陳迎春 中共青海省委黨校

一、引言

隨著大數(shù)據(jù)在各個(gè)領(lǐng)域的應(yīng)用越來越廣泛，其價(jià)值越來越重要，使用者已經(jīng)承擔(dān)不起安全網(wǎng)絡(luò)造成的嚴(yán)重后果。傳統(tǒng)的安全運(yùn)維模式會(huì)更多的依賴安全分析員的經(jīng)驗(yàn)和安全工具來分析網(wǎng)絡(luò)安全狀態(tài)。然而，安全分析員所擁有的知識(shí)量有限，各種安全工具也都有短板?，F(xiàn)如今，在大數(shù)據(jù)分析挖掘平臺(tái)的環(huán)境下，借助新型網(wǎng)絡(luò)安全技術(shù)，建立安全態(tài)勢(shì)感知系統(tǒng)，可更全面的了解當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，并預(yù)測(cè)網(wǎng)絡(luò)安全的未來發(fā)展，自發(fā)或輔助作出有效響應(yīng)，更有效，更準(zhǔn)確地保障如日漸龐大和多樣的基礎(chǔ)設(shè)施和服務(wù)應(yīng)用系統(tǒng)。

二、網(wǎng)絡(luò)安全態(tài)勢(shì)感知的定義

態(tài)勢(shì)感知的定義有多種說法，比較認(rèn)可的是Endsley 和Albert 提出的定義，其核心內(nèi)容都是基于大規(guī)模數(shù)據(jù)的搜集處理，利用人工智能實(shí)現(xiàn)對(duì)未來一定時(shí)間內(nèi)的態(tài)勢(shì)進(jìn)行動(dòng)態(tài)判斷。隨著態(tài)勢(shì)感知的理念的成熟，網(wǎng)絡(luò)安全態(tài)勢(shì)的定義也日趨清晰。所謂網(wǎng)絡(luò)安全事態(tài)感知應(yīng)該是以大型網(wǎng)絡(luò)為環(huán)境，實(shí)時(shí)產(chǎn)生的大數(shù)據(jù)為基礎(chǔ)，從整體視角對(duì)能夠改變網(wǎng)絡(luò)安全趨勢(shì)的安全因素進(jìn)行分析、理解和處理，并給出近期網(wǎng)絡(luò)安全的現(xiàn)狀評(píng)估和未來趨勢(shì)。

三、我國(guó)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的現(xiàn)狀

（一）相關(guān)政策與法規(guī)

2015 年6 月，在《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》中明確提出建立安全通報(bào)制度，涵蓋安全、監(jiān)測(cè)、預(yù)警和信息等方面。

2015 年7 月27 日，公安部發(fā)布了《關(guān)于組織開展網(wǎng)絡(luò)安全態(tài)勢(shì)感知與通報(bào)預(yù)警平臺(tái)建設(shè)工作的通知》。

2016 年4 月19 日，在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上，習(xí)近平總書記提出，要樹立正確的網(wǎng)絡(luò)觀念，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)防御能力和威懾能力。

2016 年11 月7 日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布，并于2017 年6 月1 日正式實(shí)施。

2016 年12 月15 日，國(guó)務(wù)院印發(fā)《關(guān)于十三五國(guó)家信息化規(guī)劃的通知》，其中明確提出，要全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警和應(yīng)急處理能力建設(shè)。

隨著一系列政策和法規(guī)的相繼出臺(tái)，國(guó)家網(wǎng)絡(luò)安全態(tài)勢(shì)感知提升到了一個(gè)戰(zhàn)略的高度。

（二）發(fā)展歷程

我國(guó)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知起步較晚，但其發(fā)展過程卻是迅速而曲折的，一般可劃分四個(gè)階段：孵化期，狂熱期，回落期和理性穩(wěn)定期。

孵化期：對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的認(rèn)知處于朦朧期，網(wǎng)絡(luò)安全的運(yùn)維主要依靠SOC/SIEM 類型的技術(shù)和產(chǎn)品，當(dāng)時(shí)的SOC/SIEM產(chǎn)品不僅受限于當(dāng)時(shí)網(wǎng)絡(luò)應(yīng)用環(huán)境、日志標(biāo)準(zhǔn)和思想認(rèn)知，而且還受限于大數(shù)據(jù)和云計(jì)算的發(fā)展還處于初期，致使安全運(yùn)維停留在個(gè)體事件的報(bào)警處理層面。隨著時(shí)間的推移，大數(shù)據(jù)技術(shù)迅速崛起，日志等網(wǎng)絡(luò)數(shù)據(jù)的采集、存儲(chǔ)、處理和分析能力把安全態(tài)勢(shì)感知推入新階段。

