联网的监测监管，不能仅停留在国家监管层面，而是应多维度、多层面的开展。从目前的监管实际情况来看，从国家、省、地市直到县，各级网信、公安、工信等行业主管部门都有在组织开展的互联网监测监管工作。同时，很多条线化管理的行业，例如金融、教育、医疗、能源等行业的信息化主管部门，也都在逐步建设相关监管能力，对本行业中的单位和组织提出了检测监管要求。

我们认为，企业组织积极开展自身的互联网暴露面监测工作，能够早于监管通报就发现问题并采取措施进行防范和应对，可以更好的保护企业互联网资产安全，同时提升合规能力，避免法律风险。对于广大的企业组织而言，需要全面了解互联网监测监管工作的意义和价值，才能积极应对主管部门的监测监管要求。

除了提升合规性和加强防御，企业开展互联网监测监管对实现自身的互联网暴露面管理也是非常重要的，特别是拥有多个分公司、子公司的集团型企业，建设集团内部的监测系统，能够更早的发现问题，在监管机构的通报甚至现场处置到来之前就有效解决问题是很有意义的。

02

安全牛

您认为企业应该如何有效开展互联网监测监管工作？有哪些重点的要求和环节？

叶翔

在实现互联网监测监管的技术路线和理念上，我们认为外防威胁和内控风险是开展互联网监测监管工作的两个重要方面。

外防威胁指的是通过流量监测来识别和应对外部的攻击和威胁。木马、病毒等攻击或威胁往往通过网络流量传输，因此监测流量发现这些攻击和威胁的迹象。通过掐断恶意流量，可以阻止这些攻击对系统的影响，实现外防风险的目标；

内控风险主要是指在没有实际攻击发生之前，通过对自身进行攻击面管理，提前发现并解决潜在的风险。这可以通过模拟黑客攻击进行资产扫描和渗透测试来实现，从而发现自身的漏洞和薄弱点，并采取相应的措施进行修补和规避。

03

安全牛

组织在开展互联网监测监管工作时会遇到哪些困难和挑战?

叶翔

互联网具有广泛的覆盖面，点多面广，纵横交错。除了四大运营商，还有许多小型电信服务提供商（ISP），它们之间形成了一个网状结构，因此很难通过一个特定的点就完全管理整个网络。

特别是随着云计算时代的到来，企业网站系统的位置实际上并不局限于某个辖区内。例如，一个位于河南的网站公司可能托管在阿里云上，而阿里云的物理位置可能在浙江。此外，阿里云并不仅仅在浙江设有节点。那么，用户可能无法确定其网站的真实物理位置。这就导致了互联网监管的困难，因为辖区归属地的管理方式无法完全适应现实情况。在传统的专线连接中，公司的位置通常与所在地相符。

在技术层面上，互联网监测监管过程中的情报信息整合也是一个难点，涉及海量数据的关联。现在各个系统往往是独立运作，各自为战，缺乏有效的协同合作。然而，系统之间的联动和信息共享对于溯源和准确判断攻击来源非常重要。如果不同地区的系统都能够联动匹配，就能更准确地了解攻击行为的来源。因此，加强系统之间的联动和海量数据的关联以及多个厂商的情报协同审核，对实现高质量的互联网检测监管工作很有意义。

04

安全牛

持续威胁暴露面管理（CTEM）是一种主动式威胁发现和防御的新思路，强调了在全面资产识别的基础上，持续地进行威胁监测、响应与处置。您认为，CTEM和互联网监测监管之间有什么内在的关联和差别？

叶翔

CTEM主要是针对企业自身威胁暴露情况的监测和管理，包含了5个常规动作：资产范围界定、问题发现、优先级排序、业务验证、行动，企业在发现问题后，是需要识别这个问题的严重性，并解决问题的，就是我们通常说的风险管理闭环。

而对于监管部门而言，只需要前面2步就可以了，发现问题，界定这个问题是哪个被监管单位的，通知就可以了。虽然说网络监管单位也有闭环，当企业报告问题已经解决后，会开展复测，但是解决问题并保证业务正常，这是由企业自己来完成的。

因此可以这样理解：CTEM是一套实现网络风险管理的组合拳，而互联网监测监管技术，可以认为是这套组合拳里面的前面2拳，也是企业开展持续威胁暴露面管理的前提和基础。

05

安全牛

目前有哪些技术手段和工具，能够帮助组织更有效开展互联网监测监管工作？

叶翔

我们认为，开展互联网监测监管工作需要从流量检测和重要资产监测两大方面着手。

首先是流量检测，对于互联网来说，流量是主要的考量因素。从地方的角度来看，属地机构负责管理通过其辖区的所有流量。因此，对流量进行收集和检测非常重要，这种方法可以检测是否存在攻击或病毒等问题。

再者，重要资产的主动监测。主要是为了解决某些资产位于非本地的情况。重要资产主要指系统和信息系统，包括网站和应用程序等。主动监测的目的是评估风险，即确定系统是否容易受到攻击，并进行风险量化评估，评估风险的大小。特别是云化后，传统的流量检测方法无法检测到这些资产，重要资产的监测与所在单位的归属地有关，必须使用主动探测的方法。

通过实践发现，要做好互联网监测监管并不容易，在此之前企业一定要做好相应的技术储备，并积极利用一些创新技术。同时，企业还应该结合运营商的数据环境，部署多场景的统一监管平台。并根据自身的需求，选购定制化场景的监测和监管平台。

互联网监测监管是国家网络安全战略层面的需求，而监测监管技术类似于“蛇的7寸”，是数据安全建设的关键点，未来会成为国家最重要的关注对象之一。从技术发展角度看，互联网监测监管需要不断适应互联网的未来发展。例如，支持IPv6的监测和监管设备至关重要。尽管IPv6已经存在多年，但监测和监管设备必须能够兼容这种新的互联网协议。随着5G等新协议和技术的应用，重点仍然是监测监管技术的适应性和被监管对象的需求。

06

安全牛

御安信息目前在实现互联网监测监管方面有哪些进展？

叶翔

我们目前在面向网络空间告警日志规模爆炸导致的告警过载，针对大规模告警日志信噪比低导致的告警失焦的关键问题方面，提出了一种智能的算法用于生成可解释的多模态网络安全事件降噪基线，能够自适应的生成事件降噪基线，过滤低质量事件，缓解事件研判中的信息流依赖爆炸问题。

目前的实践数据显示，该技术针对网络空间安全运营中心的大规模网络空间告警日志的有效降噪压缩率可达99%以上，告警事件研判自动化水平大幅提升，安全运营中心人工处置成本平均下降70%以上。

此外，御安信息在城市级、省级乃至国家级网络空间安全管控治理方面，为了应对精细化、精准化、协同化、全局化的工程应用挑战，提出场景化的风险偏好学习模型，融合数据上下文与专家偏好、知识经验，实现人机协同的网络空间威胁治理平台化方案，较好提升了关键信息基础设施的风险管控能效；同时还实现了经验与数据融合的人机协同狩猎机制，结合全局的、协同的网络空间风险智能决策与安全能力精细化编排，响应指挥过程的自动化、智能化、协同化水平大幅提升。