網(wǎng)絡(luò)安全態(tài)勢(shì)感知

態(tài)勢(shì)感知（SA，SituationalAwareness or Situation Awareness）是對(duì)一定時(shí)間和空間內(nèi)的環(huán)境元素進(jìn)行感知，并對(duì)這些元素的含義進(jìn)行理解，最終預(yù)測(cè)這些元素在未來(lái)的發(fā)展?fàn)顟B(tài)。當(dāng)前提到“態(tài)勢(shì)感知”時(shí)主要是指“網(wǎng)絡(luò)安全態(tài)勢(shì)感知”，即將態(tài)勢(shì)感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中。網(wǎng)絡(luò)安全態(tài)勢(shì)感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài)，識(shí)別出當(dāng)前網(wǎng)絡(luò)中存在的問(wèn)題和異?；顒?dòng)，并作出相應(yīng)的反饋或改進(jìn)。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念來(lái)源

態(tài)勢(shì)感知的概念起源于20世紀(jì)80年代的美國(guó)空軍，當(dāng)時(shí)主要用于分析空戰(zhàn)環(huán)境信息，對(duì)當(dāng)前和未來(lái)形勢(shì)進(jìn)行分析，最終做出相應(yīng)的判斷和決策。后來(lái)經(jīng)過(guò)不斷發(fā)展和完善，形成相關(guān)理論體，已廣泛應(yīng)用于航空、安全、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢(shì)感知即是將態(tài)勢(shì)感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中。

為什么網(wǎng)絡(luò)安全態(tài)勢(shì)感知很重要

隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，人們的安全意識(shí)在逐步提高，安全防護(hù)思想已經(jīng)從過(guò)去的被動(dòng)防御向主動(dòng)防護(hù)和智能防護(hù)轉(zhuǎn)變。同時(shí)，物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異，很多顛覆性的新技術(shù)也引入了新的安全問(wèn)題，這都為我們提出了新的挑戰(zhàn)，也對(duì)網(wǎng)絡(luò)安全人員的能力提出了更高的要求。

正是在這樣的背景下，以網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可以帶動(dòng)整個(gè)安全防護(hù)體系升級(jí)，實(shí)現(xiàn)以下三個(gè)方面的轉(zhuǎn)變：

安全建設(shè)的目標(biāo)從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪?qiáng)防御和威懾能力，并且更加注重對(duì)抗性，這對(duì)情報(bào)技術(shù)提出了更高要求。

攻擊檢測(cè)的對(duì)象從已知威脅轉(zhuǎn)變?yōu)槲粗{，通過(guò)大數(shù)據(jù)分析、異常檢測(cè)、態(tài)勢(shì)感知、機(jī)器學(xué)習(xí)等技術(shù)，實(shí)現(xiàn)對(duì)高級(jí)威脅的檢測(cè)。

對(duì)威脅的響應(yīng)從人工分析并處置轉(zhuǎn)變?yōu)樽詣?dòng)響應(yīng)閉環(huán)，強(qiáng)調(diào)應(yīng)急響應(yīng)、協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)安全彈性。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的應(yīng)用場(chǎng)景

由于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的建設(shè)復(fù)雜度和建設(shè)成本較高，所以當(dāng)前主要應(yīng)用場(chǎng)景還是在大型機(jī)構(gòu)和大中型企業(yè)中。對(duì)于規(guī)模較小的單位，可以選擇功能和架構(gòu)相對(duì)簡(jiǎn)單、性能相對(duì)較弱的集成單一產(chǎn)品。

如何評(píng)估態(tài)勢(shì)感知的建設(shè)結(jié)果

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建設(shè)結(jié)果可以從防御、檢測(cè)、響應(yīng)、預(yù)測(cè)這幾方面進(jìn)行評(píng)估。

什么是態(tài)勢(shì)感知的三個(gè)層級(jí)

Mica Endsley在“Towarda theory of situation awareness in dynamic systems”（1995）中，仿照人的認(rèn)知過(guò)程提出了一個(gè)經(jīng)典的態(tài)勢(shì)感知模型。這個(gè)模型是很多后續(xù)理論的基礎(chǔ)，一般稱為Endsley模型（Endsley‘s model）。Endsley模型將態(tài)勢(shì)感知分為三個(gè)層級(jí)，分別是態(tài)勢(shì)要素感知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)。

華為的態(tài)勢(shì)感知產(chǎn)品HiSec Insight針對(duì)金融、網(wǎng)安、政府、運(yùn)營(yíng)商等大、中、小型企業(yè)，華為推出基于成熟自研商用大數(shù)據(jù)平臺(tái)FusionInsight的HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)。HiSecInsight能夠采集和存儲(chǔ)多類網(wǎng)絡(luò)信息數(shù)據(jù)，幫助您在發(fā)現(xiàn)威脅后調(diào)查取證以及處置問(wèn)責(zé)。華為安全態(tài)勢(shì)感知以發(fā)現(xiàn)威脅、阻斷威脅、取證、溯源、響應(yīng)、處置的思路設(shè)計(jì)，幫助您完成全流程威脅事件閉環(huán)。

編輯：jq