介绍
定义
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力
是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式
最终是为了决策与行动,是安全能力的落地
简介
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”
态势感知(Situation Awareness,SA)就是在一定的时间和空间条件下,对环境因素的感知、理解以及对其未来发展趋势的预测,态势感知的思想起源于战争中敌我双方攻防态势的估计,早在《孙子兵法》中就有“知己知彼,百战不殆”的描述
1988年,Endsley把态势感知分成感知、理解和预测三个层次的信息处理
感知(Perception):感知和获取环境中的重要线索或元素;
理解(Comprehension):整合感知到的数据和信息,分析其相关性;
预测(Projection):基于对环境信息的感知和理解,预测相关知识的未来的发趋势。
网络安全态势是指整个网络当前状态和变化趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。
网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势,并不拘泥于单一的安全要素。态势感知技术首先对各种影响系统安全性的要素进行检测获取,然后对安全信息采用分类、归并、建立数据模型、分析等手段进行融合,接着对融合的信息进行综合分析,得到网络的整体安全状况及其应对措施,并对网络安全状况的发展趋势进行预测,最后为商业银行信息安全管理提供可靠的数据参考和决策支持。
态势察觉:主动探测+被动监听采集实现多维度多层次数据源收集;
态势理解和评估:对数据源进行预处理、数据融合并进行多层次多维度的态势评估;
态势预测:运用数据分析模型实现态势预测,并通过可视化技术集中呈现,提供决策数据,指导进行安全防御体系的敏捷调整和持续运营;
安全决策:高层领导、部门领导、安全经理和运维人员在内的四层网络安全态势管理模式
旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动
背景
2016年4月19日,习近平总书记在与网络安全业界人士座谈会上明确指出:“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了
现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施
习近平总书记在2016年的419座谈会上提出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”,随着《网络安全法》和《国家网络安全战略》的相继出台,态势感知被提升到了战略高度,众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统,以应对网络空间安全严峻挑战
“态势感知”已经成为网络空间安全领域聚焦的热点,也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现,更代表了当前网络安全攻防对抗的最新趋势
能力
网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常
威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应
建立安全预警机制,来完善风险控制、应急响应和整体安全防护的水平
应用方向
监管机构
从国家层面、省市大地域层面,对国计民生相关的关键信息基础设施的安全态势进行整体的监测与关注
大型行业
从体系内部建立态势感知,应用于内部系统的安全运营,发现重要威胁,解决问题,把安全能力落地
通过态势感知对多分支或二级单位进行外部监管,以提升整体的安全状态的掌握,同时与监管机构进行事件应急处置及威胁情报的合作
大型机构或企业
从日常安全工作角度出发,对内部有价值的核心资产、业务系统安全状态进行感知,发现各类威胁与内部异常违规,保证业务系统能够比较平稳、顺畅地运行,更偏内部安全的运营型能力的落地
建设目的
检测
提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击
分析、响应
建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应
预测、预防
建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息
防御
利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系
应用价值
应对关键性威胁
快速发现失陷主机;全面的Web安全保障
提升分析研判能力
分析研判保障事件正确响应处置、逐步完善防御架构
依赖外部威胁情报和本地的流量日志进行有效的分析研判
信息与情报共享
实现本行业、本领域的网络安全监测预警和信息通报
研判分析和情报共享是预警、预测的基础
履行行业监管职责
边界流量探针、云监控和外部情报监测等优选检测手段,实现对行业的监管
真正的态势感知是为了安全能力的落地,集全网安全可视、检测、预警及响应于一体
用户实际上真正需要的是一个能够实现全网安全可视、检测、预警及响应的安全平台,它需要能够高效地感知内部安全风险,并能够提供最终的响应处置
在外部,它需要能够收集大量的外部威胁情报,用于辅助高级安全事件的分析
在网络内部,在各个子域的关键节点上,通过探针或安全设备,精准地采集有效检测信息
将外部威胁情报和内部真实流量数据汇总到一起,通过行为分析、机器学习等算法对各类潜伏到网络内部的高级威胁进行检测、判断、响应,并通过可视化的方式,最终让我们感知网络目前是否安全,哪里不安全,造成什么危害,如何处置,以及处置的过程、结果
真正的态势感知应该是一种基于环境的、动态地、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,实现安全能力的落地。其中,威胁发现来源数据是基础,基于流量检测、人工智能等技术进行检测分析是核心,进行可视呈现是必要,而最终的响应处置落地能力是关键
数据来源
定期收集几TB与安全相关的数据(比如网络事件、软件应用程序事件,以及人员活动事件), 用来作合规性和事后取证分析
数据驱动的信息安全数据可以支撑银行的欺诈检测和基于异常的入侵监测系统(IDSs)
在了解隐私法规及推荐实践的情况下开发大数据应用程序
非功能性需求
性能需求
响应时间
如页面间跳转时间≤3秒,精确搜索反馈结果≤1秒
有时,在当下情况,性能已经到达瓶颈。我们作为产品设计者,也可以从产品体验这一块做出优化,比如某个页面数据量大,导致加载时间长,我们给用户提供加载进度条,预计加载时间,减少用户焦虑。还有日常使用的分页加载,像刷微博一样,每次加载部分数据,当用户进行操作时,再逐渐加载
吞吐量
单位时间内成功地传送数据的数量
这一块与系统并发相关,根据业务量估计,我们的系统需要支持多少并发
资源利用率
指企业投入服务器这类资源,所发挥的资源利用百分比
我们都希望投入的资源最大化的利用,而不被闲置。像我们新增项目,需要进行业务评估,然后与技术人员沟通,确定支撑项目所需要的服务器配置
安全性
保密性
数据加密保护,保证数据在采集、传输和处理过程中不被偷窥、窃取、篡改
业务数据需要在存储时进行加密,确保不可破解
防泄漏
通过对文档进行读写控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和内存窃取控制等技术,防止泄漏机密数据
权限控制
根据用户权限控制访问数据,进行操作记录等等
防攻击
IP限制、高频访问限制等等
如:用户高频点击,有时不是恶意,但也有可能造成系统异常。我们在进行产品设计时,是否需要控制点击频率,或者点击后是否将按钮修改为不可点击状态。这些也是需要我们考虑的地方
可维护性与可扩展性
模块性
当某类业务流程变动多,此时将系统功能模块化,支持灵活配置,有利于减少重复开发量
可复用性
站在产品的角度,个人觉得类似组件。如时间组件,系统多处会使用到时间组件,应该将其统一设计,需要用到的地方,可以进行微调,然后进行调用。即可以满足各类场景,又能减少用户的使用成本
易分析性
易诊断缺陷或者失效原因,如日志记录系统,可追踪系统的历史使用情况
可靠性
指产品在一定时间内,一定条件下故障地执行指定功能的能力
易恢复性
在发生故障后,重建其性能水平并恢复直接受影响数据的能力
如发布新版本,需要做好回滚方案,以备异常紧急处理。文件误删除可进行恢复
容错性
在系统出错时,不影响用户的行为操作与数据
比如:掉网,数据的录入做好本地保存,在网络恢复后,自动上传保存
易用性
指的是产品对用户来说意味着易于学习和使用
特性
易学习性、易操作性、用户错误防御机制、用户界面美观等
