我们怎么从这个海量数据里边得到这个,其实用户在这个海量数据里面,他是很难有作为的,也很难去搭建这种大数据平台。其实我们给用户呈现的,就是我们最后通过各种各样的技术,或大数据的分析技术,还有一些我们绿盟后台的专家的分析能力,获取的就是最下面的这些东西。威胁情报里边有好多种,就是有这种UIL的信誉库、文件信誉库、IP的信誉库这几大库组成,其实对用户最有价值,或者最接地气的,最能直接使用的就是这些威胁情报。然后我们这些威胁情报因为每年或者每天这种数据在不断的变化,很大的量级在发生变化,然后我就讲一下,有两张片子非常简单,我们归纳了两个场景,因为在军工行业主要有两个场景。一个就是刚才说的,就是互联网和商秘网环境,因为这两个网和互联网的关联度可能更大一些,这是我们关注的一个场景。
在这里边我们就要考虑,我们享受这个在线式的威胁情报,我们在这个图里边可以看到,我们有两个刚才说的关键点。就是边界上一个是新一代的入侵防御系统,还有一个就是我们的邮件网关系统。我们从这两个维度上去进行第一道的过滤,当然这两个第一道过滤可能还有一定问题会有漏网之鱼。比如说这是互联网,这些所有的数据来了之后,进入这两个边界的东西去过滤,然后到了里边之后有漏网之鱼怎么办,我们有我们本地的一个,刚才说的威胁分析的系统或者叫平台,我们做这些数据还原根据他的行为去判断他是否有害是否有恶意行为,我们生成一个本地化的威胁情报,然后另一个就是我们在线的威胁情报,我们搭建的这种云,通过云上可以在线的更新。一个是我们云端的威胁情报,还有一个是本地化生成的这些情报,因为我们这些设备进行这种共享,这样最主要的一个目的就是使我们这些系统,本地化的系统变的非常聪明,他能更精准的识别这些威胁。从这里边我们也可以看到,我们现在做的跟别人有一点点不同。
现在有些厂家他只是注重在检测,其实检测确实是一个非常重要的话题,但是根据咱们现实的情况,我们在防御这一块其实也不能放松,检测出来其实还是我们要把他非常快速的去拦截去消灭,把这些恶意的行为消灭的扼杀在摇篮之中。我们要把这些情报回投给我们的设备,然后进行下一步的拦截,你再来之后我就做相关的过滤,其实这个是我们的一个思路。然后还说了,我们军工行业全是设密码,那这个怎么办,我们跟互联网根本就没有连接,那我们的情报怎么共享呢,那我们就分析第二个场景,第二个场景就是我们分析我们军工单位隔离网的环境,刚才说过我们有几种模式,一个是通过这种下一代的入侵防御系统本身的拦截,另一个就是本地化的情报,我们这个平台其实是可以离线的,他本身有一些特征的行为分析能力,分析完了本地的情况涂给我这些防御设备,另一个就是我们可以通过这种安全的,离线的下载方式把这些情报以我们可接受的平度,导到我们的防御系统上面去。因为是隔离网,可能我们通过一些光盘的方式,把这些情报比如说每天,每个工作日的方式或者是每周的方式去导入,然后我们去享受这个情况的一些能力。这是我们的两个场景。以目前咱们军工行业的使用场景基本上不脱离这两个应用环境。
我这个比较简单,我就最后再说一点点希望,其实今天大家在讲的时候其实也多多少少点到了这一点。第一个就是,为什么讲这个希望呢,我感觉我们现在在大数据这块做的还远远不够。刚才哪位同仁也说到,两头热中间冷的情况,这里面我感觉有几点,主要是我们的报网还只是所有威胁的冰山一角,其实我们自己针对我们信息安全厂商来说,我们认为我们发现的情报只是冰山一角,因为我们的能力太有限,因为原来有些数据也统计过,就是我们把威胁情报跟其他厂家的威胁情报做比对的时候,我们的交集非常小,或者就没有交集。就证明我们有很大的盲区,所以希望大家合作。为什么这些威胁情报厂商的合作力度不够,这里面有各种各样的原因,有利益原因,还有就是我的知识是不是被人无偿的共享,还有就是大家如果能放开这个威胁情报我们如何收费,这个是很难衡量的。市场也没有个指导价,这卖多少钱,到底怎么卖,卖便宜了是不是以后可能会出现亏损,卖贵了是不是没人要。还有就是我个人这个想法不知道成熟不成熟,现在我们这些行业的一些威胁情报还是比较缺少,就是我们军工行业有什么样的威胁情报,他跟我们的外网,或互联网跟网站有什么样的关联的情报非常少。这是我对大数据和威胁情报的一点点不足看法。还有就是我们希望以后能做成什么样子,我是希望第一个做成这种大情报系统,类似于公关的那个大情报系统。就希望大家人人参与全面共享。这个事最好是由国家决策层做总体协调,由习大大层面的人协调最好。