2019可信云大会丨孔松：《面向云计算的安全解决方案第一部分：态势感知平台》标准解读

7月2日上午， 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边，可信创未来”为主题，由中国信息通信研究院主办。中国信息通信研究院云大所云计算部工程师孔松出席并就《面向云计算的安全解决方案第一部分：态势感知平台》进行了标准解读。

中国信息通信研究院云大所云计算部工程师孔松

首先我为大家分享一下《云计算安全解决方案第一部分，态势感知平台》标准，其实云计算安全涉及到的解决方案很多，经过调研，我们最终决定从态势感知入手。首先介绍一下为什么会选择态势感知，态势感知为什么这两年这么火。

首先，这两年全球安全形势非常的严峻，安全事件带来的经济损失巨大。

第二，随着云计算发展的成熟，云计算成为新一代关键信息基础设施，使用云计算为企业带来非常多的便利，也有一些安全问题，比如与传统的安全架构比，云计算让整个安全系统边界变得模糊。

第三，传统的安全架构存在着诸多的问题：1、在整个系统中可能需要部署多种安全设备和软件，涉及到海量安全数据和重复报警，运维人员很难人工的在海量数据中提取有效的信息。2、部署的这些设备大部分时间很孤立没有有效的联动；3、传统的被动防御手段，面临海量攻击遭到了一定的瓶颈。4、随着云计算的应用企业的系统环境也是比较复杂的，私有云、混合云等等情况，对整个IT系统缺少宏观的视角。

以上是市场环境因素。那么第二种是技术因素。

这两年大数据、人工智能技术迅速发展，这些新的技术发展，为态势感知平台的建设提供了有利的支撑。像传统的安全体系面临着左侧4点的问题，大数据能解决海量数据的存储，也能解决海量数据的并行计算。人工智能技术为我们做智能检测和预测提供了可能。

最后是政策因素，这两年的政策对态势感知非常利好，为整个产业的发展指明了方向。15年公安部已经提出了《建设网络安全态势感知监测通报平台的通知》，《网络安全法》指出建立网络安全监测预警的制度，国务院十三五规划中明确提出加强网络安全态势感知监测预警的能力建设，而4月19日习总书记更是提出了全天候全方位的感知网络态势的观点。

态势感知的整个市场发展迅速，各个企业纷纷布局相关的产品，左侧列了2018年全球云安全产业结构，目前国内的态势感知产品的概念是有一些模糊，不少厂商的态势感知产品纳入到了Gartner SIEM魔力象限中，所以SIEM也是能反应市场规模的。而国内从17年到到2020年，态势感知的市场规模的增速预测是150%。国内厂商分为三大类，第一类是传统的安全厂商，依托多年来云安全的积淀，提供了态势感知的解决方案。第二类是云计算厂商，他们主要是依托云上环境的海量情报信息，第三类是初创企业，这种初创企业深耕某个领域，尤其像近两年人工智能比较火，在智能检测和预测上做的更深入一些。

随着各家推出态势感知的产品，我们可以看到整个市场竞争环境比较复杂，我们在前期调研中发现存在很多的问题，最主要的问题是“什么是态势感知”，因为各家对态势感知的定义是不一样的，有一些觉得SOC也是态势感知，有的觉得网络爬虫也是态势感知。

第二哪些功能是态势感知应具备的，这些功能具体实现到什么程度，这个是调研过程当中发现的问题。所以我们也是觉得需要去做标准来规范产业的有序发展。

因此我们今年年初进行了两个月的调研后，联合数十家科技公司，开展了面向态势感知的标准研究，今年已经开展了四次的线下会议，还有通过邮件等形式的线上交流，收到很多建议和意见。

目前，经过四次的讨论形成了一个比较成熟的标准稿件，下面我再介绍一下我们的标准内容。

首先，对面向云计算的态势感知平台进行定义，最初明确态势感知是什么，我们认为认知一定时间和空间内的环境要素，理解它的意义，并且预测它即将呈现的状态，来帮助决策优势。这个定义是与国标保持一致。

第二点，什么是态势感知平台，我们觉得应该是利用大数据、机器学习等技术对态势感知态势海量数据进行提取，进行多维度的关联分析。能够提供对安全风险保持报警、趋势预测等，我们认为海量数据、关联分析、大屏展示和趋势预测是四个重点。而趋势预测最核心，大家做起来也比较难。

第三，我们的标准是面向云计算的，因此，它面向的对象是用户的云计算环境，主要是感知用户云计算环境的安全状态，部署方式一个是SaaS，一个是私有化部署。

面向云计算的安全态势感知平台功能框架，分为四个横向层次和两个纵向层次，最底下是数据采集层，虚线是态势感知可以参考采集的数据，第二层是数据存储和计算层，这个是对采集的数据进行存储，并具备计算框架为上层提供支撑。第三层是数据智能分析层，这个主要是通过像规则和机器学习等技术，建立多种的模型，包括风险检测、行为分析，可视化展示和计分模型，模型计算后的数据最终提供给安全应用层。安全应用层最上面是态势可视化，主要包括态势总览、资产态势、网络态势、应用态势，和趋势预测。态势总览分为云环境的总览，还有一个是租户总览，这个租户区别于公有云下的租户，因为我们考虑现在态势感知整个应用情况，会涉及到用户管理员创建多个租户，多个租户之间隔离，所以这个主要考虑到这种情况。

纵向有两项，一个是威胁情报，威胁情报为什么不能算是一个采集源，我认为威胁情报是一种独立的产品，只是打包到态势感知里面。第二个是接口，分为上下级管理接口，和与第三方对接的接口，也就是常说的南北向接口。

后面大概归纳了一下面向云计算的态势感知平台和传统的态势感知平台之间有哪些比较典型的区别：

第一数据采集能力应该能够适应环境下的资产变化，云环境和传统的IT架构相比资产的产生和消亡可能是短暂的，平台要适应资产的变化，能够处理资产的动态变化。

第二因为在整个云环境下云管平台是非常重要的角色，态势感知和云管平台连接是非常重要的。

第三个是多租户的划分和管理，不同的租户可以管理不同的资源。

第四点是利用云资源实现平台的弹性扩容。

最后一点是跨云的数据获取能力，对于企业来说可能涉及混合云、多云。

下面一节是大概提出了八个面向云的安全态势感知的建设原则，第一个是易用性，用户可以很容易的使用态势感知平台，包括这个平台的部署能够支持快速部署，同时能够为用户提供文档和专家支持；

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!