王 秉 周佳胜

(1.中南大学资源与安全工程学院，湖南 长沙 410083； 2.中南大学安全理论创新与促进研究中心，湖南 长沙 410083； 3.中南大学安全科学与应急管理研究中心，湖南 长沙 410083)

安全态势感知是辨识和防范安全风险的基础，安全态势感知能力是一种重要的安全能力体现[1-2]。近年来，随着安全的重要性日益凸显，安全态势感知在各个安全领域(如网络安全[3]、军事安全[4]与公共安全[5]等)崭露头角。如今，安全态势感知已成为安全研究及实践领域聚焦的热点，代表着当前和未来安全领域的最新趋势[6]。因此，安全态势感知研究意义重大。

经检索和梳理分析文献发现，尽管学界已在安全态势感知方面开展了诸多有益探索和研究，但尚存在两大方面主要缺陷。一是已有研究分散在网络安全、军事安全与公共安全等具体安全分支领域，但尚未提出具有通用性和普适性的安全态势感知理论；二是从安全情报学角度看，安全情报作为对安全管理有用的安全信息，安全情报获取和分析与安全态势感知紧密联系，安全情报概念和安全态势感知概念之间存在天然的高度一致性和关联性[2,7]，但目前尚未将二者进行有机结合开展研究以期实现互为赋能。因此，未来安全态势感知研究亟待解决上述难题。

为有效解决上述安全态势感知研究存在的缺陷，本文拟开展系统安全视阈下的安全情报态势感知理论模型研究，主要缘由包括两大方面：①从系统角度看，任何安全问题均隶属于某一系统，系统安全角度被证明是提出具有通用性和普适性安全理论的科学可行视角[8]，正因如此，近年来系统安全科学逐渐兴起并已发展成为现代安全科学的主流[9-10]，同理，从系统安全角度出发开展安全态势感知理论研究有望提出具有普适性的安全情报态势感知理论，这有助于进一步提升安全情报态势感知理论的适用性和应用疆域；②从安全情报角度出发，结合安全态势感知，创新性地提出安全情报态势感知概念，并建立安全情报态势感知理论模型，以期促进安全情报概念和安全态势感知概念的有机融合和互为赋能创新。

1 安全情报态势感知概述

安全情报态势感知是安全情报与安全态势感知两个基本概念结合的产物。因此，在定义安全情报态势感知之前，首先应明确安全情报与安全态势感知的定义，从系统安全角度出发，依次给出安全情报与安全态势感知的定义。安全情报是指对系统安全管理有用的安全信息(需补充说明的是，所谓安全信息，是指系统安全状态及其变化方式的自身显示)[11]。安全态势感知是指在一定时空条件下，对能够引起系统安全态势发生变化的系统内外安全要素进行获取、理解与显示，并据此预测系统未来安全状态及其发展趋势(需补充说明的是，所谓安全态势，是指系统安全状态及其变化趋势)[12]。可见，安全态势感知是一种动态和整体地洞悉系统安全风险的过程和能力，是从系统全局角度提升对系统安全风险的发现识别、理解分析及响应处置能力的一种方式，以期使系统安全管理者能够有目标地进行安全决策和防护准备。

根据安全信息、安全情报、安全态势与安全态势感知的定义，安全态势感知的基础是安全信息，更准确的讲是安全情报[13]。可见，安全态势感知必须依赖于安全情报，它离不开安全情报工作的支持，由此，提出安全情报态势感知概念。所谓安全情报态势感知，就是基于安全情报的安全态势感知过程，是安全情报与安全态势感知二者进行深度互为融合形成的概念。细言之，安全情报态势感知是指对能表征系统安全态势变化的安全情报进行获取、理解与展示，并基于此对系统的未来安全状态及其变化趋势作出预测的过程。基于上述分析，建立系统安全视阈下的安全情报态势感知概念模型，如图1所示。

由图1可知：①系统安全视角的安全情报态势感知具体包括安全态势察觉、安全态势理解、安全感知预测和系统安全响应4个层次，它可为动态化系统提供新的安全态势感知思路；②系统安全视阈

图1 系统安全视阈下的安全情报态势感知概念模型

下的安全情报态势感知，指基于安全情报相关职能与服务，根据安全态势变化建立各关联感知分析，从而实现全局、整体和系统视角的高效安全评估与安全预警；③系统安全思想贯穿在安全情报态势感知的体系能力建设中，系统安全响应能力是安全情报态势感知中安全情报(信息)分析进化的重要体现；④从系统安全角度看，基于“信息化—系统化”耦合背景下的安全情报态势感知实践应用，这有助于深化和拓展系统安全与安全态势感知等理论的内涵。

2 安全情报态势感知理论模型的建立依据

2.1 安全情报态势感知的运行框架

安全情报态势感知是一种认知映射[6,12,14]，具体包括：①对输入系统的安全数据进行去噪与整合，得到准确而全面的安全信息；②通过对安全信息的进一步提取与分析，实现安全信息到安全情报的识别、转换与融合；③基于安全情报的综合分析研判，进行实时高效的安全评估、预警及决策。鉴于此，以“安全现象→安全数据→安全信息→安全情报→安全评估→安全预警→安全决策→安全执行”为系统安全逻辑链，构建安全情报态势感知的运行框架，如图2所示，并对图2中的各要素进行解释，如表1所示。

