網(wǎng)絡(luò)安全態(tài)勢感知

態(tài)勢感知（SA，SituationalAwareness or Situation Awareness）是對一定時間和空間內(nèi)的環(huán)境元素進行感知，并對這些元素的含義進行理解，最終預測這些元素在未來的發(fā)展狀態(tài)。當前提到“態(tài)勢感知”時主要是指“網(wǎng)絡(luò)安全態(tài)勢感知”，即將態(tài)勢感知的相關(guān)理論和方法應用到網(wǎng)絡(luò)安全領(lǐng)域中。網(wǎng)絡(luò)安全態(tài)勢感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個網(wǎng)絡(luò)的安全狀態(tài)，識別出當前網(wǎng)絡(luò)中存在的問題和異常活動，并作出相應的反饋或改進。

網(wǎng)絡(luò)安全態(tài)勢感知的概念來源

態(tài)勢感知的概念起源于20世紀80年代的美國空軍，當時主要用于分析空戰(zhàn)環(huán)境信息，對當前和未來形勢進行分析，最終做出相應的判斷和決策。后來經(jīng)過不斷發(fā)展和完善，形成相關(guān)理論體，已廣泛應用于航空、安全、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢感知即是將態(tài)勢感知的相關(guān)理論和方法應用到網(wǎng)絡(luò)安全領(lǐng)域中。

為什么網(wǎng)絡(luò)安全態(tài)勢感知很重要

隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，人們的安全意識在逐步提高，安全防護思想已經(jīng)從過去的被動防御向主動防護和智能防護轉(zhuǎn)變。同時，物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異，很多顛覆性的新技術(shù)也引入了新的安全問題，這都為我們提出了新的挑戰(zhàn)，也對網(wǎng)絡(luò)安全人員的能力提出了更高的要求。

正是在這樣的背景下，以網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以帶動整個安全防護體系升級，實現(xiàn)以下三個方面的轉(zhuǎn)變：

安全建設(shè)的目標從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪姺烙屯啬芰?，并且更加注重對抗性，這對情報技術(shù)提出了更高要求。

攻擊檢測的對象從已知威脅轉(zhuǎn)變?yōu)槲粗{，通過大數(shù)據(jù)分析、異常檢測、態(tài)勢感知、機器學習等技術(shù)，實現(xiàn)對高級威脅的檢測。

對威脅的響應從人工分析并處置轉(zhuǎn)變?yōu)樽詣禹憫]環(huán)，強調(diào)應急響應、協(xié)同聯(lián)動，實現(xiàn)安全彈性。

網(wǎng)絡(luò)安全態(tài)勢感知的應用場景

由于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的建設(shè)復雜度和建設(shè)成本較高，所以當前主要應用場景還是在大型機構(gòu)和大中型企業(yè)中。對于規(guī)模較小的單位，可以選擇功能和架構(gòu)相對簡單、性能相對較弱的集成單一產(chǎn)品。

如何評估態(tài)勢感知的建設(shè)結(jié)果

網(wǎng)絡(luò)安全態(tài)勢感知的建設(shè)結(jié)果可以從防御、檢測、響應、預測這幾方面進行評估。

什么是態(tài)勢感知的三個層級

Mica Endsley在“Towarda theory of situation awareness in dynamic systems”（1995）中，仿照人的認知過程提出了一個經(jīng)典的態(tài)勢感知模型。這個模型是很多后續(xù)理論的基礎(chǔ)，一般稱為Endsley模型（Endsley‘s model）。Endsley模型將態(tài)勢感知分為三個層級，分別是態(tài)勢要素感知、態(tài)勢理解和態(tài)勢預測。

華為的態(tài)勢感知產(chǎn)品HiSec Insight針對金融、網(wǎng)安、政府、運營商等大、中、小型企業(yè)，華為推出基于成熟自研商用大數(shù)據(jù)平臺FusionInsight的HiSec Insight安全態(tài)勢感知系統(tǒng)。HiSecInsight能夠采集和存儲多類網(wǎng)絡(luò)信息數(shù)據(jù)，幫助您在發(fā)現(xiàn)威脅后調(diào)查取證以及處置問責。華為安全態(tài)勢感知以發(fā)現(xiàn)威脅、阻斷威脅、取證、溯源、響應、處置的思路設(shè)計，幫助您完成全流程威脅事件閉環(huán)。

編輯：jq