云安全大会|助力C-CSA&CSA中新网安正式成为中国云安全联盟成员并做主题演讲(附演讲内容)

2017第一届国际云安全大会(International Cloud Security Cofference)由安徽省人民政府指导,中国云安全与新兴技术安全创新联盟、中国网络空间安全协会、中国云体系产业创新战略联盟主办,宿州市人民政府承办。大会邀请国内外政府信息化领导、两院相关院士、知名专家学者及知名企业嘉宾参会,主题:云涌起、安共商。

本次大会由第一财经频道主持人尹凡做会议主持。中央网络安全和信息化小组办公室网络安全协调局副局长高林、安徽省宿州市人民政府市长杨军、中国云安全与新兴技术安全联盟(C-CSA)理事长中国工程院院士方滨兴致领导致辞。

大会现场进行C-CSA与CSA战略签约仪式,由C-CSA秘书长沈寓实及CSA亚太区执行副总裁李新仁现场进行签约。



中新网络信息安全股份有限公司被中国云安全与新兴技术安全创新联盟正式授予中国云安全联盟会员单位。



在网络与信息安全高峰论坛上,中新网安副总裁沈传宝先生做专业演讲,主题:《平台化与数据驱动-行业(私有)云安全解决方案实践》。演讲内容深受专家学者及同行企业的关注。



附演讲内容


今年,第一届国际云安全大会在安徽宿州举行,非常感谢安徽省政府的大力支持,中新网安作为安徽本土最大的网络安全公司受邀参加,也感到非常的荣幸。

中新网安,大家可能不是很了解,但如果提起在「中新金盾」,相信不少人应该知道。中新金盾是IDC抗拒绝服务领域里最著名的品牌。我们公司成立于2002年,大家知道,在网络安全领域,成立15年的公司绝对不是一个年轻的公司。我们专注于安全技术的研究,很低调,所以这15年来公司一直在特定领域里默默无闻的做着我们的事情。

我今天介绍的主题是平台化与数据驱动,谈一下我们在行业(私有)云中安全解决方案中的一些实践。

两三年前我印象中,我们的一些政企客户还在讨论上不上云的问题,现在这个已经不是问题了。而对于用户来说,上云最先考虑的是两个因素,一个是为什么上云?业务上有什么驱动?第二个是安全是否明确?云上能否解决?基于这两点,形成了这四个决策矩阵。

当以上明确以后,才需要讨论用什么样的云模式,自建私有云数据中心还是公有云,还是混合云等。



我们一般将信息安全的驱动力归纳为以下三种:

第一种是合规驱动。我们常常说政策是第一驱动力,比如今年正式发布的《网络安全法》、网络安全等级保护制度、各行业的法律法规等;

第二种是风险驱动。就是你的信息系统存在的风险,比如漏洞、比如制度缺陷等,都是客观存在的风险。

第三种是业务驱动。也就是你的业务发展了,过去是单独的一张网,现在是云了;过去独立支撑业务,现在要跟各个第三方互联,银行、供应商等。业务发展了,你的安全需求也就高了。

在过去,能够做到安全合规,已经很不错了。但是云环境下,我们仅仅做到这样还是不够的。我们的安全能力具备量化控制的能力,就是主动防御;最终要达到持续改进的能力,就是我们要说的自适应安全的水平。



这个图是Gartner在前几年提出的自适应安全的思想。这在之前的若干年,安全对抗的核心思想就是PDR,防御时间 > 检测时间 + 响应时间,我们的安全体系就是健康的。

Gartner自适应安全的不同之处:

  • ● 在原有的PDR基础上,增加了一个预防、预测的能力。从总体上变成了四个方面12项防护能力;

  • ● Gartner强调持续的威胁监控、分析和感知能力。这里有几个关键词:持续、分析、感知能力。

  • ● 响应,从应急响应到持续响应的转换。过去出了事情响应,现在是响应常态化。

  • ● 最重要的一点,就是数据驱动的平台化自适应安全体系。

三月份的时候,我们在行业云安全联盟上,正式发布了我们的平台化安全防御体系。我们将软件定义的思想与自适应安全的思想在云计算环境下进行了融合。一方面,我们基于软件定义的基础架构,将安全能力接入到整个安全中心中来。另一方面,软件定义基础架构强调安全控制与数据分离。用数据分析的结果来驱动安全策略的应用。



