安全监控管理系统，网络管理系统有哪些功能呢？

网络管理系统应能对被管设备进行监控和管理，反映、记录网络性能与网络异常情况，帮助网络管理员实时了解网络状况，并能迅速发现和解决网络问题，保证网络的稳定运行。国际标准化组织对网络管理系统的功能进行了定义，将其划分为配置管理、性能管理、故障管理、安全管理、计费管理5项。

1. 配置管理

配置管理( )用于初始化网络与配置网络，使网络能够提供服务。在网络管理中，网络的各个节点被抽象为一一个或多个对象，通过配置管理功能，可辨别、定义、控制和监视被管对象，实现某种特定功能，使网络性能得以发挥。

配置管理主要实现以下内容。

(1) 配置信息的自动获取

当网络具备一定规模时，被管设备数量众多，配置信息数量巨大，若以人力手动提取配置信息，既要求工作人员熟悉网络结构，又无法保证信息的正确性，因此，网管系统应具备自动获取配置信息的功能。

(2) 自动配置和备份

当有新设备添加到网络时，该设备需经过配置才能使用或提供网络服务。为了保证配置的正确性考证含金量排行榜，减少人工工作量，网络管理应具备自动配置功能。系统出现故障时可通过恢复备份减少损失，因此定期对系统进行备份是网管系统应具备的功能，此功能仍应自动实现。

(3) 配置一致性检查

大型网络中的设备可能由多名管理员管理，设备的配置亦由多人完成，再加上其他因素的影响，就可能导致设备的配置不一致，进而影响网络功能。因此，网管系统应能对整个网络的配置情况进行一致性检查，以统一网络配置，保证网络功能的正常提供。

(4) 记录功能

网络配置与网络安全息息相关，用户对网络的配置操作应被记录与保存，以便管理员了解用户对系统所做的更改。

2. 性能管理

性能管理( )通过对被管网络和其所提供服务进行监测，对监测过程中采集的数据进行分析，以评估系统资源运行状况和通信效率等性能。性能管理所包含的典型功能如下。

(1) 性能监控

由用户定义被管对象及其属性，定时采集被管对象的属性数据，自动生成性能报告。

(2) 阈值控制

针对不同的时间段和性能指标，为每一个被管对象的属性设置阈值，并提供相应的阈值管理和报警机制。

(3) 性能分析

对监测过程中采集的历史数据进行统计、整理和分析，计算性能，结合性能指标判断网络与资源性能，为网络管理提供参考。

(4) 可视化的性能报告

对性能分析结果进行记录和处理，生成性能趋势曲线，以图形形式直观地反映性能。

(5) 实时性能监控

可实时采集数据，并能对数据进行分析和可视化处理。

(6) 网络对象性能查询

可通过列表或关键字检索被管对象及其属性的性能记录。

3.故障管理

故障指严重影响网络正常运行的差错。为保证网络的稳定，网管系统应具备故障管理功能，以便在网络出现故障时迅速找到故障、隔离故障或排除故障。故障管理( )主要包含以下模块。

(1) 故障检测

主动探测或被动接收网络上的各种事件信息，识别出与网络和系统故障相关的内容，对其中的关键部分进行跟踪，生成网络故障事件记录。

(2) 故障报警

接收故障检测模块传来的报警信息，根据报警策略驱动不同的报警程序，以报警窗口、短信或电子邮件等形式向管理人员发出网络严重故障警报。

(3) 故障排错工具

对被管设备的状况进行实时监测与记录的一系列工具，可为技术人员分析和排错提供依据，并根据已有的排错经验为管理员提供排错提示。

(4) 故障信息管理

对网络中可能产生的故障进行定义，对已发生的故障进行记录，同时记录与故障相关的信息，构造排错行动记录，以反映故障从产生到排除的整个过程。

4. 安全管理

安全管理( )是网络中备受关注的环节，也是最薄弱的环节。用户对网络安全的要求非常高，安全管理至关重要。网络安全管理分为对网络管理本身的安全管理和对网络对象的安全管理。

