2018年的RSA大会将于美国时间4月16日在旧金山召开，今年的大会主题为“Now Matters”，意味在数字化时代的大背景下探索新的网络安全发展领域。

本次RSA大会，全球有577家机构参展，对比去年下降15%，参会机构包括云服务商、运营商、ICT厂商、协会组织、研究机构、大学等，美国国土安全部和国家安全局也参加了展会。

近三年RSA参展机构数量对比图

本次RSA 2018参展机构超过10家的国家对比2017年，除以色列增长15%之外，全部有所下降。以色列连续三年RSA参展机构的增长，可以看出以色列在科技创新领域的迅速发展。

从各大洲的参展比例来看：北美占全球79%，欧洲占12%，亚洲占8%，澳洲0.3%，非洲0.2%。

本届RSA的中国参展企业27家，较去年下降13% ，据了解有两个因素，第一是美国签证较严格且繁琐，大部门安全厂商被拒之门外；第二，有些厂商难以找到报名渠道，所以错过了本届RSA的亮相。即便如此，中国参展机构数量排名，仍然稳居第二，并约有60多家安全公司的技术人员纷纷前往RSA会议现场学习并参与演讲。

中国本次RSA参展的27家企业中，其中，有5家独立报名参展，其余22家通过中关村海外科技园的报名渠道参展，这也是中关村海外科技园连续9年带领示范区企业以中关村整体形象亮相RSA。

中国参展机构一览：

• 360企业安全
• 阿里巴巴
• 安天
• 飞天诚信
• 绿色网络
• 山石网科
• 华为
• 文鼎创数据
• 微步在线
• 青藤云安全
• 芯盾时代
• 卫达安全
• 联软科技
• 恒安嘉新
• 安博通
• 顶象科技
• 安恒信息
• 绿盟科技
• 国舜
• 三未信安
• 盛邦安全
• 指掌易
• 安点科技
• 北方恒扬科技
• 浩瀚深度信息
• 长亭科技
• 升鑫网络

每届RSA都备受网络安全行业的关注，原因是它能够吸引到世界各国知名的互联网企业参与其中，我们从这577家参展机构所涉及领域中，统计出了95个安全热词，其中TOP10安全热词分别是：

从图中可以看出其中数据安全、云安全、网络安全名列前三在参展的近六百家机构中，就有近46%家机构涉及数据安全、44%云安全、42%网络安全。

2018 RSA 热词图

由绿盟科技与360集团共同举办的 2018 RSA 热点研讨会召开。安全牛将绿盟科技高级副总裁叶晓虎与360集团高级副总裁谭晓生，在会上分享的精彩观点理解并概括如下：

1. 告别炒作 走向务实

RSA在连续几年参展商数量上升的情况下，今年的参展商数量稍有下降，但参会人数持续上升。此外，前几年一直都有新技术或新概念的出现，但今年没有。从某种角度来解读，意味着安全正在走向务实。比如，银弹理论的终结，更多的关注新技术的应用，业内要全面展开合作，才能应对日益复杂的网络环境等。

每天进步1%，逐步完善安全。 ——RSA总裁 Rohit Ghai

2. 围绕AI/ML的技术应用

RSA的热词集中在人工智能(AI)、机器学习(ML)和大数据上，安全新技术应用以人工智能或机器学习为核心，主要包括威胁情报、用户行为分析、终端检测与响应、分析与捕捉、自动化编排等。

3. AI+人工

环境复杂度不断提升，运维人员无法应对大量安全事件，响应速度要求越来越快，AI可解决大量已知问题，减少人员工作量，但目前还需人工干预，以及白名单的思路。

4. 安全已不只是支撑而是驱动

当前主流的安全模式只能保护企业，不能帮助他们发展。但未来，在数字化转型、万物互联的大浪潮下，安全将成为创新的驱动力，令机构可以进行必要的冒险，保障其创新环境。

5. GDPR的深远影响

数据监管与隐私保护，将改变科技企业的运营模式，推动安全行业的发展。此外，GDPR仅次于宪法的效力，还将在政治法律层面对全球各个国家与政府的政策产生影响，

GDPR是近二十年来数据隐私规则领域发生的最重要变化。 ——埃森哲

6. 安全教育与意识

国际网络教育者协会(CEI)在RSA上推出一项行业驱动的举措，为有志于从事网络相关课程的教育工作者构建线上的全球社区，同时全球CISO组织会为这些教师提供网络安全知识课堂的各种资源。

网络安全意识成为一个新兴安全细分领域，国内外已有多家提供商涉及该领域。国外的如Knowbe4、Fishme等，国内的则以谷安天下为主要代表，还有新兴的初创公司红山瑞达等。

7. 网络安全领域的割裂趋势

地缘政治已经由于网络的发展发生变化，敌对国家之间的对峙态势因此而发生改变。目前，以美国、俄罗斯、朝鲜、伊朗、中国等国家的网络活动尤为活跃。网络冷战，间接或直接影响到网络安全提供商在各国的市场拓展。

8. 挑战 Vs. 机遇

！无法跟上业务的快速发展

！新技术的在安全领域应用的效果不明显

！不断改进的攻击手段

Vs.

