企業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)研究

秦艷飛

摘 要：本文對網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)在國內(nèi)某企業(yè)應(yīng)用可行性進(jìn)行研究與分析，明確網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)對企業(yè)的應(yīng)用意義和可行性，并結(jié)合該企業(yè)現(xiàn)狀探索建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺的實施路徑。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;SOAPA;數(shù)據(jù)源;安全分析

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2019）18-0026-03

1 研究

1.1 研究背景分析

隨著以大數(shù)據(jù)、人工智能、云計算、物聯(lián)網(wǎng)、區(qū)塊鏈為代表的新一代信息技術(shù)的不斷應(yīng)用，帶來了日趨復(fù)雜的網(wǎng)絡(luò)安全形勢和嚴(yán)峻的網(wǎng)絡(luò)安全威脅挑戰(zhàn)。經(jīng)分析，目前國內(nèi)某企業(yè)面臨的安全形勢可總結(jié)歸納為以下三點(diǎn)：

一是網(wǎng)絡(luò)安全威脅更加嚴(yán)重并呈現(xiàn)新特征，傳統(tǒng)安全產(chǎn)品將無法有效防御。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展和技術(shù)的日新月異，攻擊和威脅手段也越來越多樣化和復(fù)雜化，因網(wǎng)絡(luò)入侵盜取客戶信息帶來的信息泄漏、網(wǎng)絡(luò)DDOS攻擊帶來的業(yè)務(wù)中斷、自動化腳本攻擊帶來的異常交易等網(wǎng)絡(luò)安全事件時有發(fā)生，新一代威脅不僅傳播速度更快，其利用的攻擊面也越來越廣，可以覆蓋到移動、桌面、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和各種社交網(wǎng)絡(luò)，同時具有隱蔽性強(qiáng)、潛伏期長、持續(xù)性強(qiáng)的特點(diǎn)，傳統(tǒng)安全產(chǎn)品將無法有效感知、防御，系統(tǒng)化、智能化、態(tài)勢化逐步成為關(guān)鍵要素。

二是網(wǎng)絡(luò)安全已上升至國家層面，監(jiān)管機(jī)構(gòu)檢查力度逐步加大。為助力網(wǎng)絡(luò)空間治理，提供網(wǎng)絡(luò)安全的法律依據(jù)，并不斷提高企業(yè)對網(wǎng)絡(luò)安全外部形勢的重視，我國從國家層面、行業(yè)層面相繼出臺多部法規(guī)制度、管理要求和標(biāo)準(zhǔn)，持續(xù)推動和規(guī)范企業(yè)網(wǎng)絡(luò)安全建設(shè)。因此，掌握整體安全態(tài)勢將成為企業(yè)更為迫切的需求。

三是新技術(shù)的不斷應(yīng)用驅(qū)動安全建設(shè)的創(chuàng)新與變革。面對日益嚴(yán)峻的安全威脅和持續(xù)加強(qiáng)的合規(guī)要求，傳統(tǒng)的安全分析方法明顯存在不足，對威脅或風(fēng)險的感知和判定相對片面，完整性和上下文場景關(guān)聯(lián)性相對較弱。同時，目前各企業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)正逐漸呈現(xiàn)數(shù)據(jù)量越來越大、速度越來越快、種類越來越多等大數(shù)據(jù)特征，將為企業(yè)帶來海量異構(gòu)數(shù)據(jù)的融合、存儲、處理和分析等問題。借助基于大數(shù)據(jù)分析技術(shù)的機(jī)器學(xué)習(xí)和數(shù)據(jù)挖據(jù)算法，結(jié)合多源數(shù)據(jù)，能夠更加智能地洞悉網(wǎng)絡(luò)安全態(tài)勢，更加主動、彈性地去應(yīng)對新型復(fù)雜的威脅和未知多變的風(fēng)險。