(1) 网络管理本身的安全管理

对网络管理本身的安全管理安全监控管理系统，网络管理系统有哪些功能呢？，指避免侵入者通过侵入网络管理过程，进而非法获取、泄露、篡改与伪造信息，破坏网络安全。此种安全管理由以下几种机制保障。

①管理员身份认证。对管理员用户采用基于公开密钥的证书认证机制;对信任域内的用户采用简单口令认证。

②管理信息存储和传输的加密。网络管理服务器采用安全套接字层( SSL )传输协议与外界传输数据安全监控管理系统，保证管理信息的加密传输和完整性;采用加密技术存储机密信息(如登录口令等)。

③管理员用户分组与访问控制。将网管系统的用户(即管理员)按任务的不同进行分组，不同分组的的用户具有不同的权限，未授权的用户不能非法管理和访问系统资源。

④公系统日志分析。记录用户的所有操作，使系统和网络对象的变更有据可查。

(2) 网络对象的安全管理

网络对象的安全管理需要利用各层次的防护机制，包括防火墙、入侵检测、认证与加密、防病毒等，以减少非法入侵事件的发生，主要包括以下具体内容。

①控制与维护对网络资源的访问权限。

②安全服务设施的建立、控制和删除。

③与安全措施有关的信息(如密钥)分发。

④与安全有关的事件通知。

⑤与安全有关的网络操作的记录，以及记录的维护与查阅。

⑥网络防病毒。

5. 计费管理

计费管理( )用于监视与记录用户对网络资源的使用情况，以计算网络运行成本与用户应付费用，或统计网络资源使用情况。网络资源主要包括网络硬件、软件与服务，计费管理功能主要包含以下模块。

①网络资源使用情况统计。

②收费计算。

③用户账单。

④网络运营成本与资费变更。

⑤数据管理和维护。

国家安全管理网，践行总体国家安全观，推动网络安全漏洞治理体系建设

文│中国信息安全测评中心 曹明 任望

自诞生以来，漏洞就是黑客攻击的主要武器来源、网络安全的防护焦点、攻守对抗的核心所在。漏洞对于网络空间的安全举足轻重。对漏洞的管理，我国一直坚持“统筹发展与安全”的理念。2021 年印发的《网络产品安全漏洞管理规定》，不仅规范了漏洞发现、报告、修补和发布等行为，同时也鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作，以达到维护国家网络安全的最终目的。

漏洞作为网络空间安全的重要资源，涉及到全球信息技术产业，建立一个互利的漏洞管理国际合作机制，对漏洞资源进行共享和管控是国际通行惯例。但也有国家以本国安全优先为由，对此层层设限。5 月 26 日，美国商务部产业和安全局（BIS）发布了针对网络安全领域新的出口管制规定《信息安全控制：网络安全物项》。该规定以所谓国家安全和反恐为由，要求美国实体（如互联网企业）与中国政府等相关的组织和个人就网络安全漏洞合作时，要事先通过美国商务部审核；并新增了漏洞检测分析等技术产品针对我国的出口限制。此种限制实质上是美国科技方面的技术封锁在信息安全领域的延伸，这不仅破坏了国际网络安全领域长久以来的漏洞分享机制，而且加剧了网络空间安全形势的恶化，更是对别国安全利益的严重威胁和对现行国际规则的肆意践踏。

我国对漏洞管理一直秉持开放合作态度，2020年 9 月，我国提出《全球数据安全倡议》，呼吁全球各国秉持共商共建共享理念，齐心协力促进数据安全。在当前复杂的国际形势下，我们应在总体国家安全观的指引下，加快建设完善国家漏洞库等管理平台，加强网络安全漏洞治理体系建设，防范和消控网络安全重大风险，保障国家网络安全，同时推进漏洞管理的国际合作，推动全球互联网治理体系向着更加公正合理的方向迈进。

一、国内外国家漏洞治理现状分析

防范漏洞风险威胁网络及国家安全，强化管理和法律手段是有效治理漏洞的关键，世界主要国家纷纷运营漏洞库，建立协同披露机制，加大漏洞出口限制力度，目的都是尽量让漏洞资源掌握在自己的手中。

