通信网络安全监测与处置指南（标准版）

通信网络安全监测与处置指南（标准版）第1章总则1.1监测目标与范围根据《通信网络安全监测与处置指南（标准版）》，监测目标是实现对通信网络中潜在的安全威胁和风险的实时识别、分析与响应，确保通信服务的连续性与安全性。监测范围涵盖通信网络的基础设施、应用系统、数据传输通道以及相关安全设备，包括但不限于IP网络、移动通信网络、物联网（IoT）及云计算平台等。监测应覆盖网络边界、内部网络、终端设备及应用层，重点关注恶意软件、数据泄露、DDoS攻击、未授权访问等常见安全威胁。根据《国家通信网络安全监测体系构建指南》，监测应遵循“全面覆盖、重点突破、动态更新”的原则，确保监测对象的全面性与针对性。监测范围应结合国家网络安全战略和行业监管要求，定期更新并动态调整，确保监测内容与实际安全风险相匹配。1.2监测原则与要求监测应遵循“主动防御、持续监测、及时响应”的原则，确保安全事件能够被及时发现、分析和处置。监测需采用多维度、多层级的监测手段，包括网络流量分析、日志审计、入侵检测系统（IDS）、入侵防御系统（IPS）等技术手段。监测应遵循“最小权限”和“数据最小化”原则，确保监测数据的隐私性和安全性，避免因数据滥用导致的法律风险。监测结果应纳入网络安全管理体系，与风险评估、应急响应、合规审计等环节形成闭环，提升整体安全防护能力。根据《信息安全技术通信网络安全监测通用要求》（GB/T35114-2019），监测应具备可扩展性，支持多协议、多平台、多设备的统一管理。1.3监测体系架构监测体系应构建“感知层—分析层—决策层—响应层”的四级架构，实现从数据采集到安全决策的全流程管理。感知层负责数据采集与传输，包括流量监控、设备日志、用户行为分析等；分析层进行数据处理与异常识别；决策层基于分析结果制定应对策略；响应层负责实施安全措施并进行事后评估。监测体系应具备横向扩展能力，支持多地域、多业务、多层级的网络环境，确保监测能力的灵活性与适应性。根据《通信网络安全监测体系架构规范》（YD/T1994-2020），监测体系应采用标准化接口，支持与现有安全设备、管理系统、应急平台的无缝对接。监测体系应结合、大数据分析等技术，提升监测效率与准确性，实现智能化、自动化、实时化监测。1.4监测数据标准与格式监测数据应遵循统一的数据标准，包括数据结构、数据类型、数据采集频率、数据存储格式等，确保数据的一致性与可比性。数据应采用结构化格式，如JSON、XML、CSV等，支持多协议数据交换，便于不同系统间的数据共享与处理。数据采集应遵循“标准化、规范化、可追溯”的原则，确保数据来源可查、数据内容可验证、数据变更可追踪。数据存储应采用分布式存储技术，支持高并发、高可用、高可靠，满足大规模数据处理需求。根据《通信网络安全监测数据规范》（GB/T35115-2019），监测数据应包含时间戳、IP地址、端口号、协议类型、流量大小、异常行为特征等关键字段，确保数据完整性与可分析性。第2章监测技术与方法2.1网络流量监测技术网络流量监测技术主要采用流量分析、协议解析和数据包捕获等方法，用于实时采集和分析网络数据流。根据《通信网络安全监测与处置指南（标准版）》中的定义，流量监测技术应具备高吞吐量、低延迟和多协议支持能力，以满足大规模网络环境下的监测需求。常见的流量监测技术包括基于流量镜像（TrafficMirroring）的网络监控、基于数据包捕获（PacketCapture）的实时分析，以及基于流量分析（TrafficAnalysis）的统计方法。例如，使用Wireshark或tcpdump等工具进行流量捕获与分析，可实现对网络通信行为的深度解析。在实际应用中，流量监测技术需结合流量特征提取（TrafficFeatureExtraction）和数据建模（DataModeling）方法，通过机器学习算法对流量模式进行分类与识别。研究表明，基于深度学习的流量分类模型在识别异常流量方面具有较高的准确率和鲁棒性。网络流量监测技术还应具备动态调整能力，能够根据网络环境的变化自动优化监测策略。例如，通过流量负载均衡（TrafficLoadBalancing）技术，可实现对高流量区域的优先监测，避免资源浪费。