浅析什么是态势感知

1 态势感知因何而生
态势感知系统的出现是为了感知和预防日益专业化、智能化、隐蔽化的网络攻击。随着网络攻击技术的发展，很多情况下，客户不知道自己会不会被黑客攻击，何时会被攻击，甚至已经被攻击了都不知道。而传统的网络安全方案偏重于架构安全（漏洞管理、系统加固、安全域划分等）和被动防御能力（IPS、WAF、AV等）的建设，虽然取得了一定的成果，但是防御策略复杂、设备种类繁多，运维成本高，运维效率低。
因此，态势感知应时而生。态势感知系统旨在主动防御能力的建设，从攻击者留下的蛛丝马迹中寻找线索，在黑客发动攻击前找到他、阻断“施法”，实现主动防御。

2 态势感知的发展历程
态势感知的概念最早被提出是在20世纪80年代，覆盖感知（感觉）、理解和预测三个层次。90年代，态势感知被定义为“在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，而最终的目的是要进行决策与行动。”
在国内，习近平总书记在2016年的419座谈会上提出：“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”而随着《网络安全法》和《国家网络安全战略》的相继出台，态势感知被提升到了战略高度，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。
如今，“态势感知”已经成为网络安全领域聚焦的热点，也成为网络安全技术、产品、方案不断创新、发展、演进的体现，更代表了网络安全攻防对抗的最新趋势。

3 什么是态势感知
安全态势感知本身并不是一个功能，而是一种能力，一种对当前安全状态的感知以及对未来威胁的预测能力。为了实现这种能力，很多厂商都在刻苦钻研，对态势感知能力的呈现方式也各有不同。
锐捷态势感知是一个多维度的方案，“设备+平台+服务”三位一体的安全解决方案，方案架构如下图所示。

● 设备
是态势感知方案中的信息来源，包括安全设备（防火墙、IPS、WAF……）、网络设备（路由器、交换机……）、各种服务器等。设备是网络安全第一线，所有流量都会经过设备，留下痕迹，正因如此，平台可以从设备中获取到大量的安全信息进行深入分析，如安全攻击事件、用户访问记录、业务异常信息等。
●平台
即RG-BDS大数据安全平台，它是基于大数据架构开发的安全分析平台，具备多维度的海量安全信息存储及强大的安全分析能力，是态势感知方案中的核心大脑。
平台从设备上采集各种安全信息（安全日志、漏扫结果等）进行深度分析，当发现异常流量时，平台会向对应的安全设备下发安全防护策略，及时阻断异常流量，保护内网设备；平台还支持对接云端情报中心和云安全分析中心，从而对未知威胁类型进行预测、预防，实现主动防御。
● 服务
提供用户场景定制分析模型、用户场景安全深度分析、安全专业咨询等增值服务。

4 态势感知有什么优势
● 攻击行为可发现
所有业务流量都会经过安全设备或网络设备，当攻击流量经过设备时，设备会记录攻击日志。RG-BDS大数据安全平台通过采集海量安全日志，结合深度分析、机器学习等技术，实现对攻击行为的及时发现和精准定位，并通过攻击溯源、归并、告警等多种方式进行可视化呈现，让网络中的攻击行为无所遁形。
●安全防护可协同
RG-BDS大数据安全平台通过采集设备上的海量信息进行深度分析，从而发现攻击行为，结合云端情报中心、云安全分析中心生成对应的防护策略下发到对应的安全设备，最终构建“设备+平台+服务”的立体化主动防御体系，帮助用户建设可协同的安全网络。
●威胁态势可预测
RG-BDS大数据安全平台通过云端威胁情报同步、机器学习、攻击趋势分析等技术，建立多种行为模型，对未来威胁态势进行提前预判，同时结合预警发布、专家咨询服务等辅助机制设计，实现未来威胁态势预测，并提供针对性安全防护解决方案。
● 安全状态可度量
RG-BDS大数据安全平台根据安全日志、漏洞、风险、脆弱性等权重综合评估现网安全状态，对全网业务进行安全评分，并通过安全评分趋势、告警和工单处理等趋势图直观呈现安全建设业绩，帮助用户建设可度量的安全网络。

5 结论
安全态势感知解决方案是锐捷网络结合多年安全研究成果和网络安全建设经验，以大数据技术架构为核心开发的，集安全要素获取、分析、处理、跟踪、预测为一体的全流程安全解决方案。结合机器学习、云端情报等技术，实现对全网的安全态势感知。目前，方案已成熟应用于政府、交通、企业、教育等多行业用户，帮助用户真正实现“看得见的安全，信得过的网络”。