一种新型网络安全运营平台的设计思路——以企业安全业务为核心的网络安全运营指挥系统
2022-03-18孙笑庆
◆孙笑庆
一种新型网络安全运营平台的设计思路——以企业安全业务为核心的网络安全运营指挥系统
◆孙笑庆
(石化盈科信息技术有限责任公司 北京 100007)
伴随着工业互联网的快速发展,数字化已经从消费领域渗透入生产制造领域,网络空间与物理世界的相互交融程度愈加充分,网络安全与政治安全、经济安全、文化安全、社会安全、军事安全等领域相互交织、相互影响,已成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。经过多年的信息化建设,遵循“六统一、三同步”等原则,能源化工企业大部分构建了基于等保基本要求的纵深防护体系,网络安全得到了较好的保障,但是随着数字化转型与工业生产经营管理工作深度耦合,网络安全威胁从事件型向常态化趋势发展,网络安全管控体系发展趋势也在技术、管理的基础上强调了运营体系的重要性,经过安全运营1.0和安全运营2.0的尝试,对于非IT的传统企业,本文尝试提供一种构建以技术平台驱动,安全业务为核心,向生产安全管理体系特点借鉴的网络安全运营指挥系统的设计思路,为类似企业建设、完善和提升安全运营能力提供参考。
安全运营;安全大数据;日常视图;等级保护;信息安全风险管理
1 网络安全运营管理面临的问题
能源化工行业网络安全工作信息化起步早,发展周期长,产业涉及勘探、炼化、销售等完整的上中下游链条,数据中心遍布全国和海外,应用系统包括经营、生产、销售、金融、客户、工程、科技的方方面面,内部人员能力参差不齐,外部供应链多样且复杂,攻击暴露面多,作为能源行业,网络安全事件影响大,经过多年网络安全建设,在基础设施防护方面建立了较为齐备的纵深防御体系,但是作为国家关键性基础设施,面临着更加复杂化、多样化、隐蔽化发展的网络安全威胁,如何提升常态化、实战化的网络安全能力,在日常安全运营工作中,安全团队需面对众多问题。
1.1 资产脆弱性分析能力不足
现有安全管理系统对IT资产脆弱性分析能力不足,主要体现在两方面,一是资产采集的覆盖面不足,二是缺乏资产风险的量化评估。传统资产采集方式主要是通过CMDB或者配合漏洞扫描等扫描设备实现,资产采集形式、维度较单一,如设备IP、域名、端口等信息,较难满足安全分析所需的应用内部第三方框架版本号、专用硬件设备的小版本号等多维度资产数据内容;主动扫描方式进行资产发现,其覆盖面受限于网络访问的通断和相关网络配置,扫描频率也受限于扫描服务自身性能,往往难以对资产变动进行及时发现,容易造成安全分析盲点;对收集上来的资产数据难以通过其相关属性,如:部署位置、软件版本号、使用频率、承载的应用系统级别等,进行量化风险评估;缺乏统一的数据模型基础,往往导致数据碎片化严重,对各类资产数据难以在统一数据建模基础上进行关联,数据语言不一致等问题,进而无法实现通过风险数值的量化直观地、有效地反馈出当前网络资产的风险状态,以宏观的纬度与指标化的手段来呈现当前漏洞运营工作的完成情况。
1.2 精准告警智能分析能力不足
新的攻击手段层出不穷,需要检测的数据越来越多,现有的安全运营分析技术不堪重负。面对海量安全数据,传统的集中化安全分析平台(譬如SIEM,安全管理平台等)也遭遇到了诸多瓶颈,包括性能问题突出,分析能力有限,缺少主动、智能化的分析手段,更没有海量安全数据挖掘的能力,难以识别多变、未知的安全问题。
1.3 实时自动化响应处置能力不足
数字化促使安全系统不断膨胀,安全设备越买越多,安全系统部署得越来越多,每天产生大量安全告警,众多设备和系统之间缺乏有效的交流和互动,安全人员为分析一个安全事件往往要登录多个设备,在多个系统间切换以发现相关上下文信息,效率低,易丢失信息,更无法实现安全自动化响应处置。
1.4 整体安全运营能力不足
