近年來，網絡安全受到了越來越多的關注和重視。隨著云計算、大數據、物聯網等新型基礎設施建設加速推進，網絡的規模逐漸擴大，網絡的結構、應用變得更加復雜，網絡安全問題更加值得關注?！熬W絡安全態勢感知”作為網絡安全主動防御的新技術，越來越受到業界的關注和認可。態勢感知在許多國家被提升到了戰略高度，政府、監管機構、企業等相繼開始建設和積極應用態勢感知系統。2016年，我國提出了“全天候全方位感知網絡安全態勢”的基本要求。今年，人民銀行發文要求地方性銀行業機構和非銀行支付機構接入“金融行業態勢感知與信息共享平臺”，通過統一監管及安全賦能，提升金融機構應對威脅風險的能力。

態勢感知，新一代防御體系的核心

隨著IT基礎架構大量引入云計算、移動計算等新興技術，內外網絡物理邊界日趨模糊。從金融行業來看，開放銀行的發展模式會推動這種趨勢加速發展，傳統邊界防御措施面臨失效挑戰。為解決這些問題，“零信任”架構應運而生，首創者John Kindervag指出，以往可信的內部網絡現在充滿威脅，提倡從網絡中心走向身份中心，在零信任網絡中，通過實現對人、設備、系統、應用的自適應訪問控制構建安全系統。零信任要求通過“態勢感知”和強大的漏洞事件管理能力，將安全性構建到IT架構中，因此態勢感知成為新一代防御體系的技術核心。

態勢感知是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。安全態勢感知系統是安全防護的大腦，可以更好地加強縱深防御，通過建設主動防御、持續監測、應急響應、溯源取證、風險預警等安全能力，最終實現安全運營等閉環管理。

態勢感知的核心技術分為“態勢”和“感知”兩部分。態勢是指，首先要了解所有的情況，這樣才能幫助決策。網絡安全態勢感知過程可以分為以下四個過程。

數據采集：通過各種檢測工具，對各種影響系統安全性的要素進行檢測采集獲取，這一步是態勢感知的前提。

態勢理解：對各種網絡安全要素進行分類、歸并、關聯分析并進行處理融合，對融合的信息進行綜合分析，得出網絡的整體安全狀況，這一步是態勢感知基礎。

態勢評估：定性、定量分析當前網絡的安全狀態和薄弱環節，并給出相應的應對措施，這一步是態勢感知的核心。

態勢預測：通過態勢評估輸出的數據，預測網絡安全狀況的發展趨勢，這一步是態勢感知的目標。

最后，根據評估結果聯動或人工進行威脅處置，形成安全閉環，此過程也稱為態勢感知1.0。以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析和響應處置，有了可視化的安全態勢感知，各種威脅及風險可以變得一目了然，通過提前預警，做到防患于未然。

態勢感知2.0，更好感知安全態勢

目前在國內，傳統安全廠商以日志、流量、沙箱為主構建態勢感知，特點是組件較全面，缺點是沒有優勢組件；大數據平臺廠商是以日志收集和分析為主，其他組件較弱或沒有；小部分廠商以沙箱或者威脅情報為主，在態勢感知領域中有明顯短板。深信服的安全感知平臺組件比較全面，以流量分析為主，再加上元數據、日志、沙箱、威脅情報等功能組件，采用機器學習模式，針對APT全攻擊鏈中的每個步驟，滲透、駐點、提權、偵查、外發等各個階段進行檢測，建立文件異常、Mail異常、C&C異常檢測、流量異常、日志關聯、Web異常檢測、隱蔽通道等檢測模型并關聯檢測出高級威脅。

近兩年，深信服在態勢感知上扎扎實實做了幾件事：第一，采用傳統規則和機器學習互相融合的方式，通過DPI和DFI相互結合的核心技術，把流量檢測能力做到了業界先進水平。用AI來提高檢測算法的精度和應變能力，構建了包含攻防專家、數據科學家和安全分析師在內的三位一體架構，攻防專家負責安全問題的定義，數據科學家負責把問題轉換成AI模型，安全分析師負責訓練AI模型進行優化，三者互相配合，使得AI能夠不停地迭代進化，保持對最新威脅和黑客常見攻擊手法的檢測能力。比如在僵尸網絡檢測任務的對比訓練里，深信服的AI已經把檢測的準確度提升到99.7%，內網穿透檢測水平也相當精準。第二，結合入侵分析的鉆石模型，通過保護對象來進行態勢感知。鉆石模型最簡表述：對手借助基礎設施針對受害者部署能力。除了攻擊鏈覆蓋手法以外，以資產和保護對象為中心，進行防守和態勢感知，即圍繞資產展開，將整個被保護系統中所需保護的資產和對象進行體系化的識別和科學建模，圍繞資產行為進行異常檢測。第三，深信服本身擁有全方位的安全產品體系，態勢感知不只是產品更是解決方案，與其他產品相互結合，以點帶面進行突破，發揮更大作用。