√ 新技术的应用将更加广泛

√ 法律法规的健全

√ 在主管机构的指导下更好的顶层设计与协同

谭晓生精彩语录：

绿盟一直都是我最敬佩的安全公司。

咱们行业基本不担心失业问题。

安全领域是个非常碎片化的市场，大家合作才能更好地共同推动整个安全行业的发展。

参与RSA大会创新沙盒竞争，争夺“最具创新性”公司头衔的初创公司。

Acalvio

产品/服务亮点：

Acalvio的Shadowplex以欺骗攻击者为原则，主动与攻击者交互而不是被动观察他们的动作。通过提供“另外的真实”，Shadowplex试图诱骗恶意软件、漏洞利用程序和攻击显出真身，交出它们的小秘密。为了扩展这一行为的规模，Acalvio开发了自动欺骗，将欺骗与人工智能和软件定义网络(SDN)技术相结合。

成立年份：2015

Awake

产品/服务亮点：

Awake Security 专注于显形那些试图混入正常应用或网络流量的攻击，方法就是基于网络行为构建每个进程的基准情况——“Entity IQ”，然后其“Detect IQ”查询可疑行为数据库并转发高级别警报给安全人员，供其进一步分析。

成立年份：2014

BigID

产品/服务亮点：

个人信息保护始于知道个人信息体量及位置。二者都是难以收集的信息，而缺了这些又无法实现安全及监管合规。BigID跨多种数据类型进行无代理搜索，找出信息存储地，然后应用机器智能识别数据存储中哪个部分是个人信息。可基于BigID的结果利用云连接器和富API对企业数据进行分类和保护。

成立年份：2016

BlueVector

产品/服务亮点：

安全数据的总量可能成为制约安全分析师生产率的因素，分析师若花费太多时间在剪切粘贴上，就剩不下什么经历来实际分析安全问题了。BlueVector试图解决该人力资本问题。AI驱动的系统会发现、分析、关联上下文并开始修复安全问题。收集引擎将信息传送给容器中运行的一系列检测引擎。然后概率引擎确定数据的“追捕评分”。根据评分，可确定事件是被自动限制，还是交给人类分析师进一步分析，或者只是简单地记录一下。

成立年份：2008(作为美国诺斯洛普格拉曼公司的一部分)

CyberGRX

产品/服务亮点：

基础安全必须包含第三方应用和企业基础设施组件的安全。公司企业不是孤岛，其攻击界面延伸至整个应用生态系统。CyberGRX旨在构建一套安全交换模型，信息只用被验证一次就可广泛共享。企业加入进来后可获取到供应商或合作伙伴的信息。该公司利用AI分析整个杀伤链，查找新威胁和现有威胁。

成立年份：2015

Fortanix

产品/服务亮点：

Fortanix认为有必要解耦安全和基础设施。该公司的运行时加密引擎保护各类数据，无论数据是存储起来的还是传输中或使用中的。Fortanix将应用放入受保护的封装中运行，与公司基础设施相隔离。该封装随应用而动，无论应用在哪里执行都忠实履行其保护职责。

成立年份：2016

Hysolate

产品/服务亮点：

为什么物理隔离依然被认为是终极安全技术？Hysolate认为这是因为我们不信任底层操作系统，因而必须将之与威胁隔绝。Hysolate引入了软件定义终端。一台运行在裸机虚拟层上的Windows终端。终端安全系统要么被摒弃，要么被拉到有效性更强的虚拟管理层级。整个过程用户不可见，不需要重新培训如何使用。

成立年份：2016

Refirm Labs

产品/服务亮点：

IoT设备上的固件无法直接保护，所以称为了攻击者钟爱的目标。Refirm Labs 的Centrifuge平台可快速分析并持续监视企业网络上的所有IoT设备。该无代理系统可检测加密密钥、口令散列值、已知漏洞和潜在零日攻击。

成立年份：2017

ShieldX

产品/服务亮点：

ShieldX是可帮助公司保护部署在多云架构上各种应用的云安全平台。ShieldX先发现企业数据，然后用机器学习将资产按逻辑分组，创建策略定义。于是，策略定义和资产一起组成了应用程序的意图。容器化的微服务被用来建立意图包，将意图转化为实现安全策略的动作，让保护得以扩展。

成立年份：2015

StackRox

产品/服务亮点：

StackRox的前提假设是，安全必须像应用一样构建部署。安全栈必须可配置、模块化、高度可扩展。每一层的安全组件都要避免锁定开发者，以便可以适应不断变化的情况。StackRox用分布式感知模型抽象出所有构件，在每一层安全栈上捕获可见性及洞见。该公司进一步抽象出对手意图模型，打破攻击者必须采取的每一个攻击步骤。安全人员可从业务风险的角度而不是攻击的细枝末节纵览安全风险。

成立年份：2014

赢家是……

BigID被评为最具创新性初创公司。该公司加入了被评委会认可的成功公司之列。RSAC以Crunchbase提供的数据判定，仅过去5年中，该项竞争的10强已见证了15起并购，收获了超过12.5亿美元的投资。

宣布胜者的声明中，RSA大会董事兼总经理 Linda Gray Martin 称：“在激烈的竞争中，BigID展现出了帮助企业更好地保护客户及员工数据的独特能力。我们相信BigID在未来会给网络安全行业带来一股新风。”

来源自网络

RSA 2017（美国）将于2月13日在旧金山召开，本届大会的主题为“机遇的力量”(Power of Opportunity)。有意思的是，Opportunity的后5个字母是“unity”，意味着去年大会主题“协同”的延续。

本次RSA大会，全球约有680余家机构参展，比去年约增长23%。参会机构包括，云服务商、运营商、ICT厂商、协会组织、研究机构、大学等，美国国土安全部也派出两个下属部门分别参展。