狂熱期：網(wǎng)絡(luò)安全行業(yè)內(nèi)人士開始狂熱炒作網(wǎng)絡(luò)安全態(tài)勢(shì)感知，認(rèn)為建于大數(shù)據(jù)技術(shù)之上的態(tài)勢(shì)感知系統(tǒng)突破了傳統(tǒng)安全防護(hù)能力，能夠基本解決現(xiàn)有的多數(shù)安全威脅問題，是超前的威脅與對(duì)抗技術(shù)，這時(shí)候的每個(gè)人都信心百倍，斗志昂揚(yáng)爭(zhēng)相推出新產(chǎn)品。

回落期：信心滿滿推出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知產(chǎn)品后，市場(chǎng)反應(yīng)卻平平，人們大失所望。有的產(chǎn)品只是對(duì)SOC/SIEM 產(chǎn)品進(jìn)行包裝改造，核心技術(shù)不變；有的產(chǎn)品甚至只是做表面展示。使用產(chǎn)品的用戶發(fā)現(xiàn)態(tài)勢(shì)感知系統(tǒng)只是花架子，安全問題的解決能力沒有質(zhì)的飛躍，人們的熱情迅速回落至低谷。

理性穩(wěn)定期：部分有實(shí)力的安全廠商鍥而不舍地繼續(xù)研發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)，這時(shí)候安全數(shù)據(jù)積累達(dá)到TB 級(jí)甚至PB 級(jí)，大數(shù)據(jù)技術(shù)應(yīng)用也進(jìn)入成熟期，與用戶的契合度也達(dá)到新高度。這個(gè)階段的態(tài)勢(shì)感知產(chǎn)品和技術(shù)日益提升，解決安全問題能力大大提升，技術(shù)解決方案和功能均越來越成熟。這類優(yōu)秀代表有360、綠盟科技息等，他們真正幫用戶逐漸實(shí)現(xiàn)了網(wǎng)絡(luò)安全能力和決策的落地。

四、關(guān)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)的建議

（一）加強(qiáng)網(wǎng)絡(luò)安全意識(shí)

當(dāng)下網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，傳統(tǒng)安全防護(hù)能力受到挑戰(zhàn)。在2016 年4 月19 日的“網(wǎng)絡(luò)安全與信息化工作”座談會(huì)上，習(xí)近平總書記明確指出建設(shè)全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。我們的安全防護(hù)意識(shí)不能僅僅停留在部署防火墻、流量異常檢測(cè)、漏洞掃描、入侵檢測(cè)等網(wǎng)絡(luò)安全防護(hù)設(shè)備上，一定要化被動(dòng)防御為主動(dòng)預(yù)判，積極充分利用網(wǎng)絡(luò)產(chǎn)生的各類數(shù)據(jù)進(jìn)行分析處理，建立自適應(yīng)預(yù)測(cè)預(yù)警防御的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，自動(dòng)抵御潛在攻擊和威脅，大幅提升網(wǎng)絡(luò)安全性。

（二）分階段建設(shè)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一個(gè)綜合性的安全能力建設(shè)，涉及數(shù)據(jù)源大數(shù)據(jù)平臺(tái)、可視化資產(chǎn)管理、安全分析師、隊(duì)伍建設(shè)等多個(gè)方面，是一個(gè)復(fù)雜的工程系統(tǒng)，不能一蹴而就，其施工過程必須明確施工目標(biāo)，控制關(guān)鍵因素，分期實(shí)施。建議分三步走：

第一階段，搭建網(wǎng)絡(luò)安全態(tài)勢(shì)感知所需的基礎(chǔ)要素。包括搭建基礎(chǔ)工具平臺(tái)（多元異構(gòu)數(shù)據(jù)匯聚平臺(tái)、分析平臺(tái)、可視化呈現(xiàn)平臺(tái)、資產(chǎn)管理平臺(tái)等）和組建安全管理專家團(tuán)隊(duì)，這樣才可以支撐起一個(gè)完整穩(wěn)定的安全運(yùn)營(yíng)團(tuán)隊(duì)。

第二階段，建立縱向支撐體系和情報(bào)數(shù)據(jù)共享體系。包括縱向惡意代碼分析中心、數(shù)據(jù)分析中心、情報(bào)威脅中心和情報(bào)共享機(jī)制等。

