我國網絡安全態勢感知建設的發展現狀與建議

陳迎春 中共青海省委黨校

一、引言

隨著大數據在各個領域的應用越來越廣泛，其價值越來越重要，使用者已經承擔不起安全網絡造成的嚴重后果。傳統的安全運維模式會更多的依賴安全分析員的經驗和安全工具來分析網絡安全狀態。然而，安全分析員所擁有的知識量有限，各種安全工具也都有短板。現如今，在大數據分析挖掘平臺的環境下，借助新型網絡安全技術，建立安全態勢感知系統，可更全面的了解當前網絡安全狀態，并預測網絡安全的未來發展，自發或輔助作出有效響應，更有效，更準確地保障如日漸龐大和多樣的基礎設施和服務應用系統。

二、網絡安全態勢感知的定義

態勢感知的定義有多種說法，比較認可的是Endsley 和Albert 提出的定義，其核心內容都是基于大規模數據的搜集處理，利用人工智能實現對未來一定時間內的態勢進行動態判斷。隨著態勢感知的理念的成熟，網絡安全態勢的定義也日趨清晰。所謂網絡安全事態感知應該是以大型網絡為環境，實時產生的大數據為基礎，從整體視角對能夠改變網絡安全趨勢的安全因素進行分析、理解和處理，并給出近期網絡安全的現狀評估和未來趨勢。

三、我國網絡安全態勢感知的現狀

（一）相關政策與法規

2015 年6 月，在《中華人民共和國網絡安全法（草案）》中明確提出建立安全通報制度，涵蓋安全、監測、預警和信息等方面。

2015 年7 月27 日，公安部發布了《關于組織開展網絡安全態勢感知與通報預警平臺建設工作的通知》。

2016 年4 月19 日，在網絡安全和信息化工作座談會上，習近平總書記提出，要樹立正確的網絡觀念，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡防御能力和威懾能力。

2016 年11 月7 日，《中華人民共和國網絡安全法》正式頒布，并于2017 年6 月1 日正式實施。

2016 年12 月15 日，國務院印發《關于十三五國家信息化規劃的通知》，其中明確提出，要全天候全方位感知網絡安全態勢，加強網絡安全態勢感知監測預警和應急處理能力建設。

隨著一系列政策和法規的相繼出臺，國家網絡安全態勢感知提升到了一個戰略的高度。

（二）發展歷程

我國的網絡安全態勢感知起步較晚，但其發展過程卻是迅速而曲折的，一般可劃分四個階段：孵化期，狂熱期，回落期和理性穩定期。

孵化期：對網絡安全態勢感知的認知處于朦朧期，網絡安全的運維主要依靠SOC/SIEM 類型的技術和產品，當時的SOC/SIEM產品不僅受限于當時網絡應用環境、日志標準和思想認知，而且還受限于大數據和云計算的發展還處于初期，致使安全運維停留在個體事件的報警處理層面。隨著時間的推移，大數據技術迅速崛起，日志等網絡數據的采集、存儲、處理和分析能力把安全態勢感知推入新階段。

狂熱期：網絡安全行業內人士開始狂熱炒作網絡安全態勢感知，認為建于大數據技術之上的態勢感知系統突破了傳統安全防護能力，能夠基本解決現有的多數安全威脅問題，是超前的威脅與對抗技術，這時候的每個人都信心百倍，斗志昂揚爭相推出新產品。

回落期：信心滿滿推出的網絡安全態勢感知產品后，市場反應卻平平，人們大失所望。有的產品只是對SOC/SIEM 產品進行包裝改造，核心技術不變；有的產品甚至只是做表面展示。使用產品的用戶發現態勢感知系統只是花架子，安全問題的解決能力沒有質的飛躍，人們的熱情迅速回落至低谷。

理性穩定期：部分有實力的安全廠商鍥而不舍地繼續研發網絡安全態勢，這時候安全數據積累達到TB 級甚至PB 級，大數據技術應用也進入成熟期，與用戶的契合度也達到新高度。這個階段的態勢感知產品和技術日益提升，解決安全問題能力大大提升，技術解決方案和功能均越來越成熟。這類優秀代表有360、綠盟科技息等，他們真正幫用戶逐漸實現了網絡安全能力和決策的落地。

