如何构建智能立体的安全防护体系

云计算、大数据、移动办公、物联网、工业控制等技术的发展，改变了网络安全的外延和内涵。同时，新型网络安全攻击技术和手段层出不穷，病毒变种增多，攻击智能化，过去对信息安全威胁和风险的认知已不再适用，建立基于云、管、端的纵深协同防御体系成为趋势。

云安全能力中心是目前业界主推的一套云、管、端联动的防御体系。它基于“云、管、端”联动的下一代网络安全架构建设，通过海量数据汇聚、构建云端闭环结构、打造情报生态系统；结合大数据、人工智能、多引擎、云计算，构建起以海量云查特征库，云端沙箱阵列，云端情报利用为核心能力的安全能力中心。

紫光股份旗下新华三集团的云安全能力中心，在一般的核心能力之上增加了智能、协同、联动等功能，将云安全能力中心推到了一个新的阶段。

丰富的AI引擎

利用人工智能对原本模糊、非线性的海量数据进行甄别，有效提升大数据的安全检测效率、准确度，并进行自动化的检测。面对未知威胁，采用云计算和大数据分析技术，很大程度上解决数据来源广泛性、数据充分性、分析模型有效性的问题。在新华三集团的云安全能力中心中，AI主要用在：

（1）利用AI进行未知威胁检测。通过AI技术对大量黑白样本进行训练，提炼文件多维特征，构建病毒画像，抵御勒索、挖矿及新型病毒变种，达到检测未知文件能力。另外，通过AI模型可以进行URL分类、DGA域名检测、恶意Webshell检测、恶意PE检测等。

（2）利用AI进行智能运维。通过终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析，新华三集团云安全能力中心可以使溯源取证与风险预测可视化。通过平台的AI分析能力，还原攻击链，对事件进行溯源分析，实现威胁检测、响应、溯源的自动化安全运营闭环，提升运维效率。

（3）利用AI进行情报生产。云安全能力中心依托云端数据，对安全日志中URL、域名等信息进行提炼，综合沙箱分析出的IOC生产新的情报，实现情报实时更新。

（4）利用AI进行数据隐私保护。云端作为各个态势感知局点的信息共享和计算协同中心，构成联邦学习架构；采用差分隐私等技术确保AI模型参数传输过程中不泄露用户的隐私。

云管端协同联动

新华三集团云安全能力中心通过打通网络、端点、云端的安全资源，并基于算法、数据、联动机制，结合全球情报构建了整体的协同防御能力，将各维度能力进行深度聚合，实现情报共享、威胁互认，最终实现风险的自动化处置。

结合安全设备之间、态势感知和云端的智能联动，可构建安全事件快速响应机制，包括边界安全网关对可疑IP的一键封锁，终端安全软件对可疑文件的一键隔离/查杀等。与传统的应急响应流程相比，联动快速响应不仅能够缩短安全事件的处置时间，避免事件危害的进一步扩散，而且还能提升安全设备的利用效率。

图1 云安全能力中心协同联动

借助云安全能力中心立体安全防护解决方案的威胁情报功能，系统可第一时间获知全球最新发生的威胁事件，对于紧急严重的情报可以在云端用标准的格式化语言下发到终端，给出推荐处理方案。

图2 云安全能力中心策略更新

新华三认为：传统的以边界防护为中心的安全体系存在固有缺陷，但并非毫无价值，它们能够很好地应对已知威胁，并发挥着重要作用。云安全中心解决了传统安全设备无法联动以及缺少全局视角问题，实现了“云网端立体防护”、“云端分析边界防护”、“态势感知主动防御”的安全防护能力。现阶段云安全中心技术更趋于成熟，使得防御从孤岛转向智能化协同联动，构建更有效的安全防护体系。