近年來態(tài)勢(shì)感知的熱度非常高，不少安全廠商也紛紛推出了態(tài)勢(shì)感知（平臺(tái)）。在今年五月份，我國(guó)正式推出了等保2.0，并已于12月1日正式實(shí)施。在等保2.0的安全框架中也明確提出了要具備態(tài)勢(shì)感知的能力,要具備對(duì)新型攻擊分析的能力，能夠檢測(cè)到重點(diǎn)的節(jié)點(diǎn)及其對(duì)其入侵的行為?？梢哉f態(tài)勢(shì)感知已經(jīng)成為企業(yè)安全防護(hù)中非常重要的一環(huán)。那基于等保2.0的大背景，企業(yè)應(yīng)當(dāng)如何去構(gòu)建新形勢(shì)下的態(tài)勢(shì)感知平臺(tái)？針對(duì)這一問題我們進(jìn)行相關(guān)探討：

   問：首先第一個(gè)問題我想問一下，今年發(fā)布的等保2.0中對(duì)態(tài)勢(shì)感知平臺(tái)提出了一些新的要求，對(duì)此如何看待的？

   答：等保2.0出臺(tái)經(jīng)歷了比較長(zhǎng)的時(shí)間，在很多方面都進(jìn)行的一個(gè)比較有效的修改，其中也重點(diǎn)提到了把安全管理中心提到這個(gè)很高的高度，那么在安全管理中心的一個(gè)最重要的體現(xiàn)就是態(tài)勢(shì)感知，所以我們認(rèn)為的話，隨著等保2.0的這個(gè)法規(guī)的一個(gè)發(fā)布，態(tài)勢(shì)感知平臺(tái)將在其中起到越來越重要的一個(gè)作用。

  問：提到態(tài)勢(shì)感知未來會(huì)在平臺(tái)中起到越來越重要的作用，那覺得就是態(tài)勢(shì)感知平臺(tái)在企業(yè)安全防護(hù)中，它主要能起到哪些作用的呢？給大家介紹一下。

  答：早期我們傳統(tǒng)的安全，運(yùn)維的時(shí)候面臨幾個(gè)最重要的頭疼的問題，第一個(gè)問題就是現(xiàn)有的安全設(shè)備的種類很多，它的安全日志，包括一些異常流量也很多，面對(duì)這么多的信息怎么樣做有效的甄別，找到一些問題的關(guān)鍵，很多的IT運(yùn)維人員是束手無策的。態(tài)勢(shì)感知作為一個(gè)非常有效的一個(gè)工具，它可以很好地幫助用戶去梳理這些異常的攻擊，異常的流量，包括大量的日志，進(jìn)行有效的分析，這是一個(gè)方面。另一個(gè)方面的話，傳統(tǒng)IT運(yùn)維的時(shí)候，在面臨發(fā)現(xiàn)安全風(fēng)險(xiǎn)的時(shí)候，到底怎么來做應(yīng)急響應(yīng)和處置，是比較困難的，新型的態(tài)勢(shì)感知平臺(tái)本身在設(shè)計(jì)的時(shí)候就對(duì)于這種應(yīng)急處置有專門的要求，IT的管理員一旦發(fā)現(xiàn)安全風(fēng)險(xiǎn)之后，可以通過態(tài)勢(shì)感知平臺(tái)做一個(gè)有效的ip響應(yīng)動(dòng)作，能夠改變?cè)瓉碇豢吹絾栴}但是對(duì)問題的處理缺乏有效及時(shí)的手段（的情況）。等保2.0里對(duì)安全管理中心強(qiáng)調(diào)，包括對(duì)態(tài)勢(shì)感知的強(qiáng)調(diào)，也意味著在新的形勢(shì)下，對(duì)安全的運(yùn)維管理要突破原來的單點(diǎn)防御的思想，更多要看協(xié)同防御?？吹揭粋€(gè)事前、事中和事后，整個(gè)三個(gè)環(huán)節(jié)的一個(gè)全流程的閉環(huán)處理。

  問：對(duì)于用戶來說，用戶在部署態(tài)勢(shì)感知時(shí)都應(yīng)該注意哪些問題？

  答：在實(shí)際部署的過程也遇到了很多用戶提到一些問題，態(tài)勢(shì)感知是一個(gè)系統(tǒng)性的工程，那么系統(tǒng)性工程意味著什么？首先需要有大量的數(shù)據(jù)的采集，數(shù)據(jù)采集的信息越全，那么對(duì)后續(xù)的安全風(fēng)險(xiǎn)的分析會(huì)更精確更有效。有了這些廣泛的數(shù)據(jù)的分析之后，還有最重要的用戶安全工具的分析呈現(xiàn)。針對(duì)態(tài)勢(shì)感知系統(tǒng)本身的一些差異化的或者說用戶定制化的需求開發(fā)，也是一個(gè)很重要的一個(gè)問題。

