2019可信云大会丨孔松：《面向云计算的安全解决方案第一部分：态势感知平台》标准解读_云安全

7月2日上午， 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边，可信创未来”为主题，由中国信息通信研究院主办。中国信息通信研究院云大所云计算部工程师孔松出席并就《面向云计算的安全解决方案第一部分：态势感知平台》进行了标准解读。

中国信息通信研究院云大所云计算部工程师孔松

首先我为大家分享一下《云计算安全解决方案第一部分，态势感知平台》标准，其实云计算安全涉及到的解决方案很多，经过调研，我们最终决定从态势感知入手。首先介绍一下为什么会选择态势感知，态势感知为什么这两年这么火。

首先，这两年全球安全形势非常的严峻，安全事件带来的经济损失巨大。

第二，随着云计算发展的成熟，云计算成为新一代关键信息基础设施，使用云计算为企业带来非常多的便利，也有一些安全问题，比如与传统的安全架构比，云计算让整个安全系统边界变得模糊。

第三，传统的安全架构存在着诸多的问题：1、在整个系统中可能需要部署多种安全设备和软件，涉及到海量安全数据和重复报警，运维人员很难人工的在海量数据中提取有效的信息。2、部署的这些设备大部分时间很孤立没有有效的联动；3、传统的被动防御手段，面临海量攻击遭到了一定的瓶颈。4、随着云计算的应用企业的系统环境也是比较复杂的，私有云、混合云等等情况，对整个IT系统缺少宏观的视角。

以上是市场环境因素。那么第二种是技术因素。

这两年大数据、人工智能技术迅速发展，这些新的技术发展，为态势感知平台的建设提供了有利的支撑。像传统的安全体系面临着左侧4点的问题，大数据能解决海量数据的存储，也能解决海量数据的并行计算。人工智能技术为我们做智能检测和预测提供了可能。

最后是政策因素，这两年的政策对态势感知非常利好，为整个产业的发展指明了方向。15年公安部已经提出了《建设网络安全态势感知监测通报平台的通知》，《网络安全法》指出建立网络安全监测预警的制度，国务院十三五规划中明确提出加强网络安全态势感知监测预警的能力建设，而4月19日习总书记更是提出了全天候全方位的感知网络态势的观点。

态势感知的整个市场发展迅速，各个企业纷纷布局相关的产品，左侧列了2018年全球云安全产业结构，目前国内的态势感知产品的概念是有一些模糊，不少厂商的态势感知产品纳入到了Gartner SIEM魔力象限中，所以SIEM也是能反应市场规模的。而国内从17年到到2020年，态势感知的市场规模的增速预测是150%。国内厂商分为三大类，第一类是传统的安全厂商，依托多年来云安全的积淀，提供了态势感知的解决方案。第二类是云计算厂商，他们主要是依托云上环境的海量情报信息，第三类是初创企业，这种初创企业深耕某个领域，尤其像近两年人工智能比较火，在智能检测和预测上做的更深入一些。

随着各家推出态势感知的产品，我们可以看到整个市场竞争环境比较复杂，我们在前期调研中发现存在很多的问题，最主要的问题是“什么是态势感知”，因为各家对态势感知的定义是不一样的，有一些觉得SOC也是态势感知，有的觉得网络爬虫也是态势感知。

第二哪些功能是态势感知应具备的，这些功能具体实现到什么程度，这个是调研过程当中发现的问题。所以我们也是觉得需要去做标准来规范产业的有序发展。

因此我们今年年初进行了两个月的调研后，联合数十家科技公司，开展了面向态势感知的标准研究，今年已经开展了四次的线下会议，还有通过邮件等形式的线上交流，收到很多建议和意见。

目前，经过四次的讨论形成了一个比较成熟的标准稿件，下面我再介绍一下我们的标准内容。

首先，对面向云计算的态势感知平台进行定义，最初明确态势感知是什么，我们认为认知一定时间和空间内的环境要素，理解它的意义，并且预测它即将呈现的状态，来帮助决策优势。这个定义是与国标保持一致。

