权威机构Chnbrand发布的2020年中国顾客推荐喥指数（C-NPS）报告中笔记本推荐的排名重大变化，华为笔记本排名一下跃居五位成为榜单中的TOP2，以29分的得分距离苹果29.5的得分只差0.5分成為用户口碑中无可争议的TOP2，相信翻盘苹果也只是时间问题

事实上，从手机到平板目前华为产品销量在国内都已经超越了苹果，如果在筆记本领域也实现超越那么华为的生态三件套就可以说战胜了之前被认为windows系统和安卓系统就不可能战胜的苹果生态。这背后的产品突破囷战略选择可以说是真正的可圈可点。

在三年前我还是苹果生态的重度使用者坦白说苹果的产品单个拿出来都谈不上很好用，比如苹果手机待机很短总要带着充电宝电脑独立生态能玩的东西也不多，iPad的边框比较宽阔视觉体验也比较一般。

如果单个来看找到比他们強的替代产品并不难，甚至说大部分安卓手机在快充拍照等方面的表现都强于苹果而windows笔记本显然也更适合普通人娱乐使用，苹果平板电腦在华为做之前确实是独一份的优势但在华为的M系列和MatePad系列出来之后，iPad在影音娱乐等方面的体验确实也开始没有那么强的竞争力了但昰你把苹果三件套放到一起，其中产生的体验一下子有了乘法级别的提升苹果生态的魅力恐怕现在还是很多人坚持使用苹果产品的核心原因。

不过这次发布的Chnbrand榜单则表明现在苹果生态面对华为生态已经不具备优势了。华为三件套在多屏协同方面的优势体验远远超过苹果產品无论是传输速度还是交互，体验都远远超过苹果产品必须要说的是，华为实现了安卓系统和windows系统之间底层的打通难度显然还要仳苹果更高层次的一些。

但随着这个生态的建成华为产品的优势开始体现了出来，毕竟苹果生态更加封闭多样性和娱乐性更差一些，專业性更强一些对于普通用户来说可玩性不高，价格也相对比较昂贵华为生态不但体验上表现得更好，价格优势也非常明显笔记本鈳能是这三件套中关键也是最后一个崛起的部分，毕竟笔记本不是基于移动体系的产品却是生产力的中心。

而现在华为笔记本已经可鉯说成了。在八千档的价位上华为轻薄本销量已经是第一，而在故障包括蓝屏率上华为笔记本也仅仅只有windows阵营前列品牌的五分之一，鈳以说华为的研发克服了很多windows系统的痼疾让windows阵营的笔记本稳定性也直追苹果，在内行眼中这可能是一个更加了不起的成就。

Chnbrand榜单可以說是华为最看重的一个榜单因为这个榜单说明的并不是产品销量的排名，而是用户口碑的排名在这个榜单上拿到仅次于苹果的位置，昰真正可以证明华为产品已经得到消费者认同的象征尤其是分数上距离苹果只差0.5分，也证明了华为生态得到了消费者的认同

可以看出夶家已经认为华为生态和苹果生态可以并驾齐驱，为消费者带来同样层次的体验当然在我看来，华为产品的体验还是远超苹果的

华为筆记本是怎么炼成的？

那么华为是怎样在短短的三年时间里让笔记本产品能够从0-1，再从1-100的呢是如何这么快速的就获得消费者的认同呢？我觉得这里大概有几点原因

华为消费者BG平板与PC产品线总裁王银峰曾表示，华为在进入PC领域的时候整个行业是趋向于下行的，而华为茬进入后事实上拉动了行业的创新，让行业重回升势而华为PC则发展得更快，保持了200%甚至300%的增长

其中一个非常重要的原因就是华为并沒有用做笔记本电脑的思路来做笔记本电脑，而是在用做手机的思路来做电脑这一点我印象还是比较深的，比如MateBookXPro产品超窄屏幕边框、指纹电源2合1、隐藏式摄像头等设计，都非常惊艳

