网络安全行业发展方向分析，“云+大数据+AI+专家”大融合才能成为构建整体安

“主动安全”时代逐渐来临。旧有的“被动安全”体系建设主要遵循“御敌于外”的思想，即所谓的边界安全防御，典型产品如防火墙等。但在云+5G的泛物联网时代下，安全需求全面升级，被动防御的模式已不再适用，取而代之的是基于“主动安全”思想构建起来的全新安全体系，典型产品包括主要负责安全日志整合分析与检索的SIEM（安全信息与事件管理）、在SIEM之上叠加分析预警与响应等安全管理能力的SOC（安全运营中心），以及基于SOC且又增加了AI、大数据分析等新兴技术以进一步强化自动理解和预测反制能力的安全态势感知体系。依托上述能力逐步“进化”的安全产品体系，“主动安全”的时代正逐渐来临。

图：能力逐步进化的“主动安全”产品体系

1、结果导向，拥抱“管家式”整体安全服务新时代

能力导向的安全防护体系建设呼唤“结果至上”的整体安全服务。“合规驱动”的市场环境下，一堆长期闲臵的硬件盒子往往带来“不出安全问题时认为你没用，出了安全问题时证明你没用”的尴尬结果，而能力导向的安全防护体系建设呼唤“结果至上”的安全运营服务，在政企客户IT和安全能力相对有限的情况下帮助其把安全设备真正“管起来、用起来”，提高威胁监测能力与安全对抗能力，实现工作流的闭环，从而解决安全的“最后一公里问题”。而“安全运营”在本质上告别了单纯向客户兜售产品的模式，而开辟了一种能够切实解决客户安全问题的“管家式”新型整体安全服务。

图：安全运营体系带来安全服务的“闭环”

资料来源：公开资料整理

2、整体安全服务典型案例

启明星辰

“第三方独立安全运营”先行者。网络安全的真实需求是安全，但安全不仅仅只是单个的安全技术、产品或者服务，而是“前沿技术+产品+服务”的持续运营。启明星辰自2016年开始率先提出以“第三方独立安全运营”作为保障网络安全的重要手段，在全国范围战略布局省市级安全运营中心，为智慧城市健康运营提供强力的网络安全事件防御能力。启明的安全运营中心涉及三层监测和防护架构，通过四个二级能力中心——安全监测、安全测试、安全交付、安全研究中心，结合标准化服务输出，辅助客户构建有效的动态感知和应急体系。新落成的启明星辰江西安全运营中心是继青岛、济南、郑州、天津、杭州、昆明、广州、武汉、成都等30多个城市后又一省市级安全运营中心。目前，启明星辰已在全国构建了成熟的标准化运营体系，未来在持续扩大已有运营中心业务的基础上，运营中心业务还将进一步向其他二三级城市拓展。

绿盟科技

P2SO转型战略取得阶段性成果。2015年初公司开始战略转型，制定“智慧安全2.0”战略（即P2SO），从传统产品模式向解决方案及安全运营模式的业务转型，以智能、敏捷、可运营的理念和实践为“互联网+”保驾护航。所谓P2SO战略，P是Product，S是Solution，O是Operation。在新的战略下，P（产品）仍是企业安全体系的关键节点，是采集安全数据和执行安全策略的主体。S（解决方案）是指要理解客户的业务场景，针对场景设计相应的能力组合。O（运营）是指在动态的安全生命周期内，建立持续运营体系。以改进企业安全态势，并通过协同的方式将绿盟的安全能力快速交付给客户。简单讲，公司的商业模式即是要从过去的简单的卖“盒子”硬件的模式转型到以解决方案和运营服务赋能客户的模式。截止至2018年底，公司已经实现了P2SO战略落地，安全服务的营收占比持续提升。

360集团

推出“360安全大脑”，构筑智慧整体安全服务的基石。“360安全大脑”是360公司旗下的分布式智能安全系统，综合利用云大物智移、区块链等技术，保护国家、国防、关键基础设施、社会、城市及个人的网络安全。360安全大脑在架构上分为核心、区域/行业/总部、本地三级体系，具有感知、学习、推理、预测、决策共五项核心能力。它利用数以亿计的智能终端采集数据和信息，经过智能化的分析，感知安全风险。具备自我学习演进的能力，实现对新威胁的识别。还可依据安全大数据及先验知识或规则进行推理，对未来潜在网络安全威胁和攻击进行预测。360以“安全大脑”为产业落地的核心诉求，相继中标了重庆合川网络安全基地项目和天津网络安全基地项目，并计划在全国各个省会及直辖市搭建区域安全大脑，进行全国性布局，同时以网络安全基地为载体，为当地及周边区域提供安全服务和运营保障。