图2 安全情报态势感知的运行框架

表1 安全情报态势感知的运行框架解释

表1(续)

根据图2，安全情报态势感知运行框架是一个广泛的结构，具有共通的潜在认知过程，适用于各类安全领域。其中，安全情报职能与服务贯穿于安全情报态势感知全过程，使安全情报态势感知“感—知—行”合一。

2.2 安全情报态势感知建模三维体系

基于系统安全视角，以防范化解系统安全风险为出发点，以安全情报态势感知流为研究路径，以安全情报态势感知技术及思维理论为支撑，提出安全情报态势感知建模三维体系，如图3所示，各维度具体解释如表2所示。

综上，安全情报态势感知技术、安全情报态势感知流和安全风险感知是安全情报态势感知的构成基础。通过对安全态势演变的层层感知，构建多视角融合的整体性、动态性和系统性安全情报态势感知理论模型，这有利于拓宽安全情报态势感知的内涵，实现对安全外延的认识(如安全数据、安全信息和安全情报等)。

图3 安全情报态势感知建模三维体系

表2 安全情报态势感知建模三维体系解释

3 安全情报态势感知理论模型的构建与解析

安全情报态势感知的关键在于对传统安全态势感知模式的重组，需立足于系统安全和安全情报的赋能作用。以系统安全逻辑链为设计思想，构建安全情报态势感知理论模型，如图4所示。

图4 系统安全视阈下的安全情报态势感知理论模型

由图4可知，基于数据信息提取感知与融合分析等相关安全技术，安全(情报)人员可进行不同情境下的、主动的安全态势研判和安全情报分析管理工作。在此过程中，安全(情报)人员与相关部门组织(如安全监管部门和安全情报机构等)共同影响安全情报态势感知的质量和效能。因此，他们的业务工作能力、组织协调能力和计划执行能力等是全过程的关键，可依托建立标准化、品质化和专业化的安全情报态势感知服务平台，最终服务于系统安全。

从安全信息哲学和系统安全行为角度看，安全情报态势感知是将“自在安全信息”转化为“自为安全信息”，产生的“自为安全信息”可指导安全情报态势感知层层推进，并随安全情报态势感知“四流”进而提升、总结与凝练成“再生安全信息”，是特殊的安全信息形态，反映安全情报态势感知不同层次的不同安全认识、安全意识与安全行为，实现从内隐安全(即安全风险感知需求认知与目的确认，指针对复杂性与隐蔽性系统安全风险进行的安全态势察觉和安全态势理解过程)到外显安全(即安全风险感知行为结果，指影响系统安全绩效的安全感知预测和系统安全响应过程)的转变。下文对安全情报态势感知理论模型4个层次的结构基础、运行机理和影响因素进行解析。

3.1 安全态势察觉

安全态势察觉是安全情报态势感知的基础，基本任务是辨识出系统产生的安全现象和安全数据的规律与特征。由于系统内部结构和外部环境变化，系统不断与外界进行物质和能量交换，在相关技术支撑下对产生的安全元数据进行预处理。因此，将安全态势察觉分为安全情报源输入、安全数据预处理和安全数据融合3个模块，如图5所示。

图5 安全态势察觉模型

安全情报源输入是挖掘安全数据价值的第一步，在于统筹利用各种安全数据信息渠道和关键技术，跟踪系统内外有用安全数据信息(如系统安全缺陷识别、系统安全风险活动和系统安全特征提取)和全源安全情报(如文献安全情报源、机构安全情报源、网络安全情报源和人力安全情报源等)。根据系统安全用户需求，协调运用机器学习、数据挖掘、专家经验和知识等技术分析处理所搜集的安全现象，建立起安全数据的语义关联(如时间关联、地点关联、任务关联、因果关联和事件关联)[14-15]。在此基础上，将破译的安全数据进行描述并聚合，并按模板进行匹配从而还原安全风险进入系统过程[4]。由于安全态势察觉是一个学习过程，安全数据融合对安全数据预处理具有反馈作用。例如，生物安全事件暴发后，政府和生物安全治理人员会随着生物安全态势变化开展新的生物安全数据搜集和处理分析[16]。

安全态势察觉结果精度和效率在不同方面存在不同程度的缺陷，主要原因包括：①安全数据获取或安全现象识别不够全面，处理海量异构安全数据能力不足[17]；②面对多源安全情报搜集，系统内外环境中某些特性(如系统复杂化或工作负载量过大[8-9])会导致安全数据信息处理机制功能备受影响；③系统内固有缺陷仍有很大影响，以致安全数据冗余、过载、漏报和误报等现象时有发生[11]。因此，为保障安全态势察觉结果的易用性和有用性，应善用安全大数据采集技术、高性能计算设备及海量安全数据存储设备等装置，以支撑安全数据信息的多源感知、信息处理机制及其关联性等功能高效运行，从而提高安全数据信息处理及传递的速度与质量，以及安全态势察觉在现实场景中的可行性和真实性。