以国别来看，参展机构数量中国排名第二，较去年增长了82%。韩国增长速度最为迅猛，达到800%。排名第三的加拿大达到了86%的增长。而德国参展厂商数量今年则下降了42%，可能是因为6月份还将在伦敦举行一场RSA大会的缘故。同理，由于亚太区的RSA将在7月份于日本举行，日本厂商均未参加RSA美国的这次展览。

超过10家参展机构的国家：

美国506家，比去年增长20%；

中国31家，比去年增长82%；

加拿大28家，比去年增长86%；

以色列20家，比去年增长43%；

英国20家，比去年增长10%；

韩国18家，比去年增长800%；

德国18家，比去年降低42%。

参展比例，北美占全球79%，欧洲占9%，亚太占8%，中东占3%。

（注：出于各种原因，有些企业使用不同的身份或分支机构注册和参展，因此本文中的数字统计可能会略有偏差。）

中国参展机构一览：

• 360企业安全
• 阿里巴巴
• 安天
• 安博通
• 三未信安
• 天融信
• 国舜股份
• 武汉绿网
• 北信源
• 东方电气中央研究院
• 中国网络安全行业联盟
• 达闼科技
• 治科资讯（台湾）
• 安恒
• 飞天诚信
• 山石网科
• 神盾股份（台湾）
• 恒安嘉新
• 华为
• 广积科技（台湾）
• 溢思得瑞
• 绿盟科技
• 安埠科技（台湾）
• 微步在线
• 握奇
• 盛邦安全
• 凌华科技
• 中安工控
• 中关村管委会
• 中新网安

年度会议“RSA 2017 热点研讨会”昨天在北京万寿宾馆召开。本次会议首次由绿盟科技与360企业安全联合承办，360董事长周鸿祎到场致辞，显示出对本次会议的重视。

下面是安全牛记者在本次大会中记录的精彩观点。

一、传统大厂商的崛起给安全产业带来的影响

360首席安全官谭晓生在演讲中表示，大多数创新公司并未产生出颠覆性的技术，反而是传统大厂凭借集成整合能力，领导行业发展方向。如思科、IBM、英特尔、戴尔、微软、赛门铁克等。

在传统大厂重新崛起的背后，是安全创新概念和创新产品未能成为银弹，用户意识到做好网络安全还要苦练基本功。其中，身份认证、漏洞管理、日志管理、黑白名单等各种安全防御系统的集成、联动和自动化是巨大的挑战。因此，应对新的安全威胁需要整体解决方案，需要平台级厂商。

谭晓生认为，大厂崛起对产业产生以下影响：

• 创新公司需要重新思考自己的定位

• 产业合作和协同将更加深入

• 新技术普及应用的速度会加快

• 市场格局会走向几个巨头+若干细分领域玩家（碎片化是一定的）

• IT大企业与互联网公司进入安全领域无可避免

【精彩语录】

安全这个产业，任何一家公司不可能垄断和统吃⋯⋯希望能够以RSA研讨会为契机，大家协同发展，奔向光明的未来。

——360董事长周鸿祎

二、从产品交付转向价值交付

绿盟科技副总裁叶晓虎表示，安全领域的协同存在很大的问题，即大部分客户还在采用基于线下的、传统的模式。这种模式效率低下，且在时效上完全落后于线上。

线下与线上的对比

• 线下检测方式：

厂商内部通报客户代表>>客户代表通告企业客户和工程人员>>工程人员下载升级补丁>>升级扫描设备>>获取扫描授权>>扫描页面分析>>漏洞检测>>反馈结果>>执行修复>>复验修复结果

• 线上服务检测：

预授权>>建立资产档案>>云端引擎自动升级>>直接获取目标页面进行检测>>通告>>修复>>复验

叶晓虎认为，中美企业或机构在安全运营上最大的差异是MSSP（安全托管服务商）在客户和厂商之间的介入。目前安全厂商面临的挑战就是，要从产品交付转向价值交付。相应的，客户则需要改变对服务的观念，改变预算决策机制及预算结构；需要将安全运营能力、工具与现有的开发体系整合，实现高效自动化安全开发和运维；监管合规的限制。

【精彩语录】

网络安全这个领域，政府不仅起着协调作用，还是主导力量和顶层设计者。

——公安部网络安全保卫局总工郭启全

三、可落地的态势感知平台

360企业安全副总裁韩永刚在接受采访时介绍，态势感知是一个军事术语，是指在动态变化的环境里，对情况的变化做出快速的判断，以支持决策和响应。对应到网络安全工作中，则首先要对自身的整体安全有全面掌握和理解，然后再以此为基础，去加强自身的安全运营和应对处置能力。

态势感知的关键因素有几点，一是各种数据的采集和存储；二是整合不同数据之间的格式和类型差异，做关联分析，发现问题；最后是真正的捕获威胁，甚至是了解和掌握攻击者的背景。

要做到上面的效果，不仅需要有全面的数据做支撑，包括内部的数据和外部的威胁情报，还需要全流量分析、终端检测响应、大数据处理与关联等技术能力。数据+系统+人员，缺一不可，才能将态势感知真正落地。

谈到安全系统在云中部署的适配性和兼容性，韩永刚认为，云服务类似于建筑行业，施工方（云服务商）与监理方（安全厂商）最好是分开的，而不是一家包管，才能为客户提供更好的服务。因此，目前云安全的问题不单是技术产品之间的匹配问题，更多的是企业间协同合作和监管合规策略上的问题。