  問：其實(shí)我們也知道，經(jīng)過多年的積累，我們的解決方案在各個(gè)行業(yè)都得到了一些很好的應(yīng)用，在不同的行業(yè)對(duì)態(tài)勢(shì)感知的需求也是不一樣的，那我們的態(tài)勢(shì)感知解決方案，在每個(gè)行業(yè)有沒有進(jìn)行一些定制化的一些服務(wù)，去滿足不同行業(yè)的個(gè)性化需求？

  答：這個(gè)肯定是有的，剛才也提到了，態(tài)勢(shì)感知本身不是一個(gè)標(biāo)準(zhǔn)化的產(chǎn)品，它是跟用戶的需求密切相關(guān)的，針對(duì)不同的行業(yè)，肯定有些差異化的需求。比如我們看到的，政府對(duì)態(tài)勢(shì)感知的需求，更多可能是看內(nèi)網(wǎng)的一些安全風(fēng)險(xiǎn)的變化，內(nèi)網(wǎng)員工的一些安全行為，一些行為是不是存在異常的風(fēng)險(xiǎn)。對(duì)教育來說，我們看到很多的教育的場(chǎng)景更關(guān)注的是，除了對(duì)終端用戶的畫像以外，更多關(guān)注的是一些異常流量出口，異常流量的檢測(cè)，包括一些異常行為的檢測(cè)。我們?cè)谶^去兩年，在教育、政府還是有很多很成功的實(shí)踐。我們?cè)谝恍?85的高校，在一些省的教育城域網(wǎng)，包括在一些政府的廳局委辦，都做了針對(duì)性的部署。

  問：針對(duì)態(tài)勢(shì)感知來說，威脅情報(bào)是態(tài)勢(shì)感知系統(tǒng)中非常重要的一個(gè)環(huán)節(jié)，那我們?cè)讷@取威脅情報(bào)方面是怎么來做的呢？

  答：對(duì)于態(tài)勢(shì)感知來說，情報(bào)也是至關(guān)重要的。在情報(bào)這一塊做了很多方面的嘗試。首先從來源方面啊，第一，我們有專門的攻關(guān)的團(tuán)隊(duì)，我們根據(jù)在網(wǎng)部署的網(wǎng)絡(luò)設(shè)備的一些信息反饋，能夠自動(dòng)地生產(chǎn)一些相對(duì)專業(yè)精確的案件。另外一塊，我們也是國(guó)內(nèi)CNNVD（國(guó)家信息安全漏洞庫）的資深成員，和這些國(guó)家漏洞庫的單位的合作，我們可以有效地進(jìn)行一些情報(bào)的交換。當(dāng)然還有一個(gè)最重要的，有很多的開源的情報(bào)，我們也做了一些開源情報(bào)的的抓取。但是最重要的是一些商業(yè)情報(bào)的合作。

  我們目前和國(guó)外的一些頂尖的情報(bào)公司，包括國(guó)內(nèi)比較知名的幾家情報(bào)公司，都在進(jìn)行專業(yè)方向的合作。來源我們還是很多的,另外針對(duì)這些情報(bào)的內(nèi)容的篩選，我們是有專門的情報(bào)分析的團(tuán)隊(duì)在做這個(gè)工作。

  問：剛才也向大家介紹了一下態(tài)勢(shì)感知的解決方案，那其實(shí)在整個(gè)市場(chǎng)上，各個(gè)安全廠商都推出了自己的態(tài)勢(shì)感知平臺(tái)的解決方案，那和友商的解決方案相比，我們的態(tài)勢(shì)感知的解決方案，優(yōu)勢(shì)體現(xiàn)在哪一方面？

