9月(yuè)28日，在通(tōng)鼎互聯主辦的“沿著(zhe)數據做好連接與安全”的新品發布會(huì)上(shàng)，百卓網絡基于多(duō)年(nián)在運營商服務經驗，在大流量采集、分析、處理能(néng)力方面，結合大數據、雲計算(suàn)技(jì)術(shù)和公司安全團隊豐富的實戰經驗，提出了全方位縱深防禦體系----百卓安全态勢感知解決方案，此方案将解決傳統城(chéng)牆式防禦體系所面臨的瓶頸。

什麽是态勢感知？

态勢感知簡單的概括就(jiù)是一(yī)種基于環境的、動态的、整體地洞悉安全風險的能(néng)力。早在20世紀80年(nián)代，美國(guó)空軍就(jiù)提出了态勢感知這個(gè)概念，覆蓋感知、理解和預測三個(gè)層次。90年(nián)代，态勢感知的概念開(kāi)始被逐漸被接受，并随著(zhe)網絡的興起而升級為(wèi)“網絡态勢感知（CyberspaceSituation Awareness，CSA）”。

1995年(nián)，美國(guó)空軍的工(gōng)程師(shī)和前首席科學家Mica Endsley博士發表了一(yī)個(gè)态勢感知狀态的理論框架模型，一(yī)直被廣泛使用。Endsley的模型對态勢感知狀态的組成描述為(wèi)三個(gè)步驟或階段：感知、理解和預測，簡稱Endsley模型。

Endsley模型

網絡态勢感知的現狀

随著(zhe)安全重要性的凸顯，态勢感知開(kāi)始在安全領域嶄露頭角。2009年(nián)，美國(guó)白(bái)宮在公布的網絡空間安全戰略文件(jiàn)中明确提出要構建态勢感知能(néng)力，并梳理出具備态勢感知能(néng)力和職責的國(guó)家級安全中心或機(jī)構，覆蓋了國(guó)家安全、情報(bào)、司法等各個(gè)領域。

2016年(nián)4月(yuè)19日，習總書記在與安全業(yè)界人士座談會(huì)上(shàng)明确指出：“加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知安全态勢，增強安全防禦能(néng)力和威懾能(néng)力。”知己知彼，才能(néng)百戰不殆。沒有意識到(dào)風險是最大的風險。同年(nián)12月(yuè)15日，國(guó)務院發布《“十三五”國(guó)家信息化規劃》提出，要全天候全方位感知安全态勢。加強安全态勢感知、監測預警和應急處置能(néng)力建設。

我們為(wèi)什麽需要态勢感知

首先，目前安全形勢日趨嚴峻，安全威脅的範圍和内容不斷擴大和演化，近幾年(nián)網絡攻擊事(shì)件(jiàn)層出不群。今年(nián)5月(yuè)發生(shēng)的“勒索病毒”wannacry造成至少150個(gè)國(guó)家、30萬名用戶中招，造成損失達80億美元。

其次，傳統的城(chéng)牆式安全防禦有諸多(duō)缺陷，已經不能(néng)滿足現在日益嚴重的安全需求。發布會(huì)上(shàng)，百卓安全事(shì)業(yè)部總監楊建軍指出：“傳統的城(chéng)牆式防禦存在如下(xià)三方面主要缺陷：

一(yī)、未知攻擊防禦能(néng)力不足，傳統的邊界式防禦基于特征檢測，隻能(néng)發現已知安全威脅，無法應對新的漏洞和攻擊方法；

二、被入侵後診斷能(néng)力缺失，城(chéng)牆式防護被繞過後，對于黑(hēi)客在企業(yè)内網的攻擊行為(wèi)無法檢測、追蹤；

三、高(gāo)誤報(bào)、海量告警導緻管理員(yuán)維護困難，每天成百上(shàng)千條告警日志(zhì)，管理員(yuán)無暇顧及。”

目前黑(hēi)客常用的高(gāo)級持續性攻擊方法有發送惡意附件(jiàn)類型的，和基于惡意鏈接的跨站攻擊和釣魚網站等，都是傳統城(chéng)牆式防禦體系所無法防禦的。

百卓安全态勢感知

基于安全形勢日趨嚴峻的形勢和傳統城(chéng)牆式防禦體系存在的缺陷，百卓網絡基于多(duō)年(nián)在運營商的服務經驗，在大流量采集、分析、處理方面，結合大數據、雲計算(suàn)技(jì)術(shù)和公司安全團隊豐富的實戰經驗，提出了百卓網絡縱深防禦體系态勢感知方案。

發布會(huì)上(shàng)，百卓安全産品部總監楊建軍認為(wèi)： ”百卓基于深耕多(duō)年(nián)的安全市(shì)場的理解，基于DPI骨幹網安全的核心技(jì)術(shù)，我們已經建立起一(yī)套威脅發現、立體防護、安全管控、安全響應的安全解決方案體系，而态勢感知就(jiù)是整個(gè)體系中非常核心的一(yī)環。“

百卓網絡總裁陳海濱在交流中也強調，”我們基于态勢感知的安全體系不僅僅解決傳統意義上(shàng)的網絡空間安全，我們更多(duō)的也會(huì)運用網絡、運用安全技(jì)術(shù)為(wèi)民(mín)生(shēng)、為(wèi)社會(huì)服務，反哺社會(huì)。這也是我們作為(wèi)安全從(cóng)業(yè)者的一(yī)個(gè)使命！”

詳解——百卓安全态勢感知

Endsley模型——感知，多(duō)維度流量、日志(zhì)采集

全量采集流量日志(zhì)，能(néng)夠識别出3000多(duō)種常見(jiàn)應用，包括IM、視頻、p2p等。并支持對應用的精細化識别，包括對微信的多(duō)種行為(wèi)進行識别，如：微信聊天、微信語言、微信傳文件(jiàn)等。

支持目前市(shì)場上(shàng)主流的設備、系統、應用日志(zhì)采集，支持不同形式的日志(zhì)收集方式，通(tōng)過 SNMP、Syslog、NetFlow、agent等多(duō)種方式完成數據收集功能(néng)。支持的設備日志(zhì)包括主流的路(lù)由器(qì)、交換機(jī)、防火牆、操作系統日志(zhì)、web服務器(qì)日志(zhì)、數據庫日志(zhì)、應用系統日志(zhì)等。

Endsley模型——理解，基于大數據的全新檢測方法

百卓全方位縱深防禦體系——安全态勢感知系統設計完全基于公司豐富的安全實戰經驗總結，根據黑(hēi)客入侵的不同階段設計了與之相(xiàng)對應的安全防禦體系。

Endsley模型——預測，全方位立體防禦體系

通(tōng)過流量采集器(qì)、日志(zhì)采集器(qì)采集大量基礎日志(zhì)數據，還(hái)有在線安全檢測引擎所産生(shēng)告警信息統一(yī)存入安全大數據分析系統進行數據分析和攻擊模型檢測，同時流量采集器(qì)會(huì)保存全量的特定協議數據，以便新漏洞爆發後檢測企業(yè)是否遭受過此0day攻擊，也可用于攻擊溯源，同時可以保存隻産生(shēng)過一(yī)次訪問行為(wèi)的攻擊數據，比如釣魚網站，跨站攻擊等。