8月14日，由国家计算机网络应急技术处理协调中心主办的中国网络安全年会在北京国家会议中心召开。360企业安全集团副总裁韩永刚和白皓文、潘博文、陈力波、郑晓峰5位专家在大会期间发表主题演讲，阐释了大数据驱动安全理念。
　　大数据驱动网络安全重构 “创可贴”思路已然过时

　　最初的网络安全是创可贴的思路，哪破了贴哪，头痛医头脚痛医脚。不同的是，伤口可以立即看到，马上感知，但发现安全威胁却会耗费相当长的时间，因为威胁会潜伏地很深。

　　企业怎样才能发现潜在的威胁呢?必须翻看最近一个月甚至数月各个设备的“日记”，但互不相干的日志、流量，难以形成简明、有条理的事件“拼图”，所采集和分析的数据量越大，看起来越混乱，重构事件所需时间也越长。显而易见，企业IT规模越大，储存与分析的安全信息越来越多，快速做出判定和响应的难度也越来越大。通常情况下，组织机构会尝试利用SIEM来处理大量的日志数据和情报数据，然而收效甚微，甚至会陷入大量误报的漩涡中去。

　　为改变这样的现状，韩永刚在大会上提出，要坚持数据驱动安全理念，建设大数据驱动的态势感知和应急指挥平台。数据驱动不仅带来技术理念的进步，更是一次从安全思想、安全方法论到安全产业思维的革命。韩永刚认为，网络安全思想必须由“查漏补缺”向系统规划转变，强调数据、系统和人联动的安全运营。网络安全滑动标尺模型为业界诠释了数据驱动安全的演进过程：从基础架构安全、被动防御、主动防御、情报化防御以及进攻性防御五个阶段，将网络安全防御的各类工作都纳入其中，强调协同联动的防御能力。

　　保证充足的数据源

　　提到数据驱动安全，首先要重视数据源和数据采集的问题。对于规模化的企业，发生在自身设备与相关IT系统的数据交换与日志信息，给企业带来了大量的数据源。《网络安全法》中也有规定，企业必须要留存日志信息。并且，这种留存不是过去的告警留存，而是终端的、网络的，甚至是资产的乃至企业级的各种原始数据。倘若没有这些内部数据，用户就难以判定攻击是否发生在内网。

　　同时，利用网上公开的数据、产业上下游数据等外部数据的重要性也不容忽视。潘博文在演讲中提出了利用网上公开数据追踪APT组织的方法。他表示，这些数据的来源可以是安全厂商的研究报告，可以是友商、媒体甚至是社交网络的资讯、还可以是APT站点的报告。

　　构建高、中、低三位一体的安全能力

　　有了充足的数据源，当然不能走传统网络安全老路子，否则还会陷入大量无效告警的死循环，安全能力必须得向数据转移。

　　韩永刚在演讲中重点提到了安全能力向数据转移的三层次——高、中、低三位一体的安全能力模型。

　　低位是我们长期以来信赖的网络安全基础软硬件，为用户提供基础的安全防护能力。在网络攻防的动态变化中，安全能力是一个叠加演进、不断创新的过程，这些设备依然持续有效，并源源不断地为中高位输送基础数据。

　　中位可以说是中流砥柱，关联分析、可视化、机器学习等大数据衍生的应用都在中位之列。显然，这里主要是处理与分析低位输送上来的数据，如上文中提到的利用公开的信息追踪APT。但这些公开数据都是杂乱的、非结构化的，企业想要利用起来，就要依靠中位能力对公开信息进行分类，然后按照一定的标准处理这些数据，最终形成情报或者其他形式并加以利用。

　　高位能力的核心是云端的安全运营能力，包括了威胁情报、云端沙箱、云查杀等。云计算带来的是带宽和算力的巨大提升，从而弥补了过去终端计算的缺陷。白皓文在演讲中提到了沙箱检测对于高级威胁发现的重要性，可以设想一下，假设沙箱本身的算力不够，或者延迟过高，会造成什么后果?大量待检测的文件在排队，这会很大程度上影响企业的办公效率，数据大堵车，想想早晚高峰的北京交通!

　　综上所述，低位就像四肢，负责具体行动的执行;中位就像心脏，负责为全身器官输送血液和能量;高位就像大脑，负责为中低位提供战略支撑。

　　全方位的态势感知

　　有了这些能力，才有了做好态势感知的基础，但态势感知不是简单的地图炮，看个热闹，需要赋予企业真正的网络安全能力。韩永刚认为，态势感知需要包含以下5个要点：第一，坚持业务导向，管理是根本，技术是支撑;第二，关口前移，从“查漏补缺”到“系统规划”;第三，拥有纯正的大数据基因，具备完善的大数据采集、大数据存储与计算、大数据治理、大数据建模与分析、大数据应用于大数据持续运营六大要素;第四，以人为核心的网络安全运营能力;第五，攻防兼备的应急响应能力。

　　据统计，360企业安全已经为国家税务总局、国家统计局等超过200家行业机构输送了态势感知能力，帮助进行高效安全决策，发现网络安全隐患。