h t i g b u m o c . 5 网络安全态势感知 技术及应用发展蓝皮书 m o c . 5 2019 h t i g b u h t i g b u m o c . 5 版权声明 本蓝皮书版权属于编写单位，并受法律保护。转载，摘编或利用其他方式使用本蓝皮书文字 或者观点的，应注明来源。违反上述者，将追究其相关法律责任。 编写说明 m o c . 5 b u 牵头单位：大数据协同安全技术国家工程实验室 - 金融行业安全研究中心 h t i g 参与单位：平安金融安全研究院 中国信息通信研究院 大数据协同安全技术国家工程实验室 - 金融行业安全研究中心 06 网络安全态势感知技术及应用发展蓝皮书 m o c . 5 目录 b u 前 言 01 态势感知概述 1.1 态势感知发展背景 g ti h 09 10 10 1.1.1 态势感知的通用定义 10 1.1.2 态势感知分析模型 12 1.2 网络安全态势感知基本概念 12 1.2.1 网络安全态势感知的定义 12 1.2.2 态势感知建设目标及能力 15 1.3 态势感知国内外发展现状 15 1.3.1 态势感知国家政策 15 1.3.2 态势感知产品和服务 18 1.3.3 态势感知应用现状 21 07 态势感知概述 22 02 态势感知发展阶段 m o c . 5 22 2.1 态势感知的重要性 23 2.2 态势感知 1.0 23 2.2.1 态势感知 1.0 概述 b u 2.2.2 态势感知 1.0 技术要素 2.2.3 态势感知 1.0 改进方向 2.3 态势感知 2.0 2.3.1 态势感知 2.0 概述 g 2.3.2 态势感知 2.0 技术要素 ti h 2.3.3 态势感知 2.0 与智能安全运营 25 25 26 26 28 33 03 态势感知在金融行业的应用 35 3.1 态势感知增强安全防御体系 35 3.2 态势感知保障业务安全 37 3.3 态势感知促进安全运营智能化 37 04 总结 38 h t i g b u m o c . 5 网络安全态势感知技术及应用发展蓝皮书 前言 09 前言 m o c . 5 b u h t i g 对于高度网络化的社会，网络空间安全已经成为当前面临的挑战之一。个人、企业和政府也越来越关心 网络犯罪、网络间谍活动和网络空间战争对他们造成的威胁。在网络空间防御领域，态势感知尤为重要。 随着全球范围内国家文件相继出台，态势感知在许多国家被提升到了战略高度，政府、企业、监管机构 等相继开始建设和积极应用态势感知系统，美国在这方面无疑走在了世界前列，形成了其较为完善的网 络空间（安全）态势感知体系。在中国，习近平主席在 4·19 讲话中也提出了“全天候全方位感知网络 安全态势”的基本要求。 态势感知系统具备网络空间安全持续监控能力，能够及时发现各种攻击威胁与异常；具备威胁调查分析 及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安 全决策和响应；能够建立安全预警机制，来完善风险控制、应急响应和整体安全防护的水平。在未来， 态势感知技术将在各行各业中得到广泛应用，其应用前景非常光明。 本蓝皮书通过收集、整理全球范围内的网络空间态势感知发展情况，特别是中美发展对比，从态势感知 的发展背景、网络空间态势感知的基本概念、国内外发展现状、态势感知 1.0 到态势感知 2.0、态势感知 在金融行业的应用等维度进行详细分析，向读者展示态势感知技术及发展的全貌。 10 网络安全态势感知技术及应用发展蓝皮书 01 m o c . 5 态势感知概述 1.1 态势感知发展背景 h t i g b u “态势感知”早在 20 世纪 80 年代由美国空军提出，其包含感知、理解和预测三个层次。到 90 年代， 态势感知概念开始被广泛接受，并伴随着网络的兴起而升级为“网络态势感知（Cyberspace Situation Awareness，CSA）”，它是指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、 理解和显示，并对最近发展趋势的顺延性预测，其最终目的是要进行决策与行动。值得注意的是，态势 强调环境、动态性以及实体间的关系，是一种状态和趋势，一个整体和宏观的概念，任何单一的情况或 状态都不足以称之为态势。 1.1.1 态势感知的通用定义 人们对于态势感知的定义和理解有着很大的不同，其中认同度较高的是 1995 年 Endsley1 博士所给出的 动态环境中态势感知的通用定义，这也是最早的态势感知定义之一，该定义对态势感知的描述是：“在 一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态。” 通过该定义，可以提炼出态势感知的三个要素：感知、理解和预测，也就是说态势感知可以分成感知、 理解和预测三个层次的信息处理，其输出将被直接馈送至决策和行动的周期中。 1 席荣荣 , 云晓春 , 金舒原 , 等 . 网络安全态势感知研究综述 [J]. 计算机应用 ,2012,32(1):1-4,59. DOI:10.3724/SP.J.1087.2012.00001. 