近年来，网络安全受到了越来越多的关注和重视。随着云计算、大数据、物联网等新型基础设施建设加速推进，网络的规模逐渐扩大，网络的结构、应用变得更加复杂，网络安全问题更加值得关注。“网络安全态势感知”作为网络安全主动防御的新技术，越来越受到业界的关注和认可。态势感知在许多国家被提升到了战略高度，政府、监管机构、企业等相继开始建设和积极应用态势感知系统。2016年，我国提出了“全天候全方位感知网络安全态势”的基本要求。

今年，人民银行发文要求地方性银行业机构和非银行支付机构接入“金融行业态势感知与信息共享平台”，通过统一监管及安全赋能，提升金融机构应对威胁风险的能力。

态势感知，新一代防御体系的核心

随着IT基础架构大量引入云计算、移动计算等新兴技术，内外网络物理边界日趋模糊。从金融行业来看，开放银行的发展模式会推动这种趋势加速发展，传统边界防御措施面临失效挑战。为解决这些问题，“零信任”架构应运而生，首创者JohnKindervag指出，以往可信的内部网络现在充满威胁，提倡从网络中心走向身份中心，在零信任网络中，通过实现对人、设备、系统、应用的自适应访问控制构建安全系统。零信任要求通过“态势感知”和强大的漏洞事件管理能力，将安全性构建到IT架构中，因此态势感知成为新一代防御体系的技术核心。

态势感知是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。安全态势感知系统是安全防护的大脑，可以更好地加强纵深防御，通过建设主动防御、持续监测、应急响应、溯源取证、风险预警等安全能力，最终实现安全运营等闭环管理。

态势感知的核心技术分为“态势”和“感知”两部分。态势是指，首先要了解所有的情况，这样才能帮助决策。网络安全态势感知过程可以分为以下四个过程。

数据采集：通过各种检测工具，对各种影响系统安全性的要素进行检测采集获取，这一步是态势感知的前提。

态势理解：对各种网络安全要素进行分类、归并、关联分析并进行处理融合，对融合的信息进行综合分析，得出网络的整体安全状况，这一步是态势感知基础。

态势评估：定性、定量分析当前网络的安全状态和薄弱环节，并给出相应的应对措施，这一步是态势感知的核心。

态势预测：通过态势评估输出的数据，预测网络安全状况的发展趋势，这一步是态势感知的目标。

最后，根据评估结果联动或人工进行威胁处置，形成安全闭环，此过程也称为态势感知1.0。以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析和响应处置，有了可视化的安全态势感知，各种威胁及风险可以变得一目了然，通过提前预警，做到防患于未然。

金融行业“态势感知”建设路线

金融机构建设态势感知系统，首先要明确建设的目标和范围，梳理清晰需要监测与防护的最关键的业务资产，然后应用合适的技术获取完整的安全数据，再结合态势感知系统平台以及大数据威胁情报，分析数据、发现威胁和异常，合理运用安全服务来落地安全能力。态势感知系统，旨在实现“安全集成、智能分析、态势感知、协同处置、运营可视”五大目标。

大型金融机构在原有大数据平台除了对日志进行收集分析外还进行大量其他来源数据收集和对接，如流量、威胁情报等，投入开发和安全人员进行模型抽取和模型匹配，通过人工和AI技术进行威胁分析，以工单或其他方式通知安全运维团队进行处置，已经形成初代SOC规模，建立了较为完整的安全运营中心。因为他们的开发和安全人员较为齐全，通过大量资金和时间来进行威胁分析和闭环处置，联合其他团队分析整个内外部安全威胁，已具备初代SOC雏形，为金融机构探索出一条通往安全运营中心的可行路线。

中大型金融机构使用安全平台部分开源软件进行开发，先进行安全设备日志、流量收集，配合安全平台自身模型进行威胁分析，同时配合安全运维团队进行处置；部分用户使用流量分析先了解内部安全问题，再根据自身人员和业务发展情况选择合适时间建立SIEM平台，逐步通过日志和流量结合完善安全模型。中大型用户要根据自身业务情况选择合适的工具或模块建立态势感知平台，不要盲目投入SIEM平台，以免达到反面的效果。

中小型金融机构因其人员和资金限制，需求直接定义为能够发现问题、实现安全设备联动、减少人工投入、能够辅助分析安全威胁的工具，该种需求基本定义为以流量分析为主平台，在根据其自身情况选择是否投入SIEM平台。简单有效是主要选择，而流量分析是最直接也是有效的安全威胁分析方式，但因其自身特点，中小用户走向安全运营中心的路还很长。

“态势感知”不仅可以赋能金融机构建立防御体系，还可以赋能监管部门实现检测通报预警能力。未来，随着态势感知系统更加广泛的应用，或将成为金融行业安全防护的“大脑”，为金融机构更好地加强纵深防御，实现主动防御、持续检测、应急响应、溯源取证、风险预警等安全能力，为保障网络信息安全发挥出更大效能。我们也将继续跟紧金融行业发展动向，围绕网络安全的重点领域深入研究，积极助力金融行业网络安全体系建设。