（一）漏洞库成为主要国家漏洞资源管控模式，社区随意散播漏洞敏感信息现象突出。

一是西方国家率先开展漏洞库建设，开创漏洞资源管控模式。美国国家漏洞库（NVD）是最早由政府投入建设和政策扶持的漏洞库，利用其本国信息技术优势和平台影响力，建立漏洞报送合作机制，制定漏洞技术标准和规范，从早期本土主流厂商、安全公司及研究机构，逐步推广到各国重要合作厂商和机构、研究团队及个人向其报送漏洞，现已拥有全球范围的重要漏洞数据。NVD 表面上看是实行漏洞信息的公开披露，但存在一些选择性披露和滞后等问题。欧俄日澳等地区和国家积极效仿，基于网络安全应急响应体制机制，搭建漏洞库并建立漏洞收集渠道。

二是我国国家级漏洞库发展迅速，资源汇聚管理见成效。国家领导高度重视网络安全漏洞风险防范工作。2009 年，中国信息安全测评中心建设运营国家信息安全漏洞库（），广泛收集漏洞数据，合理运用社会技术力量支撑机制，分析研判漏洞危害，披露漏洞信息，化解漏洞风险，切实履行漏洞资源汇聚和消除重大隐患的职责。随着技术应用的发展和安全需求的扩大，工控、移动产品等专业漏洞库相继建设运营，定向通报漏洞信息，督促漏洞修复和处置，发挥着行业漏洞管理的积极作用。

三是社区或组织踊跃推出漏洞交流平台，个性收集发布呈乱象。境外某些拥有资助背景的开源社区、安全组织极力宣传漏洞奖励机制，制定漏洞报送及披露策略，收集指定漏洞，随意披露漏洞细节和利用代码等敏感信息，甚至指名道姓地发布漏洞定位，此类不负责任的披露已经给漏洞影响的系统和用户带来重大网络安全风险隐患，但仍处于法律灰色地带并未加以管控。

（二）各国相继推出漏洞披露制度，漏洞生命周期闭环管控机制有待完善。

一是美出台多项漏洞披露相关法案，旨在维护国家安全并降低政府业务系统漏洞风险。美国较早以法案和行政令等法律形式颁布漏洞披露策略，包括以情报机关主导的《漏洞裁决政策和程序》《补丁法案》，以及网络安全部门发布的《网络安全信息共享法》与有关漏洞协同披露行政令等，核心要义是为国家安全目的收集储备可武器化漏洞提供机制保障，同时也是为权衡相关利益方及应对大众对公开透明的要求提供政策支撑。欧盟今年推出的《协同漏洞披露策略》报告分析了美中及欧盟成员国漏洞披露政策，倾向借鉴美的做法，为漏洞发现者创造“安全港”，提出了在欧洲范围内跨境协同披露漏洞的体制机制及法律方面的建设意见。

二是我国积极建立健全漏洞管理政策法规，侧重确立漏洞利益相关主体的法律责任。我国《网络安全法》首先提出漏洞管理要求，明确漏洞发现、发布及处置的责任范围，最新执行的《网络产品漏洞管理规定》对《网络安全法》的要求做了进一步明确，从行业主管层面规范网络安全产品漏洞发现、修复、发布等行为和活动的责任义务，加强了漏洞报送和流通渠道管控，为全面开展漏洞治理制度体系建设打下坚实基础。

三是漏洞披露是漏洞生命周期中心环节，管控手段仅发力于此远不足以管制漏洞被攻击利用。从产生、发现、发布直到彻底消除，不同漏洞的生命周期长度和各环节的发展千差万别。事实证明，有的早期开发的 系统漏洞长存于代码中十几年未被发现，还有相当一部分零日漏洞被隐秘发现导致长期黑产利用或武器化。任何主体都有发现和利用漏洞的可能，覆盖漏洞全生命周期的管控才是漏洞治理一以贯之的正确方向。

