云计算、大数据、移动办公、物联网、工业控制等技术的发展，改变了网络安全的外延和内涵。同时，新型网络安全攻击技术和手段层出不穷，病毒变种增多，攻击智能化，过去对信息安全威胁和风险的认知已不再适用。

这种背景下，基于传统IT架构的信息安全体系出现明显不足：

既有安全策略及资源有限，难以应对各种变种攻击；

非实时更新的本地AI模型使AI攻防处于被动；

缺少联动，情报无法实时更新；

本地安全事件误报漏报，断档的攻击链给高级威胁分析造成困难；

依靠单一产品难以发现未知威胁。

因此，在风险不断泛化的严峻现状下，建立基于云、管、端的纵深协同防御体系成为趋势。

云安全能力中心是目前业界主推的一套云、管、端一体的联动防御体系。它通过海量数据汇聚、构建云端闭环结构、打造情报生态系统；结合大数据、人工智能、多引擎、云计算等核心技术，构建起全局的基于云的安全能力中心。

安全需要“云、管、端”协同

传统网络安全体系由防火墙、入侵防御、WAF等设施组成，往往是以边界防护为核心，各自为政、相互孤立。使相互孤立的网络安全设备联合起来，拥有全网态势感知能力、拥有未知威胁检测能力、拥有联动防御能力，同时提升检测效率、降低运维成本，这是云安全能力中心设计的初衷。

云安全能力中心基于下一代网络安全架构建设，而“云、管、端”联动是下一代网络安全架构区别于传统安全架构的核心能力。在新一代的网络安全架构中“云、管、端”三个环节彼此依赖、协同防御：

1．终端设备遇到未识别的灰度文件时，通过云查杀、云沙箱获得分析结果，较快更新本地防护策略。

2．边界设备实时把安全日志、异常行为日志、异常流量日志上传至云端。

3．云端除了提供实时云信誉查询服务，还利用外部威胁情报、终端和边界设备的异常日志，进行大数据分析，做出攻击预测报警，实现云管端智能协同、主动防御。

云安全能力中心的关键能力

云安全能力中心部署在云端，能充分利用云端的计算能力和整合能力。将涉及大量计算处理的网络病毒查杀、未知病毒沙箱分析、威胁情报处理等安全功能交由云端完成，在不需要企业增加太多安全资源投入的同时，就能为企业按需提供云查、云沙箱、威胁情报等安全能力，帮助用户发现已知与未知威胁。

现阶段国内外大多数安全厂商都推出了自己的云安全能力中心方案，其核心能力有以下几点：

1. 海量云查特征库，赋能本地设备

本地安全设备威胁检测能力需要依托本地化规则库，无法实时跟进新的变化及时更新，因此通过大数据来加固本地化安全能力成为趋势。

一方面，依托海量的云端大数据识别本地无法有效识别的灰度威胁，当在本地设备查询不到网址、病毒等信息的时候，设备可以主动向云端查询，云端进行快速匹配，并将结果反馈给本地设备，这就形成了云端海量特征库向本地赋能的效果。另一方面，通过云端赋能持续升级安全设备的能力，从而打通本地化能力壁垒，构建可实时和外部安全资源互通的能力。

2. 云端沙箱阵列，检测未知文件

沙箱是一种检测病毒变种与未知病毒的有效手段，然而不少企业由于资源投入有限等问题，无法在本地实现沙箱部署。但是，在面对网络威胁时，又需要对未知威胁的检测能力。此时，云端沙箱成为一项很好的选择。与传统的反恶意软件检测不同，云沙箱可以提供完整的多维检测服务，通过模拟文件执行环境来分析和收集文件的静态和动态行为数据，在发现未知威胁的同时，又不会占用企业宝贵的计算资源。

当云安全能力中心融入了云端沙箱及动态威胁检测技术后，可以让安全设备通过网络接口与云安全能力中心交互，将拦截到的文件上传到云端。云端将待检测文件送到沙箱中进行检测，检测结束后，将检测结果反馈给安全设备，以便安全设备进行安全处置。同时，云沙箱对文件运行过程中的网络、主机行为进行智能化的威胁判定，产出可直接用于失陷检测和应急分析的IOC，还可以进行全局威胁情报共享，将一个接入点检测到的未知威胁情报信息共享到所有站点，将未知威胁变已知威胁，快速阻断。