因此，對于國內(nèi)某企業(yè)而言，目前雖已部署了大量安全產(chǎn)品，如漏洞掃描設(shè)備、防火墻、WAF、負(fù)載均衡設(shè)備、防篡改系統(tǒng)、郵件網(wǎng)關(guān)、防惡意代碼軟件、堡壘機(jī)以及SIME平臺等，但仍缺少一個系統(tǒng)或平臺統(tǒng)一分析展示企業(yè)整體安全形勢，更無法通過對這些基礎(chǔ)安全數(shù)據(jù)或信息進(jìn)行進(jìn)一步分析預(yù)測企業(yè)整體安全態(tài)勢發(fā)展，無法智能地洞悉網(wǎng)絡(luò)安全態(tài)勢，無法更主動、彈性地去應(yīng)對新型復(fù)雜的威脅和未知多變的風(fēng)險。

1.2 研究意義分析

安全態(tài)勢感知技術(shù)是對組織整體安全運(yùn)行狀態(tài)的宏觀反映，它通過建立一套可行的網(wǎng)絡(luò)安全特征體系來反映一個網(wǎng)絡(luò)系統(tǒng)過去、當(dāng)前以及未來的網(wǎng)絡(luò)安全變化情況。通過多數(shù)據(jù)源收集網(wǎng)絡(luò)的運(yùn)行情況和受到的攻擊情況，然后通過特征提取與量化，并將量化后的數(shù)據(jù)進(jìn)行處理，得到過去和現(xiàn)在的網(wǎng)絡(luò)安全狀態(tài)，最后通過多種預(yù)測手段，利用已經(jīng)得到的數(shù)據(jù)預(yù)測，提供一個直觀準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢走向。如圖1所示。

對于企業(yè)而言，建設(shè)安全態(tài)勢感知平臺可對保障企業(yè)網(wǎng)絡(luò)安全產(chǎn)生以下重要作用：

第一，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)能夠通過采集和分析多種安全信息并將這些安全信息進(jìn)行綜合分析，從而讓管理人員從整體上了解到當(dāng)前網(wǎng)絡(luò)的安全狀況，通過對包括網(wǎng)絡(luò)攻擊、服務(wù)信息以及系統(tǒng)自身脆弱性等相關(guān)安全元素進(jìn)行多源綜合分析，對整體安全態(tài)勢從多維度進(jìn)行展示，例如可以對漏洞信息、安全威脅信息、業(yè)務(wù)重要度、管理流程符合性等內(nèi)容進(jìn)行綜合分析，并從合規(guī)、風(fēng)險、安全威脅、漏洞等不同維度去更豐富、更有層次地呈現(xiàn)企業(yè)整體的網(wǎng)絡(luò)安全形勢。

第二，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以動態(tài)反映安全狀況，可以看出一段時間內(nèi)安全的動態(tài)變化情況，通過對同一攻擊源一段時間內(nèi)的攻擊行為進(jìn)行橫向、縱向分析，同一時間段內(nèi)不同攻擊源的攻擊行為的關(guān)聯(lián)分析，以及對同一受攻擊目標(biāo)的業(yè)務(wù)重要度、所在安全環(huán)境的綜合分析，動態(tài)反映整體安全狀況。

第三，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以預(yù)測未來一段時間內(nèi)網(wǎng)絡(luò)安全的發(fā)展趨勢，依據(jù)綜合評估分析的結(jié)果，利用時間序列等分析方法分析網(wǎng)絡(luò)未來的安全情況，對可能出現(xiàn)的安全威脅提前做好防護(hù)準(zhǔn)備，例如可以通過對某外部攻擊者的綜合分析判斷當(dāng)前已發(fā)生網(wǎng)絡(luò)安全事件或安全威脅告警所處的殺傷鏈階段，預(yù)測下一步可能出現(xiàn)的安全威脅，并提前做好防護(hù)準(zhǔn)備、制定好安全策略，提高網(wǎng)絡(luò)的安全性。

綜上，通過利用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的“可感、可知”，結(jié)合企業(yè)網(wǎng)絡(luò)安全事件集中監(jiān)控與管理能力和網(wǎng)絡(luò)安全事件應(yīng)急管理能力，能夠有效應(yīng)對上文提到的風(fēng)險與挑戰(zhàn)，輔助企業(yè)網(wǎng)絡(luò)安全決策。