现有安全管理系统缺乏安全策略和处置预案。成熟的安全策略是安全运营的成果和积累,是需要在不断的安全实践中总结和改进的。许多企业安全团队忙碌于安全检查和安全事件救火,往往缺乏对安全体系的梳理、总结,从而形成成熟的运营体系和安全策略,以及应对日常运营和紧急事件的处置预案。缺乏安全全局可见性,分散的安全设备与系统以及越来越大的安全边界,安全团队很难获取全局安全状态,很难了解哪儿有问题,哪儿应该改进。同时难以展现安全工作的整体成效。
2 网络安全运营管理发展分析
网络安全管理发展经历了多个阶段,早期的安全防护是独立的单体防护,安全管理即为所部署的设备和软件的系统管理形成了“安全防御孤岛”,后来随着安全规模扩大,出现了最早的安全管理系统,主要是实现对网络中分散的同厂商防火墙/VPN等设备的集中监控与策略下发,构建一个较为完整的边界安全统一防护体系。
随着对信息安全认识的不断深入,安全管理体系化思想逐渐成熟,安全合规在安全工作中的负担越来越重,以及“安全防御孤岛”无法解决复杂安全事件追踪和还原,以人工监控、分析和处置的方式难以应对复杂的安全态势,因此出现了以信息系统资产为核心的全面安全监控、分析、响应系统——安全运营1.0,其以资产为主线,实现了较为全面的事件管理与处理流程,以及风险管理与运维流程,其核心是SIEM的初级阶段和成长阶段,即在合规政策的驱动下,部署SIEM用于收集和存储日志,主要是用于审计,建立多源事件监控功能,将身份信息、网络信息等上下文加入安全信息中,提升了针对事件的综合分析处置能力,
安全运营1.0着眼于安全事件的闭环管理,随着网络安全工作范围的扩大和业务的深入,要求从客户业务的角度来进行安全管理的呼声日益增长,于是出现了面向业务的安全运营2.0。继承和发展了传统的集中管理思想,将安全与业务融合,从客户业务价值的角度去进行一体化安全体系的建设。安全运营2.0集成了针对安全风险的发现、分析、处理,提出了安全问题的流程化处理方式,能够在流程化处理的基础上,针对不同的安全业务,诸如安全运维、安全检查工作,提供定制化的安全服务。安全的业务过程已经与用户的IT运营/语文流程整合到一起了,归纳总结特点主要包括:将安全资产作为数据分析处理的核心;以事件日志的分析处理为主要技术手段;具有关联分析、告警响应、安全统计的功能;除事件分析以外,一般会将漏洞、安全配置也作为安全检查的对象;安全是一种业务,需要通过运营不断提升,安全流程需要嵌入IT流程并实现融合;针对安全业务,提供定制化的安全服务。
近些年,为了增强安全的响应和处置能力,安全编排和自动化处置迅速成为安全运营的重要能力,因此除了继续做大做强威胁管理的主要职责外,持续提升高级威胁检测、基础安全监控,调查与应急响应,需要在一个平台下实现安全业务全打通,安全运营在支撑业务安全运行之外,将更多地承担企业安全大脑和安全总体指挥的重任。
3 安全运营指挥系统体系设计
在能源化工企业,生产安全是企业生产管理工作的红线,网络安全借鉴生产安全的管理模式,安全运营指挥系统即为安全运营在生产企业的网络安全管理的具体实现。
3.1 安全运营指挥系统体系设计目标
总体目标为:整合制度规范、技术平台、管理流程,实现集团级企业多级管理全范围安全风险的集中监控、安全事件的集中处置、安全策略的合规检查、安全态势的统一展示,将信息安全管理和技术有机结合,建立一个集中管控和安全运维的自动化支撑平台。
具体目标为:
(1)实现对安全事件的集中监控、综合分析
实现安全事件集中收集分析和处理能力、集成多种关联分析方法,对信息安全事件(包括互联网应用安全事件)进行集中审计、集中监控和集中分析,展示安全事件趋势,为决策层提供技术支撑。
(2)实现对分散部署安全系统的集中管控
整合分布于各个信息系统中的多种安全机制,集成总部、区域和企业的各类系统和设备的安全属性,包括安全日志、安全漏洞、设备状态、安全配置等,将网络、终端、安全设备及应用系统纳入安全运营指挥中心集中管控。
(3)实现对安全管理工作的自动化流程支撑