3. 云端情报利用，增加防护能力

威胁情报通过信誉机制提供了准确度很高的威胁信息，比如：恶意IP、URL、DNS、文件等。有些威胁情报服务还提供攻击过程说明和攻击目标，以及建议企业如何防御，可以帮助企业发现关键威胁，对已有报警进行误报筛除或分级，为事件响应提供决策、提供安全预警能力、提供自有情报运营能力等，为企业建设安全运营中心提供平台支撑。

云端情报依托云端大数据平台，可以进行多元情报融合，确保最终输出高准确度的判定结果，提供多方面线索协助客户对威胁事件进行排查确认，同时可以进行云端协同，快速同步新的情报。

智能、协同、联动的云安全能力中心

在一般云安全能力中心的核心能力上，新华三增加了智能、协同、联动的独特功能，把云安全能力中心推到了新的阶段。

1. 丰富的AI引擎

人工智能在网络安全领域的应用有非常突出的优势，利用人工智能能够对原本模糊、非线性的海量数据进行甄别，非常有效地提升了大数据的安全检测效率、准确度，并能够进行自动化的检测。面对未知威胁，采用云计算和大数据分析技术，可以在很大程度上解决数据来源广泛性、数据充分性、分析模型有效性的问题。其中建模分析尤为重要，毕竟数据不经有效的分析就永远是数据，甚至是垃圾数据。在这方面除了传统的统计、聚类、贝叶斯分析外，前沿厂商都在尝试全局关联分析、启发式机器学习等分析模型。在新华三的云安全能力中心中，AI的应用主要用在这些方面：

（1）利用AI进行未知威胁检测。通过AI技术对大量黑白样本进行训练，提炼文件多维特征，构建病毒画像，抵御勒索、挖矿及新型病毒变种，达到检测未知文件能力。另外，通过AI模型可以进行URL分类、DGA域名检测、恶意Webshell检测、恶意PE检测等。

（2）利用AI进行智能运维。通过终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析，新华三云安全能力中心可以使溯源取证与风险预测可视化。通过平台的AI分析能力，还原攻击链，对事件进行溯源分析，实现威胁检测、响应、溯源的自动化安全运营闭环，提升运维效率。

（3）利用AI进行情报生产。云安全能力中心依托云端数据，对安全日志中URL、域名等信息进行提炼，综合沙箱分析出的IOC生产新的情报，实现情报实时更新。

（4）利用AI进行数据隐私保护。云端作为各个态势感知局点的信息共享和计算协同中心，构成联邦学习架构；采用差分隐私等技术确保AI模型参数传输过程中不泄露用户的隐私。

2. 云管端协同联动

新华三云安全能力中心通过打通网络、端点、云端的安全资源，并基于算法、数据、联动机制，结合全球情报构建了整体的协同防御能力，将各维度能力进行深度聚合，实现情报共享、威胁互认，最终实现风险的自动化处置。

结合安全设备之间、态势感知和云端的智能联动，可构建安全事件快速响应机制，包括边界安全网关对可疑IP的一键封锁，终端安全软件对可疑文件的一键隔离/查杀等。与传统的应急响应流程相比，联动快速响应不仅能够缩短安全事件的处置时间，避免事件危害的进一步扩散，而且还能提升安全设备的利用效率。

图1 云安全能力中心协同联动

借助云安全能力中心立体安全防护解决方案的威胁情报功能，系统可较快获知全球新发生的威胁事件，对于紧急严重的情报可以在云端用标准的格式化语言下发到终端，给出推荐处理方案。

图2 云安全能力中心策略更新

观点

传统的以边界防护为中心的安全体系存在固有缺陷，但并非毫无价值，它们能够很好地应对已知威胁，并发挥着重要作用。云安全中心解决了传统安全设备无法联动以及缺少全局视角问题，实现了“云网端立体防护”、“云端分析边界防护”、“态势感知主动防御”的安全防护能力。现阶段云安全中心技术更趋于成熟，使得防御从孤岛转向智能化协同联动，构建更有效的安全防护体系。