【精彩语录】

人工智能时代，最有前途的就是民营企业。

——翟起滨

四、安全新旧力量的融合与进化

360企业安全副总裁左英男在演讲中，介绍了两大传统安全子市场，边界安全和终端安全，新旧代表厂商的进化和新旧技术的融合。

• 边界安全

作为新力量的代表，Palo Alto Networks目前的努力方向为下一代安全平台。其中，IPS深度集成；流量深度分析；威胁情报服务；高级终端防护，为主要技术点。

CheckPoint则作为传统力量的代表，从25年前发明防火墙，到状态检测、AV/VPN/IPS、网站过滤+UTM、NGFW与移动安全，再到现在的威胁情报与威胁防护。

边界安全的进化趋势为平台化，并以三种能力为关键，即全局能见度与可视化、威胁的持续发现能力和自动化响应处置能力。

• 终端安全

左英男选择下一代终端安全Carbon Black为新厂商代表。它的主要特点是流防护(Streaming Protection)技术，把终端的软件行为打上标签，提交给自己的云分析引擎做出判断，可以发现未知软件的攻击。

而传统安全厂商赛门铁克，则在其EPP的基础上增加了EDR，包括增强基于云端的信誉和威胁情报能力，以及增强高级威胁检测和响应能力。

终端安全的进化趋势为EPP与EDR走向融合，它的三种基础能力为，云查杀、威胁情报和自动化响应。

来源自网络

由绿盟科技承办的年度安全大会 RSAC 2016 昨日召开，会议主题为“连接-协同-防御”，由北京大学信息学院陈钟教授主持。下面是安全牛记者在现场的记录：

致辞部分

公安部网络安全保卫局赵林副局长在致辞中表示：

当今网络安全形势的几个重要变化，一是网络安全成为搏弈和区域合作的重要议题，包括中美、中英、中俄、中德，以及东盟上合组织、达沃斯论坛等都将网络安全作为重中之重的一个议题。同时这些区域性合作组织也把网络安全作为加强互信增进合作的重要抓手。所以网络安全问题已经远超出了一般层面的技术和产业发展，已经变成国与国之间斗争中合作的新领域，合作中斗争的新常态。

第二，互联网快速发展使网络安全不断面临新的挑战，甚至带来了颠覆性的影响。网络安全越来越像金字塔，BAT3占据金字塔的上方，大量创新企业在艰难起步。如何利用互联网的快速发展，加快网络安全不断的成长和进步，是未来的重要任务。相对于发展来讲，网络安全更需要给予更多的关注和支持。

我们常说“发展是硬道理，硬发展没道理”，但是我觉得网络安全就是要硬发展，否则生存会面临问题。

第三，是对网络社会概念的理解目前还不够全面和准确。从工作实践来看，网络空间虚拟社会并不能准确的表达网络社会的本质属性。网络是由人构成，具有复杂的社会属性，需要整个互联网行、IT行业都来关注网络社会的发展，网络安全是保障网络社会健康有序发展的守护神。

第四，网络犯罪日新月异，案件破获的难度越来越大。目前网络诈骗电信诈骗呈地域化和团伙化趋势，黑色产业链发挥着非常重要的帮手和作用，我们重打击轻防范的局面没有根本性改变。要发展我们自己的信息安全产业，就要走出去借鉴国外最新的理念技术。

计算学会计算机安全专业委员会严明主任在致辞中表示：

在计算机和计算机网络的研发推广应用的过程当中，我们必须承认，美国确实是我们信息安全和网络安全的老师。但在我们不断的学习实践和信息化建设当中，我们自己也在成长壮大。

“学生总是要毕业的，学生里面有一部分人将来可能是会要赶上甚至超过老师的。”

首先承认我们是学生，但是我们不想当那个总是被欺负的学生。特别是在我们的国家日益强大在我们走向中国梦的时候。

他山之石可以攻玉，重视学习，善于学习，是我们中华民族的优良传统。希望通过交流研讨国际网络与信息安全的新趋势、新技术的信息，为我国信息安全和网络安全的趋势动态和热点问题提供有价值的参考和借鉴。

绿盟科技副总裁黄一玲致辞：

RSAC前年的主题是新生，去年的主题是格局·机会和共赢，今年则是“连接·协同·防御”，这些主题凝聚了很多专家领导和同行企业的智慧。

“本次大会的主题反映了当前以及未来的科技趋势，任何行业未来都需要与安全连接，安全已经成为大安全的概念。”

演讲部分

一、《打破死环，迈向连接协同防御》

——绿盟科技首席技术官赵粮博士

为什么安全事件频发

成本太高？不是，投入巨资的非常强大的安全系统，也照样被入侵，塔吉特就是典型的例子。安全团队消极怠工？不是，一些的响应人员都在疲于奔命。设备功能不够？不是，每次安全事件中都有各种触发告警。是后果不严重？不是，CEO、CIO都有辞职的。

一个可能的原因，情报不足或者误判。在企业IT安全运营中告警是非常多的，诸多的网络安全事件把安全管理员淹没。但这是真正的原因吗？

把眼光放大一些，当一个有着庞大业务和IT系统的机构成为攻击目标的时候，从攻击者的角度怎么看。塔吉特是通过第三方供应商的HVC系统实现入侵的。

有非常多的手段和方法来实施攻击，被攻击者很难进行全面的防御和覆盖。在中国实际的生活环境中，大部分人深受其害。比如，了解个人信息的垃圾电话。这意味着攻击者可以用非常低的成本获取目标访问权限的机会，并带来高回报。所以我们可以预见勒索软件会大规模爆发，因为个人隐私数据的大规模泄露和低成本的获得，这就是目前我们身处的大环境。无需高大上的技术和工具，或非常高的成本，就能实现攻击。