安全能力平台通过规范的接口,融合第三方安全能力,以统一安全策略驱动安全资源,实现安全体系软件化、自动化和随需而变。

这是中新网安金盾云基于刚才我讲的平台化安全解决方案示意图。

下层是大数据接入和处理,这个是标准的大数据架构。在这个大数据架构之上是我们的插件化平台,这是我们能力的核心。

包括我们的安全能力,比如我们的漏洞挖掘能力、未知威胁检测能力、安全分析能力、攻击防御能力、威胁溯源能力等等。通过这些架构在统一安全平台上的安全能力,实现根据用户的业务需求而定制的安全应用能力,或者我们称之为业务场景。



我们知道软件定义安全的灵魂是安全能力可以被软件定义。比如WannaCry或Struts2漏洞爆发的时候,我们可以写一个脚本,调用漏洞扫描的引擎来检查自己管辖范围内的服务器是否具备这个漏洞,要不要打补丁,能不能打补丁。

每一个应用、每一个脚本,除了完成自身的功能外,还可以叠加功能、互相调用以形成应用集,比如刚才说的发现漏洞的应用,跟修复漏洞应用进行统一编排,就可以形成漏洞处置的应用,这就是一个一个的闭环业务场景了。

不同的行业,可以定制不同的业务应用场景,比如金融行业的防撞库、政务云中的威胁溯源、广电的节目完整性校验等等。当这些安全策略具备了一定规模后,就形成了各行业特定应用场景集。

最上面,是产品化的核心能力输出部分,市场上可能都知道的我们几款产品,比如抗拒绝服务攻击产品和云服务、APT高级威胁防御系统、安全态势感知系统等等。



中新金盾抗拒绝服务攻击产品,与传统仅依赖端设备进行流量清洗和防御相比,我们在今年正式发布了中新金盾“云+端”抗拒绝攻击智能防御平台。采用云、端联动的方法,常态情况下,流量并不牵引到云端。如果防护对象本地遭受到大流量的攻击,端防护设备自动会将流量牵引到云端进行清洗,完成后在回注回来。这既解决了大流量的云端清洗问题,又解决了本地可以进行细粒度如针对CC优化的防护服务。同时新一代的“云+端”系统实现了全球数据互通、威胁情报共享、攻击智能分析和溯源等功能。



中新网安是一家以攻防为见长的公司。我们的安全研究院长期从事国际与国内一流的攻防技术研究,把人工智能用在漏洞挖掘和人机对抗中,将攻防实战中将漏洞挖掘、人工智能和人机对抗进行有机的结合。

漏洞挖掘是从攻的角度,而我们的“猎潜者”则是从防的角度。“猎潜者”是一款面向高级持续性威胁防御的产品,也就是APT检测和防御。

 “猎潜者”沙箱在做未知威胁检测的实现,通过总结大量的漏洞和木马的规律,进行了大量的样本训练,通过机器学习的方法,提高未知威胁的检测能力。对比传统的依靠启发式和特征匹配进行检测的方法,“猎潜者”在4个月无更新情况下,恶意软件检测能力仅下降0.5%~1%。



最后简单介绍一个案例,在媒体行业的融合媒体云安全防御体系如何应用上述平台化和数据驱动的思想。通过构建一个媒体云安全控制平台和安全资源池,实现融合媒体的业务防御,通过业务需求,驱动安全能力的调度和安全策略,实现完整的业务安全防御体系。主要实现的能力如下:

  • 开放式平台架构,根据媒体业务需求和行业特性进行安全能力插件化接入、管理和调度;

  • ● 针对视频网站的业务DDoS攻击防护和Web安全防护,媒体业务代码级的应用安全防护;

  • ● 全网流量可视化,基于流量的进行异常行为和应用状态的检测、分析、告警和回溯;

  • ● 基于大数据架构,进行海量数据主动挖掘,结合机器学习和人工智能发现潜在安全问题。