（三）漏洞作为国家战略资源被各国限制出境，外流管控乏力导致漏洞风险居高不下。

一是美国首先制定漏洞出口限制法律条文，认定漏洞为国家战略资源。漏洞影响的安全范围涉及漏洞宿主的所有使用者，受影响者应享有同等防范或降低漏洞风险的安全权益。由美国主导的《瓦森纳协定》在 2013 年更新中明确限制“入侵软件”出口，所谓“入侵软件”实质上就是以漏洞为内核的数字武器，而我国正是该协议排除在成员国之外的禁运国。这项规定标志着以美为首的西方国家将漏洞正式界定到网络空间武器管控范畴国家安全管理网，同时也使漏洞武器化在一定范围内合法化。2022 年 5 月 26日，美国再次以国家安全视角，对《出口管理条例》网络安全条款进行了修订，新增了漏洞检测分析等技术产品针对我国的出口限制。此种限制看似是对本国安全利益的维护，而其实质加剧网络空间安全形势恶化，更是对别国安全利益的严重威胁和安全权力的肆意践踏。

二是我国加大数据出境安全要求力度，严禁向境外提供危及国家安全的漏洞。某些境外组织机构利用打比赛赢奖金的模式吸引漏洞发现者提交高风险漏洞，导致漏洞严重外流、安全风险加剧，为此网信部门及时有效应对，发布《关于规范促进网络安全竞赛活动的通知》，严格禁止以损害国家安全为代价向境外赛事提供漏洞等敏感信息，鼓励漏洞人才发挥技术特长积极保障国家网络安全。占领网络空间人才高地、引导漏洞研究力量朝着以维护国家安全为宗旨的方向发挥能力作用，是夯实网络安全基础的重中之重。

三是美数字大厂运用漏洞赏金荣誉张榜及技术合作等做法，刺激高级漏洞研究者持续为其贡献高风险漏洞。操作系统、云服务平台及芯片等核心基础软硬件大厂积极回购产品漏洞，通过品牌效应、推高漏洞价格争夺漏洞人才和市场，抓住安全提供者力求抢占漏洞应用市场先机的心理，利用共享漏洞成果等合作机制，积极获取高质量漏洞。这种漏洞回流的运作模式的确有助于改善产品安全性能，但此种现象也暴露出我国漏洞研究力量正处于失控状态。

二、漏洞治理面临数字化发展与产业链不完整多重挑战

一是我国数字革命加速演进与数字产业链不充分发展的矛盾，带来漏洞风险治理难度增加。我国正在加快数字化发展和数字中国建设，推进数字经济与实体经济深度融合。但实现数字产业链自主可控目标还将经过一个长期努力的过程，当前数字产业基础能力薄弱导致产业链不完整，加之国际局势动荡带来供应链不稳定因素，数字安全保障痛点随之加剧，漏洞风险治理难点问题更加突出。

二是网络资产数量巨大增量加速及资产底数不清问题依旧存在，带来漏洞风险辨识难以落位。网络技术的变革推动万物互联向着万物智联迈进，网络空间资产成指数级增长态势国家安全管理网，践行总体国家安全观，推动网络安全漏洞治理体系建设，特别是云上云下资产复杂交织、类型众多，工业互联网等关键信息基础设施网络可见，物理点位和网络地址对应关联使得数字资产被实名化，而与此同时，很多企业机构自身家底有待梳理摸清，防护强度和范围存在很大疏漏考证含金量排行榜，漏洞风险排查能力和手段有待完善提升。

三是数字产品漏洞评价指标及评估机制尚不完善，缺乏漏洞风险管控责任监督机制。数字产品生产进入组件化组装开发模式，大量开源通用组件功能完备，自主代码比例越来越低。随着智能化的进程，数字产品生产效率越来越高，产品研发正在朝着自动化配置化趋近，定制化代码比例日趋降低。开源通用组件如出现漏洞，导致链式影响，范围极其广泛。漏洞风险等级应成为开源组件首要质量评价指标，漏洞风险评估是监督数字产品安全性能提升的基础工作。

四是漏洞产业化发展不平衡，中上游出现的乱象是治理重点。不可避免的现实问题是漏洞的产业化。当前漏洞产业链可分为以漏洞发现为上游，漏洞交易和披露为中游，漏洞应用和利用为下游。漏洞市场受到黑产利益和政府支持的刺激，呈现出漏洞价格主导上游产出，加之漏洞生产工具购买和使用不受限，导致上游参与主体成分复杂不可控等问题。下游多以防护产品为主要产出，漏洞风险感知能力仍是短板，已知漏洞利用检测技术仍待攻关。如何让漏洞产业服务于国家安全，还需要加强治理和合理引导。