图：“360安全大脑”的基本架构

资料来源：公开资料整理

3、网络安全技术在持续演进和迭代

从简单的防火墙、入侵检测产品的部署到当今结构化的网络安全产品部署，网络安全技术在持续的演进和变革。参考IDC的最新预测，下一代安全产品将广泛采用基于云计算、大数据分析、AI、SIEM（安全信息和事件管理）和认知等相关的技术。而网络安全防御体系也将向自动响应、开发安全计划、调查、追查、威胁诱捕等方向侧重。借助层出不穷的新兴技术，网络安全产业在持续演进和迭代。

图：网络安全技术革新的发展方向

计算彻底打破了网络安全的固有“边界”，私有云与混合云成为安全投入的重心。随着云端数据体量不断增长，第三方提供计算服务的公有云、企业自行开发的私有云，以及公有云和私有云配合使用的混合云的不断发展，企业用户对云计算的需求亦越来越多样化，衍生出了多种云计算应用场景，传统网络安全边界被打破，且攻击者更容易隐藏活动踪迹制造网络威胁，从而引发了全新的网络安全问题，同时也为云安全的产品与服务提供了广阔的应用场景。虽然我国公有云市场规模巨大，但云安全目标客户以小微企业为主，付费能力与意愿并不强烈，商业模式一直未能有效突围。而安全服务对于以政务云为代表的私有云和混合云客户来说则是刚需，从而成为目前主导我国云安全市场的核心力量。

资料来源：公开资料整理

大数据既是“防护对象”又是网络安全的“武器弹药”。狭义的大数据安全主要是指大数据场景下围绕数据安全展开的大数据全生命周期的安全防护，包括大数据平台安全、大数据安全防护和大数据隐私保护等，具体涉及大数据系统安全、大数据资源发现、大数据管理运营、敏感数据梳理、大数据脱敏、应用数据审计、大数据审计等多个细分领域。但同时海量的非结构化与结构化数据在威胁情报与态势感知等主动安全体系中同样发挥着作为“武器弹药”的功能。参考赛迪顾问数据，近年来我国大数据安全市场正在进入加速增长期。

图：安全防护体系“关口前移”

资料来源：公开资料整理

我国大数据产业继续保持高速发展，大数据将深入渗透到各行各业。对于我国大数据产业的规模，目前各个研究机构均采取简介方法估算。中国信息通信研究院结合对大数据相关企业的调研测算，2017年我国大数据市场产值为4700亿元人民币，同比增长31.9%。

“安全+AI”的核心在于对安全知识的积累与有效应用。参考IDC在网络安全领域对人工智能的定义，其本质是基于一系列结构化和非结构化数据（包括日志、设备遥测、网络数据包和其他可用信息）提供咨询、增强服务和半自动化的网络安全防御功能。人工智能的价值并不在于识别攻击或者攻击分类，而是在于有效降低安全系统对安全知识的积累与高效使用成本。人工智能技术在数据分析、知识提取、智能决策等方面的优势为应对动态多变、复杂交织网络安全问题提供了新思路，网络安全已经成为人工智能应用的重要方向之一。

例如针对异常流量，人工智能为流量与日志的关联分析与协同处臵提供了新的方案。研究机构CBInsights数据显示，2018年至2019年6月间，与网络安全相关的人工智能投融资活动超过180笔。

“云+大数据+AI+专家”大融合，将成为构建整体安全能力的利器。云计算的架构天然成为了海量大数据以及AI计算能力的承载平台，对于安全行业也不例外，厂商自身的安全情报以及全网的安全信息都成为了构建整体安全能力的“武器弹药”，结合云端AI技术的分析挖掘与综合判定，以及行业专家基于丰富知识经验的进一步补充和完善，安全能力与响应速度均得到了极大增强。云+大数据+AI+行业专家的全面融合，将成为构建整体安全能力的利器。