華為是一家有些“偏執(zhí)”的公司，但是“偏執(zhí)”在此并不是一個貶義詞，是指能夠堅持，堅持在同一個方向上持續(xù)地努力、不斷地積累并成為佼佼者。華為幾十年來一直是這樣做的。那么，在網(wǎng)絡(luò)安全領(lǐng)域，華為又是怎樣 “偏執(zhí)”而行的呢?

“在萬物互聯(lián)時代到來的今天，華為在網(wǎng)絡(luò)安全方面的態(tài)度也發(fā)生了巨大的變化，即從網(wǎng)絡(luò)安全1.0向2.0時代演進。2.0代表了華為希望持續(xù)地通過網(wǎng)絡(luò)安全的能力，幫助我們的客戶和這個社會創(chuàng)造更多的價值。”在近日舉辦的2018華為網(wǎng)絡(luò)安全中國行上，華為網(wǎng)絡(luò)安全領(lǐng)域總經(jīng)理宋端智在演講中如是說道。

華為網(wǎng)絡(luò)安全領(lǐng)域總經(jīng)理宋端智

如今全球的網(wǎng)絡(luò)安全行業(yè)正在經(jīng)歷著前所未有的挑戰(zhàn)：黑色產(chǎn)業(yè)鏈越來越成熟，安全威脅越來越多;攻擊變得越來越隱蔽，常規(guī)手段變得難以獲取威脅的準確信息并加以阻斷;網(wǎng)絡(luò)安全威脅的擴散也變得異常迅速，令我們始料未及。而在此情況下，國內(nèi)的網(wǎng)絡(luò)安全領(lǐng)域卻存在著諸多的不合理現(xiàn)象。

對此宋端智說道：“第一是許多企事業(yè)單位在做網(wǎng)絡(luò)安全建設(shè)的時候，最主要的目的不是為了做更好的防御措施，而是為了滿足合規(guī)的要求;其次，我們更關(guān)注威脅發(fā)生后怎么應(yīng)急處置，而不愿意花更多的投資在事前的預(yù)防和事中的自動處置上;第三，傳統(tǒng)的防御方式，面對每天不計其數(shù)的告警無所適從，自動處置無從談起，無法真正有效地提升防御效果。最后，在過去兩三年內(nèi)，態(tài)勢感知成為火熱的名詞，但其應(yīng)該成為我們進行網(wǎng)絡(luò)安全建設(shè)達到防御的一個手段，而不應(yīng)該作為一個目的。”

面對這樣的挑戰(zhàn)與困境，華為又將能為我們提供怎樣的網(wǎng)絡(luò)安全?

在今年2月，華為在巴塞羅那向全球發(fā)布了SDSec安全解決方案，即“軟件定義安全”。不同的是，華為SDSec的定義已經(jīng)超出了Gartner 對“軟件定義安全”的范疇。“不僅僅局限在云環(huán)境下的資源調(diào)度和策略管理，而是在所有的場景下，用軟件定義的方式把網(wǎng)絡(luò)及安全的網(wǎng)元、安全功能模塊系統(tǒng)地的協(xié)同起來，并通過定義接口與執(zhí)行，讓所有的安全能力形成真正的聯(lián)動。”宋端智說道。

那么，華為的SDSec安全解決方案，又是如何詮釋其“軟件定義安全”理念的?

SDSec安全解決方案包含了三層架構(gòu)，從上至下分別是分析器、控制器、執(zhí)行器。分析器即該解決方案的大腦，負責(zé)做分析，做決策，根據(jù)收集的信息來判斷威脅、威脅有多嚴重、該如何處理;控制器是中樞神經(jīng)，它接收分析器的指令，然后通知五官和四肢，告訴他們?nèi)绾伟淹{控制在一定范圍或者將其阻斷掉;執(zhí)行器承擔(dān)著五官和四肢的作用，既包括防火墻等傳統(tǒng)安全網(wǎng)關(guān)類的設(shè)備，也包括一些應(yīng)用類安全網(wǎng)關(guān)設(shè)備、終端端點安全的軟件等，另外還有很大一部分執(zhí)行器是網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備的參與也會給整個方案帶來巨大價值。

“依托于該SDSec軟件定義安全架構(gòu)，將智能化的分析器、控制器與執(zhí)行器三層網(wǎng)元協(xié)同起來，形成閉環(huán)的主動網(wǎng)絡(luò)防御體系。宋端智說道。

“主動防御”是當前網(wǎng)絡(luò)安全界所提倡的新的安全防御模式，而要想真正做到主動防御并不容易。為了實現(xiàn)主動防御，宋端智詳細介紹了華為SDSec安全解決方案的主要四大技能：火眼金睛、全民皆兵、天羅地網(wǎng)和運籌帷幄。