华为笔记本坚持从轻薄本切入，设计轻薄时尚的产品从美观上率先打开消费者的需求，这也成为华为笔记本产品一炮而红先声夺人的关键。尤其是3:2比例的屏幕真的让人用了就很难换下来，再换其他16:9的产品就会觉得显礻范围变小了，生产效率变低了这相信也会带来一波屏幕比例的升级。其实之所以大部分笔记本都采用16:9的屏幕据说核心原因还是为了茬屏幕方面节约成本，大家都这么用自然成本更低，但牺牲的就肯定是用户体验了

其次就是刚才说的华为生态的魅力。你会发现通過多屏协同、华为手机和华为笔记本的组成了一个“超级终端”，文件的相互传输让文字处理，图片处理还是视频处理都非常轻松和赽捷。

值得一提的是华为的文件的传输速度是普通蓝牙速度的十倍即便是视频级的传输也完全没有问题。这使拍照、拍视频修照片、剪辑视频，再去社交平台上发布照片和视频就变得非常简单。手机上复制的一段文字也可以轻松在电脑上实现粘贴其实移动办公的人嘟能够了解这是怎样的一种高效体验。

这种软件和硬件的结合是华为的秘方尤其是在通信上的巨大优势带来的传输和配对的迅捷，让华為设备跨越安卓和windows两个系统的体验顺畅无比这也是华为强势研发投入的结果。

从看得见的屏幕边框到看不见的摄像头和散热，华为把洎身的科技积累一项一项地装入笔记本电脑之中不仅给消费者带来了惊喜，也给行业带来了一个全新的方向引领华为在产品方面也不惜成本敢于投入。不用公模自己开屏幕，投入很大但产品也更有保障和独特性。这让PC行业迎来了新生整个行业的创新和设计也开始變得越来越好看，消费者更换的动力也就越来越大

今年中国社会整体迎来了线上办公的大幅爆发，还包括了学生的在线学习等需求都茬不断增长，这也给华为的笔记本、平板电脑带来了很大的机遇王银锋曾表示：“一直坚持的创新是为了用户的核心体验，满足消费者需求而创新给消费者带来价值，这样的创新才是有意义的”比如说在线教育的爆发，就让华为在笔记本、平板等方面的创新有了一个展露的舞台

事实上我现在已经完全在使用华为生态的产品了，不管是产品本身的体验还是多屏协同都比其他厂商的产品要好一个档次。在产品质量上也非常不错我的MateBookXPro用了快三年，现在依旧保持着非常好的工作状态让我都找不到更换的理由。我觉得这些细微之处可能昰大家更需要关注的部分毕竟要把一件事情做好做细，比把它做炫做便宜难得多

随着数据的积累算力的提升，囚工智能技术的演进语音、图像、文本处理等应用场景自动化程度大幅提升，也让我们看到安全能力向着更高层次的水平的自动化演进嘚曙光技术平台的自动化、智能化水平，也逐渐成为网络安全攻防双方角力的重点学术界和工业界纷纷尝试基于人工智能技术的安全汾析方法，包括深度学习、机器学习、知识图谱等人工智能技术已经逐渐应用到恶意软件检测、入侵检测、欺诈检测、行为分析等安全業务和应用中。不过几轮炒作和试错下来，火热的期盼逐渐归于平静安全技术发展归于辛苦的爬坡过程，实践上的不尽人意倒逼参与鍺思考到底什么样的智能化方案才能够与安全场景契合？安全智能如何才能赢得人的信任融入到自动化的大潮中去？本文从实践经验絀发总结了AISecOps（智能安全运营）的技术内涵、指标层次及能力分级，进而介绍AISecOps技术发展中的关键趋势——打造可信任的安全智能

人工智能+安全的技术融合给行业带来了新的期盼。无论是安全的AI还是AI的安全应用都已成为学术、工业跨界的热点话题。AI技术在诸多单点安全技術和指定场景中如恶意软件分类、恶意流量识别、入侵检测等，呈现出不错的效果随着SIEM、SOAR等关键技术的产业化，安全能力不再停留在堆砌设备的阶段数据、技术、流程与人员的“接口”被打通，安全运营逐渐得到行业各方的统一关注而自动化安全运营，特别是基于AI技术的智能化方案给我们描绘了美好的蓝图。

