網(wǎng)絡(luò)安全態(tài)勢感知

態(tài)勢感知（SA，SituationalAwareness or Situation Awareness）是對一定時(shí)間和空間內(nèi)的環(huán)境元素進(jìn)行感知，并對這些元素的含義進(jìn)行理解，最終預(yù)測這些元素在未來的發(fā)展?fàn)顟B(tài)。當(dāng)前提到“態(tài)勢感知”時(shí)主要是指“網(wǎng)絡(luò)安全態(tài)勢感知”，即將態(tài)勢感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中。網(wǎng)絡(luò)安全態(tài)勢感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài)，識(shí)別出當(dāng)前網(wǎng)絡(luò)中存在的問題和異?；顒?dòng)，并作出相應(yīng)的反饋或改進(jìn)。

網(wǎng)絡(luò)安全態(tài)勢感知的概念來源

態(tài)勢感知的概念起源于20世紀(jì)80年代的美國空軍，當(dāng)時(shí)主要用于分析空戰(zhàn)環(huán)境信息，對當(dāng)前和未來形勢進(jìn)行分析，最終做出相應(yīng)的判斷和決策。后來經(jīng)過不斷發(fā)展和完善，形成相關(guān)理論體，已廣泛應(yīng)用于航空、安全、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢感知即是將態(tài)勢感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中。

為什么網(wǎng)絡(luò)安全態(tài)勢感知很重要

隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，人們的安全意識(shí)在逐步提高，安全防護(hù)思想已經(jīng)從過去的被動(dòng)防御向主動(dòng)防護(hù)和智能防護(hù)轉(zhuǎn)變。同時(shí)，物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異，很多顛覆性的新技術(shù)也引入了新的安全問題，這都為我們提出了新的挑戰(zhàn)，也對網(wǎng)絡(luò)安全人員的能力提出了更高的要求。

正是在這樣的背景下，以網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以帶動(dòng)整個(gè)安全防護(hù)體系升級，實(shí)現(xiàn)以下三個(gè)方面的轉(zhuǎn)變：

安全建設(shè)的目標(biāo)從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪?qiáng)防御和威懾能力，并且更加注重對抗性，這對情報(bào)技術(shù)提出了更高要求。

攻擊檢測的對象從已知威脅轉(zhuǎn)變?yōu)槲粗{，通過大數(shù)據(jù)分析、異常檢測、態(tài)勢感知、機(jī)器學(xué)習(xí)等技術(shù)，實(shí)現(xiàn)對高級威脅的檢測。

對威脅的響應(yīng)從人工分析并處置轉(zhuǎn)變?yōu)樽詣?dòng)響應(yīng)閉環(huán)，強(qiáng)調(diào)應(yīng)急響應(yīng)、協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)安全彈性。

網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用場景

由于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的建設(shè)復(fù)雜度和建設(shè)成本較高，所以當(dāng)前主要應(yīng)用場景還是在大型機(jī)構(gòu)和大中型企業(yè)中。對于規(guī)模較小的單位，可以選擇功能和架構(gòu)相對簡單、性能相對較弱的集成單一產(chǎn)品。

如何評估態(tài)勢感知的建設(shè)結(jié)果

網(wǎng)絡(luò)安全態(tài)勢感知的建設(shè)結(jié)果可以從防御、檢測、響應(yīng)、預(yù)測這幾方面進(jìn)行評估。

什么是態(tài)勢感知的三個(gè)層級

Mica Endsley在“Towarda theory of situation awareness in dynamic systems”（1995）中，仿照人的認(rèn)知過程提出了一個(gè)經(jīng)典的態(tài)勢感知模型。這個(gè)模型是很多后續(xù)理論的基礎(chǔ)，一般稱為Endsley模型（Endsley‘s model）。Endsley模型將態(tài)勢感知分為三個(gè)層級，分別是態(tài)勢要素感知、態(tài)勢理解和態(tài)勢預(yù)測。

華為的態(tài)勢感知產(chǎn)品HiSec Insight針對金融、網(wǎng)安、政府、運(yùn)營商等大、中、小型企業(yè)，華為推出基于成熟自研商用大數(shù)據(jù)平臺(tái)FusionInsight的HiSec Insight安全態(tài)勢感知系統(tǒng)。HiSecInsight能夠采集和存儲(chǔ)多類網(wǎng)絡(luò)信息數(shù)據(jù)，幫助您在發(fā)現(xiàn)威脅后調(diào)查取證以及處置問責(zé)。華為安全態(tài)勢感知以發(fā)現(xiàn)威脅、阻斷威脅、取證、溯源、響應(yīng)、處置的思路設(shè)計(jì)，幫助您完成全流程威脅事件閉環(huán)。

編輯：jq