根据《信息安全技术网络安全监测通用技术要求》（GB/T35114-2019），网络流量监测应遵循“监测-分析-响应”流程，确保监测数据的完整性、准确性和时效性。2.2网络设备监测技术网络设备监测技术主要针对路由器、交换机、防火墙等设备进行状态监控和行为分析。根据《通信网络安全监测与处置指南（标准版）》的要求，设备监测应覆盖设备运行状态、接口流量、协议使用情况等关键指标。常见的设备监测技术包括设备日志分析（DeviceLogAnalysis）、接口流量监控（InterfaceTrafficMonitoring）、协议行为检测（ProtocolBehaviorDetection）等。例如，使用SNMP（SimpleNetworkManagementProtocol）协议对设备进行远程监控，可实现对设备运行状态的实时掌握。在实际部署中，设备监测技术需结合网络拓扑分析（NetworkTopologyAnalysis）和设备健康度评估（DeviceHealthAssessment），通过数据采集与分析，及时发现设备异常行为或故障。设备监测技术应具备高精度和高可靠性，能够识别设备的异常登录、异常流量、非法访问等行为。例如，基于流量特征的异常检测算法（AnomalyDetectionAlgorithm）可有效识别设备的异常行为。根据《通信网络安全监测与处置指南（标准版）》中的建议，设备监测应与网络流量监测相结合，形成“设备-流量”双层监测体系，提升整体网络安全防护能力。2.3网络攻击行为监测技术网络攻击行为监测技术主要通过行为分析、入侵检测（IntrusionDetection）和异常行为识别（AnomalyDetection）等方法，识别和预警潜在的网络攻击行为。常见的攻击行为监测技术包括基于签名的入侵检测（Signature-BasedIntrusionDetection）、基于行为的入侵检测（Behavior-BasedIntrusionDetection）、基于流量特征的攻击识别（Traffic-BasedAttackRecognition）等。例如，使用IDS（IntrusionDetectionSystem）或IPS（IntrusionPreventionSystem）进行实时监测，可有效识别DDoS攻击、SQL注入等常见攻击类型。在实际应用中，攻击行为监测技术需结合机器学习和深度学习算法，通过特征提取和模式识别，提高攻击检测的准确率和响应速度。例如，基于深度学习的攻击行为分类模型在识别复杂攻击模式方面表现出色。攻击行为监测技术应具备多维度监测能力，包括但不限于攻击源IP、攻击类型、攻击频率、攻击影响范围等。根据《通信网络安全监测与处置指南（标准版）》中的建议，应建立攻击行为数据库，实现攻击行为的持续追踪与分析。根据《信息安全技术网络安全监测通用技术要求》（GB/T35114-2019），攻击行为监测应遵循“监测-分析-响应”流程，确保攻击行为的及时发现与有效处置。2.4网络威胁情报收集与分析网络威胁情报收集与分析技术主要通过威胁情报平台、情报共享机制和情报分析工具，收集、整合和分析网络威胁信息。根据《通信网络安全监测与处置指南（标准版）》的要求，威胁情报应涵盖攻击者行为、攻击路径、攻击工具、攻击目标等关键信息。常见的威胁情报收集技术包括情报采集（IntelligenceCollection）、情报处理（IntelligenceProcessing）、情报分析（IntelligenceAnalysis）等。例如，通过威胁情报平台（ThreatIntelligencePlatform）收集来自互联网、安全社区、政府机构等渠道的威胁信息，并通过自然语言处理（NLP）技术进行文本分析。威胁情报分析技术应结合数据挖掘、模式识别和机器学习等方法，实现对威胁行为的分类、聚类和预测。例如，基于聚类分析（ClusteringAnalysis）的威胁情报分类模型，可有效识别不同类型的攻击行为。威胁情报分析应注重情报的时效性、准确性和完整性，确保情报信息能够及时支持网络安全防护和应急响应。