科技是把双刃剑，当工业4.0时代来临，我们的生活行为普遍联网，智能化的机器生产和服务会让我们尊享“主人”般的操控方式，但同时，我们的行为也在网络上留有了数据痕迹，每一个动态皆是可追溯的，对于我们的隐私而言这又意味着什么呢？

好莱坞明星艳照门知道吧？最近发生的索尼公司被黑事件知道吧？棱镜门事件听说过吧？还有更多事儿，小编就不一一列举了，咱们在看个热闹的同时，有没有意识到自身的隐私数据也会暴露在网络之上呢？大数据时代的信息安全是在互联网进化过程中怎么也绕不过的问题。

当大数据引擎成为企业服务创新发展的核心驱动力，正在影响企业安全市场的格局生变。由于利用系统漏洞的网络攻击范围更广、危害更大，企业安全攻防强度和防御难度全面升级。对于企业来说，大数据变成了重要的生产力因素，在散发出不可估量的商业价值的同时也存在巨大安全隐患，因而要求企业决策从“业务驱动”转变为“数据驱动”。在整个数据生命周期里，企业需要遵守更严格的安全标准和保密规定，对数据存储与使用的安全性和隐私性要求越来越高。

　　先唠唠索尼被黑出翔的破事儿

据美联社的消息，索尼被黑可以称之为企业安全史上损失最惨重的黑客攻击事件，这次事件对索尼造成了严重的创伤，黑客获取了索尼内部大量内部资料，包括员工及明星信息、合约和其他敏感文件。有关事件的幕后黑手以及攻击方法仍众说纷纭，360网络攻防实验室负责人林伟认为，从索尼被黑等一系列近期的安全事件看，现在真正的安全威胁已经发生了“质”的变化：攻击者不再是一个个个体，而是有组织的团队；攻击目的也不再漫无目的，而是瞄准特定目标；攻击表现也不再是炫技，而是潜伏窃取；攻击工具也很少利用已知工具和漏洞，而是利用未知工具、零日漏洞甚至社会工程学。

但真正可怕的是，“攻”进步了，“防”却没有跟上。不可否认，无论是防病毒还是防攻击，无论是已知威胁检测还是未知威胁检测，安全似乎一直处于后知后觉的状态——发现威胁、分析威胁、形成具体的或通用的特征规则，然后才能对这个威胁进行防御。所以，在面对复杂、未知、定向攻击等高等级安全威胁时，传统安全产品频频失手，缓不救急。

在此种背景下，传统的端级防护、单点布防安全解决方案能起到的作用甚微，任何一家企业都无法单独对抗大数据安全的全面挑战，安全产业链协同成为必然趋势。由于安全产业链过于复杂冗长，任何一个环节受到网络攻击都将给整个产业链带来不可估量的损失。利用大数据等现代技术提升企业安全实力，“开放是前提、法律是保障、技术是支撑”，信息安全需要在政府主管部门的统一协调管控之下，由产业链各个环节的企业开放安全数据和技术能力，而要想实现最终的产业协同，互联网巨头的示范责任将颇为重要。

　　360：利用全球最大的云安全体系，建立“感知云”安防

360副总裁谭晓生前不久在一次论坛上曾经提到建立企业安全体系的四个“假设”：第一个假设，系统一定有未发现的漏洞，所以要考虑如何发现漏洞利用行为，如何检测攻击行为；第二个假设，系统一定有已发现但仍未修补的漏洞，需要及时发现漏洞，强制修补漏洞，但漏洞本身也不能盲目修补，以免影响到关键业务系统；第三个假设，系统已经被渗透，因此要考虑的是如何发现系统已经被渗透、如何处理已经被渗透的漏洞、如果重现攻击过程、如何溯源；第四个假设，员工并不可靠，因此关键在于如何发现员工的异常行为、如何检测并阻断来自内部的攻击。