根据安全管理工作的现实需求,规范和优化流程,依托于安全运营指挥中心,实现信息安全管理日常工作的常态化开展和事务处理,实现信息安全要求的合规检查、信息安全管理工作成效的定期核查及整改监督等。
(4)实现与IT运维平台对接开展安全运维
在对安全事件进行集中审计、集中监控和集中分析的基础上,实现自动化的安全作业计划、安全事件处置、安全风险处置等工单的生成,对接IT运维平台,顺利实现安全运维工单的派发、跟踪和管理,提升安全运维工作的效率。
3.2 基于安全运营2.0的系统功能设计逻辑
提升资产事件为中心的安全运营功能,打造以安全业务为核心的新的一体化安全运营指挥系统,通过梳理业务蓝图,确定足以支撑业务发展的功能架构、技术架构和部署架构,通过业务视图设计,实现不同业务场景下,系统的一键式、全要素和全流程的管理服务。
(1)业务蓝图。基于“信息安全管理工作的承载平台和管控中心”的安全运营定位,首先需要站在管理角度,从业务安全层面,审视信息安全管理工作的整体内容,进而结合企业工作特点,给出信息安全管理工作的全景即业务蓝图。
(2)功能架构。解决安全运营指挥系统为了支撑信息安全管理工作,应该提供哪些业务功能,这些功能需要哪些关键信息和数据。功能架构的工作主要依赖于业务蓝图的梳理,当业务蓝图明确后,功能架构就能够明确说明支撑这些业务的具体功能模块和相关流程。
(3)技术架构。解决系统采用什么样的架构体系和技术支撑框架来实现功能架构的具体功能、满足业务需要。该过程主要包含系统体系架构设计,该过程还需遵循两个原则,基础架构原则和系统演进原则,也就是首先完成基础架构的设计,通过系统的演进过程,逐步进行完善,形成实现功能和满足业务的技术体系架构;继而就可以进行开发设计和具体的代码编制过程,最终经过测试形成生产系统。
(4)部署架构。解决采用什么方式进行实施和落地,包括:开发设计、代码开发、测试等等内容。该过程需要遵循如下几个原则:组织与管控原则、推广原则、技术选择原则,系统的实施过程,需要进行完善的项目管理,建立管理组织、设计用户组织,系统具备上线实施时,采用先试点后推广的原则,逐步试点——完善——试点的过程,完成项目建设,在这些过程中,可以对实现相同目的的技术方式中进行选择,选择最优的技术实现方式。
3.3 安全运营指挥系统总体框架
安全运营指挥系统的PMT框架(见图1),即从人员(People),管理(Management),技术(Technology)组合实现安全业务目标,保障安全保护对象。
(1)用户(人员),即安全运营指挥系统组织机构
安全运营指挥系统组织机构充分考虑企业现有的信息安全管理团队,结合企业信息安全管理工作的具体内容进行规划设计;
(2)管理,即制度与流程,标准与规范
根据安全运营指挥系统的定位,安全运营指挥系统不仅是技术平台,更是融合人员、技术工作和运行管理的系统、平台和体系,本身就需要大量管理的支撑,安全运营指挥系统管理部分的设计就是为保障安全运营指挥系统正常运行,实现信息安全管理工作的安全运营指挥系统内部运行管理机制。
(3)技术,即安全运营指挥系统技术支撑平台
安全运营指挥系统技术支撑平台是本次规划设计的重点,是实现安全运营指挥系统业务的技术支撑。根据企业信息安全管理工作,总部集中规划和设计,企业执行统筹和自主管理相结合的管理特点,安全运营指挥系统技术支撑平台采用“围绕总部安全运营指挥系统中心统筹,分级安全运营指挥系统管控,多层采集分析单元的集中与分散相结合”的设计方式。
3.4 安全运营指挥系统业务蓝图
安全业务是安全工作的核心和目标,有固定动作也有阶段性任务,因此业务蓝图是在固定框架下规划,同时兼顾开放性,按照企业通用性安全工作,梳理出以下业务蓝图。包括主体业务和子系统,主体业务16项:“安全策略”、“安全组织与人力资源安全管理”、“制度、流程”、“标准、规范”、“规划与方案”、“评估与检查、信息系统安全检测”、“合规管理”、“系统建设安全管理”、“安全监控”、“安全运维”、“事故与应急处置”、“风险集中管控”、“数据安全管理”、“应用系统安全管理”、“基础设施安全管理”、“物理与环境安全管理”;子系统3个:人员安全资信管理子系统,合规管理子系统,安全检测管理子系统。
