距离新华三首提主动安全战略，已经过去四个年头。在这期间，人们一同见证了网络边界的消失，大数据、云计算技术的全面普及。而随着5G安全、物联网安全、工业互联网这些新课题的出现，再次为网络安全带来了全新挑战。

实际上“传统安全防护已失效，未来的防护重点将从预防转向检测与响应”，这样的战略论断已经成为行业必须面对的现实问题。

我们的确进入了“大安全时代”。

在2020 NAVIGATE领航者峰会上，新华三提出“全方位推动主动安全战略智能演进”。围绕主动安全如何与AI相结合，新华三在新网络安全背景下将如何做出战略部署等问题，嘶吼联系到新华三集团副总裁、安全产品线总裁孙松儿，在线寻求答案。

嘶吼：为什么在这一阶段提出主动安全与AI相结合的战略观点？

孙松儿：过去一年，在安全业界有一些新的变化，包括用户需求新的变化。最明显的是5G安全、物联网安全、工业互联网安全，这类需求逐渐增多，还有安全的AI如何落地、云安全服务等等。所以我们提出要围绕着主动安全做一个再进化，这种进化包括从需求的角度。比如从全栈数据采集如何与5G结合，与工业互联网结合；零信任体系怎么和主动安全体系整合；AI模型，云服务方向主动安全战略的衍生思考；零信任解决方案等。总结起来就是主动安全与时俱进。

嘶吼：新华三提出了AI in ALL的概念，后期AI在安全方面的具体应用场景会有哪些？未来规划的技术路线是怎样的？

孙松儿：过去的一年，我们在这方面做了很多有效的工作。第一，从硬件角度来说，新华三策略比较清晰，我们在做AI硬件模块内置的工作，在高端和中低端都有专门的AI硬件模块；在未来，也可能会考虑把AI芯片内置到设备里。但首先要搞清楚内置后到底应该怎样发挥其价值和性能，以及算力是不是可以承受得住。目前来看AI硬件模块内置是一种比较可行的方式，在硬件方面新华三技术还是过硬的。

第二，从软件角度来说，在新华三的安全态势感知方面，我们有成熟的AI模型，主要包括以下几个方面：

首先，通过异常流量判断和流量模型建模，AI可以给网络访问行为进行画像，能为服务、业务系统及流量模型进行画像，也能为关键资产遭受攻击和异常树状告警进行画像，意味着可以把流量、业务系统和资产这三方面的画像做到极致。

其次，针对最常见的DGA域名、恶意URL等，也是新华三安全AI应用的方向。除此之外，今年结合我们发布的这些AI模块，要将AI的能力和设备紧密结合起来，所以除了上面提到在态势感知这种大型数据分析软件里面利用了AI的算法以外，还更多典型的AI应用。比如针对加密攻击的检测，新华三有成型的AI模型、算法和应用，用户可以直接用来搭载我们的硬件AI模块；另外针对网络代理软件这种应用，新华三也在今年发布了专门针对加密流量识别的AI应用，它也可以搭载到我们硬件上去。除了硬件和软件之外，新华三还在通过合作做视频流的敏感内容的过滤，当视频流通过AI模块，如果有涉防、涉恐、涉暴的流量，流量会被掐断。

所以，今年新华三在过去的基础之上，更多地从AI的场景化应用角度入手，发布了几款业界顶级水准的AI应用模块，欢迎大家进行试用。从目前来看，国内很多的AI，包括安全AI都还停留在一些看不见、摸不着的算法优化和改进上，在这方面，新华三已经先行一步，提供了针对场景化的AI模块，是比较领先的。

嘶吼：新华三主动安全体系三个核心理念全栈、意图和使能，分别对应了哪些安全问题或者是场景，以及这三个理念代表了新华三的哪些技术思路？

孙总：新华三希望尽可能地帮助用户发现安全的风险，发现问题然后能够快速响应，这种情况下需要做什么？答案是，要加强对安全的风险的持续性监测。

怎么做监测？站在新华三的角度上，要做一个全栈的数据感知。

更通俗的话来说，要在数据采集上做得更加全面，从普通的一二层的物理层、数据链路层，到L7层全面覆盖，包括安全事件的信息、安全分析的日志、安全的流量，以及服务器的一些异常状态报告等，只有把信息搜集得足够全，才能为后面的分析打下基础。所以，第一个全栈的含义是要尽可能的建立一个从L1到L7的全方位的数据输入和获取。新华三需要做的就是提升数据的抓取能力，除了正常的安全设备日志以外，我们要从原始流量中精确挑出一些关键流量，所以要有优质的流量探针，同时，要有用户的行为画像，尽可能的把数据获取手段做得更丰富，根据演进思路，在原有传统架构基础上，要提供各种探针和各种数据。现在的关注重点，第一是要将加密的攻击流量揪出来，把加密的应用、爬虫软件摘出来。比如说要做5G接入，那么就要对5G终端进行接入管控，进而对终端感知的数据进行抓取。同时要将零信任理念贯穿到接入终端的管控上，因为要对全栈数据有效抓取，这时就要严格控制，把非法数据、非法用户直接排除在外，这也是一个很有效的手段。

然后说意图。搜集数据的目的是做意图分析，传统模式下拿到一些安全设备、安全设施之后，仅仅通过一些数据学的统计分析得到一些分析结果是不够的，会遗漏一些潜在风险。所以要做用户的行为画像，把各种行为关联起来之后，再来判断是不是有风险，是不是可能导致一些数据泄露的风险。不管是利用AI模型还是利用一些图谱手段，这样做的意图就是要尽可能把安全风险、以及潜在的安全风险发发掘出来。传统手段是看不见的，但通过意图分析把这些信息关联起来之后是可以看到的。

有了意图分析之后，第三步才是使能，发现了问题之后需要做协同、联动、响应，如果发现用户不合身份地进行一些文档下载，超过一定量的时候，就采取强制下线、发出警告的措施。

针对安全事件，要尽可能地收集数据，通过AI模型，通过意图分析，能够发现潜在风险，然后对风险进行响应和处置，这不仅是一整套流程，也是新华三主动安全三要素的关联。

采访过程中，就如何从管理层面加强安全防护的问题，孙松儿还提出了以下观点：

随着信息化和数字化的进步与转型，安全会越来越重要。尤其是在越来越依赖于IT业务流程的时候，一旦受到攻击，造成访问中断，就会加剧对企业业务带来的负面影响，所以从这个角度来讲，随着数字化转型和IT基础设施的演进，企业也会越来越意识到安全的价值，当然这是一个漫长的过程，不同企业的进度也不一样。

在这个过程中需要主动去提升企业关于安全的感知和防护体验。同时因为很多的企业IT及安全运维人手有限，所以要借助智能化工具。例如，可以做一些关于安全攻击拦截数据的可视化报告、定期发送安全主题的周报、或者借助新的技术手段把攻击事件、业务漏洞、风险提示等网络风险进行呈现，同时向管理员发送报告。

对于新华三来说，一方面需要面向用户做好信息安全重要性的宣讲，另一方面也要主动强化安全防护，包括提前通过一些专门安全服务主动为用户做安全健康检查、巡检报告，帮助其及时发现潜在的风险。

如若转载，请注明原文地址