根据《通信网络安全监测与处置指南（标准版）》中的建议，应建立威胁情报共享机制，实现跨组织、跨地域的威胁信息协同分析。根据《信息安全技术网络安全监测通用技术要求》（GB/T35114-2019），威胁情报应遵循“采集-处理-分析-应用”流程，确保情报信息的高效利用和网络安全防护的有效性。第3章监测实施与管理3.1监测系统部署与配置监测系统应根据通信网络的拓扑结构和业务需求进行部署，通常采用分布式架构，确保各节点具备独立的监测能力，同时支持数据的高效传输与集中管理。系统部署需遵循标准化协议，如TCP/IP、HTTP/等，确保监测数据的兼容性和可扩展性。依据通信安全等级保护要求，监测系统应配置多层防护机制，包括接入控制、流量分析、异常检测等，以提升系统整体安全性。建议采用统一的监测平台，集成流量监控、日志采集、威胁检测等功能，实现统一管理与多维度分析。部署过程中需考虑网络带宽、延迟及数据量的承载能力，确保监测系统的稳定运行与高效响应。3.2监测数据采集与传输数据采集应覆盖通信网络中的关键节点，如核心交换机、边界网关、终端设备等，确保全面覆盖网络流量和业务活动。采用高效的数据采集协议，如NetFlow、sFlow、IPFIX等，实现流量数据的标准化采集与实时传输。数据传输应通过加密通道进行，确保数据在传输过程中的完整性与机密性，防止数据泄露或篡改。建议采用分布式数据采集架构，支持多源数据的同步与异步采集，提高系统的灵活性与可靠性。数据传输过程中需设置合理的队列机制与流量控制策略，避免因数据洪泛导致系统过载或延迟。3.3监测数据存储与处理数据存储应采用分布式数据库或云存储方案，支持大规模数据的高效存储与快速检索，满足实时分析与历史追溯需求。数据存储需遵循数据分类管理原则，按业务类型、时间维度、安全等级等进行归档与分类，便于后续分析与审计。数据处理应结合大数据技术，如Hadoop、Spark等，实现数据清洗、特征提取、模式识别等处理流程。建议建立数据处理流程规范，明确数据采集、存储、处理、分析的各环节责任与操作标准。数据存储需考虑数据的生命周期管理，合理设置数据保留周期与归档策略，降低存储成本与管理复杂度。3.4监测数据的分析与报告数据分析应结合通信安全威胁模型，采用机器学习与深度学习算法，实现异常行为识别与潜在风险预测。建立统一的分析平台，集成可视化工具与自动化报告功能，支持多维度数据展示与定制化分析报告。分析结果应结合业务场景与安全策略，风险等级评估报告，为安全决策提供科学依据。建议定期进行数据分析与报告审核，确保分析结果的准确性与可追溯性，避免误报或漏报。数据分析与报告应形成闭环机制，结合监测结果优化监测策略，提升整体安全防护能力。第4章监测结果处置与响应4.1监测结果的分类与分级监测结果根据其影响范围和严重性分为四级：重大、较大、一般和较小，依据《通信网络安全监测与处置指南（标准版）》中规定的分类标准进行划分。重大事件通常涉及国家级或省级关键信息基础设施，可能引发大规模服务中断或数据泄露，需立即启动应急响应机制。较大事件影响范围较广，但未达到重大级别，需由市级或省级主管部门进行处置，确保系统安全可控。一般事件影响较小，主要影响内部系统或局部业务，可由部门或单位自行处理，无需上报至上级部门。小事件多为日常运维中的小故障，通常通过常规巡检和日志分析即可发现，处置流程较为简单。4.2监测结果的处置流程监测结果一旦发现，应立即启动应急响应流程，由网络安全监测中心或相关责任单位进行初步分析和评估。依据《信息安全技术信息安全事件分类分级指南》（GB/T22239-2019），对监测结果进行分类，并确定处置优先级。对于重大或较大事件，需在1小时内向相关部门报告，确保信息透明、响应及时。处置过程中应遵循“先报告、后处置”的原则，确保事件处理的合法性和可追溯性。处置完成后，需形成事件报告并提交至上级主管部门备案，作为后续改进和培训的依据。4.3网络攻击的应急响应机制应急响应机制应包括事件发现、分析、遏制、恢复和事后评估等阶段，依据《信息安全技术信息安全事件分类分级指南》（GB/T22239-2019）中的标准执行。