網絡安全態勢感知

態勢感知（SA，SituationalAwareness or Situation Awareness）是對一定時間和空間內的環境元素進行感知，并對這些元素的含義進行理解，最終預測這些元素在未來的發展狀態。當前提到“態勢感知”時主要是指“網絡安全態勢感知”，即將態勢感知的相關理論和方法應用到網絡安全領域中。網絡安全態勢感知可以使網絡安全人員宏觀把握整個網絡的安全狀態，識別出當前網絡中存在的問題和異?；顒樱⒆鞒鱿鄳姆答伝蚋倪M。

網絡安全態勢感知的概念來源

態勢感知的概念起源于20世紀80年代的美國空軍，當時主要用于分析空戰環境信息，對當前和未來形勢進行分析，最終做出相應的判斷和決策。后來經過不斷發展和完善，形成相關理論體，已廣泛應用于航空、安全、網絡等領域。網絡安全態勢感知即是將態勢感知的相關理論和方法應用到網絡安全領域中。

為什么網絡安全態勢感知很重要

隨著網絡與信息技術的不斷發展，人們的安全意識在逐步提高，安全防護思想已經從過去的被動防御向主動防護和智能防護轉變。同時，物聯網和云技術的發展也是日新月異，很多顛覆性的新技術也引入了新的安全問題，這都為我們提出了新的挑戰，也對網絡安全人員的能力提出了更高的要求。

正是在這樣的背景下，以網絡安全態勢感知技術為核心的產品和解決方案得到快速發展。網絡安全態勢感知技術可以帶動整個安全防護體系升級，實現以下三個方面的轉變：

安全建設的目標從滿足合規轉變為增強防御和威懾能力，并且更加注重對抗性，這對情報技術提出了更高要求。

攻擊檢測的對象從已知威脅轉變為未知威脅，通過大數據分析、異常檢測、態勢感知、機器學習等技術，實現對高級威脅的檢測。

對威脅的響應從人工分析并處置轉變為自動響應閉環，強調應急響應、協同聯動，實現安全彈性。

網絡安全態勢感知的應用場景

由于網絡安全態勢感知系統的建設復雜度和建設成本較高，所以當前主要應用場景還是在大型機構和大中型企業中。對于規模較小的單位，可以選擇功能和架構相對簡單、性能相對較弱的集成單一產品。

如何評估態勢感知的建設結果

網絡安全態勢感知的建設結果可以從防御、檢測、響應、預測這幾方面進行評估。

什么是態勢感知的三個層級

Mica Endsley在“Towarda theory of situation awareness in dynamic systems”（1995）中，仿照人的認知過程提出了一個經典的態勢感知模型。這個模型是很多后續理論的基礎，一般稱為Endsley模型（Endsley‘s model）。Endsley模型將態勢感知分為三個層級，分別是態勢要素感知、態勢理解和態勢預測。

華為的態勢感知產品HiSec Insight針對金融、網安、政府、運營商等大、中、小型企業，華為推出基于成熟自研商用大數據平臺FusionInsight的HiSec Insight安全態勢感知系統。HiSecInsight能夠采集和存儲多類網絡信息數據，幫助您在發現威脅后調查取證以及處置問責。華為安全態勢感知以發現威脅、阻斷威脅、取證、溯源、響應、處置的思路設計，幫助您完成全流程威脅事件閉環。

編輯：jq