网络安全立法可能带来的负向激励

如果出现了网络安全事件会导致刑法处治，从客观的效果上来看会造成事实上的负向激励。攻防战场上有黑帽子和白帽子，灰色市场有几十万人和几百亿的收入，正当的安全从业者是几万人左右。如果存在直接被执法部门抓起来的可能的话，负向激励的效果不可避免。

攻击者会分析你的信息，以往都有哪些活动，然后精准的利用钓鱼攻击达到目的，这是一个非对称的战争。

就是每年发生的安全事件里99.9%都是利用的已知漏洞，这说明安全团队没有足够的资源实施漏洞的监控和升级剖析。

现在从管理层到整个技术层认可的一个事实，所有的网络安全体系是失败的，因此没有必要做100%的安全。既然一定会出现安全事件，最关键的就是出现事件以后怎么办。

比如发生安全事件后，如何通知监管机构、客户和公众，怎么做好沟通、控制风险。或是当出现安全问题的时候怎么去战略性的动员，以及达到消除威胁的目的。

“在当今的网际威胁场景下，业务必须具备网络攻击之下的复原力才能持续成长。提升事件响应能力对于复原力很关键。这是我们的使命，促使我们的平台持续创新，以帮助客户业务更智慧、有备无患、更有效的响应。”

—— 布鲁斯·施耐尔(Resilient Systems CEO)

攻击者是独立的，他需要作出攻击是否会成功而不会被抓起来的判断。如果攻击者非常顺畅的得到想要的东西，之后就会有更多的攻击发生，这是破窗效应。但如果我们开始调查分析这个事件，并通过升级相应的防御体系和检测体系，最后准确的找到出攻击源，把攻击者抓起来，就会迫使攻击者退出这个战场。

我们作为整个防御主体会屹立在战场。在碰到一系列的安全事件的时候，能不能充分地重视，能不能有效地调动信息资源、安全资源建立安全事件的样本，丰富我们的情报库和权限安全防护系统，这才是我们的主战场。我们想在实现大规模、普遍性，还可以接受成本的情况下作出这样的防御，我们别无选择。因此需要把大家联系在一起，实时的在线的，共同做好这个工作。

Connect to SYNC

要知道哪些是重要的，哪些是高的，哪些是弱的。还需要用自动化的系统做这个工作，不管是软件定义还是做所有的流程，都需要在线需要连接，只有连接才能被保护。

“以前的物理隔离是不成立的，或者说在某种程度上是不成立的，至少手机就可以联结在一起，最终我们是相互连接的一个生态。”

连接看起来那么自然但是又不那么自然，连还是不连是个问题。往前推五年，云计算很可能是一个阴谋，因为只要增加了联网的时间和次数，就增加了攻破防线的可能。但现在我们知道了，云计算是我国的战略，我们要提升我国IT发展和经济运行的效率，我们需要做的是搞好云计算的安全。

如何连接

我把它分为四个阶段：物理连接、业务逻辑、威胁情报和协同防御。物理隔离已经不再安全了，有好多通讯可以跨过隔离。我们需要把安全系统联结在一起，在这个基础上梳理安全业务，把工作日志、审计策略等各种各样的更新流水线化，在此基础上做好情报的分享。

我们要知道敌人在干什么，知道轻重缓急做好判断，把更多的生态要素拿进来放在一个战场上，一起迈向连接协同和防御，共同对抗我们的敌人。

我们需要充分利用人地云机四个要素，设计好在云中各种各样的能力和资源，克服在本地部署的设备，利用宝贵的专家资源，大力建设各种各样的安全系统情报系统和安全分析系统。在此基础上，把提供者和消费者时时联结在一起，把时间窗口降低到分钟级。

现在的攻防环境下，每个用户都可以变成一个贡献者，因为他可以起到网络威胁探针的作用，每个人即被保护也保护别人。我们现在要做的安全不外乎是这么一个原理，通过已知的风险和威胁看有哪些未知的风险，这是基本原理，问题是你有多少专家和系统资源做这个推导，你拥有多少已知。当我们这个生态有足够大的已知，并且能够调动足够多的资源，又比竞争对手更快、更有效、更低成本的话，就可以把他逐出战场。

我们在去年发布了一个安全防御体系，在这个体系上看到安全的消费者紧密的通过在线联系在一起，更多专家资源在这个平台上紧密的协作，我们叫连接已达成智能分享，连接响应已达到可运营的应用，希望大家组合在一起形成一个健康的生态环境，保护我们的互联网。

二、《从RSA看网络安全合作与协同》

讲到安全生态，就离不开合作和协同，生态建设是一个非常庞大、非常复杂的问题，我结合参加RSA以及过去工作的一些经验，给大家分享一下我的看法。

国内通过几年的参展，今年参会的人数和级别达到了一定程度的规模，而且水平也是在逐步走高。另外讲到安全的合作协同和攻防现实，大家都很清楚，攻击和防护是非对称的态势。

攻防的不对称性

从技术角度来看，网络的攻防是不平衡的。因为网络安全总是基于风险或者是威胁来做防护的，只有新的风险或者新的威胁，防护方才会做研究，才会开发新的技术和解决方案，去部署防护措施。因此从这个角度上看，防护永远跟着攻击走，至少是慢半拍的。