五是漏洞人才缺口较大，培养引导和激励全方位机制有待完善。我国拥有世界顶级漏洞发现人才，研究力量主要分散在资金雄厚的互联网企业，安全保障能力一流，但数量严重不足，院校培养和职业培训远远不能满足当前人才缺口。岗位设定和价值取向是漏洞研究最关心的问题，鼓励引导青年优秀漏洞人才服务国家安全是值得思考的重要议题。

三、落实国家安全要求，推动漏洞治理体系化能力建设

漏洞风险关乎国家安全，治理漏洞风险是维护国家安全和保障网络安全的必然要求，实现高水平漏洞风险治理自立自强，要重点着力在提高漏洞风险治理的整体层面、贯彻漏洞全生命周期管控治理理念、拓展国际合作、推动漏洞产业的创新发展、激发漏洞研究人才的综合价值。

一是把漏洞治理提升到国家安全层面，统筹漏洞治理体制机制建立健全。漏洞治理是解决非传统安全风险向传统安全风险传导问题的关键环节，是提升国家安全治理能力的基础，更是维护国家安全的重要战略任务，狠抓漏洞治理就是筑牢网络安全根基。网络互联互通，数据无处不在，看似不起眼的漏洞可以毁掉宏大的数字工程。漏洞治理的关键和根本，是要依赖国家安全层面统一部署的工作机制，明确漏洞治理职能，构建基础研究、发现检测、风险评估及人才管理等治理能力，统筹推进漏洞风险治理体系建设，实现漏洞风险有效管控。

二是贯穿漏洞全生命周期各环节细化管控制度，强化落实相关方责任。漏洞虽不可避免，但采取有效的管理和技术手段可以减少漏洞产生的数量、降低漏洞风险的等级，改善数字产品安全性能。建立数字产品漏洞风险评估机制，规范漏洞风险等级标准，组织可靠力量分级分批深挖细排。建议在已有安全审查机制基础上，增强漏洞风险动态评估机制。明确数字产品提供者使用者等相关方漏洞排查和修复的责任和要求，专业机构协同检测评估处置，实现漏洞全生命周期覆盖管控。

三是倡导全球数字产业高质量发展，促进国际合作共同构建漏洞治理体系。数字化转型是全球经济发展趋势，全球数字供应链相互交织，单方面断供禁售不符合协作共赢的发展理念，提供高质量数字技术、以负责任的态度持续保障产品安全性能才是拓展国际市场的长远之计。特别要与核心基础数字产品供应方建立漏洞信息及时共享的保障机制，共同创建国际通用的漏洞规范标准，引领国际漏洞治理体系新规则，实现安全权益最大化。

四是营造良好的漏洞产业发展环境，推动漏洞技术攻关和应用创新。漏洞产业是漏洞风险治理的重要支柱力量，在严厉打击黑产链条基础上，合理引导上游产出，加大中游参与主体准入和监督力度，运用政策支持鼓励下游企业积极应用创新，规划布局产业整体发展方向，有力提升产业效能，充分发挥产业漏洞治理的重要作用。

五是加快建设漏洞人才战略力量，突出人才价值体现，发挥人才队伍主观能动性。网络空间安全博弈既是攻防较量，更是人与人的对抗，漏洞人才是维护国家安全和提升技术优势地位的战略资产。我国漏洞人才面临严重不足和合理利用双重挑战，既要从娃娃抓起，建设漏洞学科体系，培养致力于投身国家安全的高素质人才，又要正向引导社会人才队伍积极技术攻关，同时统筹漏洞人才职业教育，激励人才学以致用，吸引更多有识之士投入到漏洞治理行动中来。

漏洞治理为国家安全赋能，是保障数字经济国家战略顺利推进的一把利剑，是网络安全能力提升的关键环节，大力推动漏洞风险治理体系建设势在必行。维护国家安全是每个公民应尽的义务，作为安全从业者，攻克漏洞治理这一最具挑战的课题，既是责任担当更是初心使命。

（本文刊登于《中国信息安全》杂志2022年第6期）