新態勢感知系列（1）：從態勢感知到全方位態勢感知

新態勢感知系列（1）：從態勢感知到全方位態勢感知

Last Modified @2017/12/2

 

1      引言

隨着2016年的419講話中提到要「全天候全方位感知網絡安全態勢」，在安全業界，「態勢感知」驟然變成了熱詞。到如今，幾乎全部的國內安全廠商都推出了各自的態勢感知產品或者解決方案。

做爲一名從事安全管理平臺領域十幾年的業內人士，本人早就開始接觸態勢感知這個詞了。

早在2003年，我當時做爲主要參與者參加了《多信息源智能化安全強審計系統》和《網絡安全管理和預警防護系統》兩個863項目，裏面就對態勢感知進行了研究，重點是將這個理論應用到安全管理平臺（SOC）中去。從那時開始，我對態勢感知的研究一直是圍繞安管平臺（SOC）展開的。

2010年，我還寫過一篇題爲《網絡安全態勢感知在安全管理平臺中的應用研究》的文章在期刊上發表過，迄今被引用過10次，個人博客上有這個文章摘錄，能夠參閱（http://yepeng.blog.51cto.com/3101105/571109）。

我認爲，在419以後，咱們再談態勢感知，跟以前咱們談態勢感知的背景、意義、目標就不同了。從那時候開始，我又從新進行了一系列思考，也作了一些實踐。從這個文章開始，我將我2016年初到如今一年多的思考作一個初步的總結，造成新態勢感知系列，與你們一同探討。

注：本人開通了微信訂閱號，名爲「專一安管平臺」，歡迎掃碼關注！

2      經典態勢感知

其實，態勢感知的理論早在80年代就基本成形了。到90年代末，態勢感知被Tim Bass引入了網絡與信息安全領域，並首先用於對下一代***檢測系統的研究，出現了網絡安全態勢感知（Network Situation Awareness），或者安全態勢感知（Security SituationAwareness）的概念。進入21實際，又出現了網絡空間態勢感知（Cyber Situational Awareness）的提法。

如下是有關安全領域的態勢感知的幾個經典定義。

定義1（Endsley，1995）：態勢感知是指在必定時空條件下，對環境因素的獲取、理解和對將來的預測。

定義2（美國國家科技委員會，2006）：網絡空間態勢感知是一種能力，用以達成四個目標：1）理解並可視化展示IT基礎設施的當前狀態，以及IT環境的防護姿態；2）識別出對於完成關鍵功能最重要的基礎設施組件；3）解對手可能採起的破壞關鍵IT基礎設施組件的行動；4）斷定從哪裏觀察惡意行爲的關鍵徵兆。網絡空間態勢感知包括了對離散的傳感器數據的歸一化、一致化和關聯，以及分析數據和展現分析結果的能力。態勢感知是信息保障的內在組成部分。

摘自：美國網絡空間安全與信息保障研發計劃，2006

定義3（維基百科）：態勢感知是指必定時間和空間內環境因素的獲取，理解和對將來短時間的預測。

定義4：所謂網絡態勢是指由各類網絡設備運行情況、網絡行爲以及用戶行爲等因素所構成的整個網絡當前狀態和變化趨勢。網絡態勢感知是指在大規模網絡環境中，對可以引發網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測最近的發展趨勢。

定義5（Springer，2010）：網絡空間（防護）態勢感知涵蓋態勢識別、態勢理解和態勢預測三個階段，並至少包括7個方面的內容：態勢認知（situation perception）、***影響評估（impact assessment）、態勢跟蹤（situation tracking）、對手趨勢和意圖分析、態勢因果關係與取證分析、態勢信息質量評估、態勢預測。

定義6（Gartner，2011）：態勢感知是對威脅情報及資產漏洞信息的集成和分析，造成一幅對業務系統安全狀態的準實時視圖。包括四方面的能力：1）資產狀態信息的收集——包括資產的配置狀態、漏洞狀態、鏈接狀況和關鍵度；2）威脅行爲信息的收集——包括外部威脅行爲、用戶行爲、對手的信息，以及目標參數的風險級別；3）分析——支持風險估計、響應優先級劃分、調查與即席查詢；4）彙報——包括長期存儲，以及預置和即席報表生成。

上面的這些定義都比較學術化和晦澀。在數年以前，我曾經提出過一個通俗地理解態勢感知的四句話：

感：就比如人的形聲聞味觸，經過多種途徑採集多種安全信息的過程，傳感之意

知：就是對採集到安全要素信息進行理解、認知、研判，將信息變成知識和智慧的過程

態：目標系統當前的安全狀態

勢：目標系統的安全運行規律、動向，將來的安全走勢

態勢感知是一個過程，而毫不僅僅是一個可視化呈現。這個過程其實就是一個態勢要素信息獲取、分析、呈現、反饋的決策過程，也是態勢從數據到信息再到知識和情報（洞察）的昇華過程。