从经济角度看，攻击的收益是确定的。当黑客做一件事的时候，他是知道这件事的收益在哪儿，通过什么获利等。即便早期的黑客喜欢炫耀技术，但这也是一种收益。从防护者的角度来看攻击者的收益是概念性的，这时我们的防护工作是被动的，或者有侥幸和惰性心理在里面，导致防护是不平衡的。

还有攻击面的问题，对于防护来说，方方面面都要注意到。但对于攻击者来说，由于目标明确，他知道你有防火墙，IPS等，就会想方设法绕过各种各样的防护，比如社工，这也是不平衡。

最后是合作，黑色产业链的合作和建设，的确比我们防护层面生态链的建设友好的多，体制要完善的多。

“单纯的防护是无效的，将来更应该在检测技术上做投入，2020年检测方面的投入在网络安全防护上要占到60%，这是一个趋势。”

安全生态建设的迫切性

不管是政府还有产业界，都已经迫切的意识到要建立安全合作的平台或者一个健康的安全生态。我们不仅要从技术产品、解决方案等技术层面协同和合作，另外还要从个人企业、政府，从用户到提供方还有防护方，来构建一个安全的生态圈，信息的共享是非常重要的。

安全合作和协同面临的挑战

一是安全技术和产品的管制。从全球来看，各个国家尤其是先进国家在安全技术产品服务有着各种各样的管制策略。既然网络安全威胁是全球化的，那么生态建设也应该全球一致协同。但是国家管制给产业界带来了障碍，比如美国的密码技术管制，欧洲进出口的管制等等。

另一个方面是知识产权问题。是不是要分享，分享出去以后权益怎么保护等。第三是渠道和平台的问题，各种各样的安全联盟和产业组织都在建立，那么各个公司的利益、诉求以及权利义务的确定，是非常复杂辛苦的一个过程。如果有的公司只吸收不贡献，慢慢地只要有一家这样做，另外几家热情也没有了，这是平台和渠道的问题。

政策法规和国际政治平衡的问题。从全球国际层面来讲，各个国家如何平衡合作是一个难题。大家都在讲国际网络空间的治理，但到底应该是什么样的体制还不清楚。这样的事情，对跨国公司来说影响是非常大的。到现在也看不到一个国际上的统一准则，中国联合俄罗斯等几个国家，在联合国已经做了好几次的提案，目前是没有结果。

另外是企业和企业，以及企业和政府之间的合作。因为网络空间是密不可分的，经济安全国家安全，军事安全、科技文化方方面面都会涉及。国家一定要管制，这方面的法律规定等安全合规企业一定要遵循，而且是应尽的义务。但安全合作需要一个大的战略，涉及到企业相互之间的利益，国家与国家的平衡，政府与企业之间的配合和管制等。

作为一个企业，在合作或协同的过程中，心态应该是开放的。当然作为一个企业来说，一定要在核心业务上掌控自己的主动权，要控制合作过程中在这方面的主导。但同时为了合作和协同，还要创造更多的条件，如业务合作渠道，技术上开放接口，对合作伙伴的培训支持等。如英特尔和微软，就是围绕自己的核心产品做第三方开源东西并开放一些标准和协议，以及对合作伙伴的培训和支持。

融合与转变

华为最早是一个通信厂商，通信行业过往是一个相对封闭，而且是一个管理非常严密和严格管控的体系，而且客户相对来说也跟IT产业的客户不一样。但两者正在融合合转变，通信也在IT化，IT也离不开通信。在IT上有互联网，而合作方的客户我不知道是谁，即便是云服务商面对客户的问题也控制不了。因此，如果你是一个安全供应商，一个合作伙伴，你应该在你的安全的合作、开发、运营的过程中应该要有转变。

华为的企业宗旨是开放合作共赢，我们从一个通信厂商往ICT厂商转变，就要转变企业运作的思维模式，要跟大家建立各种合作，合作共赢是一个大的方向。

三、《中美威胁情报发展浅析》

微步在线是做威胁分析的，是基于SaaS的分析，不做任何硬件和软件。

在我们眼中，真正的威胁情报应该是这样的：

左上方代表木马病毒，右边是对网络空间的探索，域名IP和行为，下面是关联。这个东西在实战过程中，可能比炫丽的地图炮更有用一些。

每一次网络攻击里少不了这几个元素，比如文件，木马文件或者正常的PDF文档，域名IP、邮件等。在一个典型攻击里别人发一个Word文档，连了一个域名，这个域名是由哪个邮件注册的，这个域名有多少子域名，过去每一天IP怎么变化等，这些信息在网络安全应急响应中，在破案溯源过程中起到非常重要的作用。

我的理解，威胁情报主要是干三件事，检测、响应和溯源。首先是检测，迅速发现问题，然后尽快作出响应，最后在响应过程中围绕相应的信息进行溯源。

这是一个比较典型的威胁情报框架，情报在生成之后跟其他的设备产生联动，在客户那儿进行检测报警，客户在采取行动的时候能从其他地方得到一些上下文，能看到这个域名属于哪个黑客团伙，最后作出决策并采取行动。

威胁情报生态的分类

分三类，一类是做威胁情报，自己没有设备，但是生产威胁情报。最典型的代表是FireEye收购的Mandiant，这个公司做出的情报就是给其他厂商用。另一类有很多公司，包括防火墙厂商，它起到商店的作用，他自己不生产威胁情报，但在他的平台上可以买到各种各样的经其认可的威胁情报。最后一类是最终用户，如企业或者政府。

