近年來態(tài)勢感知的熱度非常高，不少安全廠商也紛紛推出了態(tài)勢感知（平臺）。在今年五月份，我國正式推出了等保2.0，并已于12月1日正式實施。在等保2.0的安全框架中也明確提出了要具備態(tài)勢感知的能力,要具備對新型攻擊分析的能力，能夠檢測到重點的節(jié)點及其對其入侵的行為?？梢哉f態(tài)勢感知已經(jīng)成為企業(yè)安全防護中非常重要的一環(huán)。那基于等保2.0的大背景，企業(yè)應(yīng)當如何去構(gòu)建新形勢下的態(tài)勢感知平臺？針對這一問題我們進行相關(guān)探討：

   問：首先第一個問題我想問一下，今年發(fā)布的等保2.0中對態(tài)勢感知平臺提出了一些新的要求，對此如何看待的？

   答：等保2.0出臺經(jīng)歷了比較長的時間，在很多方面都進行的一個比較有效的修改，其中也重點提到了把安全管理中心提到這個很高的高度，那么在安全管理中心的一個最重要的體現(xiàn)就是態(tài)勢感知，所以我們認為的話，隨著等保2.0的這個法規(guī)的一個發(fā)布，態(tài)勢感知平臺將在其中起到越來越重要的一個作用。

  問：提到態(tài)勢感知未來會在平臺中起到越來越重要的作用，那覺得就是態(tài)勢感知平臺在企業(yè)安全防護中，它主要能起到哪些作用的呢？給大家介紹一下。

  答：早期我們傳統(tǒng)的安全，運維的時候面臨幾個最重要的頭疼的問題，第一個問題就是現(xiàn)有的安全設(shè)備的種類很多，它的安全日志，包括一些異常流量也很多，面對這么多的信息怎么樣做有效的甄別，找到一些問題的關(guān)鍵，很多的IT運維人員是束手無策的。態(tài)勢感知作為一個非常有效的一個工具，它可以很好地幫助用戶去梳理這些異常的攻擊，異常的流量，包括大量的日志，進行有效的分析，這是一個方面。另一個方面的話，傳統(tǒng)IT運維的時候，在面臨發(fā)現(xiàn)安全風險的時候，到底怎么來做應(yīng)急響應(yīng)和處置，是比較困難的，新型的態(tài)勢感知平臺本身在設(shè)計的時候就對于這種應(yīng)急處置有專門的要求，IT的管理員一旦發(fā)現(xiàn)安全風險之后，可以通過態(tài)勢感知平臺做一個有效的ip響應(yīng)動作，能夠改變原來只看到問題但是對問題的處理缺乏有效及時的手段（的情況）。等保2.0里對安全管理中心強調(diào)，包括對態(tài)勢感知的強調(diào)，也意味著在新的形勢下，對安全的運維管理要突破原來的單點防御的思想，更多要看協(xié)同防御。看到一個事前、事中和事后，整個三個環(huán)節(jié)的一個全流程的閉環(huán)處理。

  問：對于用戶來說，用戶在部署態(tài)勢感知時都應(yīng)該注意哪些問題？

  答：在實際部署的過程也遇到了很多用戶提到一些問題，態(tài)勢感知是一個系統(tǒng)性的工程，那么系統(tǒng)性工程意味著什么？首先需要有大量的數(shù)據(jù)的采集，數(shù)據(jù)采集的信息越全，那么對后續(xù)的安全風險的分析會更精確更有效。有了這些廣泛的數(shù)據(jù)的分析之后，還有最重要的用戶安全工具的分析呈現(xiàn)。針對態(tài)勢感知系統(tǒng)本身的一些差異化的或者說用戶定制化的需求開發(fā)，也是一個很重要的一個問題。

  問：其實我們也知道，經(jīng)過多年的積累，我們的解決方案在各個行業(yè)都得到了一些很好的應(yīng)用，在不同的行業(yè)對態(tài)勢感知的需求也是不一樣的，那我們的態(tài)勢感知解決方案，在每個行業(yè)有沒有進行一些定制化的一些服務(wù)，去滿足不同行業(yè)的個性化需求？

  答：這個肯定是有的，剛才也提到了，態(tài)勢感知本身不是一個標準化的產(chǎn)品，它是跟用戶的需求密切相關(guān)的，針對不同的行業(yè)，肯定有些差異化的需求。比如我們看到的，政府對態(tài)勢感知的需求，更多可能是看內(nèi)網(wǎng)的一些安全風險的變化，內(nèi)網(wǎng)員工的一些安全行為，一些行為是不是存在異常的風險。對教育來說，我們看到很多的教育的場景更關(guān)注的是，除了對終端用戶的畫像以外，更多關(guān)注的是一些異常流量出口，異常流量的檢測，包括一些異常行為的檢測。我們在過去兩年，在教育、政府還是有很多很成功的實踐。我們在一些985的高校，在一些省的教育城域網(wǎng)，包括在一些政府的廳局委辦，都做了針對性的部署。