第二点，什么是态势感知平台，我们觉得应该是利用大数据、机器学习等技术对态势感知态势海量数据进行提取，进行多维度的关联分析。能够提供对安全风险保持报警、趋势预测等，我们认为海量数据、关联分析、大屏展示和趋势预测是四个重点。而趋势预测最核心，大家做起来也比较难。

第三，我们的标准是面向云计算的，因此，它面向的对象是用户的云计算环境，主要是感知用户云计算环境的安全状态，部署方式一个是SaaS，一个是私有化部署。

面向云计算的安全态势感知平台功能框架，分为四个横向层次和两个纵向层次，最底下是数据采集层，虚线是态势感知可以参考采集的数据，第二层是数据存储和计算层，这个是对采集的数据进行存储，并具备计算框架为上层提供支撑。第三层是数据智能分析层，这个主要是通过像规则和机器学习等技术，建立多种的模型，包括风险检测、行为分析，可视化展示和计分模型，模型计算后的数据最终提供给安全应用层。安全应用层最上面是态势可视化，主要包括态势总览、资产态势、网络态势、应用态势，和趋势预测。态势总览分为云环境的总览，还有一个是租户总览，这个租户区别于公有云下的租户，因为我们考虑现在态势感知整个应用情况，会涉及到用户管理员创建多个租户，多个租户之间隔离，所以这个主要考虑到这种情况。

纵向有两项，一个是威胁情报，威胁情报为什么不能算是一个采集源，我认为威胁情报是一种独立的产品，只是打包到态势感知里面。第二个是接口，分为上下级管理接口，和与第三方对接的接口，也就是常说的南北向接口。

后面大概归纳了一下面向云计算的态势感知平台和传统的态势感知平台之间有哪些比较典型的区别：

第一数据采集能力应该能够适应环境下的资产变化，云环境和传统的IT架构相比资产的产生和消亡可能是短暂的，平台要适应资产的变化，能够处理资产的动态变化。

第二因为在整个云环境下云管平台是非常重要的角色，态势感知和云管平台连接是非常重要的。

第三个是多租户的划分和管理，不同的租户可以管理不同的资源。

第四点是利用云资源实现平台的弹性扩容。

最后一点是跨云的数据获取能力，对于企业来说可能涉及混合云、多云。

下面一节是大概提出了八个面向云的安全态势感知的建设原则，第一个是易用性，用户可以很容易的使用态势感知平台，包括这个平台的部署能够支持快速部署，同时能够为用户提供文档和专家支持；

第二个是动态性，1、整个平台其实是随着产业或者是用户的需求变化去发展的，对数据源的支持，不断的去扩充，随着整个产业的发展，用户信息系统的架构是不断的变化，应该是能够支持数据源的发展。2、威胁情报中心的发展，如何获得最有效的情报是比较关键的点。3、算法模型的优化升级。

第三个是平台应该具备一定的兼容性：1、与原系统架构的兼容，态势感知平台部署应该不影响正常的业务资源。2、与第三方设备/软件/厂商的兼容性。

第四，是可靠性：1、不低于99.95%的可靠性；2、不影响用户的业务；3、多可用区部署。

第五、通用性，总结起来就是大部分通用+小部分定制开发。

第六，可管理性，包括用户管理、权限管理等等。

第七，安全性，这个是平台自身应该具备安全保护能力。安全性很重要，但是我们在标准里没有强调特别多，主要是引用了一个态势感知安全要求相关的行标。

第八，可扩展性：1、API接口和层级结构；2、功能模块化；3、计算、存储和网络的弹性扩容；4、分布式部署和级联部署。

数据采集层能力要求，数据源，基本的数据类型包括告警数据，我们告警警数据的定义是安全设备、安全软件，或者是云安全服务产生的告警数据。第二类是日志数据，定义为云管平台，或者是一些中间件产生的日志数据。第三个是网络数据，包括虚拟网络数据，第四类是资产数据，包括物理设备和云上资产。最后这个是可参考的。