态势感知概述 11 Task and Environmental Factors · Workload · Stressors · System design · Complexity State of the environment / system SITUATION AWARENESS Perception of data and the elements of the environment (Level 1) Comprehension of the meaning and significance of the situatioan (Level 2) Projection of future states and events (Level 3) Individual Factors · Goals · Preconceptions · Knowledge · Experience · Training · Abilities PERFORMANCE OF ACTION m o c . 5 DECISION b u 图 1. 动态决策中的态势感知模型（Endsley，1995） h t i g 1. 感知：感知和获取环境中的重要线索或元素。在网络安全中，可以指防御系统的告警，如防火墙、入 侵检测系统（Intrusion Detection System，IDS）和入侵防御系统（Intrusion Protection System， IPS）等，这些类型的数据必须是准确的以保证后面做的决策基于事实。 2. 理解：整合感知到的数据和信息，分析其相关性。这是一个重要的层级，因为态势感知远远不止步于 感知屏幕上所显示的一堆数据。真正需要做到的是，结合操作人员的目标来理解这些信息的意义或显著性。 3. 预测：基于对环境信息的感知和理解，预测相关知识的未来的发展趋势。该层级包含对信息进行的前 向时间判断，以确定其将如何对运行环境的未来状态产生影响。这结合了当前个体对态势的理解，以及 对系统形成的心智模型，从而可以预测下一步可能发生的情况。 在上述定义基础之上，为了深入探讨如何在动态的系统环境中通过态势感知支持高效的决策制定和行动 执行，Endsley 博士进一步明确了相关术语的定义，提出态势感知应当被作为一种“知识的状态”，而“实 现、获取或维持态势感知状态的过程”则应该称为态势评估，并且强调应该对这两个概念加以区分。 12 网络安全态势感知技术及应用发展蓝皮书 1.1.2 态势感知分析模型 除了上述 Endsley 博士提出的态势感知模型，在态势感知的分析过程中，会应用到很多成熟的分析模型， 这些模型的分析方法虽各不相同，但多数都包含了感知、理解和预测的三个要素。 Abbrv. Model Focus Reference SAM Situation Awareness Model Cognitive decision making (Endsley, 1995) OODA Loop JDL Data Fusion Model Cognitive decision making Cyber Situational Awareness Model Processing and fusion of data and SA (Byod, 1996) Business continuity planning and CSA OODA JDL DFM CSAM SARM ECSA b u m o c . 5 Situational Awareness Reference Model Situational awareness h t i g Effective Cyber Situational Awareness CSA in computer networks (Steinberg et al., 1998) (Okolica et al., 2009) (Tadda and Salerno, 2010) (Evancich et al., 2014) 表 1. 态势感知分析模型 其中，网络安全态势感知模型被普遍接受的是基于数据融合理念（Joint Directors of Laboratories， JDL）的模型，其主要包含的一些关键技术，例如海量多元异构数据的融聚融合技术、面向多类型的网 络安全威胁评估技术、网络安全态势评估与决策支撑技术、网络安全态势可视化等。有关态势感知分析 模型此处不作赘述，后续章节将主要针对网络安全态势感知展开讨论。 1.2 网络安全态势感知基本概念 本章节主要针对网络安全态势感知进行论述，因此，本章节所提“态势感知”皆指“网络安全态势感知”。 1.2.1 网络安全态势感知的定义 Tim Bass2 于 1999 年首次提出网络空间态势感知 CSA 的概念，指出“下一代网络入侵检测系统应该融 合从大数据异构分布式网络传感器采集的数据，实现网络空间的态势感知”，并基于数据融合的 JDL 模型， 提出了基于多传感器数据融合的网络态势感知功能模型，如图 2 所示： 态势感知概述 态势库 13 威胁评估 知识