提取網絡安全態勢指標需要遵循哪些原則

提取網絡安全態勢指標需要遵循以下原則：

• 科學性原則：指標的提取必須以科學理論為指導，指標的概念必須明確，且具有一定的科學內涵，能夠度量和反映網絡動態的變化特征。各指標的代表性、計算方法、數據收集、指標范圍、權重選擇等都必須有科學依據；而且應當以系統內部要素及其本質聯系為依據，綜合運用定性和定量的方式，正確反映網絡安全的整體狀況和存在的安全威脅。

• 完備性原則：影響網絡的因素眾多，受到各種條件制約，因此指標的選取必須遵循完備性原則，盡可能全面地考慮對網絡安全產生影響的要素，如網絡拓撲結構、網絡流量、操作系統、網絡設施的容災性、網絡協議、網絡服務的可用性、完整性和機密性、漏洞和脆弱性、網絡潛在威脅、網絡遭受的攻擊狀況等，能完整、有效地反映網絡安全的本質特征和整體性能。

• 獨立性原則：由于態勢指標往往具有一定程度的相關性，指標之間往往存在信息上的重疊，所以提取指標時應當盡可能選擇那些獨立性強的指標，減少指標之間的各種關聯，將安全狀態用幾個相對獨立的特征描述出來并用相應指標分別計算和評估，保證指標能從不同方面反映網絡安全的實際狀態。

• 主成分性原則：在設置指標時，應盡量選擇那些代表性強的綜合指標，也就是主成分含量高的“大指標”，這類指標的數值變化能較為宏觀地反映網絡安全狀態的實際變化。

• 可操作性原則：指標提取要符合實際態勢感知工作的需要，應當易于操作和測評，所有指標的支撐數據應便于收集，指標體系的數據來源要可控、可信、可靠和準確，對于難以測量和收集的數據，應當進行估算并尋找替代指標。

• 可配置性原則：構建的網絡安全態勢指標體系應當能夠滿足安全及管理人員在應用過程中對指標體系的不斷完善和維護的需求，對指標體系可以隨時進行配置，不斷實現自我修正與自我完善，從而實現靈活擴展。

• 單調性、敏感性等指數原則：提取的網絡安全態勢指標應當具有指數的特征，能夠說明網絡真實安全狀態，并能夠及時刻畫安全狀態所發生的變化，使得指標指數的變化與網絡總體安全態勢變化保持一致。

態勢感知系統有以下作用：

• 對網絡資產進行管控資產：對系統當前所處的網絡環境中將其哪些無主資產、僵尸資產進行感知獲取并進行管控，在通過強大的資產指紋庫建立各類型資產的特征，包括網絡設備、安全設備、各類操作系統、數據庫和應用中間件等，進行識別資產并完成資產屬性的補全，最終實現未知資產的發現、識別與管理。

• 發現資產脆弱性：資產配置脆弱性感知方法是采用基線安全配置檢測工具，深度獲取主機、服務器和網絡設備等資產的配置信息，并與配置基線進行比較，發現資產配置的脆弱性。最終，在發現脆弱性基礎上，維護所有資產脆弱性的生命周期信息，并分析可能的攻擊面和攻擊路徑。

• 整合安全事件：系統結合安全告警事件的運行環境，對原來相對孤立的低層網絡安全事件數據集進行關聯整合，并通過過濾、聚合等手段去偽存真，發掘隱藏在這些數據之后的事件之間的真實聯系，確定事件的時間、地點、人物、起因、經過和結果。

• 感知網絡威脅：面對層出不窮的網絡攻擊和新的網絡安全形勢，感知網絡威脅的方法可以概括為“知己”和“知彼”兩個方面。“知己”方面是采集內部網絡流量數據、日志數據和安全數據等，進行基于大數據分析、人工智能技術的異常行為檢測，發現隱藏在海量數據中的網絡異常行為，“知彼”方面是通過監測、交換和購買等各種方式，搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網絡或者主機特征、攻擊工具、攻擊戰技術、攻擊組織等網絡威脅情報數據，用于支撐安全運行維護、安全檢測分析和安全運營管理。

• 評估網絡的整體安全風險：網絡安全風險感知是在感知網絡資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上，進一步進行數據融合分析，建立全網的安全風險指標體系和風險評估模型，從抽象的高度來評估當前網絡的整體安全風險。

回答所涉及的環境：聯想天逸510S、Windows 10。