图1 安全运营指挥系统总体框架
图2 安全运营指挥系统业务蓝图
3.5 安全运营指挥系统功能架构
根据对企业信息安全管理工作现状的分析,安全运营指挥系统业务框架由如下4个视图构成(见图3):
(1)日常视图,即安全运营指挥系统的全工作视图,包括日常信息安全管理工作、保护对象管理、策略落实、策略措施的效果等等。
(2)应用系统安全管理视图,即以企业核心、重点业务应用系统的安全为视角,审视信息安全当前现状,主要包括:应用系统从用户、终端、网络、系统、应用、数据等全方位监测信息系统安全。
(3)等级保护管理视图,即以等级保护符合性分析为视角,从等级保护的技术和管理两个层面10个控制域分析企业信息安全建设的成效。
(4)ISO27000管理视图,即从两个角度开展工作,ISO27000符合性和信息安全管理标准工作,既可以满足未来开展ISO27000认证,又可以从国家标准的层面寻找信息安全管理的差距。
企业开展各类信息安全业务,需要从各种安全防护措施中获取各类安全信息并加以分析处理,这需要安全运营指挥系统具备采集分析的能力,通过采集分析得来的安全数据,将支撑企业安全业务的开展。而各类安全业务的开展情况,将需要安全运营指挥系统的综合展示功能得以体现。业务展示可以通过四个业务视图实现,即日常管理视图、应用系统安全管理视图、等级保护管理视图和ISO27000管理视图,但是由于业务应用系统安全管理视图、等级保护管理视图和ISO27000管理视图,都是从日常管理视图中抽取数据,这3个视图的管理项目都可以从日常管理视图中映射得出。
业务视图也是开放性架构,当管理者需要处理不同业务内容时,可以在基础数据之上,通过开放性的视图设计工具,快速制定新的视图,例如:关键基础设施管理视图、密码管理视图、互联网应用安全治理视图、实战演习视图等。
图3 运营指挥系统业务视图
3.6 安全运营指挥系统技术架构设计
通过“功能架构”的规划和设计,指出了安全运营指挥系统必须具备的各项业务功能,这些功能需要通过底层技术架构的全面支持,才能得以实现。除安全运营指挥系统业务层和展示层之外,安全运营指挥系统还必须覆盖从信息采集获取到数据分析处理两个层次,为了有效支持业务处理和信息展示,数据分析层和数据采集层构成了安全运营指挥系统的技术支撑平台。安全运营指挥系统技术支撑层和安全运营指挥系统业务处理层的依托关系如图4所示。
图4 安全运营指挥系统技术支撑框架
通过对每一个级别功能的细化,安全运营指挥系统功能框架呈现出一个多级结构,其每一级结构的内容如下。
(1)按照从底层往上层的顺序,依次是信息采集层、数据分析层、安全业务层、统一展示层
(2)信息采集层:采集各种安全措施所发现的风险信息并进行基本的处理。采集的风险信息可分为四类:日志类、漏洞类、配置类、状态类。
(3)数据分析层:完成风险的分析处理、归类以及综合评估。安全运营指挥系统能够针对历史数据做数据挖掘分析,对实时数据结合业务进行风险告警分析,对可能的风险进行预警分析。
(4)安全业务层:基于分析评估的结果,满足企业的业务需求,主要包含业务流程的设计以及安全运维的固化等。
(5)统一展示层:安全运营指挥系统具备统一展示的功能,可以多维度统一展示系统安全风险,尤其是基于业务系统的风险展示。除了风险状况之外,还展示其对问题处理、策略合规相关的工作进展。
3.7 安全运营指挥系统的部署架构设计
安全运营指挥系统的部署依据“统一监视、分级管理、统一策略下的分级处置”的原则,覆盖企业总部级、区域级和企业级,技术上采用三级架构部署。
(1)总部级
总部级安全运营指挥中心除监控总部所有安全基础设施、业务系统、网络、主机、应用外,它还能够统一管理各区域级安全运营指挥中心,也就是二级安全运营指挥系统;