  問：針對態(tài)勢感知來說，威脅情報是態(tài)勢感知系統(tǒng)中非常重要的一個環(huán)節(jié)，那我們在獲取威脅情報方面是怎么來做的呢？

  答：對于態(tài)勢感知來說，情報也是至關(guān)重要的。在情報這一塊做了很多方面的嘗試。首先從來源方面啊，第一，我們有專門的攻關(guān)的團隊，我們根據(jù)在網(wǎng)部署的網(wǎng)絡(luò)設(shè)備的一些信息反饋，能夠自動地生產(chǎn)一些相對專業(yè)精確的案件。另外一塊，我們也是國內(nèi)CNNVD（國家信息安全漏洞庫）的資深成員，和這些國家漏洞庫的單位的合作，我們可以有效地進行一些情報的交換。當然還有一個最重要的，有很多的開源的情報，我們也做了一些開源情報的的抓取。但是最重要的是一些商業(yè)情報的合作。

  我們目前和國外的一些頂尖的情報公司，包括國內(nèi)比較知名的幾家情報公司，都在進行專業(yè)方向的合作。來源我們還是很多的,另外針對這些情報的內(nèi)容的篩選，我們是有專門的情報分析的團隊在做這個工作。

  問：剛才也向大家介紹了一下態(tài)勢感知的解決方案，那其實在整個市場上，各個安全廠商都推出了自己的態(tài)勢感知平臺的解決方案，那和友商的解決方案相比，我們的態(tài)勢感知的解決方案，優(yōu)勢體現(xiàn)在哪一方面？

  答：態(tài)勢感知是一個相對專業(yè)的領(lǐng)域，從我們的角度，第一個出發(fā)點就是為廣大企業(yè)的IT運維提供一個更好的手段。我們的態(tài)勢感知第一個方面，我們針對不同企業(yè)的基礎(chǔ)設(shè)施，不同的安全設(shè)備，不同的中間件，不同的數(shù)據(jù)庫，在安全信息的收集、安全日志的收集，包括這些異常流量提取，我們有得天獨厚的優(yōu)勢，因為我們在很多的行業(yè)都有相關(guān)的網(wǎng)絡(luò)安全的部署實踐。

  另外一塊，大家知道網(wǎng)絡(luò)安全一直是以total solution的角度出現(xiàn)。剛才我們也提到了態(tài)勢感知，其中對安全風險的分析和應(yīng)急響應(yīng)是很重要的一個環(huán)節(jié)。我們的態(tài)勢感知在整個云網(wǎng)端的協(xié)同聯(lián)動這一塊，有我們自己得天獨厚的優(yōu)勢，包括后面的終端和我們的3A系統(tǒng)(認證Authentication、授權(quán)Authorization、賬號Account)和交換機、路由器包括安全設(shè)備，都可以形成一個很好的協(xié)同聯(lián)動的機制。這是我們深耕企業(yè)IT運維最直接的體現(xiàn)，也是能給客戶企業(yè)IT安全運維管理帶來一個最直接的幫助。

  第三個方面，我們也看到了，在這個過程中需要兼顧一些互聯(lián)網(wǎng)的安全風險和監(jiān)控。通過自研加合作的方式，包括我們剛才提到的情報獲取的方式，能夠針對企業(yè)在面對來自互聯(lián)網(wǎng)的安全風險時，能夠進行有針對性的解決方案的交付。

  問：能不能請您簡單地舉幾個案例，我們態(tài)勢感知解決方案，現(xiàn)在在行業(yè)內(nèi)有哪些成功的案例呢？簡單介紹一下。

  答：態(tài)勢感知在過去兩年的還是得到了很廣泛的部署。我們在教育（行業(yè)），我們在海南、青島，包括在廣州一些教育的城域網(wǎng)上都有很成功的部署，主要是通過一些流量的監(jiān)控流量的分析，能夠發(fā)現(xiàn)異常風險。政府這一塊，我們在江西、寧夏、合肥這三個地方都有非常成功的部署，主要是針對這個政府內(nèi)網(wǎng)的員工的一些異常的行為。

  問：剛才在您介紹的過程中，也對于我們的態(tài)勢感知的解決方案的一些優(yōu)勢進行了介紹，還介紹了一些成功的案例，那我想問一下我們下一步會有哪些規(guī)劃？

