干货｜网络空间安全态势感知与应急响应

伴随信息革命的飞速发展，互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成的网络空间，正在全面改变人们的生产生活方式，深刻影响人类社会历史发展进程，极大促进了经济社会繁荣进步，同时也带来了新的安全风险和挑战。

近年来，网络安全事件多有发生，因互联网应用遭受攻击而导致的经济损失巨大并有逐年增加的趋势，基础网络设备、域名系统等我国基础网络和关键基础设施都面临着巨大的安全风险，传统的安全防御体系根本无法抵御当前的网络攻击，整个行业已经不得不从被动防护向主动防御模式转变。

2016年4月19日，习近平总书记在《在网络安全和信息化工作座谈会上的讲话》中谈到：“全天候全方位感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险”。面临日趋严峻的网络安全形势，党和国家也高度重视信息安全建设，国务院办公厅、工信部、公安部等相关监督和管理单位相继出台了针对网络、重要信息系统的安全监督、管理、通报、防控等政策指导文件。显然，网络安全态势感知作为可以提前“预知”网络安全风险的新技术，已经成为网络安全应急响应体系中不可或缺的一环。

网络安全态势感知技术是指由各种网络设备运行情况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化。该技术以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终为决策和行动服务，是安全能力的落地。

所谓“聪者听于无声，明者见于未形”，如果将应急响应系统比作网络安全工作者的作战平台，那么态势感知技术就是网络安全工作者的作战地图，它能够帮助作战人员快速地获取并理解大量网络安全数据，及时地定位威胁来源，准确地判断当前整体安全状态并预测未来趋势。因此，态势感知技术的应用将切实提升网络安全防护效能。

从前，在网络安全监测方面仅依靠人工或依托互联网安全公司的测试设备进行监测发现，被动接受上级单位下发的检测分析报告和线索。无法通过技术手段主动发现关键信息系统和网站所存在的高危漏洞，也无法第一时间发现网站是否发生被攻击、篡改等安全事件。

态势感知技术的运用是为了建立网络安全的“免疫”系统，通过对网络威胁的全天候全方位感知，特别是对传统安全设备难以发现和防御的深层次威胁进行感知，从而可以及时响应，及时处置，做到最大限度止损、最快速度消除影响，并根据需要进行必要的反制，破敌于源头，实现从被动防御向主动防御的转化。

与此同时，该项技术可以最大限度地做到平战结合，确保网络空间安全。平时通过日常监测与通报处置，不断提高全市各行业、各单位的安全防护意识与安全防护能力，促进各单位更好地履行监管职责，促使各种社会力量发挥更好的效用，以便战时能在重大活动安保、重大事件应急过程中，有机整合公安、工信、通管、安全等职能部门，形成合力，快速高效地做好应急处置工作。

该项技术大体可分为三个阶段：态势提取、态势理解和态势预测。

其中，态势提取代表通过收集相关信息，对当前状态进行识别和确认；态势理解代表了解攻击造成的影响、攻击者的行为意图以及当前态势发生的原因和方式； 态势预测则代表跟踪态势的演化方式，以及评估当前态势的发展趋势，预测攻击者将来可能采取的行动路径。

目前而言，我国常见的网络安全态势感知系统中应用的态势感知技术仍介于第一阶段和第二阶段之间，在不久的将来完成第二阶段态势理解和第三阶段态势预测的研发及实战应用。

目前，基于网络安全态势感知技术建设的应急响应指挥平台已经应用到如网信、公安、工信、军队等不同行业之中。各级监管单位可以在平台的辅助下更好的承担起网络安全监管、防范、预警等工作，及时发现和处置各种网络攻击事件，对网络空间及关键信息基础设施运行状况、重点网站存在的漏洞及风险，遭到攻击等情况进行统一汇总、全面监测、关联分析、实现宏观层面的态势综合分析、威胁智能感知、安全态势预警，形成体系化、内容多样化的网络安全技术监测措施，以提升网络安全的监管综合能力。随着我国网络安全水平的不断提高，也是为维护国家安全、社会安定团结；促进各单位信息化进程提供坚实有力的技术保障。