2021年9月1日起，我国又一网络安全重要法律条例《关键信息基础设施安全保护条例》正式实施，该条例中明确要求“保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。”此条例再次彰显了网络安全态势感知在整体网络安全防护体系中的重要作用。另一方面，全球范围频繁发生的网络攻击事件也使得广大企业级客户清晰认识到网络安全对企业数字转型的重要保障意义。

伴随着我国相关部门对网络安全日益严格和完善的监管制度的实施，已经有越来越多的企业正在改变原有的相对孤立和被动的安全防护手段，通过统一的安全管理平台或态势感知解决方案将企业网络中各个安全组件和安全产品连通协作，力争打造协同作战、主动防御的安全架构。

一、Gartner & IDC 安全态势感知定义

Gartner 在2021年SIEM (安全信息与事件管理) 市场分析认为，SEIM需要实时分析事件数据以及早发现有针对性的攻击和数据泄露，并收集、存储、调查和报告日志数据以进行事件响应、取证和法规遵从性：

1、实时收集安全事件日志和遥测数据，用于威胁检测和合规性用例；

2、实时并持续分析遥测数据，用于检测攻击和其他感兴趣的活动；

3、调查安全事件，结合用户、资产、威胁和漏洞的上下文信息，用于确定其潜在的严重性和对业务的影响；

4、存储相关事件和日志，用于安全监控、查询和远程分析，并进行历史分析。

IDC在2021年《IDC MarketScape: 中国态势感知解决方案市场2021，厂商评估》认为，“网络安全分析、情报、响应、编排”（AIRO）是一套全面的解决方案，能够帮助企业衡量、解释和改善安全风险状况，在中国市场与之对应的便是态势感知解决方案，而网络安全态势感知平台则成为该方案的最终表现形态：

1、安全信息全面、实时的获取和分析是实现态势感知的关键；

2、自动化编排与响应能力成为态势感知解决方案提供商的能力差距重要衡量依据；

3、态势感知平台与其他安全产品的对接仍然缺乏统一接口；

4、安全运营服务正在成为众多安全厂商重点投入的发展方向；

5、软件即服务（SaaS）化和远程托管的态势感知运营中心成为重要产品规划；

6、持续增强“网络安全分析、情报、响应、编排”能力依旧是态势感知解决方案的发展核心。

二、安全态势感知三种主流形态

伴随着网络安全领域的“网红”态势感知市场越来越热，推出态势感知产品和解决方案的厂商也越来越多，主流产品形态有如下三种：

1、运营类态势感知：通过收集多元异构的海量日志，利用关联分析、机器学习、威胁情报等技术，为企事业单位提供风险评估和应急响应的决策支撑，是为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。

2、监管类态势感知：通过通报预警、重大活动保障、应急响应等机制，为网信、网安等行业监管部门实现对重点行业、重点业务互联网暴露面的安全风险监管要求。

3、实战类态势感知：以攻防渗透和数据分析为核心竞争力，聚焦威胁检测和响应，满足网络安全重保、演习期间有效的资产发现梳理、漏洞和弱口令暴露面发现、安全基线扫描、终端安全管理、安全威胁监测、防护策略优化和溯源排查总结等使用需求。

三、安全态势感知白皮书&国标

2020年11月9日，全国信息安全标准化技术委员会（TC260）信息安全评估标准工作组（WG5）联合业界主流安全厂商、典型行业用户和科研院所，撰写发布了《网络安全态势感知技术标准化白皮书2020年版》（简称白皮书），作为白皮书主要编写单位之一，新华三集团提供了在该技术领域的研究成果及实践积累。

作为业界首个态势感知技术的权威技术研究，白皮书首次定义了态势感知平台的技术标准与能力要求。其中基于网络安全态势感知技术产生的背景和意义，分析了国内外网络安全态势感知标准化工作的需求和现状。总结提出网络安全态势感知技术的典型模型和系统架构，规划了标准架构及各组成部分，并提出了开展网络安全态势感知标准化工作的建议，分析在各行业的应用案例，白皮书为态势感知技术在国内的进一步发展和落地提供了极具指导意义的实现路径。

基于白皮书，全国信息安全标准化技术委员会（TC260）发布了《信息安全技术 网络安全态势感知通用技术要求》国家标准的征求意见稿。征求意见搞指出：网络安全态势感知总体架构主要包括前端数据源、网络安全态势感知的核心组件和影响网络安全态势的要素（如应急处置、安全决策、数据共享等）三部分，其中网络安全态势感知的核心组件（表现形式可以是产品、系统或平台，也可以是不同的功能组件）是实现网络安全态势感知能力的重要技术保障，但网络安全态势感知能力的实现同样也依赖于应急处置、安全决策、数据共享等要素。

在网络安全态势感知能力的建设中，功能模块通常具备较大的伸缩性。依据最大适用性并保证网络安全态势感知功能完整性的原则：

1、数据汇聚包括数据采集、数据预处理和数据存储

2、数据分析包括网络攻击分析、异常行为分析和资产风险分析

3、态势展示包括整体态势展示、专题态势展示和态势报告

4、监测预警包括监测告警和安全预警

各功能模块通过数据服务接口实现数据对接，因此数据服务接口包括数据交换接口、数据分析接口和联动处置接口，其中：

1、数据交换接口支持与不同前端数据源、内部不同模块及其它外部系统进行数据交换

2、数据分析接口支持为内部不同模块及其它外部系统通过接口进行数据分析

3、联动处置接口支持为内部不同模块及其它外部系统通过接口进行联动处置

此外，接口本身还需满足安全性要求。网络安全态势感知核心组件的正常运行离不开资源管理，主要包括策略管理、数据处理规则管理、数据分析模型管理、安全事件管理和威胁信息管理。

