我国网络安全态势感知建设的发展现状与建议

陈迎春 中共青海省委党校

一、引言

随着大数据在各个领域的应用越来越广泛，其价值越来越重要，使用者已经承担不起安全网络造成的严重后果。传统的安全运维模式会更多的依赖安全分析员的经验和安全工具来分析网络安全状态。然而，安全分析员所拥有的知识量有限，各种安全工具也都有短板。现如今，在大数据分析挖掘平台的环境下，借助新型网络安全技术，建立安全态势感知系统，可更全面的了解当前网络安全状态，并预测网络安全的未来发展，自发或辅助作出有效响应，更有效，更准确地保障如日渐庞大和多样的基础设施和服务应用系统。

二、网络安全态势感知的定义

态势感知的定义有多种说法，比较认可的是Endsley 和Albert 提出的定义，其核心内容都是基于大规模数据的搜集处理，利用人工智能实现对未来一定时间内的态势进行动态判断。随着态势感知的理念的成熟，网络安全态势的定义也日趋清晰。所谓网络安全事态感知应该是以大型网络为环境，实时产生的大数据为基础，从整体视角对能够改变网络安全趋势的安全因素进行分析、理解和处理，并给出近期网络安全的现状评估和未来趋势。

三、我国网络安全态势感知的现状

（一）相关政策与法规

2015 年6 月，在《中华人民共和国网络安全法（草案）》中明确提出建立安全通报制度，涵盖安全、监测、预警和信息等方面。

2015 年7 月27 日，公安部发布了《关于组织开展网络安全态势感知与通报预警平台建设工作的通知》。

2016 年4 月19 日，在网络安全和信息化工作座谈会上，习近平总书记提出，要树立正确的网络观念，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络防御能力和威慑能力。

2016 年11 月7 日，《中华人民共和国网络安全法》正式颁布，并于2017 年6 月1 日正式实施。

2016 年12 月15 日，国务院印发《关于十三五国家信息化规划的通知》，其中明确提出，要全天候全方位感知网络安全态势，加强网络安全态势感知监测预警和应急处理能力建设。

随着一系列政策和法规的相继出台，国家网络安全态势感知提升到了一个战略的高度。

（二）发展历程

我国的网络安全态势感知起步较晚，但其发展过程却是迅速而曲折的，一般可划分四个阶段：孵化期，狂热期，回落期和理性稳定期。

孵化期：对网络安全态势感知的认知处于朦胧期，网络安全的运维主要依靠SOC/SIEM 类型的技术和产品，当时的SOC/SIEM产品不仅受限于当时网络应用环境、日志标准和思想认知，而且还受限于大数据和云计算的发展还处于初期，致使安全运维停留在个体事件的报警处理层面。随着时间的推移，大数据技术迅速崛起，日志等网络数据的采集、存储、处理和分析能力把安全态势感知推入新阶段。

狂热期：网络安全行业内人士开始狂热炒作网络安全态势感知，认为建于大数据技术之上的态势感知系统突破了传统安全防护能力，能够基本解决现有的多数安全威胁问题，是超前的威胁与对抗技术，这时候的每个人都信心百倍，斗志昂扬争相推出新产品。

回落期：信心满满推出的网络安全态势感知产品后，市场反应却平平，人们大失所望。有的产品只是对SOC/SIEM 产品进行包装改造，核心技术不变；有的产品甚至只是做表面展示。使用产品的用户发现态势感知系统只是花架子，安全问题的解决能力没有质的飞跃，人们的热情迅速回落至低谷。

理性稳定期：部分有实力的安全厂商锲而不舍地继续研发网络安全态势，这时候安全数据积累达到TB 级甚至PB 级，大数据技术应用也进入成熟期，与用户的契合度也达到新高度。这个阶段的态势感知产品和技术日益提升，解决安全问题能力大大提升，技术解决方案和功能均越来越成熟。这类优秀代表有360、绿盟科技息等，他们真正帮用户逐渐实现了网络安全能力和决策的落地。