  答：態(tài)勢感知本身是一個和用戶的需求相關(guān)性比較密切的產(chǎn)品，所以后續(xù)我們針對態(tài)勢感知會從幾個方面做針對性的規(guī)劃。第一，結(jié)合用戶的場景化的需求，針對教育、政府、醫(yī)療、電力等不同行業(yè)用戶的場景化的需求，做一些有針對性的一個解決方案。接下來呢，我們會把AI的模型進行進一步的深化，在用戶的行為畫像，資產(chǎn)的畫像，在這些業(yè)務(wù)系統(tǒng)的流量甄別這一塊，這是第二個方面。

  第三個方面，在發(fā)現(xiàn)安全風險之后，攻擊溯源取證，攻擊路徑的可視化呈現(xiàn)，在這一塊來做進一步的工作，能提升用戶對態(tài)勢感知的使用體驗。

  問：對于用戶來講，用戶在對態(tài)勢感知解決方案在選型的過程中，我們能給到哪些可行性的建議？

  答：第一個呢？態(tài)勢感知本身不是一個標準化的產(chǎn)品，所以用戶在選擇態(tài)勢感知的時候，首先要結(jié)合自身的網(wǎng)絡(luò)的需求，結(jié)合自身的安全的需求，或者說結(jié)合自身的IT部署情況，有針對性的選擇態(tài)勢感知的相應(yīng)的功能。因為態(tài)勢感知看上去功能是大而全，但是對很多用戶來說，大而全意味著可能就是價格比較昂貴。但實際上呢，可以進行模塊化的拆解，所以我覺得第一個建議就是用戶切實根據(jù)自己的網(wǎng)絡(luò)安全運維的需求，選擇態(tài)勢感知相對應(yīng)的功能，避免浪費過多成本，這是第一個。

  第二個，在選擇態(tài)勢感知的時候，需要考慮廠商是不是具備專業(yè)的服務(wù)交付的能力。或者說廠商是不是能夠提供專業(yè)的安全分析的服務(wù)的交付，這樣的話才可能有效地配合態(tài)勢感知，在發(fā)現(xiàn)問題之后對一些安全的問題進行人工的輔助，（通過）一些工具的分析，達到一個更好的一個效果。

  第三個方面，用戶在選擇態(tài)勢感知的時候需要考慮這個系統(tǒng)的平滑升級，（比如）平滑的升級對日志量有由小到大的適配。系統(tǒng)的可平滑升級能力，也是選擇的一個最重要的一個關(guān)鍵點。

  問：最后想請問一下，如何看待態(tài)勢感知這個市場的，最后想請您簡單的預(yù)測一下，您認為這個市場將來他的發(fā)展趨勢是怎樣的？

  答：應(yīng)該說，對于整個的態(tài)勢感知的市場，我們還是非常看好的。原因很簡單，因為現(xiàn)在網(wǎng)絡(luò)安全已經(jīng)上升到一個很高的高度了，沒有網(wǎng)絡(luò)安全就沒有國家安全，隨著這個等保2.0的發(fā)布，等保2.0也對于安全管理提出了更明確的要求，所以態(tài)勢感知作為這個安全管理中心的一個最佳的載體。在未來的信息化的建設(shè)中，一定會有一個很好的市場表現(xiàn)。

  我們認為態(tài)勢感知未來可能有幾個方面，第一個方面，態(tài)勢感知未來一定是會跟行業(yè)的需求緊密的結(jié)合，它的場景化的適配會越來越多，場景化的版本也會越來越多，這是第一個。

  另外一個，安全與AI有效的結(jié)合，或者說如何利用AI，利用機器學(xué)習(xí)的技術(shù)為態(tài)勢感知在安全風險的發(fā)現(xiàn)，包括在未知威脅的告警這一塊，提供更好的幫助。

  另外一個，態(tài)勢感知平臺在部署過程中，大家也看到了它是個重服務(wù)的，重交互的，重用戶體驗的一個解決方案，會和我們專業(yè)安全服務(wù)的交付和我們的一些安全事件發(fā)生之后的安全事件的分析，安全日志的分析，工具的溯源取證等這些服務(wù)的結(jié)合方面會有更緊密的結(jié)合。

  我們認為，隨著態(tài)勢感知平臺的進一步的發(fā)展和建設(shè)，會有效地推動國內(nèi)的很多用戶對于專業(yè)安全服務(wù)能力的理解，有了專業(yè)安全服務(wù)的保障，整個（社會）信息化的水平，我相信會有一個很好的提升。