四、新华三安全态势感知四重天

新华三作为《网络安全态势感知技术标准化白皮书2020年版》和《信息安全技术网络安全态势感知通用技术要求》核心参编单位，其自身的安全威胁发现与运营管理平台CSAP，是以安全大数据为基础，对能够引起网络态势发生变化的要素进行获取、理解、评估和呈现，并对未来发展趋势进行预测；从全局视角提升对安全威胁的发现识别、理解分析、响应处置的能力；通过智能分析和联动响应，结合机器学习和人工智能，实现“安全大脑”的闭环决策，实现安全能力的落地实践，真正做到对安全风险威胁的“主动发现、预知未来、协同防御、智能进化”。

新华三安全威胁发现与运营管理平台贯穿安全风险监控、分析、响应和预测的全过程，通过威胁情报、机器学习等技术对海量日志等信息进行深度分析，同时关联网络攻击事件，多维度、可视化地呈现全网的安全风险状况，围绕资产和业务，融合安全和网络管理，实现风险告警到安全联动响应的完整闭环。系统极大程度降低了企业内部安全运维人员的时间成本，有效提升了威胁事件的发现和处理能力。

风险识别-多维度风险发现

态势感知能够从资产梳理、脆弱性检测、攻击威胁检测、异常行为检测等方面进行全网风险发现。

1、资产梳理：通过主动和被动方式进行资产信息发现，识别资产基础信息、开放端口和服务运行情况；资产梳理发现暴露面，可以最小化缩小攻击面。

2、脆弱性检测：自动化全网脆弱性扫描，包含系统扫描、Web扫描、数据库扫描、安全基线扫描、弱口令扫描能力。可以进行全网漏洞信息分析管理，资产画像脆弱性分析，并提供相关处置建议；有效梳理脆弱性风险，及时加固，减小被利用风险。

3、攻击威胁检测：包括入侵威胁检测、防病毒检测、应用识别、URL过滤、WEB攻击检测、威胁情报匹配检测等功能。多维度威胁检测，可以有效发现多种攻击威胁，摸清红队攻击手段。

4、异常行为检测：通过资产、用户的流量、动作等行为偏离情况，建立各种场景化模型，构建用户行为基线并进行状态跟踪，判断各类异常行为，发现隐藏的未知威胁；异常行为的检测弥补了只通过特征库检测的片面性，让威胁攻击无处遁形。

分析研判-智能安全分析

分析研判的关键在于如何更智能的对原始事件进行安全分析，智能分析极大提高了安全事件告警的准确性。除了基础的关联分析外，态势感知能够进行AI安全知识图谱分析、专家推理分析、场景化分析等。

1、AI安全知识图谱分析：从基础安全分析到APT、蠕虫病毒传播、未知威胁、僵尸网络等复杂场景分析，全面掌握规模群体性事件的感染路径。

2、专家推理分析：是对安全事件的进一步分析，依托攻防专家经验能力，分析威胁事件在攻击全图中的作用，学习历史事件处理结果，准确展示资产的安全威胁等级和威胁判定依据。

3、AI场景化分析：利用LSTM(长短记忆网络)算法、CNN模型（卷积神经网络）等生成分类器模型，进行DGA域名访问、DNS隐蔽隧道利用等方面的检测，从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为，以单独场景化分析直观呈现威胁攻击情况。

威胁监测-精准风险定位

通过风险主机画像分析，可以基于资产管理属性和安全属性进行全方位威胁信息呈现，包括资产基本信息、风险概况、脆弱性信息、流量监控信息、溯源取证信息等，同时能够根据资产访问关系进行自动分析。

处置响应-风险闭环处置

所有的攻击威胁发现，没有及时的闭环响应处置都是无济于事的，处置响应能力为防护人员提供了便捷的处置方法和相关的处置建议，态势感知具备SOAR自动化编排响应能力和终端安全检测加固能力。

SOAR响应联动事件生命周期的每个环节,包括事件生成、研判、人工处置、策略下发、自动处置和响应报告，来增强安全事件的响应速度。联动设备除了有FW、IPS、WAF、ACG、终端安全（ESM）等常见安全设备外，还能实现与交换机、路由器、WLAN等网络设备联动。

终端安全分析：整合终端已知和未知的威胁检测能力，全面记录终端行为，实现基于人工智能模型的全网病毒威胁检测，可进行感染主机隔离，针对终端资产进行统一运维管理，基线核查，安全加固等。

五、结语

国家政策法规和客户实际需求作为双重动力，持续推动着态势感知的发展，为企业建立更为长效的安全机制，从全局视角保障业务正常运作。态势感知作为新华三主力产品之一，同样在市场演进过程中不断发展迭代，已经过众多网络安全体系建设实践，以强大能力赋能数千家客户的网络安全。