“態(tài)勢感知”（SA，Situation Awareness）概念起源于二十世紀(jì)八十年代的美國空軍，覆蓋感知、理解和預(yù)測三個層次：分析空戰(zhàn)環(huán)境信息，快速判斷當(dāng)前及未來形勢并做出正確反應(yīng)。無疑這對取得勝利具有決定性的作用。隨著網(wǎng)絡(luò)的興起，1999年Tim Bass首次提出網(wǎng)絡(luò)態(tài)勢感知（Cyberspace Situation Awareness，CSA），旨在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及對最近發(fā)展趨勢的順延性預(yù)測，進(jìn)而進(jìn)行決策與行動。人們認(rèn)識到態(tài)勢感知可能是解決信息安全的終極武器。

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)能夠綜合各方面的安全因素，從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況，并對網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警。大數(shù)據(jù)技術(shù)特有的海量存儲、并行計(jì)算、高效查詢等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的突破創(chuàng)造了機(jī)遇，借助大數(shù)據(jù)分析，對成千上萬的網(wǎng)絡(luò)日志等信息進(jìn)行自動分析處理與深度挖掘，對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評價， 感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。

圖1 中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會秘書長、公安部網(wǎng)絡(luò)安全保衛(wèi)局處長 唐前臨

圖2 論壇現(xiàn)場

隨著“419講話”到《中華人民共和國網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》的相繼出臺，態(tài)勢感知被提升到了戰(zhàn)略高度，眾多大行業(yè)、大型企業(yè)都開始倡導(dǎo)、建設(shè)和積極應(yīng)用態(tài)勢感知系統(tǒng)，以應(yīng)對網(wǎng)絡(luò)空間安全嚴(yán)峻挑戰(zhàn)?！皯B(tài)勢感知”幾乎成為了網(wǎng)絡(luò)安全的基礎(chǔ)詞匯。

如今，“態(tài)勢感知”已經(jīng)成為網(wǎng)絡(luò)空間安全領(lǐng)域聚焦的熱點(diǎn)，也成為網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品、方案不斷創(chuàng)新、發(fā)展、演進(jìn)的匯集體現(xiàn)，更代表了當(dāng)前網(wǎng)絡(luò)安全攻防對抗的最新趨勢。

在本次大會上，中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會秘書長、公安部網(wǎng)絡(luò)安全保衛(wèi)局處長唐前臨認(rèn)為近期爆發(fā)的“WannaCry”勒索病毒攻擊事件并沒有想象那么大，我國損失不大，其中管理上和技術(shù)上都發(fā)揮重要作用，這就是一種態(tài)勢感知。途隆公司張曉兵在現(xiàn)場詳細(xì)解讀“WannaCry”勒索病毒攻擊事件時，提出三位一體式防御，在豐富的資源支持、強(qiáng)大的安全運(yùn)維能力以及成熟的云防護(hù)技術(shù)的支持下，實(shí)現(xiàn)對風(fēng)險的控制，就是態(tài)勢感知思想的具體表現(xiàn)。

態(tài)勢感知能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對性響應(yīng)處置措施。所以態(tài)勢感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠及時發(fā)現(xiàn)各種攻擊威脅與異常；具備威脅調(diào)查分析及可視化能力，可以對威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，從而支撐有效的安全決策和響應(yīng)；能夠建立安全預(yù)警機(jī)制，來完善風(fēng)險控制、應(yīng)急響應(yīng)和整體安全防護(hù)的水平。正如安博通公司李遠(yuǎn)在論壇提到的“檢測要持續(xù)，響應(yīng)要快速，態(tài)勢感知需要全方位的可視化”。

態(tài)勢感知系統(tǒng)是個體系，需要結(jié)合新技術(shù)、數(shù)據(jù)、系統(tǒng)平臺和人的能力。一個完整的態(tài)勢感知系統(tǒng)需要包含以下幾個大核心部分：首先是對整個周邊安全態(tài)勢要素的完整獲取，也就是對數(shù)據(jù)的理解和獲取、采集的能力。把來自不同的源頭、不同類型的數(shù)據(jù)融合在一起、產(chǎn)生關(guān)聯(lián)，通過進(jìn)一步分析去發(fā)現(xiàn)問題。這也就要求一個大數(shù)據(jù)平臺能把海量數(shù)據(jù)高效的存儲與計(jì)算處理，在此基礎(chǔ)上做深度的安全檢測、事件捕獵、調(diào)查分析，發(fā)現(xiàn)、定位、溯源安全事件。

尤其是安全數(shù)據(jù)的分析，應(yīng)該著重加強(qiáng)。多維度的安全分析工具平臺與能力，才能夠真正捕獲威脅與攻擊，甚至溯源攻擊背后的情況。這時深度的多維度數(shù)據(jù)關(guān)聯(lián)分析、基于語義分析的檢測引擎、可進(jìn)行人機(jī)交互式的調(diào)查研判平臺、可視化分析、威脅情報(bào)技術(shù)、特定問題的機(jī)器學(xué)習(xí)都成為有力武器。不僅要看見有安全問題的發(fā)生，更要知道攻擊目的、攻擊方式、會產(chǎn)生什么后果、是什么組織進(jìn)行的?？苼砉君R繼東通過其產(chǎn)品透視了全流量安全分析對態(tài)勢感知的重要性，并提出基于流量鑒別、元數(shù)據(jù)提取和行為模型回查的全流量安全分析系統(tǒng)。

一般來講,安全能力的落地不光是技術(shù)與平臺，還要結(jié)合人的能力。態(tài)勢感知系統(tǒng)的運(yùn)轉(zhuǎn)，既需要對日常安全事件持續(xù)處理的運(yùn)維人員，也需要能夠?qū)?shù)據(jù)進(jìn)行深度分析的研判分析人員。最終的匯總信息還需要能進(jìn)行決策與行動安排的決策者。這些不同的崗位，代表著將安全態(tài)勢感知運(yùn)轉(zhuǎn)起來的落地能力，這種能力的建設(shè)，既可以自己進(jìn)行，也可以借助外部的專業(yè)力量。中國信息協(xié)會信息安全專業(yè)委員會行業(yè)云安全工作組秘書長、太極公司信息安全業(yè)務(wù)負(fù)責(zé)人郭峰詳細(xì)講解了構(gòu)建安全態(tài)勢感知系統(tǒng)的步驟：信息安全頂層設(shè)計(jì)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)識別、等級保護(hù)落地建設(shè)、態(tài)勢感知逐步建設(shè) 。

可以這樣講，為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，將態(tài)勢感知技術(shù)應(yīng)用到網(wǎng)絡(luò)安全中，不僅能夠全面掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，還可以預(yù)測未來網(wǎng)絡(luò)安全趨勢。網(wǎng)絡(luò)安全態(tài)勢感知在提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測網(wǎng)絡(luò)安全的發(fā)展趨勢等方面都具有重要的意義。目前態(tài)勢感知已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)、安全防控等領(lǐng)域，對輔助決策起到重要作用。