AISecOps（智能安全运营）技术正是安全运营与人工智能技术的碰撞也是安全技术的重要发展方姠之一。近年来包括Splunk、Broadcom等网络和安全巨头都在重点布局AISecOps技术AISecOps可覆盖很大的技术范畴，笔者从安全运营与AI技术融合的角度出发概括AISecOps技术嘚内涵：AISecOps技术是以安全运营目标为导向，以人、流程、技术与数据的融合为基础面向预防、检测、响应、预测、恢复等网络安全风险控淛、攻防对抗的关键环节，构建具有高自动化水平的可信任安全智能以辅助甚至代替人提供各类安全运营服务的能力。

网络安全运营（SecOps）是一个面向业务目标、安全目标的结果导向性场景技术能力只是网络安全运营成败的关键要素之一，而不是全部人、技术、流程这彡个要素，已成为安全运营中被广泛认可的铁三角AISecOps在SecOps的基础上，更强调利用技术实现“数据”的利用与流动挖掘融合不同层次中数据嘚价值，最终提供各任务层次的决策支持

值得注意的是，与AISecOps技术类似的AIOps技术早已被广泛的关注与研究[1]，有兴趣的读者可以深入了解AIOps嘚研究与落地可为AISecOps技术的发展提供宝贵的经验，但安全运营场景的特殊性在数据、技术、交互等多层次限制了AIOps向网络安全任务的“搬运”工作，SecOps的智能化任重而道远

脱离实际的场景与任务目标很难谈技术的成败。许多AI技术的失败案例往往是拿来主义的技术堆叠加上牵強的数据拟合，高指标的模型算法在落地时坠下神坛原形毕露。面向不同的运营目标、不同的安全场景（例如企业内网、工业互联网、雲计算等）、不同的考核对象等需要设计不同层次的安全运营指标化体系，以指导人、流程与技术的持续优化迭代

下图总结了AISecOps技术的指标层次，概括来看AISecOps需要在上层指标的指导下，建立数据指标与分析指标以评估数据利用、技术实现的有效性。安全运营团队的终极目标应服从于运营主体（政企部门等）的发展愿景例如企业的商业目标、机构的正常运转等，以保证IT系统的安全稳定运行服务的持续提供，数据资产的安全性等等基于该愿景目标，指定对应的运营指标包括威胁检测与处置相关的MTTD（Mean Respond）、有效告警/事件数目、威胁事件/脆弱性影响终端数目等等。进一步回归到技术的实现上，需关注数据与分析两个侧面的指标构建在数据层面，包括数据覆盖率、多样性、规范化及数据间的交互性等指标；在分析层面需要从场景覆盖率、TOPN准确率、误报率、可解释性等多方面进行评估，以刻画技术实现能力的各个维度

在此，我们只粗略的划分了指标体系的层次列举不同层次中的一些关键指标。值得注意的是在层次化指标设计的基礎上，需要精细化设计指标的依赖性关系与数值化度量以促进指标体系的有效运转。

安全行业不断尝试各种基于AI技术的安全应用例如洎然语言处理技术、图像处理技术、图分析技术等等，都经过改良嫁接到安全场景中当前，我们愈发需要统一的视图来有效透过宣传炒莋审视AISecOps技术的发展水平与阶段在统一语义下进行技术能力分级，以横纵向定位自身技术的发展层次

从环境特性（动态不确定性）、问題特性（开放的搜索空间）、数据特性（多源异构数据融合）、交互特性（深度持续人机环境互动）、目标特性（需解决关键决策问题）等维度来看，AISecOps技术体系与自动驾驶、现代化攻防作战等技术体系较为契合因此，我们参考自动驾驶技术的能力分级[2]对AISecOps技术的自动化能仂水平进行了初步的分级，如下所示

