计算机行业报告：态势感知，预见未来（15页）

态势感知本身是一个军事概念，最早是美国空军提出来用于分析空战环境来对当前和未来形势作出判断的一种方法，于上世纪九十年代被引用到信息安全对抗领域。目前对态势感知普遍采取的定义是系统工程学博士 Endsley 所给出的，即态势感知是感知大量的时间和空间中的环境要素，理解它们的意义，并预测它们在不久将来的状态。网络安全态势感知本质上是获取大量的网络安全数据，对其进行关联分析以理解当前的安全状态，并且对未来的安全状态进行预测。把态势感知引入到安全领域的目的是可以让防御一方能更好的知道现在的形势，并且还能帮助防御者对未来发展方向做一个预判，这样防御方就能更好的制定防御策略。

SOC/SIEM 是基础安全产品的管理工具。当企业分了不同的区域进行防护，装上了各种各样的设备，复杂性的提升就带来了体系化管理的需求，目前我国有安全管理建设需求的单位通常都是 IT 应用成熟度较高的大型企业，它们通常是建设一个 SOC/SIEM 来作为安全管理的基础设施，通过这种产品可以实现诸如日志集中管理、统一配置、进行初步的不同产品和系统的协同、设备自动发现等功能。

人力现在成了提高安全效率的最大约束。安全管理产品只是进行安全设备和安全事件的管理，而不直接解决特定的安全问题。解决问题的人力成了提升安全能力的最大约束，往往甲方公司在使用了 SOC/SIEM 以后，大量实时的告警被集成到平台上来，一天的告警数量从几千条到数百万条的都有，安全运维人员处理一条告警就要几天的时间，一条一条去手动处理 SOC/SIEM 里的告警不现实。而且现在组织机构的运维人员本身数量就较为稀缺，根据我们的产业调研，大型公募银华基金 IT 运维人员仅有三人。一家海外的安全事件编排厂商 Demisto 通过调研发现，大约有 80%的公司没有充足的运维人员去运营 SOC，培训一个合格的 SOC运维人员要 8 个月，但是平均两年内 25%的 SOC 运维人员会转岗，结果就是甲方公司平均每手动处理一个告警就需要 4.35 天，所以SOC/SIEM 产品对国内甲方的实际安全防护水平的提升是非常有限的，核心的限制因素是企业的安全人员数量不够以及企业内缺乏必要的安全管理流程制度。