360企业**集团总裁 吴云坤

由于传统**防护被动防御方式的迟滞，旧的企业**体系已经无力应对全新的、无处不在的、环环相扣的网络攻击。当前维护企业**的**方式是积极防御，要**监测、快速响应，及时进行**分析，对攻击一方进行追踪溯源。但这还远远不够，企业还应做好信息收集和情报分析工作，必要时候可采用法律手段和技术对抗措施，进行反制进攻。

随着社会的进步和信息技术的发展，人们的生活方式都发生了改变，但是随之而来的威胁也越来越大。2017年5月12日，“永恒之蓝”勒索病毒爆发，超过100个国家受到影响，该事件是“冲击波”病毒发生以来，14年一遇的严重网络**攻击事件。6月27日，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国再次遭遇Petya0627勒索病毒袭击，政府、银行、电力系统、通信系统等都不同程度地受到了影响。

勒索病毒连续两个月大规模席卷全球，这在过去是没有过的，可以预见接下来必然还会有类似的网络攻击出现。新时期的网络**已经不仅仅是企业与黑客的对抗，而是影响国计民生的大事，现在国家关键信息基础设施成为了黑客攻击的重点目标。虽然我国已经建立了网络**应急管理机制和管理体系，但目前尚缺乏有效的应急技术手段，尤其是一部分企事业单位和大型机构还存在死角，应急措施往往得不到快速执行。

数据驱动**

用叠加思路构建安防体系

**行业相比前些年已经有了很大的变化，现在形成一个金字塔结构，*基础的传统**，需要在终端、网络上下功夫；中间层是新**，如云**、移动**、大数据**，也是360企业**集团*关注的领域；*顶层的则是业务**，如反欺诈、工控**。

中间层是*重要的。虽然传统的终端和网络的**很重要，但是不智能，云和大数据可以武装底层，甚至改变能力属性。硬件设备是傻的，但云和大数据是聪明的。而没有云和大数据的积累和分析技术，业务**只能是海市蜃楼。

所以我们提出“数据驱动**”这个理念，**行业关口在变化。过去网络**分硬件和软件，所有对抗发生在实验室，研究人员针对外面出现的漏洞、木马加规则，很多都是手工方式去操作。360从2006年开始，用云的方式进行杀毒，就跟传统**不一样。*大的变化是由人工方式变成数据方式来研究攻防。

当然，维护网络**离不开人的参与，过去**行业，做产品的人只做研发，黑客做攻防，但现在还将需要两类人，**类是大数据专家，可能不懂**，只会做机器学习、可视化分析等；**类是运营人员，每天用数据不断对抗。这两类人是因数据驱动**而出现的。

企业应加强**技术人才的培养，弥补企业在这一方面的短板。要加强网络**分析师和**运维工程师的队伍建设，在出现一些紧急情况时，可以实现72小时紧急响应。

今天企业面临的**威胁的形式、数量和攻击手段等都发生了巨大变化，能够绕过传统**设备的威胁越来越多，这些未知威胁（尤其是APT攻击、定向攻击等）已经成为拥有高价值信息资产的企业和敏感机密数据的政府机构的*主要**威胁。这也迫使**防护必须在传统**技术方法基础上，用互联网的方法来解决，企业安防从思想到防御体系都需要基于互联网+思维重新构建。

大数据时代

数据与**结合更加紧密

在永恒之蓝事件爆发后，360利用自己在**大数据和态势感知领域的优势，很快推出了“永恒之蓝”勒索蠕虫传播专项态势感知，并以此为基础建立了应急响应体系，同时将态势感知系统推送给了相关主管部门、行业和大型企业，帮助他们及时了解把握蠕虫传播态势，从而做出有效处置和响应行动。

而这一切都是基于360过去十年的积累，样本数量超过百亿，并且每个样本不单单是文件，连运行时状态、参数以及行为都会记录下来。

除了数据收集**之外，360在数据分析上也走在前面。360从2011年开始就在用机器学习来做软件识别，2014年开始用机器学习做流量分析，用深度学习做识别，直接把大数据优势转化成**优势。

*后，将研究成果产品化产生使用价值，360的网络**态势感知系统*近已经在**各地落地，完全由大数据主导，当黑客进入网络里一旦实施犯罪，在窃到数据之前就可以把网络切掉并且追踪溯源，为抓获罪犯提供线索和证据。360企业**还有一支对抗演习团队，专门和有智能的机器对抗，过去产品可能是一个月升级一次，现在是按天升级、甚至数小时就会升一次级。

现有围墙式防护思路已经无法应对国家背景的**威胁以及日益新增的业务和生产的**问题，**工作不仅需要从过去的IT**向网络空间**演进，更需要考虑业务风险控制和工业生产**，并形成顶层设计；从叠加进化的角度评估自身和**规划，找到冰山下的问题，并形成改进计划；从数据视角确保不同**防护体系的有效运作，并形成**协同的体系，唯有此，企业才能在无孔不入的网络攻击中安然无恙。