2 安全態(tài)勢感知技術(shù)研究

下文將詳細(xì)介紹安全態(tài)勢感知技術(shù)的結(jié)構(gòu)框架與流程，并對態(tài)勢感知的核心技術(shù)進(jìn)行詳細(xì)闡述?；趯B(tài)勢感知的理解，安全態(tài)勢感知的處理流程也同樣可分為三個層次，分別為安全態(tài)勢認(rèn)知、安全態(tài)勢理解和安全態(tài)勢預(yù)測。

2.1 安全態(tài)勢認(rèn)知

安全態(tài)勢認(rèn)知即對安全態(tài)勢特征的提取與量化，主要是了解組織當(dāng)前的安全狀態(tài)，在網(wǎng)絡(luò)環(huán)境中監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，通過對連接數(shù)據(jù)、管理數(shù)據(jù)等底層數(shù)據(jù)輪廓的學(xué)習(xí)，及時發(fā)現(xiàn)偏離正常輪廓的網(wǎng)絡(luò)行為信息，從而確定引起異常的行為、攻擊者的身份、入侵的頻度和入侵目的等。與傳統(tǒng)的態(tài)勢感知方法相同的是，網(wǎng)絡(luò)安全態(tài)勢感知需要在第一步對底層的對象進(jìn)行身份識別、目標(biāo)定位和態(tài)勢知識的推理，這一步的目的都是通過在底層數(shù)據(jù)中提取數(shù)據(jù)，并將數(shù)據(jù)處理成態(tài)勢感知所需要的形式，為下一步的態(tài)勢理解/評估做好準(zhǔn)備。此過程除了狀態(tài)識別與確認(rèn)（攻擊發(fā)現(xiàn)）外，還應(yīng)對態(tài)勢認(rèn)知所需信息來源和素材的質(zhì)量進(jìn)行評價。

2.2 安全態(tài)勢理解

安全態(tài)勢理解則是對安全態(tài)勢特征的評估，包括了解攻擊的影響、攻擊者的行為和當(dāng)前態(tài)勢發(fā)生的原因及方式，可簡單概括為損害評估、行為分析（即對攻擊行為的趨勢與意圖分析）以及因果分析（包括溯源分析和取證分析）。態(tài)勢的評估是建立在態(tài)勢特征的提取與量化基礎(chǔ)之上的。態(tài)勢評估是融合、關(guān)聯(lián)和歸并安全事件信息，對已經(jīng)發(fā)生的安全事件或性能指標(biāo)進(jìn)行實時分析，對組織安全狀態(tài)生成一個動態(tài)的理解，通過這個理解可以得到組織受到的威脅信息，并將這些信息通過安全態(tài)勢折線圖表達(dá)出來，用以反映組織的安全狀態(tài)。

2.3 安全態(tài)勢預(yù)測

安全態(tài)勢預(yù)測是對態(tài)勢發(fā)展情況的預(yù)測評估，主要包括態(tài)勢演化和影響評估。通過生成的狀態(tài)折線圖可以對已經(jīng)發(fā)生的過去的安全狀態(tài)有個清晰的了解，但是安全事件已經(jīng)發(fā)生后再進(jìn)行應(yīng)急處理顯得為時已晚。因此需要將得到的評估結(jié)果結(jié)合相關(guān)技術(shù)對網(wǎng)絡(luò)威脅的變化做預(yù)測，以便管理人員能夠提前做好防護(hù)準(zhǔn)備，制定合理準(zhǔn)確的應(yīng)對方案。

3 安全態(tài)勢感知技術(shù)的應(yīng)用探索

3.1 安全態(tài)勢感知技術(shù)應(yīng)用模型設(shè)計

從安全態(tài)勢感知的處理流程看，態(tài)勢認(rèn)知層的技術(shù)應(yīng)用主要體現(xiàn)在可見性層，態(tài)勢理解和態(tài)勢預(yù)測的技術(shù)應(yīng)用主要體現(xiàn)在安全態(tài)勢感知技術(shù)應(yīng)用模型的安全分析層。