  答：態(tài)勢(shì)感知是一個(gè)相對(duì)專業(yè)的領(lǐng)域，從我們的角度，第一個(gè)出發(fā)點(diǎn)就是為廣大企業(yè)的IT運(yùn)維提供一個(gè)更好的手段。我們的態(tài)勢(shì)感知第一個(gè)方面，我們針對(duì)不同企業(yè)的基礎(chǔ)設(shè)施，不同的安全設(shè)備，不同的中間件，不同的數(shù)據(jù)庫，在安全信息的收集、安全日志的收集，包括這些異常流量提取，我們有得天獨(dú)厚的優(yōu)勢(shì)，因?yàn)槲覀冊(cè)诤芏嗟男袠I(yè)都有相關(guān)的網(wǎng)絡(luò)安全的部署實(shí)踐。

  另外一塊，大家知道網(wǎng)絡(luò)安全一直是以total solution的角度出現(xiàn)。剛才我們也提到了態(tài)勢(shì)感知，其中對(duì)安全風(fēng)險(xiǎn)的分析和應(yīng)急響應(yīng)是很重要的一個(gè)環(huán)節(jié)。我們的態(tài)勢(shì)感知在整個(gè)云網(wǎng)端的協(xié)同聯(lián)動(dòng)這一塊，有我們自己得天獨(dú)厚的優(yōu)勢(shì)，包括后面的終端和我們的3A系統(tǒng)(認(rèn)證Authentication、授權(quán)Authorization、賬號(hào)Account)和交換機(jī)、路由器包括安全設(shè)備，都可以形成一個(gè)很好的協(xié)同聯(lián)動(dòng)的機(jī)制。這是我們深耕企業(yè)IT運(yùn)維最直接的體現(xiàn)，也是能給客戶企業(yè)IT安全運(yùn)維管理帶來一個(gè)最直接的幫助。

  第三個(gè)方面，我們也看到了，在這個(gè)過程中需要兼顧一些互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)和監(jiān)控。通過自研加合作的方式，包括我們剛才提到的情報(bào)獲取的方式，能夠針對(duì)企業(yè)在面對(duì)來自互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)時(shí)，能夠進(jìn)行有針對(duì)性的解決方案的交付。

  問：能不能請(qǐng)您簡(jiǎn)單地舉幾個(gè)案例，我們態(tài)勢(shì)感知解決方案，現(xiàn)在在行業(yè)內(nèi)有哪些成功的案例呢？簡(jiǎn)單介紹一下。

  答：態(tài)勢(shì)感知在過去兩年的還是得到了很廣泛的部署。我們?cè)诮逃ㄐ袠I(yè)），我們?cè)诤Ｄ?、青島，包括在廣州一些教育的城域網(wǎng)上都有很成功的部署，主要是通過一些流量的監(jiān)控流量的分析，能夠發(fā)現(xiàn)異常風(fēng)險(xiǎn)。政府這一塊，我們?cè)诮鳌幭?、合肥這三個(gè)地方都有非常成功的部署，主要是針對(duì)這個(gè)政府內(nèi)網(wǎng)的員工的一些異常的行為。

  問：剛才在您介紹的過程中，也對(duì)于我們的態(tài)勢(shì)感知的解決方案的一些優(yōu)勢(shì)進(jìn)行了介紹，還介紹了一些成功的案例，那我想問一下我們下一步會(huì)有哪些規(guī)劃？

  答：態(tài)勢(shì)感知本身是一個(gè)和用戶的需求相關(guān)性比較密切的產(chǎn)品，所以后續(xù)我們針對(duì)態(tài)勢(shì)感知會(huì)從幾個(gè)方面做針對(duì)性的規(guī)劃。第一，結(jié)合用戶的場(chǎng)景化的需求，針對(duì)教育、政府、醫(yī)療、電力等不同行業(yè)用戶的場(chǎng)景化的需求，做一些有針對(duì)性的一個(gè)解決方案。接下來呢，我們會(huì)把AI的模型進(jìn)行進(jìn)一步的深化，在用戶的行為畫像，資產(chǎn)的畫像，在這些業(yè)務(wù)系統(tǒng)的流量甄別這一塊，這是第二個(gè)方面。

  第三個(gè)方面，在發(fā)現(xiàn)安全風(fēng)險(xiǎn)之后，攻擊溯源取證，攻擊路徑的可視化呈現(xiàn)，在這一塊來做進(jìn)一步的工作，能提升用戶對(duì)態(tài)勢(shì)感知的使用體驗(yàn)。

