去年的419网络安全和信息化工作座谈会上提出“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”态势感知首次被提升到了国家高度，并迅速成为网络安全领域的热点。

　　安全的核心是攻防

　　在日前的一次态势感知专题研讨会上，一位来自国家信息中心的信息安全专家表示，态势感知不能停留在表面，“所有安全系统要从安全的本源考虑问题，如何在现在的对抗环境下，快速发现攻击、定位、阻击，这是态势感知要做的最终目标。”

　　他认为，态势感知建设必须从安全防御出发，实现边界安全、终端安全、系统防护、应用安全、数据安全的完整态势感知，以资产为核心，利用本地安全数据，结合相应的病毒库、案例库、知识库以及相应的安全厂商的情报共享，以防御为目标实现安全态势的感知。

　　某国有银行信息安全负责人在研讨会上称，态势感知的关键还是要从底层切实发现问题，比如说网络攻击是否确实存在，是否能够实时地发现网络攻击行为，攻击行为确诊后，要能够溯源并且能够马上处理。

　　态势感知关键是能力落地

　　360企业安全集团副总裁韩永刚称，用户对于态势感知的认知越来越理性，“我们服务的很多大行业和大型企业，都开始了态势感知能力的建设，以此把网络安全放到关键位置，通过对自己整体的安全态势有一个全面掌握和理解，多维度实现加强自身的安全运营和威胁应对处置能力。”

　　建立态势感知系统首先要明确目标、范围和目的，梳理清晰要监测与防护的最关键业务资产或机构，然后应用合理的技术从微观层面获取完整的安全要素数据，再结合态势感知的系统平台、来自外部安全大数据的情报能力，从中观层面来分析数据、发现威胁与异常，结合安全服务来落地安全能力。所以态势感知不只是宏观层面的大屏展示，更应该是结合微观与中观层面的安全数据、平台、安全能力。

　　态势感知系统的建设和运营也确实帮助客户解决了面临的安全问题，据韩永刚介绍，360协助某地建设的态势感知系统，对该地区的几百家重点单位的信息系统进行安全态势感知，系统运行后很快就发现了其中几个单位遭遇了严重的高级威胁，通过细致的过程分析，定位到其中某些服务器和主机被控制，并找出这些单位的安全威胁，避免了潜在的安全风险。

　　数据是态势感知的基础

　　态势感知的目的是知己知彼，所以首要目标是“看见”威胁，数据是态势感知的基础，多维度的本地态势要素数据、云端数据和威胁情报是“数据驱动安全”时代实现态势感知的基础能力。

　　国家信息中心的专家认为，态势感知系统想要充分发挥作用必须从真实的数据做起。虽然态势感知在行业的展现形式可能不一样，但底层特征都一样，即要获取最真实的底层数据。

　　原中国电信集成安全总经理郭亮称，做好态势感知，最重要的是把基础平台建好，基础数据搜集好，这是基础。

　　韩永刚也认为，数据能力对于态势感知很重要，要有对整个环境的安全态势要素的完整获取，要有对数据理解和获取、采集的能力，如流量数据的还原与监控、云端数据的理解，包括扫描类数据和各类日志数据等。把来自不同的源头、不同类型的数据融合在一起、产生关联，通过进一步分析去发现问题。这也就要求一个大数据平台能实现海量数据高效的存储与计算处理，在此基础上做深度的安全检测、事件捕猎、调查分析，发现、定位、溯源安全事件。

　　“做好态势感知需要解决数据共享问题”，谷安天下总经理李华认为，数据共享是目前安全行业的难点，虽然大厂商都有以自己为核心的生态圈，但生态圈之间却很难打通。

　　运营能力决定落地效果

　　今天的安全形势要求人们必须基于对抗来做安全，对抗对象是全球的黑客，这是人与人之间的对抗。国家信息中心的专家称，态势感知的核心是人与设备的协同，数据和平台做处理，但是最终要融入人的经验和智慧，来判断这个事件到底是真是假，需要人来做响应，实现系统运营。

　　360企业安全集团副总裁张翀斌认为，态势感知不光是数据、技术与平台，还要结合人的能力。态势感知系统的运转，既需要对日常安全事件持续处理的运维人员，也需要能够对数据进行深度分析的研判分析人员，最终汇总信息还需要能进行决策与行动安排的决策者。这些不同的岗位，代表着将安全态势感知系统运转起来的落地能力。