随着国家关于信息安全的政策不断加码，并将其上升到战略层面，我国信息安全产业逐渐觉醒，相关厂商不断研发新技术，保证信息安全措施落到实效。目前，大数据安全分析已成为全球信息安全发展的趋势和方向，各厂商也不断推出基于大数据的安全产品。360总裁齐向东更是提出，协同联动将成为网络安全标配。

如何理解大数据安全？360的协同联动是什么样的？360又是如何帮助用户实现大数据安全的？带着这些问题，近日，本刊记者专访了360企业安全集团副总裁王伟先生。

安全产品走向“渐广”

图1 360企业安全集团副总裁王伟

过去，每个安全产品都是一个独立的信息孤岛，而产品就像研究人员，他们利用显微镜不断挖掘、发现更加细微的危险，这种方式称之为“渐微”。王伟表示， “渐微”在已知威胁的情况下比较有效，而现在的大数据安全则提供了一条“渐广”的道路。“渐广”的基石在于海量的终端数据，通过将多维、异构的数据关联在一起，就有可能从中发现有问题的颗粒。这些颗粒有可能是由安全分析人员确定的、有可能是机器学习得来的、也有可能是用户自己提交的，再将这些有问题的颗粒分享到安全设备或者安全产品上，进行数据关联，就能够得到确定的数据结果。

图2 360安全协同的不同维度

王伟认为，“渐微”和“渐广”在未来应该是结合的，因为在新形势下，过去的防御措施已经不再有效，需要通过新的技术提高发现未知的能力。

以数据驱动为本

单打独斗已经不适合目前的网络安全战场，需要更多的是协同，360也提出了协同联动的概念，包括数据协同、智能协同和产业协同。

其中，数据的协同分为量级协同、异构协同和云地协同。据王伟透露，360拥有PB级的数据数量，不仅如此，还拥有5-6亿的PC端用户、7亿的安卓手机端用户，他们能够源源不断地生成新的数据。如此海量的、多维的、异构的数据，提高了机器的学习能力，也提高了发现异常的能力。

其实，除前面提到的“渐微”、“渐广”的能力之外，大数据安全还提供了数据拓展、安全分析拓展的能力，这些都体现在了异构协同上。

异构协同，就是指基于多维数据，将分散各点的关系找到。例如，可以根据一个URL找到其注册者，若该URL确定是恶意URL，那么该注册者的其他域名也有可能是有恶意的。其实，域名仅是异构其中的一个维度，另外还有注册人、QQ号、邮箱等等，可通过搜寻信息将这些数据组合在一起，成为一张数据网格。

过去的产品在出厂的时候已经既定了计算能力，而现在，云端有海量的数据，并且能够无限扩展，这是单一设备无法做到的。王伟表示，360可以把云的能力和本地设备的能力集成在一起，生成数据，进行数据加工，然后进行交换和同步。设备端能够将检测到的数据送到云端做分析（例如云查杀），云端经过安全人员运维、机器学习已经确定了的情报也可以推送到设备。

相比前两种协同，王伟表示，云地协同更贴近企业安全管理员，因为他们需要考虑购买设备的厂家能否提供云端扩展的服务，这个设备的可扩展能力和安全监测能力到底如何等等。

王伟表示，360所有的安全产品都是数据的生产者，在完成本身性能的同时能够产生有商业价值的数据，这些数据再汇聚到大数据平台（公有云或者本地大数据平台）上。目前，360的终端产品、天擎、天眼大数据平台，和云端的威胁情报中心几者之间已经打通。

人与机器相交互

智能协同分成三个部分，分别是机器与机器间的协同、人与人的协同和人与机器的协同。

机器与机器间的协同指的是产品要一体化设计，这不仅仅是数据接口的问题。因为一台机器在什么情况下能够生成消息、这个消息的可信度是多少、别的机器要怎样接收这个消息，这些都需要协同。王伟表示，在机器与机器间的协同方面，还有很长的路要走。

在人与人的协同方面，360推出了企业SRC。王伟表示，如果用户购买了360的补天产品，其实就是购买了360为其量身定制的应急响应服务，360会调集资源寻找安全服务商给企业寻找漏洞，并只将信息提供给该企业。

第三个是人与机器的协同。在这方面，360能够提供可视化的、基于大数据的安全分析平台，就是天眼。人与机器的协同，是指结果不是机器算出来的，而是经过安全人员思考之后去触发分析，机器只是从后台将这些分析数据搜寻出来，再提供给安全人员进行分析，如此不断循环，最后找到全局全貌，推送给本地设备。用户能够将这些情报转换为自己所用，比如防火墙，将其纳入防控规则的变量。当恶意样本数量较多的时候，需要描绘出一个庞大的安全网，但是一个人或者一台机器的力量是有限的。因此天眼产品支持多路人员使用，每个人只需分析其中一小块儿，再将结果融合在一起。

而对于产业协同，王伟表示，产业协同其实就是信任开放，能力互补。360可以提供大数据平台，并且开放接口，目前也正在招募具有开发能力的安全服务商，因为他们更了解用户的需求，可以利用数据根据客户业务特性进行二次开发。