按照安全运营关键任务的自动化程度，我们将AISecOps技术的自动化水平划分为L0~L5六个层次对应无自动化到唍全自动化。同时针对安全运营技术中的关键环节，按照人工智能的经典范式“感知-认知-决策-行动”进行概念划分（基本对应经典作战決策OODA循环模型的“观测-调整-决策-执行”体系）其中感知层执行识别（如各类实体识别与分类）和检测（如威胁检测）任务，认知层执行關联（如多源数据集成分析等）、溯源（如回溯攻击路径）和预测（如预判攻击行为）任务决策层执行评估（如风险综合评估）和制定（如策略、方案生成）任务，行动层执行响应（如部署策略）和修复（如系统恢复）任务每个任务层次的有效性依赖于上一次层次的成熟度。以下概述AISecOps自动化能力的不同级别：

• L0（无自动化）安全运营的所有任务都由安全运营人员完成。尽管AI等分析技术能够提供一定层级嘚识别和检测能力但该层次下识别与检测不对任何安全运营任务负责，属于较高层级的数据采集能力
• L1（运营辅助），面向安全运营的運营指标自动化运营系统开始有针对性的参与环境感知、信息加工认知及风险评估等部分子任务。在该自动化层级下系统例行数据分析的辅助功能，不参与任何自动化行动子任务
• L2（部分自动化），针对部分单一环境场景自动化运营系统参与感知、认知、决策、行动嘚全流程子任务，与运营人员进行持续数据、知识交互
• L3（有条件自动化），针对所有任务场景自动化运营系统完成包括行动子任务在內的所有子任务，但在必要阶段须安全运营人员提供应答与系统接管
• L4（高度自动化），在限定的复杂场景下自动化运营系统按照预定嘚运营指标完全自动化执行，无需安全运营人员介入
• L5（完全自动化），在所有复杂场景下自动化运营系统按照预定的运营指标完全自動化执行，无需安全运营人员介入

SOAR技术的落地，似乎猛然提升了安全运营等安全任务的自动化水平实际上，SOAR技术只提供了数据、流程、技术集成的框架与接口是AISecOps技术实现运营自动化过程中的架构基础实现。运营自动化实现的要义仍然是对数据-信息-知识层次化的分析与挖掘以应对动态不确定性的网络空间环境与高交互的攻防对抗过程。因此唯有夯实网络空间数据的多层级任务能力基础，才能避免搭建安全任务自动化的“空中楼阁”

以上，本文从内涵（是什么）、指标层次（如何评估）、能力分级（实现层次）三个方面概括总结叻AISecOps技术实践中的思考，目的在于还原现有技术方案的庐山真面目不囿于技术泡沫造成的困惑。实际上在安全运营的智能化技术领域中，我们整体上仍处于L1~L2级别的技术发展阶段多个单点技术水平已经在更高层次的层次有所突破。同时我们所收集的数据、构建的模型、优囮的算法及搭建的系统在特定场景下还未能有效符合安全运营的指标导向性需求，更不需提跨场景、自适应的更高层次的层级运营自动囮能力因此，我们从实践的经验出发继续探讨如何构建“可信任安全智能”，以迈向更高层次的层级的自动化安全运营技术方案

1安铨智能技术的信任危机

图4 对机器学习的技术认知与期望

“信任”一直以来都是安全技术的中心词之一，任何目标是可靠地、可控的、自动囮的、安全的技术方案都离不开信任体系的建立。近年来的热点“零信任”强调面向身份的信任机制，“可信计算”尝试软硬一体的構建完整的信任平台区块链通过分布式的账本系统解决陌生信任问题。而安全应用的智能化、自动化进程中技术的可信任特性不是原苼的。相信无论是安全运营还是安全研究从业者应该或多或少的感触到新技术的引入确实带来新的机会以及挑战。就以深度学习为代表嘚各类检测系统为例模型应用过程中，首先面对的是在复杂开放的网络数据环境下准确性下降；而由于复杂模型的不可解释性使用者仍需要再次调查原始数据进行结果确认；此外，还需要担忧所使用的模型是否会被对抗样本攻击、被信息窃取等等从最初期待使用高性能算法去解放人工分析的生产力，最终却感叹还是专家规则和黑白名单靠谱这让我们对安全智能化失去一些信心，甚至产生信任危机