四、關于網絡安全態勢感知建設的建議

（一）加強網絡安全意識

當下網絡安全形勢日趨嚴峻，傳統安全防護能力受到挑戰。在2016 年4 月19 日的“網絡安全與信息化工作”座談會上，習近平總書記明確指出建設全天候全方位感知網絡安全態勢。我們的安全防護意識不能僅僅停留在部署防火墻、流量異常檢測、漏洞掃描、入侵檢測等網絡安全防護設備上，一定要化被動防御為主動預判，積極充分利用網絡產生的各類數據進行分析處理，建立自適應預測預警防御的網絡安全態勢感知系統，自動抵御潛在攻擊和威脅，大幅提升網絡安全性。

（二）分階段建設

網絡安全態勢感知是一個綜合性的安全能力建設，涉及數據源大數據平臺、可視化資產管理、安全分析師、隊伍建設等多個方面，是一個復雜的工程系統，不能一蹴而就，其施工過程必須明確施工目標，控制關鍵因素，分期實施。建議分三步走：

第一階段，搭建網絡安全態勢感知所需的基礎要素。包括搭建基礎工具平臺（多元異構數據匯聚平臺、分析平臺、可視化呈現平臺、資產管理平臺等）和組建安全管理專家團隊，這樣才可以支撐起一個完整穩定的安全運營團隊。

第二階段，建立縱向支撐體系和情報數據共享體系。包括縱向惡意代碼分析中心、數據分析中心、情報威脅中心和情報共享機制等。

第三階段，建立自動化系統化的主動防御、動態防范能力。充分高效利用基礎平臺和工具，增強縱向支撐和共享體系，配置自動化技術和人工智能的分析技術，全面提升網絡威脅防御能力，預判網絡安全的未來趨勢，真正保護用戶的網絡安全。

（三）配備安全師團隊

為了實現構建網絡安全態勢感知系統的目標，大數據平臺不僅要采集各種異構的安全數據，而且需要通過大數據檢測分析平臺對安全數據進行處理，從而對當下安全態勢進行評估和預判。

我們必須承認，網絡安全的對抗本質還是人類智力的對抗。由于人工智能的技術水平還沒有進入高級階段，我們一定要考慮到人工參與分析的因素，因此在網絡安全態勢感知系統中網絡安全師扮演了很重要的角色，他可以利用安全數據進行安全輔助分析，利用良好平臺工具確定網絡安全態勢的狀態，高效感知安全項目成敗與否。在一個成功的網絡安全態勢感知系統團隊中既要配備進攻型人才也要配備防御型人才，同時還要配備網絡架構工程師、網絡安全工程師、網絡安全分析師、網絡集成工程師、網絡安全編程工程師、數據恢復工程師等。篇幅所限，本節重點闡述網絡安全分析師的工作職責。

網絡安全分析師是網絡安全態勢的感知過程中最急需的技術人才，他們的能力直接影響網絡安全態勢系統的結果。他們的主要任務是：在出現網絡攻擊或者安全事件時，通過數據分析，安全定位，輔助安全態勢系統和用戶分析當前安全數據狀況和面臨的風險，得出最佳安全解決方案。這是網絡安全態勢感知中不可避免的人為因素，個人或團隊的能力直接影響用戶對當下安全形勢的預判和決策。

五、結語

面對日益復雜的網絡環境，我們的安全防護意識不能僅僅停留在部署防火墻、流量異常檢測、漏洞掃描、入侵檢測等網絡安全防護設備上，一定要化被動防御為主動預判，積極充分利用網絡產生的各類數據進行分析處理，建設網絡安全態勢感知系統，自主抵御潛在攻擊和威脅。網絡安全態勢感知有助于用戶準確感知所在網絡安全情況，從而高效科學快速準確地做出安全規劃和決策。但是網絡安全態勢感知是一個涉及多種信息化技術的復雜系統工程，現階段的技術水平在一定程度上制約了安全態勢感知的應用，我們要從思想上重視，技術上跟進，分步驟達成建設目標。本文重點分析了我國網絡安全態勢感知系統建設的現狀，并對一些制約因素提供了建議，旨在為搭建網絡安全態勢感知的用戶提供一點借鑒。