基于这四个假设，要想全面解决安全问题，企业需要的绝对不是一个个单一的安全产品。为此，360企业安全提供了“云+端+边界联动”的综合立体防御体系。只有“云+端+边界联动”的综合立体防御体系，才能帮助企业灵活、快速、最大限度地减少来自安全威胁的影响和损失。

360利用全球最大的云安全体系，建立了威胁感知云，为所有安全产品提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析，来发现边界威胁。通过对终端的文件与通信进行安全监控，利用云端威胁感知数据来发现终端威胁。无论是网络内部产生的威胁，还是由外网带入的威胁，都可以通过联动接口，利用边界和终端的检测结果，利用云端的威胁感知数据和大数据分析能力，利用边界和终端的安全控制能力，实现对整个网络威胁的联合感知和联合防御。

　　看看HanSight怎样做这个时代的安防体系的

HanSight 是想在金融之外做更泛化更具备普适性的企业内外整合安全方案。

目前 HanSight 的团队过去三年里都在做数据安防相关业务。据 HanSight 联合创始人 Eric 描述，他们开发并运维的 Hadoop系统，可以在在海量数据监测、分析时实现“秒级响应”。与此同时，HanSight 也是 Hortonworks 在中国的官方合作伙伴。“实现对海量数据秒级响应对现有的一线大数据团队来说并不是很困难的事，困难的是针对这些数据做出有效分析和应用”。

不同于传统企业服务商的物理整机安全方案，HanSight 仅提供纯软件解决方案。在 Eric 看来，传统机器弹性有限，无法应对业务或攻击规模的突发变化，且仅能分析过去十小时安全日志。而 HanSight 的企业日志分析方案能对企业现存的所有数据进行分析，同时对实时生成的数据进行存储和实时分析。

由于是纯软件解决方案，HanSight 的实际性能在一定程度上受限于客户实际使用的计算集群规模。但 HanSight 的架构能适应标准 x86 处理器，且对企业原有系统几乎不存在性能影响。于此同时，运行 HanSight 的服务器处于企业安放对象服务群的后方，可以对保护对象的异常做实时预警，从而规避因为服务器被 DDoS 等服务攻陷而无法正常保护的风险。

HanSight 的 DataViewer 日志抓取、存储、可视化呈现和自定义分析工具现在免费提供，明年会对外开源。这个工具可以实现上述的海量数据秒级读取和分析，企业 IT 人员可以自定义规则以利用被抓取和存储的工具。明年，DataViewer 会开始以 SaaS 的形式为企业提供标准化服务。之所以日志抓取和自定义分析工具免费，在 Eric 看来是因为“所涉及的技术大多通用、开源，优秀的团队实现起来并不难，真正的门槛在于算法和基于数据的安全智能分析服务”。

目前 HanSight 的安全分析服务主要针对企业内网进行，“外网攻击可以通过防火墙等成熟安全体系防御，但内网情况更加严峻而且复杂”，Eric 说。根据他的描述，当下流行的 APT （高级持续性攻击）会利用企业内部员工的设备漏洞通过内网缓慢找到管理层人员并利用相关信息进行内网提权、资料盗取，同时还可能发生监守自盗的案件。HanSight 会对企业内的每一个员工进行行为模式建模，当员工和员工使用的机器在内网内做出异常行为时就会对企业 IT 和相关负责人进行报警。由于 HanSight 在现阶段只负责 Alert 而不会对异常行为或受控机做出 Action，所以能够方便和企业内部 ERP 等管理系统对接。在客户允许或有需求的情况下，HanSight 会在之后提供安装于受控机的 Agent 端以实现更全面的数据抓取和行为分析。

虽然 HanSight 基于现有日志数据的分析和传统企业安全方案一样属于攻后防御，但部署 HanSight 之后加以 HanSight 的分析增值服务就会形成一套主动的“攻时防护”体系。HanSight 会根据异常行为做出实时报警，并且根据现有数据预测企业现存的漏洞和可能存在的安全薄弱环节。