什么是网络安全态势感知？

网络安全态势感知的概念来源

态势感知的概念起源于20 世纪80 年代的美国空军，当时主要用于分析空战环境信息，对当前和未来形势进行分析，最终做出相应的判断和决策。后来经过不断发展和完善，形成相关理论体，已广泛应用于军事、航空、工业生产、安全、网络等领域。网络安全态势感知即是将态势感知的相关理论和方法应用到网络安全领域中。

态势感知的概念比较抽象，我们举个例子来帮助理解：天气预报就可以理解为一种“态势感知”。通过对某一地点的持续观测和分析，我们可以预测未来一段时间内的天气。尤其是对重大灾害天气的预测，如台风、雾霾、暴雪等，对我们来讲尤为重要。通过提前进行人员和财产的转移，准备相关抗灾措施，可以大大降低灾害带来的影响，这就是进行“态势感知”的重要目的。

为什么网络安全态势感知很重要

随着网络与信息技术的不断发展，人们的安全意识在逐步提高。我们已经不再笃定认为自己的网络是绝对安全的，相反的，我们认为网络遭受攻击是必然的、常态化的。我们不能阻止攻击行为，但是可以提前识别和发现攻击行为，尽可能降低损失。也就是说，安全防护思想已经从过去的被动防御向主动防护和智能防护转变。

同时，物联网和云技术的发展也是日新月异，很多颠覆性的新技术也引入了新的安全问题。例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等，这都为我们提出了新的挑战，也对网络安全人员的能力也提出了更高的要求。

正是在这样的背景下，以网络安全态势感知技术为核心的产品和解决方案得到快速发展。网络安全态势感知技术可以带动整个安全防护体系升级，实现以下三个方面的转变：

• 安全建设的目标从满足合规转变为增强防御和威慑能力，并且更加注重对抗性，这对情报技术提出了更高要求。
• 攻击检测的对象从已知威胁转变为未知威胁，通过大数据分析、异常检测、态势感知、机器学习等技术，实现对高级威胁的检测。
• 对威胁的响应从人工分析并处置转变为自动响应闭环，强调应急响应、协同联动，实现安全弹性。

网络安全态势感知的应用场景

由于网络安全态势感知系统的建设复杂度和建设成本较高，所以当前主要应用场景还是在大型机构和大中型企业中。对于规模较小的单位，可以选择功能和架构相对简单、性能相对较弱的集成单一产品。

• 政府机关：从国家维度或省市行政管理维度，对相关信息基础设施的网络安全态势进行管理和监控。
• 大型行业：从行业体系维度，对行业内部系统的网络安全态势进行管理和健康。当前，网络安全态势感知的主要应用行业包括政务、金融、网络运营、教育等。
• 大型机构或企业：从日常安全运维角度出发，对核心资产和业务系统的安全状态进行管理和监控。

如何评估态势感知的建设结果

网络安全态势感知的建设结果可以从如下几个方面进行评估：

• 防御：利用掌握的情报和资产摸底信息，完善防御体系，消除资产风险。
• 检测：提供网络安全持续监控能力，快速、精准地检测出安全威胁。
• 响应：提供涵盖终端和网络的响应能力，支持攻击取证、事件溯源和威胁修复等。
• 预测：通过对历史安全情况、现网流行攻击和情报系统进行综合研判，提供改进建议。

什么是态势感知的三个层级

Mica Endsley在“Toward a theory of situation awareness in dynamic systems”（1995）中，仿照人的认知过程提出了一个经典的态势感知模型。这个模型在当前看来虽然比较简单，但却是很多后续理论的基础，人们一般称该模型为Endsley模型（Endsley's model）。

Endsley模型将态势感知分为三个层级，分别是态势要素感知、态势理解和态势预测。

• 要素感知（Level 1）：感知环境中相关要素的状态、属性和动态等信息。
• 态势理解（Level 2）：通过识别、解读和评估的过程，将不相关的要素信息联系起来，并关注这些信息对预期目标的影响。
• 态势预测（Level 3）：基于对前两级信息的理解，预测未来的发展态势和可能产生的影响。

华为的态势感知产品HiSec Insight

针对金融、网安、政府、运营商等大、中、小型企业，华为推出基于大数据的APT防御产品HiSec Insight高级威胁分析系统（简称HiSec Insight）。HiSec Insight能够采集网络中的海量基础数据，如网络中的流量、各类设备的网络日志和安全日志等，通过大数据分析和机器学习技术，识别网络中的潜在威胁和高级威胁，从而实现对全网的安全态势感知。