事件发生后，应立即启动应急响应预案，由网络安全团队进行初步分析，判断攻击类型和影响范围。对于恶意软件攻击，应采用隔离、清除和修复等手段进行处置，确保系统安全。在攻击处理过程中，应保持与公安、网信、公安等部门的联动，确保信息共享和协同处置。应急响应结束后，需进行事后评估，分析攻击原因，优化防御策略，防止类似事件再次发生。4.4监测结果的反馈与改进监测结果的反馈应包括事件处置情况、影响范围、修复措施及后续改进措施，依据《通信网络安全监测与处置指南（标准版）》中的要求进行记录。事件处置完成后，应形成书面报告，提交至上级主管部门，并作为年度安全评估和培训材料的一部分。通过分析历史事件，应建立风险评估模型，优化监测策略，提升监测的准确性和及时性。鼓励组织定期开展安全演练，提升应急响应能力，确保监测与处置机制持续优化。对于发现的漏洞或薄弱环节，应制定修复计划，并在修复后进行验证，确保整改措施落实到位。第5章监测系统安全与防护5.1监测系统安全架构监测系统安全架构应遵循纵深防御原则，采用分层防护策略，包括网络层、传输层、应用层及数据层的多级隔离，确保各层之间具备独立的安全边界。根据《通信网络安全监测与处置指南（标准版）》要求，系统应采用基于角色的访问控制（RBAC）模型，实现最小权限原则。架构设计应考虑系统扩展性与可维护性，支持动态资源分配与自动升级，确保在面对新型威胁时能够快速响应。文献《通信网络安全监测系统架构设计研究》指出，系统应具备模块化设计，便于集成第三方安全模块，提升整体安全性。建议采用零信任架构（ZeroTrustArchitecture,ZTA），在所有访问请求中实施严格的身份验证与持续监控，防止内部威胁与外部攻击的混杂。该架构强调“永不信任，始终验证”，与《国家网络空间安全战略》中提出的“构建安全可信的网络环境”理念一致。系统应具备多层级安全策略，包括加密传输、访问控制、审计日志等，确保数据在传输与存储过程中的完整性与保密性。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），系统应部署数据加密机制，防止敏感信息泄露。安全架构需与业务系统实现接口对接，确保监测数据的实时性与准确性，同时避免因架构不兼容导致的安全风险。建议采用API网关与微服务架构，提升系统的灵活性与安全性。5.2监测系统数据安全防护数据采集与传输应采用加密技术，如TLS1.3协议，确保数据在传输过程中的机密性与完整性。根据《通信网络安全监测系统数据安全规范》（GB/T39786-2021），系统应部署数据加密传输机制，防止中间人攻击与数据篡改。数据存储应采用加密存储技术，如AES-256，对敏感数据进行加密处理，确保数据在存储过程中不被窃取或篡改。文献《数据安全防护技术研究》指出，建议采用国密算法（SM2、SM4）与国密加密标准，提升数据安全性。数据备份应遵循定期备份与异地备份原则，确保在发生数据丢失或泄露时能够快速恢复。根据《信息安全技术数据安全防护指南》（GB/T35273-2020），系统应建立备份与恢复机制，确保数据可用性与业务连续性。数据访问应采用权限控制机制，如基于角色的访问控制（RBAC）与属性基加密（ABE），确保只有授权用户才能访问敏感数据。文献《数据安全与访问控制研究》指出，应结合身份认证与访问控制，构建细粒度的权限管理体系。数据生命周期管理应涵盖数据采集、存储、使用、传输、归档与销毁等阶段，确保数据在全生命周期内符合安全要求。根据《数据安全管理办法》（国办发〔2017〕47号），系统应建立数据分类与分级管理机制，提升数据安全防护能力。5.3监测系统访问控制与权限管理系统应采用最小权限原则，确保用户仅具备完成其职责所需的最低权限，防止权限滥用。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），系统应部署基于角色的访问控制（RBAC）模型，实现权限动态分配与审计。访问控制应结合身份认证机制，如多因素认证（MFA）与生物识别技术，确保用户身份的真实性与合法性。文献《访问控制技术研究》指出，应采用基于属性的访问控制（ABAC）模型，实现细粒度的访问权限管理。