第三階段，建立自動(dòng)化系統(tǒng)化的主動(dòng)防御、動(dòng)態(tài)防范能力。充分高效利用基礎(chǔ)平臺(tái)和工具，增強(qiáng)縱向支撐和共享體系，配置自動(dòng)化技術(shù)和人工智能的分析技術(shù)，全面提升網(wǎng)絡(luò)威脅防御能力，預(yù)判網(wǎng)絡(luò)安全的未來趨勢(shì)，真正保護(hù)用戶的網(wǎng)絡(luò)安全。

（三）配備安全師團(tuán)隊(duì)

為了實(shí)現(xiàn)構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的目標(biāo)，大數(shù)據(jù)平臺(tái)不僅要采集各種異構(gòu)的安全數(shù)據(jù)，而且需要通過大數(shù)據(jù)檢測(cè)分析平臺(tái)對(duì)安全數(shù)據(jù)進(jìn)行處理，從而對(duì)當(dāng)下安全態(tài)勢(shì)進(jìn)行評(píng)估和預(yù)判。

我們必須承認(rèn)，網(wǎng)絡(luò)安全的對(duì)抗本質(zhì)還是人類智力的對(duì)抗。由于人工智能的技術(shù)水平還沒有進(jìn)入高級(jí)階段，我們一定要考慮到人工參與分析的因素，因此在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中網(wǎng)絡(luò)安全師扮演了很重要的角色，他可以利用安全數(shù)據(jù)進(jìn)行安全輔助分析，利用良好平臺(tái)工具確定網(wǎng)絡(luò)安全態(tài)勢(shì)的狀態(tài)，高效感知安全項(xiàng)目成敗與否。在一個(gè)成功的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)團(tuán)隊(duì)中既要配備進(jìn)攻型人才也要配備防御型人才，同時(shí)還要配備網(wǎng)絡(luò)架構(gòu)工程師、網(wǎng)絡(luò)安全工程師、網(wǎng)絡(luò)安全分析師、網(wǎng)絡(luò)集成工程師、網(wǎng)絡(luò)安全編程工程師、數(shù)據(jù)恢復(fù)工程師等。篇幅所限，本節(jié)重點(diǎn)闡述網(wǎng)絡(luò)安全分析師的工作職責(zé)。

網(wǎng)絡(luò)安全分析師是網(wǎng)絡(luò)安全態(tài)勢(shì)的感知過程中最急需的技術(shù)人才，他們的能力直接影響網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)的結(jié)果。他們的主要任務(wù)是：在出現(xiàn)網(wǎng)絡(luò)攻擊或者安全事件時(shí)，通過數(shù)據(jù)分析，安全定位，輔助安全態(tài)勢(shì)系統(tǒng)和用戶分析當(dāng)前安全數(shù)據(jù)狀況和面臨的風(fēng)險(xiǎn)，得出最佳安全解決方案。這是網(wǎng)絡(luò)安全態(tài)勢(shì)感知中不可避免的人為因素，個(gè)人或團(tuán)隊(duì)的能力直接影響用戶對(duì)當(dāng)下安全形勢(shì)的預(yù)判和決策。

五、結(jié)語

面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們的安全防護(hù)意識(shí)不能僅僅停留在部署防火墻、流量異常檢測(cè)、漏洞掃描、入侵檢測(cè)等網(wǎng)絡(luò)安全防護(hù)設(shè)備上，一定要化被動(dòng)防御為主動(dòng)預(yù)判，積極充分利用網(wǎng)絡(luò)產(chǎn)生的各類數(shù)據(jù)進(jìn)行分析處理，建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，自主抵御潛在攻擊和威脅。網(wǎng)絡(luò)安全態(tài)勢(shì)感知有助于用戶準(zhǔn)確感知所在網(wǎng)絡(luò)安全情況，從而高效科學(xué)快速準(zhǔn)確地做出安全規(guī)劃和決策。但是網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一個(gè)涉及多種信息化技術(shù)的復(fù)雜系統(tǒng)工程，現(xiàn)階段的技術(shù)水平在一定程度上制約了安全態(tài)勢(shì)感知的應(yīng)用，我們要從思想上重視，技術(shù)上跟進(jìn)，分步驟達(dá)成建設(shè)目標(biāo)。本文重點(diǎn)分析了我國(guó)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)的現(xiàn)狀，并對(duì)一些制約因素提供了建議，旨在為搭建網(wǎng)絡(luò)安全態(tài)勢(shì)感知的用戶提供一點(diǎn)借鑒。