安全態(tài)勢感知技術(shù)應(yīng)用模型可分為三層，自底向上分別是可見性層、安全分析層和展示與應(yīng)用層。其中可見性層主要能力包括全面感知組織安全環(huán)境中的安全數(shù)據(jù)、支撐全面感知組織安全環(huán)境內(nèi)外部數(shù)據(jù)源的采集、存儲能力以及多數(shù)據(jù)源接入標(biāo)準(zhǔn)化能力。安全分析層主要能力是通過對當(dāng)前形勢進(jìn)行充分理解，多維度分析、評估當(dāng)前安全形勢下產(chǎn)生的影響的能力，包括大數(shù)據(jù)處理能力、實時分析能力以及多數(shù)據(jù)源復(fù)雜場景關(guān)聯(lián)分析能力。

因此，安全態(tài)勢感知平臺的建設(shè)主要集中在可見性能力和安全分析能力的建設(shè)上。

對于該企業(yè)而言目前可見性方面已初步具備傳統(tǒng)安全產(chǎn)品數(shù)據(jù)源，但僅有此部分?jǐn)?shù)據(jù)源不足以呈現(xiàn)完整的安全狀況，對于管理數(shù)據(jù)的接入缺失以及新一代檢測數(shù)據(jù)（如流量分析平臺、端點(diǎn)監(jiān)測工具等）的缺失將直接影響整體安全狀態(tài)的獲知;對于安全分析能力方面，目前已部署的SIEM平臺可具備一部分安全分析能力，但對于復(fù)雜場景下用戶行為實體的分析或預(yù)測仍是重要缺失。下文將對該企業(yè)態(tài)勢感知平臺可見性能力和安全分析能力的建設(shè)進(jìn)行重點(diǎn)闡述。

3.2 安全態(tài)勢感知可見層技術(shù)應(yīng)用探索

安全態(tài)勢感知技術(shù)的第一步是對多數(shù)據(jù)源信息進(jìn)行預(yù)處理，因為不同設(shè)備處理網(wǎng)絡(luò)攻擊的方法不同、表現(xiàn)方式也不同，數(shù)據(jù)標(biāo)準(zhǔn)也不一致，同時還包含一些無用的數(shù)據(jù)信息，如果不將這些數(shù)據(jù)進(jìn)行預(yù)處理而直接使用，會導(dǎo)致評估過程無限延長，甚至?xí)a(chǎn)生錯誤的評估結(jié)果，影響最后的態(tài)勢預(yù)測。因此先將有用的數(shù)據(jù)從海量數(shù)據(jù)中剝離出來，保留有用的數(shù)據(jù)，剔除對評估分析無用的、甚至產(chǎn)生誤導(dǎo)作用的數(shù)據(jù)，為安全分析工作做好準(zhǔn)備。

可見層的核心技術(shù)功能點(diǎn)主要包括：

（1）數(shù)據(jù)標(biāo)準(zhǔn)化，既可以對結(jié)構(gòu)化數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，同時可對非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化;（2）數(shù)據(jù)存儲與處理，即大數(shù)據(jù)存儲與處理能力;（3）數(shù)據(jù)采集，包含syslog、文件和目錄監(jiān)視器、威脅情報、DB Connect和WINDOWS監(jiān)視器等;（4）數(shù)據(jù)接口，如軟件安全開發(fā)工具包SDK（Python＼jave＼ JavaScript＼C#＼Ruby）、數(shù)據(jù)轉(zhuǎn)發(fā)至第三方系統(tǒng)（TCP套接字＼Syslog）和REST API等;（5）數(shù)據(jù)源，涵蓋原始數(shù)據(jù)及單點(diǎn)檢測分析，覆蓋面應(yīng)涵蓋內(nèi)部（人、終端、應(yīng)用、主機(jī)、網(wǎng)絡(luò)、物理）和外部情報數(shù)據(jù)，關(guān)鍵技術(shù)包括數(shù)據(jù)和應(yīng)用監(jiān)控、漏洞掃描工具、威脅情報平臺、惡意軟件分析和沙箱、NFT或NTA以及端點(diǎn)檢測和響應(yīng)。

下文將著重對數(shù)據(jù)源規(guī)劃、數(shù)據(jù)標(biāo)準(zhǔn)化、接入數(shù)據(jù)源應(yīng)用功能及部署關(guān)鍵點(diǎn)分析進(jìn)行重點(diǎn)闡述。