四、关于网络安全态势感知建设的建议

（一）加强网络安全意识

当下网络安全形势日趋严峻，传统安全防护能力受到挑战。在2016 年4 月19 日的“网络安全与信息化工作”座谈会上，习近平总书记明确指出建设全天候全方位感知网络安全态势。我们的安全防护意识不能仅仅停留在部署防火墙、流量异常检测、漏洞扫描、入侵检测等网络安全防护设备上，一定要化被动防御为主动预判，积极充分利用网络产生的各类数据进行分析处理，建立自适应预测预警防御的网络安全态势感知系统，自动抵御潜在攻击和威胁，大幅提升网络安全性。

（二）分阶段建设

网络安全态势感知是一个综合性的安全能力建设，涉及数据源大数据平台、可视化资产管理、安全分析师、队伍建设等多个方面，是一个复杂的工程系统，不能一蹴而就，其施工过程必须明确施工目标，控制关键因素，分期实施。建议分三步走：

第一阶段，搭建网络安全态势感知所需的基础要素。包括搭建基础工具平台（多元异构数据汇聚平台、分析平台、可视化呈现平台、资产管理平台等）和组建安全管理专家团队，这样才可以支撑起一个完整稳定的安全运营团队。

第二阶段，建立纵向支撑体系和情报数据共享体系。包括纵向恶意代码分析中心、数据分析中心、情报威胁中心和情报共享机制等。

第三阶段，建立自动化系统化的主动防御、动态防范能力。充分高效利用基础平台和工具，增强纵向支撑和共享体系，配置自动化技术和人工智能的分析技术，全面提升网络威胁防御能力，预判网络安全的未来趋势，真正保护用户的网络安全。

（三）配备安全师团队

为了实现构建网络安全态势感知系统的目标，大数据平台不仅要采集各种异构的安全数据，而且需要通过大数据检测分析平台对安全数据进行处理，从而对当下安全态势进行评估和预判。

我们必须承认，网络安全的对抗本质还是人类智力的对抗。由于人工智能的技术水平还没有进入高级阶段，我们一定要考虑到人工参与分析的因素，因此在网络安全态势感知系统中网络安全师扮演了很重要的角色，他可以利用安全数据进行安全辅助分析，利用良好平台工具确定网络安全态势的状态，高效感知安全项目成败与否。在一个成功的网络安全态势感知系统团队中既要配备进攻型人才也要配备防御型人才，同时还要配备网络架构工程师、网络安全工程师、网络安全分析师、网络集成工程师、网络安全编程工程师、数据恢复工程师等。篇幅所限，本节重点阐述网络安全分析师的工作职责。

网络安全分析师是网络安全态势的感知过程中最急需的技术人才，他们的能力直接影响网络安全态势系统的结果。他们的主要任务是：在出现网络攻击或者安全事件时，通过数据分析，安全定位，辅助安全态势系统和用户分析当前安全数据状况和面临的风险，得出最佳安全解决方案。这是网络安全态势感知中不可避免的人为因素，个人或团队的能力直接影响用户对当下安全形势的预判和决策。

五、结语

面对日益复杂的网络环境，我们的安全防护意识不能仅仅停留在部署防火墙、流量异常检测、漏洞扫描、入侵检测等网络安全防护设备上，一定要化被动防御为主动预判，积极充分利用网络产生的各类数据进行分析处理，建设网络安全态势感知系统，自主抵御潜在攻击和威胁。网络安全态势感知有助于用户准确感知所在网络安全情况，从而高效科学快速准确地做出安全规划和决策。但是网络安全态势感知是一个涉及多种信息化技术的复杂系统工程，现阶段的技术水平在一定程度上制约了安全态势感知的应用，我们要从思想上重视，技术上跟进，分步骤达成建设目标。本文重点分析了我国网络安全态势感知系统建设的现状，并对一些制约因素提供了建议，旨在为搭建网络安全态势感知的用户提供一点借鉴。