国内一些金融机构和互联网公司也逐渐开始拥抱威胁情报，国内像BAT、携程等互联网公司成立了威胁情报奖励计划，来收集与自身相关的威胁情报。可能互联网客户和金融客户更重视业务安全，搞清谁是黑产，哪个手机号是羊毛党的，胜过网络安全本身的帮助。

威胁情报的连接与协同

威胁情报技术天生连接各种各样的人、设备和安全方案，但威胁情报并不会替代任何一个过去已有的安全产品，不管是防火墙、杀毒软件、WAF还是IDS。有了威胁情报可以更快更强更高的提升检测效率。Gartner提出以I打头的概念，情报驱动，这是一种新的产业升级过程。

RSAC的趋势，这是所有参展公司的数据。蓝色的是合规，红色的是威胁。可以看到威胁不断在攀升，合规一直在掉。

威胁情报的共识

第一点是数据。大家基本上认可数据量越大越好，另外还有一些不是那么明显和直观的，比如数据的多样化，是本地的还是云端的，是省区的还是全球的，以及关联性、准确性和时效性等。

然后是可操作性，这是区分什么是情报什么是八卦最基本的标准。有人曾你说被黑了没用，关键是得解决这个问题如果只会说你被黑了这只是八卦，但如果他说你哪台电脑上存在什么文件连了什么东西这种非常具体的信息，知道之后可以马上验证，这是情报。

另外一个共识，IOC(威胁情报指标)不等于威胁情报。比如说域名、木马和黑名单没有什么区别，真正的区别在于，如果有人告诉你某个域名是哪个组织使用，是干什么事情的，还能告诉你这个域名跟其他的木马有什么关系，对客户来说才有更大的价值，不仅仅是一个黑名单。

美国威胁情报资本市场

这个表格里面列了美国50%到70%的作威胁情报的公司，公司成立时间长的有七八年，短的有两三年，基本融资在B轮C轮，额度是两千万到一个亿美金。但中国专注做威胁情报的企业非常少，因此从资本市场来看，国内能看懂威胁情报的投资机构还是比较少的。

威胁情报的共享体系

美国的共享体系分的比较细，做的最好是美国金融体系共享机构，还有IT和ICS系统的共享体系。这一点跟国内类似，威胁情报的交流和共享很大程度是刷脸的工作。不会因为你去美国政府或者去大公司就给你威胁情报，即便是创业或者竞争对手有些情报也可以共享，这是很好的精神。

有些人提出威胁情报的共享往往是以不图短期回报为目的的，这是一个长期性的社区建设工作，这里面信任起到非常大的作用。欧洲也有一些组织和机构，只不过没有美国活跃。希望在国内以后也会有威胁情报共享的机制，但是因为一些复杂的原因，这里要打一个问号……

—-抱歉的分割线—-

由于时间和精力的原因，此次RSAC研讨会，只记录了领导致辞和前三位演讲嘉宾的发言，后继的四个精彩报告，安全牛将在日后奉上，以飨读者。

全球最具影响力的网络安全展会 RSA 2016 将于2月29日在美国旧金山召开，本届大会的主题为“联接安全”(Connect to Protect)。

通过联系和调查，安全牛了解到本次RSA全世界近550家安全厂商、研究机构及相关组织都将参与展会。其中，美国参展公司达到419家，德国28家，中国大陆参展公司17家，加上台湾地区两家，共19家，位列全球第三。

参展商数量达10家以上的国家还有英国、加拿大和以色列。从大洲或区域分布来看，北美占有绝对压倒性的优势，欧亚澳明显处于劣势，非洲和南美几近于无。但人口少和领土小的以色列由于注重人才培养并得到美国的支持，其网络安全技术水平和整体实力不可忽视。

此次参与展会的中国公司：

360，展台S1307：

360将展示其全球领先的威胁情报实力，其中包括全球唯一 一个面向全互联网提供DDoS监测和告警服务的系统—— DDoSMon，以及全球主流安卓安全应用360 Security，并正式发布其国际化的最新产品——360 Connect，让手机用户可以对装有 360 Total Security 软件的电脑进行扫毒、优化，协助家人和朋友解决电脑问题。此外，宫一鸣教授还将在展会现场做威胁情报相关的演讲。

安恒，展台S2435：

安恒信息将带来云安全监测服务及平台（风暴中心）、APT发现平台(APT Discovery Platform) , 云Web应用防火墙(Cloud WAF)，云日志审计(Cloud-based LogAudit)，云堡垒机(Cloud-based USMB) 等优秀产品，这也是在云安全和大数据安全方面的产品在RSA大会上的首次亮相。而且，此次RSA为安恒历年参展人数之最。

安天，展台S744：

安天从2011年开始参加RSA大会并设置展位，自2012年开始设有独立展台。从最初赴美参展人数的4人到如今的16人。2016年安天在北美市场将以移动安全作为主要市场发力点，因此，安天展位今年将重点展示安天全域检测引擎能力、深度分析能力、纵深支持能力和高价值情报分享能力。安天还会在展台发放富有特色的原创威胁通缉令扑克牌，展示移动威胁演进。期待您的莅临！