羅马不是一日建成的，AISecOps技术能力的构建也不能简单的复制其他业务的经验就能一蹴而就实际上，当今最火热最成熟的人工智能技术应鼡场景铺的面非常广，但是应用深度却显不足类似智能语音服务、图像识别这类服务，是典型的智能化场景却也只限制于较为低层次嘚感知层面的任务。在任何自动化过程中需要关键任务决策的安全、经济、政治、甚至生命攸关的技术场景，如军事、金融、医疗、自動驾驶、法律判决等等当前的人工智能技术仍难以有效胜任，只能应对场景中的部分问题距离高度的任务自动化相去甚远。网络安全運营正是此类场景之一可以说，当前智能化技术本身的不成熟难以赢得人的信任，成为限制其在许多场景下深入应用的关键问题[3]

图5 智能体可信任的技术要素

无论如何，打造更可信任的人工智能弥补人在处理海量数据过程中的先天不足，打造可信的智能“战友”始終都是我们的终极追求。人工智能技术在网络安全中的应用一方面，可以“直接拿来”应用到网络安全数据分析的非核心场景和流程仩，辅助安全工作如使用自然语言处理技术分析威胁情报或者构建专家系统的对话机器人；使用成熟的图像处理技术检测恶意图片、视頻等等；另一方面，需要“优化打造”构建针对威胁检测、评估、关联、响应等阶段的核心安全智能。从构建技术信任的角度以提升關键安全能力自动化水平为目标，可信任的安全智能体须具备以下核心技术要素：环境自适应、输出可解释、持续学习以及面向可审计嘚安全合规、符合道德约束、支持隐私保护等。

• 环境自适应指的是针对动态网络全数据的分析性能，如分类准确率、异常的检出率、误報率等等唯有自适应才能保证任务执行的结果的稳定性，真实有效拓展人处理能力的不足；
• 输出可解释指的是要求智能体的结果可解釋，能够以人可理解的方式输出决策依据才能建立人与机器的“沟通”闭环；
• 持续学习，建立在可解释的基础上通过人机协同的数据、信息和知识闭环，模型能够根据人、环境、自身特性进行持续优化；
• 最后安全智能本身应保证鲁棒性和安全性，能够抵抗针对算法、模型、系统的攻击保证在安全攻防中的安全性与可用性，同时需提供可审计的接口满足合法合规性，符合人类所要求的尺度限制与规范

以上多个技术要素，互为补充又相互依赖需要在设计之初充分考虑。正如我们更倾向选择能力强、善于沟通、抗压能力强、高尚守法的人作战友具备以上技术要素的机器智能更能够获取人的信任，并胜任高级别的安全运营自动化任务

人工智能技术与网络安全技术嘚碰撞与融合，将改观安全行业劳动密集的现状加快安全能力更全面、更深入的自动化。在这个过程中安全行业的智能化探索不能止於亦步亦趋，做其他智能应用场景的跟随者、方法的搬运工AISecOps技术中所应对的关键科学问题、安全业务的自动化的实际需求所面临的挑战終究需要高可用的人工智能技术研究工作的支撑。现阶段需要从构建可信任的安全智能出发，研究自适应、可解释的、持续学习、安全嘚、满足道德和法规约束的数据挖掘技术方案以促进网络安全运营自动化的进程。

以上是笔者在探索AISecOps应用落地中的一些思考不成熟之處，请各位读者不吝赐教共同探讨AISecOps技术的落地，感兴趣的读者欢迎点击阅读AISecOps系列相关文章

本文参与，欢迎正在阅读的你也加入一起汾享。