数据采集能力包括：1、平台可以进行自主的采集；2、可以对接第三方的采集设备；3、支持用户自主导入；4、具备获取跨云的数据能力。

最上面是数据预处理，既能够对结构化数据，又能够对非结构化的数据进行处理；2、能够进行数据完整性、一致性和准确性的校验，这个也是比较关键的。3、能够对数据进行简单的归并、分类。

下面是数据存储与计算层能力要求，这个也只是简单的列一下我们认为是必须的，包括左边数据存储目前写的至少支持PB级别，没有写具体的数字，只是写了量级；第二个应该能够对敏感数据进行加密存储；第三个具备多副本；第四个是存储时间，存储位置满足法律法规的相关要求。

数据计算比较简单，既能够对静态数据进行批处理，又能够对动态数据进行实时的分析。

数据智能分析层能力要求，目前主要是分为五大类：

第一关联分析，我们认为是态势感知最关键的功能：1、能够进行多维度的，包括从时间角度、空间角度进行关联分析。2、关联分析能够跟行为分析做一些关联；3、关联分析组；4、能够对告警进行聚类。

第二风险检测，一个是平台可以自己建立风险检测模型，但是因为态势感知比较庞大，如果去做风险检测可能会没有那些专业的设备或者服务、软件专业，所以要么可以自己去做模型，要么可以集成第三方。第二个是支持模型组件；第三个是大数据搜索；第四个是行为分析；第五个是结果解释和展示。

安全应用层的要求，可视化展示我们认为是重点，所以放在下一页讲了，其他的五大类：一个是日志检索与管理，应该支持哪些类的数据检索，能够支持哪些检索方式等等，安全事件监测与告警，这个也是列了一下能够监测到哪些。最左边是资产管理，包括1、资产发现，应该具备哪些方式；2、记录的资产信息包括什么，还有比较重要的资产的安全风险的信息，资产管理应该能够和安全事件进行联动，能通过资产定位到风险，也能从风险定位到资产。

统计报表比较简单，再上一层是响应与处置，态势感知应该是能够支持一些简单的，比如给一些简单的建议等等。

下面是态势可视化，分了六大类：

第一类是安全态势总览；1、整个云环境安全状态的打分评级，2、云主机是云环境下最重要的资产之一，应能够按地域展示云主机安全态势；3、能够对各种各样的安全汇总，展示安全风险的总数，都有哪些类型，不同的类型的分布是什么样子的；4、展示不同类型的风险的历史趋势；最后是租户的安全态势。

第二类是资产安全态势：1、资产总数、风险资产和处置情况、3、按风险对资产归类展示；4、展示趋势图是什么样。

第三类是网络安全态势：1、展示攻击来源的分布；2、类型分布；3、历史趋势。

第四是应用安全态势，一个是云上安全应用状态，第二个是通过风险系数对应用进行排序。

第五类是脆弱性态势。

第六是趋势预测。

最后是威胁情报能力要求，一个是远端的威胁情报，一个是用户自定义的情报。

远端的威胁情报包括：1、数据更新、2、自动拉取；3、自动推送、4、威胁情报的查询。

自定义情报应支持多种主流格式、批量导入、实时添加。

以上是整个标准的基本内容，也欢迎到场的各位专家如果有什么问题线下和我交流，最后再介绍一下下半年的工作计划，欢迎在场的各位专家积极参与到整个工作和研究中，工作计划主要分为两大类：

第一标准的建设，未来的标准化方向包括安全运营中心、安全责任划分模型、身份识别与访问管理、云WAF、云抗DDoS等，这是我们目前规划设想的方向。

第二是测试评估，态势感知的标准前期已经做了很久，所以下半年也是准备开展面向云计算的态势感知平台的评估，像云计算的安全运营中心，也是已经做了很多工作，下半年也是规划开展相关的评估；基于云计算的业务安全解决方案中的金融反欺诈，去年开展了内容安全的评估，今天主会场发布了结果，下半年我们将开展金融反欺诈评估。我今天就介绍到这里，谢谢。