总部级安全运营指挥系统统一监视总部、区域、企业的风险情况,向区域级安全运营指挥系统发布通告和相关任务。在管理方面,它负责总部和区域的安全管理工作,处理总部和区域的安全风险。
除此之外,总部级安全运营指挥中心也和总部级的其他管理系统,如IT运维系统进行交互、共享信息、共同完成信息安全管理工作。
(2)区域级
区域级安全运营指挥系统作为本区域的安全管理系统,主要监控区域级及下属企业的安全基础设施、业务系统、网络、主机、应用等的安全运行,并能接受总部安全运营指挥中心的管控。
总部级安全运营指挥系统和区域级安全运营指挥系统通过约定的通讯协议进行管控指令和各类数据的交互。区域级安全运营指挥系统需要将本区域级的安全情况汇总并上报到总部级安全运营指挥系统,便于总部级安全运营指挥系统的统一监视。
同时,区域级安全运营指挥系统负责区域级的安全管理工作,并给下属企业下达安全任务和通知。对于发现的安全风险,区域级处置区域级的安全风险,并对下属企业的安全风险处理作出指导。
(3)企业
企业可根据管理需求部署相应的数据采集、监控管理模块。采集系统、采集器将采集到的风险信息经过基本处理之后,上报到区域级安全运营指挥系统,便于区域级的统一监视。下属企业的风险处置,由下属企业进行,也可以委托区域级统一处置。
对于规模较大的大型企业,如果不能满足本企业业务管理需求,也可以考虑部署企业级安全运营指挥中心。
3.8 云计算和大数据技术在安全运营指挥系统建设中的应用
安全运营指挥系统的运行过程处理大量安全信息,在数据存储和计算上需要具有足够的支撑和扩充能力,在安全运营指挥系统技术平台的建设过程中,可以考虑采用云计算和大数据的机制实现安全运营指挥系统功能,同时还能提供足够的扩充能力。
(1)采用云计算作为安全运营指挥系统计算平台。云计算是通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中。安全运营指挥系统运行采用云计算技术,使得安全运营指挥系统能够将资源集中使用,有效进行计算能力的切换,必要时将强大的计算能力运用到需要的应用上,并且能够根据需求,访问大数据系统。
(2)采用大数据实现安全运营指挥系统海量数据的存储、分析和计算。安全运营指挥系统采用大数据机制,就是采用了大数据分析的理论核心——数据挖掘算法,各种数据挖掘的算法基于不同的数据类型和格式才能更加科学地呈现出数据本身具备的特点,也正是因为这些被全世界统计学家所公认的各种统计方法(可以称之为真理)才能深入数据内部,挖掘出公认的价值。另外一个方面也是因为有这些数据挖掘的算法才能更快速处理大数据。
云计算和大数据的采用可以使得安全运营指挥系统体系构建在强大数据计算和分析平台上,对于发挥安全运营指挥系统的效能提供有力的支撑。
4 安全运营指挥系统完成后能够带来的信息安全管理效果
安全运营指挥系统的建设从信息安全管理工作的根本内容开始设计和开发,能够对信息安全管理工作起到积极有效的推动作用。
4.1 信息安全管理内容方面
安全运营指挥系统在进行业务设计时从信息安全管理标准(ISO27000、等级保护、信息安全评估、信息安全风险管理)、企业信息安全管理工作现状和未来发展、企业信息安全管理特殊性等层面进行分析和设计,能够系统地将信息安全管理工作全面规划到安全运营指挥系统中,并且对这些管理内容进行了优化和分析,形成了四层业务框架,结合统一展示和知识库,构建了完整的信息安全管理框架,在未来一定时期内会成为企业信息安全管理的主要依据和工作内容。
4.2 监控管理自动化
安全运营指挥系统应挖潜现有信息安全设备的防护能力,将安全运营指挥系统的风险分析和安全机制管理全面纳入安全运营指挥系统的管理中。应从多层面保证信息安全监控,低到设备配置、到日志整合、高到信息安全机制的梳理,和与配套的层面同层展示的效果。同时,安全运营指挥系统对监控采用全面信息收集、分析、处理等多方面工作,另外,还结合风险分析,形成了安全风险可视化的集成效果。为了提高信息安全设备的使用和效果提升,安全运营指挥系统设计了配置部署的功能组件,可以将信息安全策略和指令,通过配置的方式发送部署到相关设备中,形成良好的管控效果,总体来说,安全运营指挥系统能够从多角度开展对企业现有和未来部署的信息安全管理设备和机制进行自动化的管理和控制。
