奇虎360防火墙_奇虎防火墙的主要功能_360木马防火墙怎么关(7)

第二，提到云、移动、大数据的安全，这里有一个机构，即，尤其是情报机构的大数据是我们建的。如何实现安全？这里的安全不是系统安全，它涉及到数据生命周期的安全，如怎么采的问题。拿回一个硬盘情报员，请问你如何保护这个情报员。数据进来后能否脱敏、分片存，以及这个过程中如果被人拿走读取时，这个人能读到什么。甚至一个照片、一个Word文档，他只能看一小部分，这都叫脱敏。因此我们更关注的不光是系统安全，也包括数据生命周期安全。从采集一直到使用的安全。

我们经历过这样的过程，如从手机助手采集到的数据是无法得知的，首先不知道你的身份，第二不知道地理信息，因为我没有权限。第三只能机器知道、人不知道。很多时候都是数据使用生命周期安全。因此，对银行而言未来也会碰到这个问题，即数据使用的安全性要比业务的安全性更容易出事，而且大银行又是政策监管的焦点，我认为未来风险防控的点可能会在这里出现。如果数据不集中还好一些，但这里由做是最好的，比安全好很多，我与配合便发现他们没有科技感，更多的是业务感。这点很痛苦了，因为他们不知道该怎么做，只能外包出来，但是我们这边有开发中心、技术干部，可以很好的与商业公司配合，把这个问题解决。

陈留才：第一个问题好回答，从银行角度来看都对安全十分重视，但重视过程中也有很多困惑和难题，其中在实施层面，刚才强调SOC建设，银行不会自己生产一套SOC产品，目前市场上有无可以达到满足银行使用这个级别的，不一定面面俱到，就是成熟的产品可供选择？

另外，因为360以防病毒软件起家的，我想目前咱们在企业防病毒方面，除Windows在内的这些平台是没有问题的，有没有Linux、AIX防病毒的产品？刚才也提到木马一般都是跨Windows、Linux等多个平台，针对Windows之外的360做到什么程度或有什么建议？

吴云坤：关于SOC，我们马上会在一个股份制银行落地。从360的角度来看，SOC目前的方向在业内走偏了。原因是什么呢？我们定义的SOC出现了三个条件，已发生风险、疑似发生风险及可能发生风险时，它做两件事：一个是作战支持。作战支持不是日常运维，很多SOC做日常运维干，其实是作战支持。二是协同响应。这两件事是SOC的关键点。因有时外延太大会导致这两点与SIM系统、传统的日常安全运维，甚至业务安全混在一起。一个系统如果做太多事情便代表这个事情做不成了。因此为什么叫已经发生、疑似发生和可能发生？它应该更多的在异常时产生作战支持。作战支持强调的是我们有科技干部、技术干部，也有外部人，但没有工具，需要有工具支撑，如探索数据、找到告警、研究告警溯源。第二是协同响应，因为你有很多传统安全设备，他们的手段其实很好，只是不知道在事件发生时该如何用这些设备，称之为协同响应，真实用数据找到让那些传统设备发挥作用的方法，让它们协同作战。这是SOC的关键点。

其中会有很多技术出现，如全局态势感知，为什么有？因为掌握。为什么需要有威胁情报？因为需要外部数据来支撑。为什么会有交互式分析？以前SOC不强调交互式，那么出告警、做响应、交互式分析这种能力都是作战支持的能力，包括协同响应。这时SOC用户群有三类，一类是日常值守的，看到告警立即打电话；第二类如果知道case怎么办，立即做响应；第三类是分析人员，是交互分析，找到源头，甚至溯源跟踪。这是三种不同的人，三种人的水平也不同，我们认为银行的SOC要以解决好第一、第二类问题为主，第三类问题于安全公司合作，外包出来，我们值守、驻场专家。因此我们SOC就避免外延过大导致不可用、对用户水平要求太高不可用，以及缺乏外部数据不可用。

虽然所有的都需要数据驱动，但从产品概念上说，我们还需要非常良好的定义它，包括用户使用者的场景，最终将技术融进去，如果沉溺于技术，每个SOC看起来都很美，但可能用不起来。有机会我们可以将我们的SOC产品与各位专家做个交流。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-35354-7.html