3.2 安全态势理解

安全态势理解的基本任务是识别安全风险源头和类型，实现安全信息到安全情报的转换与融合。基于识别出的安全现象和安全特征数据(即安全态势察觉结果)，该阶段进一步分析安全信息的关联语义以辨识系统安全风险，使安全信息体系化，从而实现安全情报理解。因此，将安全态势理解分为安全信息提取和安全信息理解2个模块，如图6所示。

安全态势理解指运用可视化与情境化工具等手段展现安全信息要素(如安全状态、系统脆弱性等静态安全信息和安全预警、安全防护等动态安全信息)，进而支持安全信息的关联分析与语义描述(如分析安全风险可渗透程度、安全资产重要性、系统收敛性和容错率等[12])。依赖安全情报挖掘、分析和研判等职能作用，安全信息经过综合对比、逻辑分析与序化整合，实现系统之间的安全情报(信息)互联互通的效能理解。安全要素库是包含安全信息和安全情报等安全要素的集合储存库，以便于安全(情报)分析人员指导和管理系统安全风险的逻辑识别、提取和功能描述等安全行为。安全要素库在安全信息链的转换中收到反馈得以补充和丰富，为未来安全态势理解提供更全面和客观的安全情报源支撑。

图6 安全态势理解模型

安全态势理解运行机理包括三方面：①从协同方式看，安全态势理解基于多源多形式的安全数据，安全技术专家和情报相关人员的团队协作能力直接决定着“安全信息→安全情报”的转换结果，业务协同和安全情报信息融合共享也应视为安全态势理解的重要组分；②从技术手段看，安全技术专家和情报相关人员通常采取数据驱动或假设驱动(如系统安全辨识建模[8])方法明确安全态势的动态变化。但由于系统安全风险的复杂性、高度时间性和空间性[3]，不完全信息条件下的系统安全风险辨识是安全态势理解的重要问题，可考虑增添基于情报博弈论思想的信息技术分析系统安全风险的多源输入、流出与转换[18]；③从理解尺度看，安全态势理解受个体的自我效能、安全知识和安全经验等因素影响。因此，加强安全(情报)分析人员在安全情报信息跨源融合、提取与需求分析等方面的创新能力培养[19]，以期使安全态势理解实现更符合系统安全情境特点的语义认知，进而提升安全信息与安全情报的使用价值。

3.3 安全感知预测与系统安全响应

安全感知预测是安全情报态势感知中“知”的最高层次，系统安全响应是安全情报态势感知中“行”的具体展现，它们共同对安全情报态势感知结果进行表达，直接影响系统的安全绩效。基于安全信息提取(安全态势察觉结果)及安全情报组合(安全态势理解结果)，安全感知预测与系统安全响应的基本任务是评估安全风险对系统产生的危害情况，以支持有针对性的动态安全预警、安全决策和安全执行，如图7所示。

图7 安全感知预测与系统安全响应模型

在模型预测、大数据预测算法和态势识别评估技术[20]等安全评估技术的支撑下，安全(情报)评估人员针对系统安全风险进行分析评估、实时评估和预判性评估。在此过程中，通过安全情报(如评估情报、预警情报和危机情报等)的选择和运用，建立有效的安全预警功能和目标的组织结构模式。由于系统安全响应具有一定时效性，安全评估、安全预警与安全决策要不断地修正与优化。安全(情报)分析人员对每次安全执行活动结果进行持续的安全记录与反馈总结，从而辅助安全(情报)决策人员制定最佳系统安全决策，这有助于系统安全响应过程中的矫枉纠偏与精优决策。

从安全感知预测与系统安全响应的影响因素看，主要包括：①单一层面的安全感知预测不能有效量化产生的危害[21]，因而要考虑时间和空间维度上的评估投射，例如，安全情报态势评估要面向过去、现在和未来，系统地分析安全风险的发生、修复和空间上的传播范围；②由于安全态势随着系统(环境)发展的动态性变化，应加强动态化与精准化响应方法的系统研究投入；③安全情报的共享和协同影响着安全感知预测和系统安全响应每一模块的语义传递和互操作性[22]，因而安全决策、安全执行要与安全情报分析系统紧密结合，通过考虑系统中安全情报工作间的依赖关系(如循证实践思想的引入[13])，从而积极地进行系统安全规避和系统安全防护工作。

4 结束语

系统安全视阈下的安全情报态势感知是安全态势感知理论体系革新的一个重大机遇，对建立具有普适性的安全情报态势感知理论至关重要。从系统安全视角出发，本文在提炼安全情报态势感知概念(即基于安全情报的安全态势感知)的基础上，构建系统安全视阈下的安全情报态势感知理论模型，具体包括安全态势察觉、安全态势理解、安全感知预测与系统安全响应4个层次，从动态循环、可视化和自动化等角度进行模型4个层次的安全要素分析和运行问题分析，以期建立一个完整的认知过程。针对未来不同实践应用场景需求，研究人员可围绕本文所构建的理论模型给出一个更为具体的实证研究，从而实现安全情报态势感知的丰富和细化。