IP百科知识之网络安全态势感知

网络安全态势感知

态势感知（SA，SituationalAwareness or Situation Awareness）是对一定时间和空间内的环境元素进行感知，并对这些元素的含义进行理解，最终预测这些元素在未来的发展状态。当前提到“态势感知”时主要是指“网络安全态势感知”，即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态，识别出当前网络中存在的问题和异常活动，并作出相应的反馈或改进。

网络安全态势感知的概念来源

态势感知的概念起源于20世纪80年代的美国空军，当时主要用于分析空战环境信息，对当前和未来形势进行分析，最终做出相应的判断和决策。后来经过不断发展和完善，形成相关理论体，已广泛应用于航空、安全、网络等领域。网络安全态势感知即是将态势感知的相关理论和方法应用到网络安全领域中。

为什么网络安全态势感知很重要

随着网络与信息技术的不断发展，人们的安全意识在逐步提高，安全防护思想已经从过去的被动防御向主动防护和智能防护转变。同时，物联网和云技术的发展也是日新月异，很多颠覆性的新技术也引入了新的安全问题，这都为我们提出了新的挑战，也对网络安全人员的能力提出了更高的要求。

正是在这样的背景下，以网络安全态势感知技术为核心的产品和解决方案得到快速发展。网络安全态势感知技术可以带动整个安全防护体系升级，实现以下三个方面的转变：

安全建设的目标从满足合规转变为增强防御和威慑能力，并且更加注重对抗性，这对情报技术提出了更高要求。

攻击检测的对象从已知威胁转变为未知威胁，通过大数据分析、异常检测、态势感知、机器学习等技术，实现对高级威胁的检测。

对威胁的响应从人工分析并处置转变为自动响应闭环，强调应急响应、协同联动，实现安全弹性。

网络安全态势感知的应用场景

由于网络安全态势感知系统的建设复杂度和建设成本较高，所以当前主要应用场景还是在大型机构和大中型企业中。对于规模较小的单位，可以选择功能和架构相对简单、性能相对较弱的集成单一产品。

如何评估态势感知的建设结果

网络安全态势感知的建设结果可以从防御、检测、响应、预测这几方面进行评估。

什么是态势感知的三个层级

Mica Endsley在“Towarda theory of situation awareness in dynamic systems”（1995）中，仿照人的认知过程提出了一个经典的态势感知模型。这个模型是很多后续理论的基础，一般称为Endsley模型（Endsley‘s model）。Endsley模型将态势感知分为三个层级，分别是态势要素感知、态势理解和态势预测。

华为的态势感知产品HiSec Insight针对金融、网安、政府、运营商等大、中、小型企业，华为推出基于成熟自研商用大数据平台FusionInsight的HiSec Insight安全态势感知系统。HiSecInsight能够采集和存储多类网络信息数据，帮助您在发现威胁后调查取证以及处置问责。华为安全态势感知以发现威胁、阻断威胁、取证、溯源、响应、处置的思路设计，帮助您完成全流程威胁事件闭环。

编辑：jq