安全问题随着网络演进、应用繁衍、体验提升、形势变化日益复杂。安全是一个系统工程，包括端管云多层面的复杂架构与众多技术，但其核心能力则是对异常的检测、对威胁的分析以及风险的评估。我们认为，威胁情报对于这些核心能力的构建将起到至关重要的作用，因此，长远来看，它在未来行业中的应用会越来越广泛成熟，会成为安全产业链中的重要环节。但由于威胁情报具有天生的行业性、时效性以及场景适用性，这些是我们在应用中都是必须加以仔细考量周密处理。现在到处在说“数据为王”，对于安全来说，更确切的是“情报为王”。

　　对于威胁情报的理解，不要说互联网企业与传统安全行业之间存在差异，就是传统安全行业内部，也还存在众多不同意见。而从专业的威胁情报专家角度来看，大家的理解可能又都存在不够完整不够准确的地方。譬如，有人认为IP地址黑名单、恶意网址列表、恶意软件哈希列表、病毒特征码、IPS签名规则等都属于威胁情报范畴，有人类似IOC这样具有结构化描述，符合一定标准，容易分享容易被程序执行的信息，才叫威胁情报。我们建议，区分某类信息是不是威胁情报，首要的一个判断标准是这类信息是否能够支撑安全决策，如果可以，我们不妨进一步将威胁情报分为狭义与广义两种含义加以界定，就不至于在某些语境下口径不一，不易讨论。

　　另外，对于不同类型的安全系统来说，因为部署位置处理功能不同，需要使用不同层次的威胁情报。大数据安全系统与常规的安全网关，客观上就会存在这种差异性。而从情报的获取与分析能力来看，互联网企业利用云服务，做到了数据的大集中，依靠这些大数据进行分析，提取威胁情报，可能易于快速积累。但很多传统的安全公司通过其长期深入的安服耕耘积累，起步也很高。我们不认为一个企业掌握的情报能覆盖到各方各面，一枝独秀，因此亟需业界有识之士一起推动，形成产业合作联盟，共建高效可持续的威胁情报共享机制，共同提升应对安全威胁的能力。

　　华为基于威胁情报的解决方案

　　2014年以前，华为的安全业务以传统的网络安全硬件产品为主，但从去年开始，华为安全已在安全软件化、服务化发力，并同时投入重兵研发APT沙箱与大数据安全产品，已在高级威胁防御产品领域实现竞争力的迅速突破。下一步，我们希望能利有自研的大数据平台，分别以私有云与公有云两种方式提供给客户，一方面形成全网安全态势威胁情报系统，另一方面针对特定企业持续更新威胁情报能力，两者相辅相成，相互促进。国内威胁情报解决方案还处在探索阶段，相信很快就会形成比较成熟的解决方案。

　　从了解到的情况看来，威胁情报在共享机制与商业模式两个方面存在较大的问题，限制了其利用范围与效率。可以进一步分析背后的问题：

　　(1)利益相关者经常受到情报分发范围的限制。这其中A. 保护敏感信息的考虑。B. 情报的需求方与供给方不易匹配。

　　(2)不同部门和利益相关群体当中还缺乏共享情报的操作制度与技术途径。A. 基于部门、群体、系统之间，天然存在情报孤岛。B. 技术与管理需要付出额外代价，在明确回报之前，很少有积极的共享推动。C. 安于现状，缺乏快速行动能力。

　　(3)利益相关者之间缺乏信任。这一点在全球化、云和“伙伴关系”这一新环境中尤为突出。加之变化速度和分布式团队等因素，创建一个能够连接不同部门不同公司不同行业之间的机制非常困难。

　　(4)威胁情报数据价值评价与商业模式的困难。