态势感知和我们的任务

“态势感知”（SA，Situation Awareness）概念起源于二十世纪八十年代的美国空军，覆盖感知、理解和预测三个层次：分析空战环境信息，快速判断当前及未来形势并做出正确反应。无疑这对取得胜利具有决定性的作用。随着网络的兴起，1999年Tim Bass首次提出网络态势感知（Cyberspace Situation Awareness，CSA），旨在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及对最近发展趋势的顺延性预测，进而进行决策与行动。人们认识到态势感知可能是解决信息安全的终极武器。

网络安全态势感知技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知技术的突破创造了机遇，借助大数据分析，对成千上万的网络日志等信息进行自动分析处理与深度挖掘，对网络的安全状态进行分析评价， 感知网络中的异常事件与整体安全态势。

图1 中国计算机学会计算机安全专业委员会秘书长、公安部网络安全保卫局处长 唐前临

图2 论坛现场

随着“419讲话”到《中华人民共和国网络安全法》和《国家网络空间安全战略》的相继出台，态势感知被提升到了战略高度，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。“态势感知”几乎成为了网络安全的基础词汇。

如今，“态势感知”已经成为网络空间安全领域聚焦的热点，也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现，更代表了当前网络安全攻防对抗的最新趋势。

在本次大会上，中国计算机学会计算机安全专业委员会秘书长、公安部网络安全保卫局处长唐前临认为近期爆发的“WannaCry”勒索病毒攻击事件并没有想象那么大，我国损失不大，其中管理上和技术上都发挥重要作用，这就是一种态势感知。途隆公司张晓兵在现场详细解读“WannaCry”勒索病毒攻击事件时，提出三位一体式防御，在丰富的资源支持、强大的安全运维能力以及成熟的云防护技术的支持下，实现对风险的控制，就是态势感知思想的具体表现。

态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性响应处置措施。所以态势感知系统应该具备网络空间安全持续监控能力，能够及时发现各种攻击威胁与异常；具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应；能够建立安全预警机制，来完善风险控制、应急响应和整体安全防护的水平。正如安博通公司李远在论坛提到的“检测要持续，响应要快速，态势感知需要全方位的可视化”。

态势感知系统是个体系，需要结合新技术、数据、系统平台和人的能力。一个完整的态势感知系统需要包含以下几个大核心部分：首先是对整个周边安全态势要素的完整获取，也就是对数据的理解和获取、采集的能力。把来自不同的源头、不同类型的数据融合在一起、产生关联，通过进一步分析去发现问题。这也就要求一个大数据平台能把海量数据高效的存储与计算处理，在此基础上做深度的安全检测、事件捕猎、调查分析，发现、定位、溯源安全事件。

尤其是安全数据的分析，应该着重加强。多维度的安全分析工具平台与能力，才能够真正捕获威胁与攻击，甚至溯源攻击背后的情况。这时深度的多维度数据关联分析、基于语义分析的检测引擎、可进行人机交互式的调查研判平台、可视化分析、威胁情报技术、特定问题的机器学习都成为有力武器。不仅要看见有安全问题的发生，更要知道攻击目的、攻击方式、会产生什么后果、是什么组织进行的。科来公司齐继东通过其产品透视了全流量安全分析对态势感知的重要性，并提出基于流量鉴别、元数据提取和行为模型回查的全流量安全分析系统。

一般来讲,安全能力的落地不光是技术与平台，还要结合人的能力。态势感知系统的运转，既需要对日常安全事件持续处理的运维人员，也需要能够对数据进行深度分析的研判分析人员。最终的汇总信息还需要能进行决策与行动安排的决策者。这些不同的岗位，代表着将安全态势感知运转起来的落地能力，这种能力的建设，既可以自己进行，也可以借助外部的专业力量。中国信息协会信息安全专业委员会行业云安全工作组秘书长、太极公司信息安全业务负责人郭峰详细讲解了构建安全态势感知系统的步骤：信息安全顶层设计、关键业务数据识别、等级保护落地建设、态势感知逐步建设 。

可以这样讲，为了解决日益严重的网络安全威胁和挑战，将态势感知技术应用到网络安全中，不仅能够全面掌握当前网络安全状态，还可以预测未来网络安全趋势。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。目前态势感知已广泛应用于军事、航空、工业生产、安全防控等领域，对辅助决策起到重要作用。