圍繞經典的態勢感知，在過去的十幾年間，國內學術界已經進行了普遍深刻的研究，在安全產業界也進行過很多探索和嘗試，譬如我所負責的安管平臺在10多年前就推出了態勢感知功能模塊。

那麼，咱們如今提態勢感知，跟之前提態勢感知有何不一樣呢？我認爲，如今的態勢感知是爲了應對新形勢下網絡空間安全挑戰提出來的。它不只僅是一套技術，更是一個全新的安全建設思路、安全運做體系，體現了一系列安全防禦體系構建思路的轉變。

3      新態勢感知

3.1    新形勢、新挑戰、新體系

當前網絡與信息安全領域突飛猛進，正面臨着全新的挑戰。一方面，大智物移雲等顛覆性的技術引入使得安全問題更加凸顯，安全的***面更大，安全的重要性愈加重要。另外一方面，國家、企業和組織須要應對的網絡空間安全***和威脅變得日益複雜和嚴峻，具備隱蔽性強、潛伏期長、持續性強的特色。當前我國網絡安全產業正處於轉型升級期。

如今，人們廣泛造成了一個共識，就是：咱們必須假定咱們的網絡已經遭受***。咱們必須在這個假設前提上來構建全新的安全防禦體系。安全防禦體系的構建思想已經從過去的被動/消極防護逐步邁向主動/積極防禦和智能/自適應防禦，從單純防護走向積極對抗，從獨立防禦走向協同防禦。

419講話中的態勢感知就是在這樣一個大背景下提出來的。而且在講話中，提到「感知網絡安全態勢是最基本最基礎的工做」。如何理解「最基本最基礎」這六個字？通常的感受都認爲態勢感知是高大上的東西，爲什麼反倒成了最基本的能力了呢？

我我的認爲，很重要的一點，就是國家但願構建態勢感知體系來帶動整個安全防禦體系的技術轉型升級。這種技術升級包括三個方面：

1）  安全建設的目標從注重合規轉向更加註重對抗。對抗就強調要知己知彼，要應用安全情報；

2）  ***檢測技術從知所已知轉向知所未知。譬如藉助沙箱、異常分析、機器學習等技術；

3）  響應處置過程從看見看清轉向快速閉環。強調應急響應、安全自動化，實現所謂安全彈性。

注意，上述轉變升級不是後者取代前者的關係，而是疊加加強的關係！

3.2    國家對於態勢感知的表述

在419後，國家把態勢感知的建設放到了十分重要的位置。

在×××2016年末發佈的十三五國家信息化規劃中，做爲十大任務之一的「健全網絡安全保障體系」中就明確提出要「全天候全方位感知網絡安全態勢」。

緊接着，工信部的《信息產業發展指南》2016-2020中，提出「建設基於骨幹網的網絡安全威脅監測處置平臺，造成網絡安全威脅監測、態勢感知、應急處置、追蹤溯源等能力」。

在2017年的217講話中，又提出「要築牢網絡安全防線，提升網絡安全保障水平，強化關鍵信息基礎設施防禦，加大核心技術研發力度和市場化引導，增強網絡安全預警監測，確保大數據安全，實現全天候全方位感知和有效防禦」。

透過這些信息至少看出來，態勢感知已經成爲國家工程。態勢感知屬於網絡與信息安全保障體系的範疇，而且是關鍵和基本組成部分；態勢感知技術與監測預警、應急響應、安全情報、大數據等技術密切相關；態勢感知適用於多種網絡環境，從骨幹網、關鍵基礎設施，到工業互聯網和物聯網，再到黨政機關內部網絡。

3.3    新態勢感知

綜上所述，本人提出了在新形勢下對於態勢感知的認識和理解，分爲如下三個部分：

1）態勢感知形形×××、不盡相同，但最重要的是「全天候全方位態勢感知」

這裏，「全天候」是指7×24持續不間斷地對受保護網絡進行監測和感知；「全方位」是指要從資產感知、運行感知、漏洞感知、威脅感知、***感知和風險感知6個維度去全面感知網絡態勢。

全天候包括了平時和戰時，包括了平常安全運維和重大活動保障，包括了生產環境和辦公環境。全方位包括了造成態勢的6大類關鍵要素信息，也即得到全方位態勢感知的6個基礎數據。

資產感知是態勢感知的基礎，它首先界定了受保護網絡的範圍和內容，同時也爲其它幾個維度的感知提供了依據。在419講話中，提到了要「摸清家底」，其中就包括要感知資產信息。譬如要知道受保護網絡中都有哪些設備，責任人是誰，用了什麼操做系統，安裝了哪些軟件和應用，什麼版本，用到了哪些組件，打了哪些補丁，等等。

運行感知是指全面掌握受保護網絡的運行情況，包括機房的運行情況、網絡的運行情況、主機和設備的運行情況、應用和業務的運行情況、數據的存儲和流轉情況。這裏的運行情況不只包括可用性和性能、業務連續性，還包括運行的規律，譬如某個業務系統被訪問的時間分佈、協議分佈、訪問來源分佈、訪問量分佈，等等。

