《长安十二时辰》中的态势感知狂想曲

非常有意思的一篇文章，很赞

支持一下，顺带盖楼。

学习一下，感谢分享。

感谢分享

看长安十二时辰，读某公司态势感知

      最近悬疑历史剧《长安十二时辰》大火，豆瓣评分高达8.6分，它有可能是今年最好的国产剧，也是制作最精良优秀的古装剧。这部剧最大的亮点就是高度还原了一个接近真实的古都长安，重现了长安城的盛世景象，白居易曾在诗中这样描述盛唐长安的宏大——

百千家似围棋局，十二街如种菜畦。

遥认微微入朝火，一条星宿五门西。

      剧中的故事要从唐天保三年的元月十四日巳正说起（也就是元宵节前一天的早上），在上元节这天，长安将要举办盛大的灯会，会取消宵禁彻夜狂欢。

      闻道长安似弈棋，表面繁荣祥和的长安城下，一场巨大的阴谋却在悄然酝酿。

此时，突厥的恐怖分子——狼卫，已假扮成商人混入了长安城，准备随时伺机而动，威胁整个长安的安危。如果等到上元节灯会，上百万百姓都涌上街头观灯，那时再去追捕就像大海捞针，但对于狼卫来说却是发起恐怖活动的最佳时机。

时间已越来越少，长安城的这场生死危机究竟该如何化解？

安全大脑——靖安司

      想要对长安城做好安全管理实则是一件很难的事，面对的最大问题就是——长安城实在是太大了。

同时期拜占庭帝国的首都，君士坦丁堡已经算是欧洲的巨大城市，而长安城差不多是它的7倍！当时长安城的主干道朱雀大街，最宽的地方相当于40多个公路车道！

      长安城这么大，不仅让整个城市难以管理，还让很多安全威胁难以被发现，并在事故发生后响应缓慢。为了解决上面提到的这些问题，必须在长安城构建一个本地化的安全大脑，构建一套完整的长安城“态势感知”体系，及时发现问题并快速处置威胁。

在剧中承担长安城安全管理责任的就是“靖安司”——勘乱平镇曰“靖”，四方无事曰“安”。

      靖安司就像是整个长安城的情报中心和安全管理局，统摄整个长安的贼事策防，在朝中地位异乎寻常。

想要构建起完善的态势感知系统，必须要基于海量数据采集，以检测、可视、响应三个环节构成完整闭环。

靖安司是通过哪些黑科技实现对长安城安全管理的完整闭环呢？

数据采集——文案卷宗 建设望楼

1. 文案卷宗——威胁情报检测和广泛数据收集

      靖安司统管大唐明档密档，朝中三省六部、一台九寺五监机密要件全在此处，同时，长安各个城门的进出记录日志都会汇集到靖安司，做统一收集整理。当一起安全事件发生时，可通过相应的档案记录去调查作案人的相关信息及其关联事件。

      这个文案记录的过程，其实类似于态势感知系统实时收集国内外最新威胁情报的过程。在收集到这些情报后，态势感知系统会根据实际的网络安全情况精准推送有价值的威胁情报。

2. 建设望楼——部署探针，联动提取相关信息

      长安城一百零八坊，每三百步设一望楼，望楼上有目力精准、经验丰富的武侯，街巷的动静，时刻都处于被监视的状态。武侯自望楼看到长安城内的任何异状，在白天会以旗语，夜间会以灯笼的方式，使用约定暗语将消息迅速传递至靖安司。

      这些望楼其实类似于安全感知平台的两个核心功能：一是部署探针，这些探针会像望楼上的武侯一样主动提取信息；另外还会对各个节点产生的数据进行收集，并反馈汇总至态势感知系统。

无论是记录文案还是建设望楼，都是态势感知系统中对海量数据进行采集分析必不可少的过程。

精准检测——大案牍之术

      靖安司内35名吏员，行事严谨，利用收集到的海量数据，通过大案牍之术进行真相推演。

      在安全态势感知系统中的“大案牍之术”，是通过将攻防对抗、人工智能、大数据分析等能力结合，利用机器学习算法检测、UEBA检测、横向威胁检测等技术，最终实现对安全事件精准检测的过程。

全局可视——模拟沙盘

      靖安司将长安城的一砖一瓦都高度还原在了模拟沙盘上，沙盘的主要作用就是把望楼得到的消息加以汇总，从而形成一张实时的监控地图，将长安城的安全现状清晰呈现，让被追踪嫌犯的可能逃窜区域一目了然。

模拟沙盘放在今天已经是售楼处的标配，安全态势感知系统可要比模拟沙盘高级很多，大致可以分为以下几个方面：

1. 脆弱性可视

态势感知系统可以自动识别内部网络的资产，并分析出这些资产目前存的安全问题，包括漏洞风险、配置风险、弱密码、Web明文传输等。

2. 全网安全态势可视

对于全网发现的安全风险，态势感知系统会在监控中心统一展示出来，综合全网的安全状态进行综合分析，辅助了解当前网络安全状况、业务与终端安全状态以及现存的高风险业务与终端，从而进行及时的响应处置。

3. 外部攻击态势可视

外部威胁分析可以有效发现黑客的绕过攻击行为，定位黑客攻击源、攻击目标、攻击类型等，同时提出相关的防护策略和建议。

4. 内部横向威胁可视

横向威胁分析可以对全网进行持续检测，发现潜伏在内网的病毒、木马，以及中毒主机的横向攻击和异常行为。

态势感知系统通过将安全问题可视化，来辅助相关人员进行决策并及时作出相关应对。

协同响应——皇城禁军

      唐玄宗时，通过设立南衙十六卫和北门四军来守卫整座皇城的安危，而这些禁军又有各自担任的不同职责，例如剧中出现的右骁卫就是是南衙十六卫之一，负责皇城的外围安全，把守皇城诸门。

      当靖安司掌控到嫌犯的行踪后，便会与这些皇城禁军进行联动，将安全威胁及时扼杀。

      态势感知系统同样，为了对已发现的威胁进行及时处置，会联动防火墙、杀毒软件等安全组件，对于来自外部的安全风险进行及时处置和安全加固，避免安全事件再次发生。

      正因靖安司的存在，这场长安十二时辰的危机最终才能化解，并能熙攘繁盛，光耀万年。

      类似于唐朝的靖安司，某公司安全感知平台定位为用户的安全大脑，是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心，结合众多先进技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，帮助用户在高级威胁入侵之后，损失发生之前及时发现威胁。