权限管理应结合日志审计与异常行为检测，确保权限使用过程可追溯、可审计。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），系统应建立权限变更日志与审计日志，确保权限使用合规性。系统应支持多层级权限管理，包括用户权限、角色权限与资源权限，确保不同层级的权限分配符合安全策略。文献《权限管理与访问控制研究》指出，应结合RBAC与ABAC模型，实现动态权限分配与管理。权限管理应结合安全策略与风险评估，定期进行权限审查与调整，防止权限越权或滥用。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），系统应建立权限管理机制，确保权限配置符合安全策略要求。5.4监测系统灾备与恢复机制系统应建立灾备机制，包括数据备份、容灾备份与业务连续性管理（BCM）。根据《通信网络安全监测系统灾备与恢复规范》（GB/T39787-2021），系统应定期进行数据备份与容灾演练，确保在灾难发生时能够快速恢复。灾备方案应涵盖数据备份、系统恢复与业务恢复三个层面，确保在发生硬件故障、网络中断或数据丢失时，系统能够快速恢复运行。文献《灾备与恢复技术研究》指出，应采用异地备份与容灾备份相结合的方式，提升系统可靠性。系统应具备快速恢复能力，确保在灾难发生后，关键业务功能能够在短时间内恢复。根据《信息安全技术灾难恢复管理规范》（GB/T22239-2019），系统应建立灾难恢复计划（DRP），定期进行演练与测试。灾备与恢复机制应结合自动化与人工干预，确保在自动化失效时仍能通过人工操作恢复系统。文献《灾备与恢复机制研究》指出，应采用自动化备份与恢复工具，结合人工审核机制，提升灾备效率。灾备与恢复机制应纳入系统运维流程，定期评估与优化，确保灾备方案符合实际业务需求。根据《信息安全技术灾难恢复管理规范》（GB/T22239-2019），系统应建立灾备评估与优化机制，确保灾备方案持续有效。第6章监测标准与规范6.1监测标准制定原则监测标准的制定应遵循“科学性、系统性、可操作性”三大原则，确保监测体系具备前瞻性与实用性。依据《通信网络安全监测技术要求》（GB/T35114-2019），标准应结合通信网络的复杂性与潜在风险，采用分层分类的结构设计。标准制定需遵循“统一技术规范、分级管理、动态更新”的原则，确保不同层级的监测系统能够协同工作，实现全网覆盖与高效响应。在制定监测标准时，应充分考虑通信网络的动态变化，如数据流量、协议版本、设备型号等，确保标准具有适应性与扩展性。标准应结合国内外先进经验，如美国NIST（美国国家标准与技术研究院）的网络安全监测框架，以及欧盟的NIS2（网络和信息基础设施安全）指令，确保标准的国际兼容性。监测标准的制定需通过多部门协同论证，确保技术、管理、法律等多维度的统一，避免标准执行中的偏差与冲突。6.2监测标准的适用范围监测标准适用于各类通信网络，包括但不限于电信运营商、互联网服务提供商、物联网设备及数据中心等，覆盖数据传输、应用层、网络层等多个层面。标准适用于网络攻击行为的识别与预警，如DDoS攻击、恶意软件传播、数据泄露等，确保网络环境的安全性与稳定性。监测标准适用于不同规模的通信网络，从国家级骨干网到地方级接入网，确保覆盖范围与监测精度的平衡。标准适用于不同安全等级的通信系统，如政务网、金融网、医疗网等，确保各行业网络的安全监测需求得到满足。监测标准适用于实时监测与事后分析相结合的模式，既保证监测的及时性，又确保数据的完整性和可追溯性。6.3监测标准的实施与监督监测标准的实施需明确责任主体，如通信管理局、网络安全监管部门、运营单位等，确保标准执行的可追溯性与责任落实。监测标准的实施应建立统一的监测平台，实现数据共享与信息互通，避免信息孤岛，提升监测效率与准确性。监测标准的监督需通过定期评估、第三方审计、技术验证等方式进行，确保标准的持续有效性与合规性。监督机制应结合技术手段与管理手段，如利用算法进行自动化监测，结合人工审核确保标准执行的规范性。监测标准的实施需配合培训与宣贯，确保相关人员掌握标准内容与操作流程，提升整体网络安全水平。