3.3 數(shù)據(jù)源規(guī)劃與數(shù)據(jù)標(biāo)準(zhǔn)化

3.3.1 數(shù)據(jù)源規(guī)劃

從數(shù)據(jù)源覆蓋全面感知安全形勢出發(fā)，結(jié)合企業(yè)現(xiàn)有數(shù)據(jù)源情況以及場景案例數(shù)據(jù)源需求，規(guī)劃數(shù)據(jù)源共分為三大類，包括傳統(tǒng)數(shù)據(jù)源、上下文數(shù)據(jù)、新一代檢測分析數(shù)據(jù)。

傳統(tǒng)數(shù)據(jù)源主要包括系統(tǒng)軟件日志、硬件設(shè)備日志、工具軟件日志、應(yīng)用交易日志、管理數(shù)據(jù)和情報數(shù)據(jù);上下文數(shù)據(jù)主要包括用戶上下文、資產(chǎn)上下文、漏洞上下文、威脅環(huán)境、安全配置上下文、數(shù)據(jù)上下文、外部數(shù)據(jù)、業(yè)務(wù)環(huán)境、位置和物理環(huán)境;新一代檢測分析數(shù)據(jù)主要包括沙箱數(shù)據(jù)、流量分析平臺數(shù)據(jù)、EDR數(shù)據(jù)。

3.3.2 數(shù)據(jù)標(biāo)準(zhǔn)化

安全態(tài)勢感知平臺應(yīng)建立數(shù)據(jù)標(biāo)準(zhǔn)化模型，將各廠商、外部數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，支撐各模塊應(yīng)用。數(shù)據(jù)的標(biāo)準(zhǔn)化一般包括三個步驟：名稱統(tǒng)一、分類、狀態(tài)統(tǒng)一，通過標(biāo)準(zhǔn)化數(shù)據(jù)管理模型實現(xiàn)。

3.3.3 接入數(shù)據(jù)源應(yīng)用功能及部署關(guān)鍵點(diǎn)分析

基于該企業(yè)已部署了如防火墻、網(wǎng)頁防篡改系統(tǒng)和上網(wǎng)行為管理等安全產(chǎn)品的現(xiàn)狀，SIEM平臺已實現(xiàn)一部分?jǐn)?shù)據(jù)源接入和數(shù)據(jù)標(biāo)準(zhǔn)化，但缺少整體數(shù)據(jù)源接入依據(jù)，缺少數(shù)據(jù)源規(guī)劃。該企業(yè)需要再補(bǔ)充新一代檢測分析數(shù)據(jù)領(lǐng)域，主要側(cè)重探索全流量分析平臺、沙箱和威脅情報平臺的應(yīng)用探索。

全流量分析平臺應(yīng)用功能及部署關(guān)鍵分析如下：實現(xiàn)對所有互聯(lián)網(wǎng)流量的收集、存儲和分析;區(qū)別于傳統(tǒng)安全的IPS、防護(hù)墻，從七層網(wǎng)絡(luò)層面分析數(shù)據(jù)報文;通過會話級的視圖展示，呈現(xiàn)攻擊鏈的全過程視圖，為攻擊行為的回溯分析提供支持。

沙箱應(yīng)用功能及部署關(guān)鍵點(diǎn)分析如下：針對郵件系統(tǒng)，部署郵件附件檢測沙箱，解決釣魚郵件、魚叉攻擊、木馬攻擊等威脅;可實現(xiàn)針對業(yè)務(wù)系統(tǒng)部署文件檢測沙箱，解決跨外網(wǎng)向內(nèi)網(wǎng)傳輸文件問題，規(guī)避“僵木蠕”風(fēng)險;與SIEM系統(tǒng)、威脅情報實現(xiàn)數(shù)據(jù)同步，為安全感知提供可靠的元數(shù)據(jù)。

威脅情報平臺應(yīng)用功能及部署關(guān)鍵點(diǎn)如下：本地化部署威脅情報系統(tǒng)，實現(xiàn)“本地查詢+云端查詢”的混合模式;集成商業(yè)威脅情報和第三方開源威脅情報，保障威脅情報的多元性，提高研判置信度。