憑借多年金融行業實踐經驗，深信服發布的態勢感知2.0，從概念上更為清晰，吸收PPDR5安全模型，借鑒Gartner自適應安全防御理念，在獲取、理解、評估和預測的基礎上，增加了行動環節，使整個態勢感知2.0更為完整，更好地支撐安全運營領域的應用。

態勢感知2.0通過在網絡、中間件、主機等設備上部署探針和日志收集程序，獲取基礎設施、安全設施、網絡和應用系統等相關的日志信息。將獲取到的信息使用大數據技術存儲到大數據日志平臺，同時將資產信息、安全掃描結果、威脅情報等信息一并存儲到大數據平臺，利用規則引擎和智能分析模型對數據進行統計、分析和挖掘，結合歷史的基線數據與分析結果一起輸出給到Dashboard圖和風險態勢視圖，運營人員通過監控告警或預測信息，即可全面了解安全風險，識別到安全風險后即可生成工作流任務工單，按照企業事件管理流程，協調各責任方進行快速處置。在處置過程中，可通過軟件定義安全平臺與安全設備、系統或安全管理平臺進行聯動，自動下發攔截和阻斷策略。

深信服安全感知平臺上分析和預測的結果可以按要求生成合規報告，也可以通過第三方接口輸出給行業共享與系統對接，讓整個安全感知平臺服務于更多的行業和應用場景。

金融行業“態勢感知”建設路線

金融機構建設態勢感知系統，首先要明確建設的目標和范圍，梳理清晰需要監測與防護的最關鍵的業務資產，然后應用合適的技術獲取完整的安全數據，再結合態勢感知系統平臺以及大數據威脅情報，分析數據、發現威脅和異常，合理運用安全服務來落地安全能力。態勢感知系統，旨在實現“安全集成、智能分析、態勢感知、協同處置、運營可視”五大目標。

大型金融機構在原有大數據平臺除了對日志進行收集分析外還進行大量其他來源數據收集和對接，如流量、威脅情報等，投入開發和安全人員進行模型抽取和模型匹配，通過人工和AI技術進行威脅分析，以工單或其他方式通知安全運維團隊進行處置，已經形成初代SOC規模，建立了較為完整的安全運營中心。因為他們的開發和安全人員較為齊全，通過大量資金和時間來進行威脅分析和閉環處置，聯合其他團隊分析整個內外部安全威脅，已具備初代SOC雛形，為金融機構探索出一條通往安全運營中心的可行路線。

中大型金融機構使用安全平臺部分開源軟件進行開發，先進行安全設備日志、流量收集，配合安全平臺自身模型進行威脅分析，同時配合安全運維團隊進行處置；部分用戶使用流量分析先了解內部安全問題，再根據自身人員和業務發展情況選擇合適時間建立SIEM平臺，逐步通過日志和流量結合完善安全模型。中大型用戶要根據自身業務情況選擇合適的工具或模塊建立態勢感知平臺，不要盲目投入SIEM平臺，以免達到反面的效果。

中小型金融機構因其人員和資金限制，需求直接定義為能夠發現問題、實現安全設備聯動、減少人工投入、能夠輔助分析安全威脅的工具，該種需求基本定義為以流量分析為主平臺，再根據其自身情況選擇是否投入SIEM平臺。簡單有效是主要選擇，而流量分析是最直接也是有效的安全威脅分析方式，但因其自身特點，中小用戶走向安全運營中心的路還很長。

“態勢感知”不僅可以賦能金融機構建立防御體系，還可以賦能監管部門實現檢測通報預警能力。未來，隨著態勢感知系統更加廣泛的應用，或將成為金融行業安全防護的“大腦”，為金融機構更好地加強縱深防御，實現主動防御、持續檢測、應急響應、溯源取證、風險預警等安全能力，為保障網絡信息安全發揮出更大效能。我們也將繼續跟緊金融行業發展動向，圍繞網絡安全的重點領域深入研究，積極助力金融行業網絡安全體系建設。