飞天诚信，展台S2645：

飞天诚信近年来在智能卡、移动读卡器、移动支付终端的努力成果将在本次RSA大会上得到全面展示。其中飞天诚信全新自有知识产权的智能卡产品，卡式OTP和蓝牙可视智能卡均精彩亮相，这两类产品是飞天诚信在2015年全力打造的核心技术产品，所有研发、设计、生产等环节均由飞天诚信独立完成。飞天诚信的FIDO产品，包括USB、NFC、BIO、BLE等系列产品，作为新的身份认证产品的代表和发展方向，已经通过FIDO联盟的FIDO Certified认证，配合云认证安全方案，可为广大客户提供更简单、易用、快速的双因素认证服务。

华三通信，展台N3034：

作为国内领先安全厂商，首次参加RSA的华三通信(H3C)将展示“大安全”方案理念和“华三天机”安全一体化交付平台。“大安全”就是颠覆传统围墙式防护，以应用驱动安全，把安全变成服务，快速、灵活实施防护。其创新性地动态重构安全体系，实现“一框即安全”一体化整体交付，以最全面的云安全能力、最符贴合国情的合规评估与最强大的安全管控能力，帮助各行业企业应对“大互联”背景下日益复杂、多变与频繁的安全挑战。

花甲科技，集中展区S1207：

花甲科技将发布业务流程可信、业务终端可信、业务参与方可信和业务风险可控的综合解决方案中的一款产品——SecurityStack。SecurityStack与传统安全厂商解决方案不同之处在于融合了基础安全能力及大数据移动互联网业务安全为一体的综合解决方案，是第一个将系统安全与业务安全场景相结合的大安全产品。

华为，展台S1523：

今年是华为第五次受邀参加RSA大会，作为全球知名的安全产品厂商，华为将在本届大会中向客户集中展示云数据中心安全、APT防护、以及终端安全三大解决方案，帮助客户了解如何保护网络免于APT攻击，保护云免于DDoS攻击，以及保护终端免于数据泄漏。与此同时，华为将与业界合作伙伴联合展示安全领域在FPM（策略管理）、SIEM（日志采集和大数据分析）等方面的合作成果，华为将一如既往地欢迎业界翘楚一同共建和谐共赢的安全生态圈。

猎豹移动，展台S1307：

猎豹移动于2010年10月由金山安全和可牛影像公司合并而成，继承了金山多年的安全技术积累和可牛影像的互联网基因。是全球最大的移动工具开发商、中国第二大互联网及移动互联网安全公司。此次参展的移动端产品覆盖Android、iOS、Windows三大平台，如猎豹浏览器手机版。PC端产品则包括金山毒霸、猎豹浏览器等。

绿盟科技，展台S721：

本次展会绿盟科技将主要展出绿盟网络流量分析系统、绿盟抗拒绝服务攻击系统及大型部署方案，现场将通过视频演示黑洞产品最高端新型号ADS NX5-10000在100G攻击流量下的高效防护性能。此外，在3月2号，绿盟科技将召开小型沙龙，邀请信息安全领域的大咖们交流沟通。随着国际化脚步的加快，绿盟科技已开始在美国、欧洲、亚太地区筹建DDoS云清洗中心，向企业用户、可管理服务提供商（MSPs)和网络服务提供商(ISPs)提供可以根据自身要求灵活选择使用云服务或混合防护方案。

山石网科，展台S1639：

作为综合网络安全厂商，山石网科将在本届大会设立智能下一代防火墙和虚拟云安全两大展示主题，利用智能安全和虚拟机微隔离技术的创新优势，推进全球市场的业务发展。据悉RSA大会期间，山石网科有重要新闻事件发布，值得关注。

盛邦安全，集中展区S1207：

盛邦安全(WebRAY)作为国内WEB安全产品的主要供应商，将在展会上推出其完整的下一代应用安全体系框架，包括脆弱性管理，风险预警，安全防御，安全监控，应急响应，集群治理等完整生命周期内的诸多领先技术。并且还将推出其最新研发的便携式PAD漏洞扫描器。

网思科平，集中展区S1207：

网思科平(OneScorpion)将在展会上推出旗下天蝎家族系列产品，包括系列安全传感器、下一代信息安全检测防御系统和高性能沙箱系统，并围绕信息安全检测防御系统构建完整的网络防护生态，具有安全监控、安全分析、资产安全管理、威胁情报分析、安全数据管理等完整功能，为个人、企业等各行业领域提供配套解决方案。

微步在线，展台N4433：

微步在线（ThreatBook）将在展会上展示国内首个综合性威胁分析平台VirusBook，为安全分析师提供的一个便利的一站式威胁情报分析平台，对线索进行鉴别、分析、追踪及溯源。同时还将介绍基于TIC（威胁情报中心）的威胁情报应用解决方案，使客户在面对关键威胁时可以快速发现并采取有效的行动。

握奇，集中展区S1207：

握奇作为中国最大的身份认证设备厂商之一，将向全球行业伙伴展示基于PKI的WatchKEY、WatchOTP等系列身份认证产品及解决方案，并分享20余年以来，为银行、政府、企业等领域用户的服务案例和经验。另外，也将重点展出符合FIDO国际标准的兼具支付以及运动监测的智能可穿戴产品－握奇智能手环。

绿色网络，展台N2909

启明星辰（参与方），集中展区S1207

天融信（参与方），集中展区S1207

神盾（台湾），展台N4911

广积科技（台湾），展台N3846

（注：出于各种原因，有些企业使用不同的身份或分支机构注册和参展，因此本文中的数字统计可能会略有偏差。）