火眼金睛，即指華為SDSec安全解決方案對威脅的高識別率，據(jù)悉惡意文件的識別準確率已經(jīng)可以達到99.5%，其中更多的是一些未知的、可能首次出現(xiàn)的惡意文件。這樣的識別率依賴于基于Hypervisor行為檢測的第三代沙箱。據(jù)宋端智介紹，6年前華為便在德國慕尼黑研究所組建了一個小團隊，既有安全的專家，又有人工智能和機器學(xué)習(xí)的專家，從而產(chǎn)生了今天基于動態(tài)行為的機器學(xué)習(xí)的第三代沙箱的基礎(chǔ)技術(shù)。而華為云則是另外一個非常重要的、能夠支撐華為SDSec安全解決方案真正做到火眼金睛的因素。面對每天直面上億次攻擊，華為云在不斷防護的快速迭代的過程也促進了SDSec的眼睛越來越雪亮，最終煉成了火眼金睛。

全民皆兵，指的即是華為將網(wǎng)絡(luò)設(shè)備發(fā)展成安全防御的“民兵”。一方面，經(jīng)過網(wǎng)絡(luò)的流量、數(shù)據(jù)，可以根據(jù)需要傳給分析器進行分析;另一方面，網(wǎng)絡(luò)可以接收分析器的最終決策，通過安全控制器與SDN控制器配合，阻斷威脅。這就是所謂的全民皆兵，不僅僅用安全的功能網(wǎng)元，還要把網(wǎng)絡(luò)設(shè)備發(fā)展成“民兵”。當然，實現(xiàn)這一功能有賴于華為的SDN技術(shù)，即將整個網(wǎng)絡(luò)和軟件定義安全都要全部軟件定義起來;另外，還要求網(wǎng)絡(luò)設(shè)備本身具備可編程的能力。而這些恰恰都是華為在網(wǎng)絡(luò)技術(shù)及市場占有率方面的極大優(yōu)勢，也使得SDSec“全民皆兵”的功能得以落實。

天羅地網(wǎng)，這第三個技能來自于最近幾年特別流行的deception即 “欺騙防御”技術(shù)，即在網(wǎng)絡(luò)中布置陷阱，當黑客進來或者蠕蟲擴散的時候讓其落到陷阱里把它抓住。通過引入deception技術(shù)，并結(jié)合華為網(wǎng)絡(luò)、特別是其可編程的優(yōu)勢，在華為交換機產(chǎn)品中將誘捕的陷阱內(nèi)嵌進去，從而讓威脅所經(jīng)之處都可能有陷阱。當陷阱真的無處不在，便變成了天羅地網(wǎng)。從而也讓SDSec容易有很大的概率，并且很準確地能夠抓住威脅行為，結(jié)合分析器的分析，最終捕獲這類攻擊。而作為華為首創(chuàng)的概念，這一功能也彰顯出：只有對網(wǎng)絡(luò)安全前沿技術(shù)及時地跟進，才能走在業(yè)界的前面。

運籌帷幄，是四大技能中的最終技能。所有的技能要真正產(chǎn)生效果，能夠自動地聯(lián)動、自動地處置，都需要有一個類似諸葛亮的一個角色，坐在中軍賬運籌帷幄，對全局的策略進行管理、進行優(yōu)化。承擔(dān)起這一重任的即SecoManager安全控制器。依托于華為在網(wǎng)絡(luò)安全領(lǐng)域一直以來的不斷投入、華為在安全標準方面的地位，以及華為與諸多合作伙伴組成的安全聯(lián)盟，得以讓安全控制器在這個共同架構(gòu)下逐步的加入SDSec的大框架，然后形成相互之間的聯(lián)動。

以上四大技能，只是SDSec安全解決方案所有技能中的一部分，但其已經(jīng)涵蓋了從威脅滲透階段、駐點階段，到內(nèi)部擴散階段、以及數(shù)據(jù)外泄階段的防御，已足以說明華為SDSec安全解決方案在網(wǎng)絡(luò)安全防御方面的超高能力。

這樣的能力并非朝夕之間所能達成，或許通過一組數(shù)字，可以讓我們能夠更加理解華為在網(wǎng)絡(luò)安全領(lǐng)域的技能是如何煉成的： 2500、44.85億、2892。

2500，指的是截至2017年底，華為在安全方面投入的研發(fā)人員已超過2500人;

44.85億，指的是2017年，華為在網(wǎng)絡(luò)安全研發(fā)方面的投入是44.85億人民幣;

2892，指的是截至2017年底，華為在安全方面的發(fā)明專利已達到了2892個，并且其中很大一部分是國際專利。

這些數(shù)字，一方面詮釋了宋端智所言的華為在網(wǎng)絡(luò)安全領(lǐng)域所堅持的“偏執(zhí)”所在，另一方面也彰顯出：華為有意愿、也有能力在網(wǎng)絡(luò)安全行業(yè)有所作為，為全球的網(wǎng)絡(luò)安全發(fā)展貢獻自己的力量。

“華為希望能夠給大家?guī)矶恳恍碌母杏X，這個感覺有兩個層次，一是華為在網(wǎng)絡(luò)安全方面的態(tài)度和實力，能夠讓大家看到耳目一新;再就是，華為的網(wǎng)絡(luò)安全能夠給國內(nèi)的網(wǎng)絡(luò)安全行業(yè)帶來一股新風(fēng)。”宋端智說道。