漏洞感知顧名思義就是要掌握當受保護網絡的漏洞狀況，並維護全部資產漏洞的生命週期信息。419講話中，反覆提到「漏洞」，要求「找出漏洞」。經過漏洞感知，評估當前網絡的暴露面，並結合現有防禦措施，分析可能的***面和***路徑，協助管理者提早進行安全佈防，及時堵住安全漏洞，從而控制安全風險。

威脅感知是從***者的視角來分析當前受保護網絡可能遭受的潛在危害，譬如：可能有哪些組織、利用什麼僵屍網絡和肉機，對咱們的哪些資產，利用什麼安全漏洞或者***手段，進行什麼樣的***和***，可能會留下什麼痕跡，形成多麼嚴重的後果。

***感知則是持續不斷地收集當前網絡中的***對抗數據，一方面實時展示當前網絡中的***對抗實況，另外一方面藉助歷史***信息分析潛藏的高危***行爲和威脅信息，並協助安全分析師抽取高價值的威脅情報。

風險感知其實層次在前面五種感知之上。風險感知要綜合前面五種感知的信息，進一步進行數據融合，從抽象的高度來評估當前網絡的總體安全風險，譬如創建全網的安全風險指標體系。風險感知的全部感知的綜合，正如419講話中提到，「維護網絡安全，首先要知道風險在哪裏，是什麼樣的風險，何時發生風險」，要「認清風險」。

態勢感知講究的是「知己知彼，百戰不殆」。而資產感知、運行感知、漏洞感知就是爲了知己；威脅感知就是爲了知彼。若是說知己是爲了掌握我情，知彼是爲了掌握敵情，那麼***感知就是爲了掌握戰情。

上述6個維度的態勢感知是相互依託，互爲補充的。只有將這6個維度統一塊兒來才能構建真正的全方位態勢感知。

特別須要指出的是，威脅/***態勢感知不等於全方位態勢感知！網站態勢感知也不是全方位態勢感知！如今有些人說起的態勢感知其實僅僅是威脅感知或者***感知，抑或是漏洞感知，還都僅僅是態勢感知的某個方面（維度），而不能表明所有。有的人在闡述威脅感知的時候，也提到了全方位，強調從多種維度（譬如數據來源維度、檢測技術維度）去感知***和威脅，但這還只能是威脅/***感知，而不是全方位態勢感知。還有的人僅僅針對某類資產進行態勢感知，譬如提出了所謂終端感知、網站態勢感知，等等，也都是片面的態勢感知，沒法爲管理者呈現一幅全方位的、融合全部安全要素的態勢全景圖。在後續文章中會專門加以闡述。

2）一個完整的態勢感知系統實現必須是「平臺+傳感器+團隊」三位一體

態勢感知系統不只僅是一個技術實現，也不只僅是軟件和硬件，他是一個系統工程，體現了各種安全設備和系統之間的機機協同，還包括人機協同。在這裏，態勢感知平臺是整個系統運轉的大腦，是數據融合中心、數據分析中心、決策指揮中心；態勢感知傳感器是獲取全面安全要素信息的抓手和神經節點；態勢感知支撐團隊則是系統發揮實效的指揮官、決策者和關鍵保障；三者相互支撐、缺一不可。在當前條件下，安全的核心是對抗，對抗過程具備很大的不肯定性，而對抗的背後本質上仍是人與人之間的對抗。因此，人的參與必不可少。

3）態勢感知是一個生態體系

網絡安全的生存理論告訴咱們，面對網絡安全，沒有人能夠獨善其身，也沒有人能夠單獨爲之，構建態勢感知系統也不例外。它是一個複雜的系統工程，須要將各類安全技術、產品和能力鏈接到一塊兒，造成一個生態系統。

態勢感知系統必須是一個開放的系統：傳感器要開放，要能支持各類類型、各類廠商的傳感器；平臺要開放，對下要能接入各類傳感器信息，對上可以面向全部廠商提供各類分析和展現的接口，可以集成各類第三方的分析算法和展現界面；支撐團隊要開放，經過SOP和規範化的交互式分析流程，使得各類符合標準規約的分析與運維團隊都能參與到態勢感知系統的運營中來。

4      小結

態勢感知這個概念源於國外，傳入國內後也經歷了較長的時間，在419講話後被賦予了新的內涵，外延也更加普遍。態勢感知國內的從新興起表明了國內數字時代安全防禦理念的轉型升級，給國內安全產業帶了新的發展契機。

要真正實現全天候全方位的態勢感知，就必須從態勢感知的各類要素信息入手，從構成安全風險的各類要素信息入手，就必需要同時實現資產感知、運行感知、漏洞感知、威脅感知、***感知，以及在此之上的全面風險感知，而且全部的感知都必須是持續的、不間斷的。態勢感知不只僅是看見，還包括決策和響應。有效的態勢感知是要可以造成閉環的態勢感知。

【參考】

具有安全態勢感知能力的安全管理平臺