4.3 多视图分层管理
安全运营指挥系统规划设计了4个视图,分别是:日常安全管理、业务应用系统安全管理、等级保护管理和ISO27000管理业务视图,目的是提高信息安全管理工作的管理和决策效果,每个视图都关注了不同的管理诉求:日常安全管理业务视图关注了信息安全管理工作的开展、执行和最终效果,业务应用系统安全管理业务视图主要面向企业的各类重点应用的信息安全状况的动态分析和展示,等级保护管理业务视图关注的是企业信息安全等级保护的实行效果和动态展示,ISO27000管理业务视图将视角放在了信息安全管理符合性上,为企业实现世界一流信息化提供国际信息安全管理建设的管理支持。
4.4 集中风险管理、集中安全管控
企业信息安全管理的最终目标是实现信息安全风险的管理,将信息安全风险降到最低,安全运营指挥系统包括整体安全评价模块、风险状况模块、安全报表模块、安全公告模块、安全趋势等模块对信息安全风险进行分析和管控,并将风险管理分离出;安全报表,提供全面安全指标分析;安全公告,提供面向全体安全管理人员当前信息安全出现的各类事项;风险状况,梳理企业当前的信息安全风险级别,处置情况等;安全趋势;提供未来和将来信息安全风险的发展趋势,提供决策数据;整体安全评价将给出企业当前信息安全的全貌和评价指标值。总体来说,安全运营指挥系统能够对企业信息安全风险通过各类信息和数据的分析和加工提供集中的风险管理和安全管控。
4.5 多业务系统协同完成深度信息安全管理
信息安全不是一个部门的工作,是整个企业和全体员工的共同努力,所以安全运营指挥系统建设中将安全运营指挥系统的信息安全管理工作进行了合理的分解和分类,将部分信息安全管理内容分解到不同的信息系统中同步完成,尤其是人员安全、项目管理等内容,这样可以将企业的信息安全力量全部调动,为信息安全管理目标共同工作。
5 结束语
在“体系化、常态化和实战化”新的网络安全防护目标指引下,能源化工企业网络安全工作必须在持续加强网络安全防护纵深、动态弥补安全短板的基础上,加大安全运营体系的建设力度,提升运营能力,将网络安全工作从项目建设为主逐步过渡到常态化运营为主,这就需要强有力的平台支撑、攻守兼备的运营团队,目标清晰的服务标准,最重要的是符合企业管理架构的安全业务目录、业务边界、业务指标和业务流程,针对安全工作制衡性的特点,越来越多的企业希望将网络安全与数字化生产无感融合,希望安全的强制性和服务性协同发展,因此,安全流程优化、安全业务标准、安全操作自动化、安全分析智能化、安全运营实战化将是安全运营指挥系统实用化发展的重要设计因素,随着运营数据的大量积累,进一步通过大数据分析挖掘,机器学习、人工智能技术在安全分析及处置过程中的成熟应用,安全运营指挥中心的安全大脑功能将不断得到加强,在安全对抗中的指挥作用更加突出。
[1]刘远.石油化工行业网络安全运营的探索与思考[J].中国信息安全,2019(08).
[2]崔传桢.助力“互联网+”行动:解读华为的网络安全——基于“互联网+”[J].信息安全研究,2016(06).
[3]牛晓丽,王荣.网络安全管理平台专利技术现状与发展简析[J].计算机安全,2011(07).
[4]臧鑫.铁路信息安全管理研究[J].铁道经济研究,2014(05).
[5]王伟,覃晓宁.新一代安全运营中心(SOC)平台[J].计算机工程应用技术,2017(03).
[6]卢光明.企业安全运营中心将是支撑未来企业的核心[J].网络空间安全,2018(11).
[7]金华敏,王帅.SOC发展之道——关于网络安全运营中心(SOC)建设若干问题的探讨[J].广东通信技术,2017(9).
[8]董祎铖. 基于安全运营建设,促进安全治理工作[J].中国信息安全,2019(08).