3.4 安全態(tài)勢感知安全分析層技術(shù)應(yīng)用探索

在當(dāng)前大數(shù)據(jù)、多信息源時代下，安全態(tài)勢感知也變得更為復(fù)雜，傳統(tǒng)的因果關(guān)聯(lián)分析、事件統(tǒng)計、本體模型等技術(shù)方法雖然依舊是有效的感知技術(shù)，然而傳統(tǒng)的感知技術(shù)適用的感知級別具有降低的趨勢。

安全分析層的核心技術(shù)功能點(diǎn)按照分析方法可分為安全智能分析、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)三種分析技術(shù)，一是安全智能分析，主要用于應(yīng)對已知威脅，通過與資產(chǎn)、漏洞、威脅情報和多事件源等上下文的關(guān)聯(lián)分析，提升告警準(zhǔn)確率，減少誤報，如通過簽名或基線檢測、閾值、威脅情報關(guān)聯(lián)、資產(chǎn)或身份關(guān)聯(lián)、漏洞關(guān)聯(lián)、多事件或?qū)嶓w關(guān)聯(lián)以及地域關(guān)聯(lián)等;另外兩大類為機(jī)器學(xué)習(xí)與深度學(xué)習(xí)，主要用于應(yīng)對未知威脅，通過機(jī)器學(xué)習(xí)，對風(fēng)險進(jìn)行深度挖掘，并對用戶、攻擊者、內(nèi)部員工的行為進(jìn)行分析，如通過動態(tài)基線檢測、邏輯回歸、聚類、決策樹算法等。

4 結(jié)語

本文對安全態(tài)勢感知技術(shù)在國內(nèi)某企業(yè)應(yīng)用可行性進(jìn)行研究與分析，具體目標(biāo)包括：明確安全態(tài)勢感知技術(shù)對企業(yè)的應(yīng)用意義和可行性;結(jié)合企業(yè)現(xiàn)狀探索建設(shè)安全態(tài)勢感知平臺的實施路徑。

本文首先介紹了安全態(tài)勢感知的研究背景與研究意義，基于現(xiàn)狀分析目前面臨的安全挑戰(zhàn)和威脅，本文還對安全態(tài)勢感知技術(shù)在企業(yè)的應(yīng)用進(jìn)行了重點(diǎn)闡述，明確了引入安全態(tài)勢感知技術(shù)的主要目的是輔助企業(yè)進(jìn)行安全決策。在此基礎(chǔ)上充分研究了安全態(tài)勢感知的定義，共分為三層：安全態(tài)勢認(rèn)知、安全態(tài)勢理解和安全態(tài)勢預(yù)測，對應(yīng)技術(shù)應(yīng)用層分別為可見層和安全分析層。隨后本文基于企業(yè)現(xiàn)狀，結(jié)合可見層和安全分析層的核心技術(shù)點(diǎn)對建設(shè)態(tài)勢感知平臺可行性進(jìn)行評估，并對未來如何進(jìn)行平臺建設(shè)提出了建議，以此為后續(xù)安全態(tài)勢感知技術(shù)落地提供研究基礎(chǔ)。

總之，從落地可行性分析，目前該企業(yè)已部署了SIEM平臺和部分用于安全威脅檢測的安全產(chǎn)品，已具備一定落地實施的基礎(chǔ)。下一步可安排力量進(jìn)行專項研究和建設(shè)，在安全態(tài)勢感知技術(shù)的應(yīng)用上遵循“結(jié)合現(xiàn)有SIEM平臺，分層能力建設(shè);利用好當(dāng)前產(chǎn)品，做好未來銜接”的原則分層建設(shè)、分步實施。建議逐步完成以下工作內(nèi)容，以完善安全態(tài)勢感知平臺能力建設(shè)，如表1所示。

參考文獻(xiàn)

[1] 韓曉露，劉云，張振江，等.網(wǎng)絡(luò)安全態(tài)勢感知理論與技術(shù)綜述及難點(diǎn)問題研究[J].信息安全與通信保密，2019（07）：61-71.

[2] 武珂.網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)用[J].中國有線電視，2017（b03）：391-393.

[3] 張松，王行健，魯偉.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].電子測試，2017（14）：52-53.