隨著全球新一輪科技革命和產業變革的蓄勢興起，網絡空間與現實世界從過去的相互分離、逐步交叉開始走向全面融合，成為世界各國的“第二生存空間”和領土、領海、領空和太空之外的“第五疆域”，承載著越來越大的國家利益和戰略價值。國際上圍繞網絡空間的競爭日趨激烈，網絡空間攻防對抗強度不斷升級。在當前各國都加強網絡攻防建設的背景下，面對日趨嚴峻的國內外網絡空間安全形勢，我國迫切需要發揮覆蓋攻擊事件發生全過程的網絡安全預警、防御和追溯能力對提升網絡空間安全的重要前提作用，全面開展威脅監測、態勢感知、攻擊預警、安全防御和攻擊溯源等方面能力建設研究，實現重大攻擊威脅的提前發現、提前防御，有效防范和遏制網絡空間重大攻擊威脅，提升國家整體防御能力，捍衛網絡空間國際主權。

一、全球主要國家建設情況

國際上，美國、英國、俄羅斯等主要發達國家和地區紛紛加強網絡空間安全部署，從政府、軍隊、產業界等不同層面采取措施，建設監測預警和攻擊溯源手段。

1.美國：政府主導、軍方協同、業界支撐的多層次網絡空間態勢感知能力體系

美國通過建設大型國家性技術項目、突破關鍵技術，研發相關產品、支持網絡安全產業化發展等多種措施支撐其網絡空間態勢感知能力體系的建設。一是政府主導，部署國家級大型項目。通過《網絡安全國家行動計劃》（CNCI）的統籌部署，美國在整個聯邦政府網絡和公共互聯網絡上，開發并部署了多個安全監測和防護系統，進行檢測和基于威脅的決策分析。二是軍方協同，強調網絡空間的態勢共享和實時感知。通過對網絡空間多層數據的捕獲及快速分析，形成大規模的網絡安全監測和分析能力，并強調通過軍事網絡與各軍種和各戰斗司令部以及國土安全部實現態勢視圖的共享。三是產業界大力支撐，顯著提升技術創新能力。美國網絡安全產業中利用大數據進行安全分析和威脅檢測的產品大量涌現，安全產業在網絡安全態勢感知技術實力上的整體提升，有效彌補了美國在網絡安全監測和預警分析等方面的不足。

2.英國：豪取數據，通過大規模情報搜集發現安全威脅并實施應對

英國政府通信總部GCHQ下設聯合威脅研究情報組JTRIG，通過代號為“Tempora”和“Hacienda”的監測計劃，進行大規模的數據收集、融合處理和分析，并結合目標識別、關聯分析、取證、溯源等手段實施相應，發現攻擊源并對其聯絡渠道和服務器進行干擾和攻擊。此外，英國軍情五處、政府通信總部等情報機構和160家英國企業共同成立了“網絡安全信息共享合作機制”，就網絡攻擊的實時警報、攻擊的技術細節、策劃攻擊的手段及應對措施等信息開展共享合作。

3.歐洲：基于寬帶基礎設施監測，發現網絡安全威脅

早在2004年，歐盟委員會下的IST資助了一項名為“大規模寬帶Internet基礎設施監測”的研究計劃，通過在學校、研究型組織以及一些電信運營商網絡出口部署傳感器，采用流量鏡像的方式，獲取包括留信息、包頭和完整報文信息在內的數據，進行DoS攻擊的檢測和跟蹤、0day蠕蟲擴散的早期預警分析、使用動態端口的應用的精確識別等，并建立了一套應用分析框架，支持可擴展的安全應用的開發。

二、各國能力建設對我啟示

總體上看，各國注重不斷加強技術手段、系統平臺、政企合作等方面的建設，通過各系統間的高效協同，以獲取大量數據資源為提升分析能力的突破口，實現政企之間的緊密配合，呈現如下特點。

一是緊密聯動，各系統協同配合。美英等西方國家在建設相關系統時，非常重視技術資源的統籌和系統間的聯動配合。強調政府部門間技術手段統籌建設，推動網絡安全監測預警技術和服務的共建共享，盡量避免對不能提高漏洞、攻擊等檢出率的系統的重復建設。

二是監測范圍擴張，數據存儲時間延長。數據是各國進行網絡安全監測預警和攻擊溯源的基礎資源，隨著互聯網技術業務發展以及數據分析技術的成熟，網絡數據能夠提供的預測分析、風險判斷、決策支撐、追蹤溯源等能力日益凸出，各國數據采集渠道不斷擴展、監測范圍不斷擴大，并逐漸采取實時采集、長期存儲的模式處理數據。

三是新技術成為能力提升關鍵。隨著大數據、云計算、人工智能等新技術的發展，其對安全領域的提升作用也逐漸凸顯。技術實力較強的西方發達國家紛紛利用大數據分析、行為建模等方式，加強預測預警，實現精準分析。

四是政企之間緊密配合。美國等西方國家重視政企之間技術手段的緊密配合和威脅情報的共享。一方面企業在技術上為政府項目提供大量支持，另一方面政府也重視與企業間的信息共享工作。在相關法律和政策文件中，也對企業等私營機構的主體責任有詳細的規定。

三、對策建議

根據國際主要國家建設經驗，針對我國國情，提升網絡安全監測預警和攻擊溯源能力，需從頂層設計、增強聯動、掌握資源、做好保障等方面入手，加強對體系建設的統籌指導，并充分發揮相關手段的網絡安全保障作用。

一是統籌優化技術手段建設，加強頂層設計。面對快速發展的新技術和我國復雜的國情，應加強頂層統籌，統一規劃、統一部署，加強資源共享，加快推進新建技術手段的同時，做好現有技術手段的升級改造，確保可持續發展。

二是強化和完善技術協同和共享通報機制。建立威脅信息共享數據規范與共享機制，全方位監測發現國家網絡空間威脅、全球網絡空間安全態勢。完善通報機制，提升企業間、部委間、系統間以及企業和部委間等通報和資源共享的效率。

三是加強數據的掌控能力和分析能力。在大數據環境下，數據資源和對數據資源的分析能力成為網絡安全態勢感知和預警的關鍵。在現有漏洞庫、資產庫構建的基礎上，強化對接入層和應用層的基礎資源收集和管理，突破大數據分析技術，提高數據—信息轉化能力，實現對數據資源的有效分析。

四是充分調動全社會力量，優化研發和建設模式，加速技術創新進程。在國家網絡安全監測預警和攻擊溯源能力建設規劃、涉及、研發和建設過程中，充分引入廣大高校、科研機構、第三方智庫、國有企業、民營企業、私營機構等多方力量，加強戰略、技術、標準等溝通協作，實現協同創新攻關。培育一批技術創新能力強、人才隊伍充沛的合作企業，推動核心技術的快速迭代創新。