態(tài)勢(shì)感知和我們的任務(wù)

“態(tài)勢(shì)感知”（SA，Situation Awareness）概念起源于二十世紀(jì)八十年代的美國(guó)空軍，覆蓋感知、理解和預(yù)測(cè)三個(gè)層次：分析空戰(zhàn)環(huán)境信息，快速判斷當(dāng)前及未來(lái)形勢(shì)并做出正確反應(yīng)。無(wú)疑這對(duì)取得勝利具有決定性的作用。隨著網(wǎng)絡(luò)的興起，1999年Tim Bass首次提出網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA），旨在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及對(duì)最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)，進(jìn)而進(jìn)行決策與行動(dòng)。人們認(rèn)識(shí)到態(tài)勢(shì)感知可能是解決信息安全的終極武器。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警。大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、并行計(jì)算、高效查詢等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的突破創(chuàng)造了機(jī)遇，借助大數(shù)據(jù)分析，對(duì)成千上萬(wàn)的網(wǎng)絡(luò)日志等信息進(jìn)行自動(dòng)分析處理與深度挖掘，對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)， 感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)。

圖1 中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)秘書(shū)長(zhǎng)、公安部網(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng) 唐前臨

圖2 論壇現(xiàn)場(chǎng)

隨著“419講話”到《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》的相繼出臺(tái)，態(tài)勢(shì)感知被提升到了戰(zhàn)略高度，眾多大行業(yè)、大型企業(yè)都開(kāi)始倡導(dǎo)、建設(shè)和積極應(yīng)用態(tài)勢(shì)感知系統(tǒng)，以應(yīng)對(duì)網(wǎng)絡(luò)空間安全嚴(yán)峻挑戰(zhàn)?！皯B(tài)勢(shì)感知”幾乎成為了網(wǎng)絡(luò)安全的基礎(chǔ)詞匯。

如今，“態(tài)勢(shì)感知”已經(jīng)成為網(wǎng)絡(luò)空間安全領(lǐng)域聚焦的熱點(diǎn)，也成為網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品、方案不斷創(chuàng)新、發(fā)展、演進(jìn)的匯集體現(xiàn)，更代表了當(dāng)前網(wǎng)絡(luò)安全攻防對(duì)抗的最新趨勢(shì)。

在本次大會(huì)上，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)秘書(shū)長(zhǎng)、公安部網(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)唐前臨認(rèn)為近期爆發(fā)的“WannaCry”勒索病毒攻擊事件并沒(méi)有想象那么大，我國(guó)損失不大，其中管理上和技術(shù)上都發(fā)揮重要作用，這就是一種態(tài)勢(shì)感知。途隆公司張曉兵在現(xiàn)場(chǎng)詳細(xì)解讀“WannaCry”勒索病毒攻擊事件時(shí)，提出三位一體式防御，在豐富的資源支持、強(qiáng)大的安全運(yùn)維能力以及成熟的云防護(hù)技術(shù)的支持下，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制，就是態(tài)勢(shì)感知思想的具體表現(xiàn)。

態(tài)勢(shì)感知能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對(duì)性響應(yīng)處置措施。所以態(tài)勢(shì)感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常；具備威脅調(diào)查分析及可視化能力，可以對(duì)威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，從而支撐有效的安全決策和響應(yīng)；能夠建立安全預(yù)警機(jī)制，來(lái)完善風(fēng)險(xiǎn)控制、應(yīng)急響應(yīng)和整體安全防護(hù)的水平。正如安博通公司李遠(yuǎn)在論壇提到的“檢測(cè)要持續(xù)，響應(yīng)要快速，態(tài)勢(shì)感知需要全方位的可視化”。

態(tài)勢(shì)感知系統(tǒng)是個(gè)體系，需要結(jié)合新技術(shù)、數(shù)據(jù)、系統(tǒng)平臺(tái)和人的能力。一個(gè)完整的態(tài)勢(shì)感知系統(tǒng)需要包含以下幾個(gè)大核心部分：首先是對(duì)整個(gè)周邊安全態(tài)勢(shì)要素的完整獲取，也就是對(duì)數(shù)據(jù)的理解和獲取、采集的能力。把來(lái)自不同的源頭、不同類型的數(shù)據(jù)融合在一起、產(chǎn)生關(guān)聯(lián)，通過(guò)進(jìn)一步分析去發(fā)現(xiàn)問(wèn)題。這也就要求一個(gè)大數(shù)據(jù)平臺(tái)能把海量數(shù)據(jù)高效的存儲(chǔ)與計(jì)算處理，在此基礎(chǔ)上做深度的安全檢測(cè)、事件捕獵、調(diào)查分析，發(fā)現(xiàn)、定位、溯源安全事件。

尤其是安全數(shù)據(jù)的分析，應(yīng)該著重加強(qiáng)。多維度的安全分析工具平臺(tái)與能力，才能夠真正捕獲威脅與攻擊，甚至溯源攻擊背后的情況。這時(shí)深度的多維度數(shù)據(jù)關(guān)聯(lián)分析、基于語(yǔ)義分析的檢測(cè)引擎、可進(jìn)行人機(jī)交互式的調(diào)查研判平臺(tái)、可視化分析、威脅情報(bào)技術(shù)、特定問(wèn)題的機(jī)器學(xué)習(xí)都成為有力武器。不僅要看見(jiàn)有安全問(wèn)題的發(fā)生，更要知道攻擊目的、攻擊方式、會(huì)產(chǎn)生什么后果、是什么組織進(jìn)行的?？苼?lái)公司齊繼東通過(guò)其產(chǎn)品透視了全流量安全分析對(duì)態(tài)勢(shì)感知的重要性，并提出基于流量鑒別、元數(shù)據(jù)提取和行為模型回查的全流量安全分析系統(tǒng)。

一般來(lái)講,安全能力的落地不光是技術(shù)與平臺(tái)，還要結(jié)合人的能力。態(tài)勢(shì)感知系統(tǒng)的運(yùn)轉(zhuǎn)，既需要對(duì)日常安全事件持續(xù)處理的運(yùn)維人員，也需要能夠?qū)?shù)據(jù)進(jìn)行深度分析的研判分析人員。最終的匯總信息還需要能進(jìn)行決策與行動(dòng)安排的決策者。這些不同的崗位，代表著將安全態(tài)勢(shì)感知運(yùn)轉(zhuǎn)起來(lái)的落地能力，這種能力的建設(shè)，既可以自己進(jìn)行，也可以借助外部的專業(yè)力量。中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)行業(yè)云安全工作組秘書(shū)長(zhǎng)、太極公司信息安全業(yè)務(wù)負(fù)責(zé)人郭峰詳細(xì)講解了構(gòu)建安全態(tài)勢(shì)感知系統(tǒng)的步驟：信息安全頂層設(shè)計(jì)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)識(shí)別、等級(jí)保護(hù)落地建設(shè)、態(tài)勢(shì)感知逐步建設(shè) 。

可以這樣講，為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，將態(tài)勢(shì)感知技術(shù)應(yīng)用到網(wǎng)絡(luò)安全中，不僅能夠全面掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，還可以預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知在提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)等方面都具有重要的意義。目前態(tài)勢(shì)感知已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)、安全防控等領(lǐng)域，對(duì)輔助決策起到重要作用。