6.4监测标准的更新与修订监测标准应根据通信技术的发展、安全威胁的变化以及政策法规的更新，定期进行修订，确保标准的时效性与适用性。标准修订应遵循“技术评估、需求分析、专家论证、公众反馈”的流程，确保修订过程公开透明，避免因修订不当导致监测失效。标准修订应结合国内外最新研究成果，如2023年国际电信联盟（ITU）发布的《网络与信息安全技术》白皮书，确保标准的国际接轨。标准修订需考虑不同区域、行业、规模的差异，如针对中小企业与大型企业制定差异化监测标准，提升标准的包容性与适用性。标准修订应建立反馈机制，鼓励用户、专家、企业等多方参与，确保标准的科学性与实用性，持续优化监测体系。第7章监测人员与培训7.1监测人员职责与要求监测人员需具备通信网络安全领域的专业背景，如信息安全、网络工程或计算机科学相关专业，持有相应资格证书，如信息安全专家或网络安全工程师。根据《通信网络安全监测技术要求》（GB/T35114-2018），监测人员需熟悉通信网络架构、协议及安全威胁类型，能够识别常见攻击手段，如DDoS攻击、SQL注入、跨站脚本（XSS）等。监测人员应具备良好的职业道德和保密意识，严格遵守国家网络安全法律法规，确保监测数据的完整性、保密性和可用性。根据《信息安全技术信息安全风险评估规范》（GB/T22239-2019），监测人员需定期进行风险评估，识别潜在威胁，并制定相应的应对策略。监测人员需具备一定的应急响应能力，能够在发生安全事件时迅速响应，按照《信息安全事件分级标准》（GB/Z20986-2019）进行事件分类与处理。7.2监测人员培训与考核监测人员需定期参加由国家相关部门组织的网络安全培训，内容涵盖最新安全威胁、防护技术及应急处置流程。培训考核应采用理论与实践相结合的方式，包括案例分析、模拟演练及实操测试，确保监测人员掌握实际操作技能。根据《信息安全技术信息安全培训规范》（GB/T22238-2017），培训内容应包括网络安全法律法规、技术标准、安全工具使用及应急响应流程。培训记录需存档备查，考核结果应作为监测人员资格认证的重要依据，确保其专业能力持续符合行业要求。建议建立监测人员培训档案，记录培训时间、内容、考核成绩及实际操作表现，作为绩效评估和晋升依据。7.3监测人员信息安全管理监测人员在工作中需严格遵守信息安全管理规范，如《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），确保监测数据不被未授权访问或泄露。建议采用最小权限原则，监测人员仅具备完成监测任务所需的最小权限，避免因权限过高导致的安全风险。监测人员需定期更新密码、使用双因素认证（2FA）等安全措施，防止账户被入侵或盗用。根据《信息安全技术信息分类分级保护规范》（GB/T35114-2018），监测人员应了解数据分类标准，确保敏感信息得到妥善保护。建议建立监测人员信息安全管理责任制，明确其在数据保密、权限控制及安全审计中的职责。7.4监测人员工作流程与规范监测人员需按照《通信网络安全监测技术要求》（GB/T35114-2018）制定标准化的工作流程，包括监测目标、方法、工具及报告模板。监测工作应遵循“发现-分析-报告-处置”四步法，确保问题及时发现、准确分析、有效报告并采取相应措施。监测人员需定期进行系统更新与漏洞扫描，确保监测工具与通信网络的安全防护能力同步。根据《信息安全技术网络安全事件应急处置指南》（GB/Z20986-2019），监测人员应熟悉应急响应流程，能够在事件发生后迅速启动处置机制。监测人员需保持与相关部门的沟通协作，确保监测结果能够及时反馈并支持通信网络的持续安全运行。第8章附则1.1术语定义本标准所称“通信网络安全监测”是指通过技术手段对通信网络中的安全风险进行持续监控和评估，包括网络流量分析、入侵检测、漏洞扫描等行为，依据《信息安全技术通信网络安全监测通用框架》（GB/T35114-2019）进行定义。“网络安全事件”是指因网络攻击、系统漏洞、非法访问等导致通信网络服务中断、数据泄露或系统受损的行为，符合《信息安全技术网络安全事件分类分级指南》（GB/Z20986-2019）中的分