  問：對(duì)于用戶來講，用戶在對(duì)態(tài)勢(shì)感知解決方案在選型的過程中，我們能給到哪些可行性的建議？

  答：第一個(gè)呢？態(tài)勢(shì)感知本身不是一個(gè)標(biāo)準(zhǔn)化的產(chǎn)品，所以用戶在選擇態(tài)勢(shì)感知的時(shí)候，首先要結(jié)合自身的網(wǎng)絡(luò)的需求，結(jié)合自身的安全的需求，或者說結(jié)合自身的IT部署情況，有針對(duì)性的選擇態(tài)勢(shì)感知的相應(yīng)的功能。因?yàn)閼B(tài)勢(shì)感知看上去功能是大而全，但是對(duì)很多用戶來說，大而全意味著可能就是價(jià)格比較昂貴。但實(shí)際上呢，可以進(jìn)行模塊化的拆解，所以我覺得第一個(gè)建議就是用戶切實(shí)根據(jù)自己的網(wǎng)絡(luò)安全運(yùn)維的需求，選擇態(tài)勢(shì)感知相對(duì)應(yīng)的功能，避免浪費(fèi)過多成本，這是第一個(gè)。

  第二個(gè)，在選擇態(tài)勢(shì)感知的時(shí)候，需要考慮廠商是不是具備專業(yè)的服務(wù)交付的能力?；蛘哒f廠商是不是能夠提供專業(yè)的安全分析的服務(wù)的交付，這樣的話才可能有效地配合態(tài)勢(shì)感知，在發(fā)現(xiàn)問題之后對(duì)一些安全的問題進(jìn)行人工的輔助，（通過）一些工具的分析，達(dá)到一個(gè)更好的一個(gè)效果。

  第三個(gè)方面，用戶在選擇態(tài)勢(shì)感知的時(shí)候需要考慮這個(gè)系統(tǒng)的平滑升級(jí)，（比如）平滑的升級(jí)對(duì)日志量有由小到大的適配。系統(tǒng)的可平滑升級(jí)能力，也是選擇的一個(gè)最重要的一個(gè)關(guān)鍵點(diǎn)。

  問：最后想請(qǐng)問一下，如何看待態(tài)勢(shì)感知這個(gè)市場(chǎng)的，最后想請(qǐng)您簡(jiǎn)單的預(yù)測(cè)一下，您認(rèn)為這個(gè)市場(chǎng)將來他的發(fā)展趨勢(shì)是怎樣的？

  答：應(yīng)該說，對(duì)于整個(gè)的態(tài)勢(shì)感知的市場(chǎng)，我們還是非?？春玫?。原因很簡(jiǎn)單，因?yàn)楝F(xiàn)在網(wǎng)絡(luò)安全已經(jīng)上升到一個(gè)很高的高度了，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，隨著這個(gè)等保2.0的發(fā)布，等保2.0也對(duì)于安全管理提出了更明確的要求，所以態(tài)勢(shì)感知作為這個(gè)安全管理中心的一個(gè)最佳的載體。在未來的信息化的建設(shè)中，一定會(huì)有一個(gè)很好的市場(chǎng)表現(xiàn)。

  我們認(rèn)為態(tài)勢(shì)感知未來可能有幾個(gè)方面，第一個(gè)方面，態(tài)勢(shì)感知未來一定是會(huì)跟行業(yè)的需求緊密的結(jié)合，它的場(chǎng)景化的適配會(huì)越來越多，場(chǎng)景化的版本也會(huì)越來越多，這是第一個(gè)。

  另外一個(gè)，安全與AI有效的結(jié)合，或者說如何利用AI，利用機(jī)器學(xué)習(xí)的技術(shù)為態(tài)勢(shì)感知在安全風(fēng)險(xiǎn)的發(fā)現(xiàn)，包括在未知威脅的告警這一塊，提供更好的幫助。

  另外一個(gè)，態(tài)勢(shì)感知平臺(tái)在部署過程中，大家也看到了它是個(gè)重服務(wù)的，重交互的，重用戶體驗(yàn)的一個(gè)解決方案，會(huì)和我們專業(yè)安全服務(wù)的交付和我們的一些安全事件發(fā)生之后的安全事件的分析，安全日志的分析，工具的溯源取證等這些服務(wù)的結(jié)合方面會(huì)有更緊密的結(jié)合。

  我們認(rèn)為，隨著態(tài)勢(shì)感知平臺(tái)的進(jìn)一步的發(fā)展和建設(shè)，會(huì)有效地推動(dòng)國(guó)內(nèi)的很多用戶對(duì)于專業(yè)安全服務(wù)能力的理解，有了專業(yè)安全服務(wù)的保障，整個(gè)（社會(huì)）信息化的水平，我相信會(huì)有一個(gè)很好的提升。