由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）、科技云報道共同主辦的“解碼2022中國網(wǎng)安強星”活動正式拉開帷幕。本次活動以“網(wǎng)安力量 照見未來”為主題，邀請榮獲“2022年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”的企業(yè)高層做客直播間，從行業(yè)、技術(shù)、市場等多角度探討網(wǎng)安相關(guān)話題，探究企業(yè)背后的創(chuàng)新力量和安全實力。

如今，眾多企業(yè)選擇加速數(shù)字化轉(zhuǎn)型以增強自身的敏捷性和韌性，來應對復雜多變的市場環(huán)境。

隨著企業(yè)各類業(yè)務加速“觸網(wǎng)”，如何在日益嚴峻復雜的網(wǎng)絡(luò)安全環(huán)境下筑牢安全底座，為數(shù)字化轉(zhuǎn)型戰(zhàn)略的成功實施提供可靠的安全保障，是整個產(chǎn)業(yè)界需要研究和解決的嚴峻問題。

華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域總裁馬燁做客“解碼2022中國網(wǎng)安強星”直播間，與大家分享了關(guān)于構(gòu)建網(wǎng)絡(luò)安全體系的最新觀點。

打不垮、穿不透

夯實數(shù)字化轉(zhuǎn)型安全底座

馬燁介紹，2000年，華為便成立了安全產(chǎn)品線，是最早布局網(wǎng)絡(luò)安領(lǐng)域的企業(yè)之一。

如今，華為已在全球設(shè)立了6個網(wǎng)絡(luò)安全創(chuàng)新實驗室，研發(fā)團隊人數(shù)達到2500人。

目前，華為已經(jīng)具備3000多個涉及安全領(lǐng)域的芯片、AI等專利技術(shù)。

正是通過對根技術(shù)的不斷創(chuàng)新和持續(xù)投入，使得華為安全系列產(chǎn)品和解決方案構(gòu)筑起既高且厚的競爭壁壘。

產(chǎn)品方面，主要包含云網(wǎng)邊端四個方向的產(chǎn)品，比如防火墻、入侵防御、Anti-DDoS、安全態(tài)勢感知以及主要面向政企客戶的安全云服務產(chǎn)品。

2021-2022年，華為防火墻蟬聯(lián)Gartnter客戶之選全球第一名，是國內(nèi)唯一兩次入選NSS Lab推薦級的安全產(chǎn)品，并且在Forrester評測中，華為安全首次評即獲得國內(nèi)唯一“卓越表現(xiàn)者”，連續(xù)9年進入著名分析師機構(gòu)Gartner魔力象限，也是國內(nèi)唯一一家連續(xù)5年入選的廠商。

此外，對于安全大腦的核心，華為態(tài)勢感知系統(tǒng)是2022年國內(nèi)唯一入選 Gartner安全信息和事件管理魔力象限的產(chǎn)品。

解決方案層面，華為HiSec實現(xiàn)了從針對威脅的防御到面向業(yè)務確定性保障的思路演進。

基于內(nèi)生可信、威脅檢測分析算法、自動化管理與風險評估等根技術(shù)，HiSec從系統(tǒng)內(nèi)生安全、威脅防御、運營管理流程三個維度構(gòu)筑韌性技術(shù)架構(gòu)，確保守住系統(tǒng)安全底線。

華為HiSec安全解決方案不僅得到了諸多全球TOP客戶的認可，在國內(nèi)外權(quán)威的機構(gòu)測評中也多次榮獲獎項。

另外，華為還孵化了很多面向垂直領(lǐng)域的安全解決方案。比如電子政務外網(wǎng)的檢測平臺、數(shù)據(jù)安全解決方案，還有針對關(guān)鍵信息技術(shù)設(shè)施的安全解決方案，以及面向未來IPv6+的安全解決方案，同時也包含了基于網(wǎng)絡(luò)安全基礎(chǔ)的等保解決方案。

目前為止，HiSec安全解決方案已經(jīng)廣泛部署在了全球TOP企業(yè)之中，涵蓋政府、金融、能源、交通等各個細分行業(yè)。

2

大痛點、阻轉(zhuǎn)型

網(wǎng)絡(luò)安全需要一體化設(shè)計

數(shù)字時代下，網(wǎng)絡(luò)安全進入了攻擊復雜化、漏洞產(chǎn)業(yè)化、重保常態(tài)化等新常態(tài)。為應對數(shù)字世界新挑戰(zhàn)，網(wǎng)絡(luò)安全防護需要新的理論思考和方法。

對于網(wǎng)絡(luò)安全正在呈現(xiàn)的新趨勢，馬燁表示，伴隨數(shù)字化轉(zhuǎn)型進程的深入，各大企業(yè)、事業(yè)單位、政府機構(gòu)、國家機關(guān)等都逐步將業(yè)務系統(tǒng)遷移至云端。

云服務模式的深化應用、細分領(lǐng)域和場景的安全實踐，都推動了網(wǎng)絡(luò)安全市場需求水漲船高。

混合多云、云原生、AI、IoT等新技術(shù)，更是催生了更細化的安全場景和更豐富的安全需求。

近幾年，國家陸續(xù)出臺了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)，對企業(yè)數(shù)據(jù)安全提出了更高要求。

馬燁認為，目前有五大痛點正在阻礙企業(yè)的數(shù)字化轉(zhuǎn)型步伐。

首先，數(shù)字化將原來的企業(yè)安全防護邊界完全打破，傳統(tǒng)安全架構(gòu)已經(jīng)無法匹配未來的數(shù)字化和云化發(fā)展訴求。

網(wǎng)絡(luò)安全建設(shè)需要和業(yè)務同步規(guī)劃、同步建設(shè)、同步運維，對于任何企業(yè)而言，都需要將安全這一重要因素考慮進頂層架構(gòu)設(shè)計之中。

在完成架構(gòu)設(shè)計之后，安全體系要與整個業(yè)務規(guī)劃進行融合，要匹配業(yè)務未來長期發(fā)展。

這就需要梳理業(yè)務所在的垂直領(lǐng)域和行業(yè)，并根據(jù)自身的業(yè)務流整合出數(shù)據(jù)流，從而通過數(shù)據(jù)流來洞察企業(yè)在網(wǎng)絡(luò)安全方面的薄弱點，再依靠企業(yè)的治理制度、業(yè)務流程、安全技術(shù)消除安全薄弱環(huán)節(jié)。

第二，當前網(wǎng)絡(luò)安全的每個細分領(lǐng)域，以及安全廠商、安全產(chǎn)品都呈現(xiàn)碎片化的狀態(tài)，在同等安全技術(shù)標準下，由防火墻、入侵防御、抗DDoS攻擊等各類安全組件搭建的安全系統(tǒng)，其防護能力卻不盡相同，但怎樣的系統(tǒng)才是真正安全的系統(tǒng)，并沒有一個明確的定義。

另外，像串聯(lián)、旁掛等多元部署形式，讓安全設(shè)備之間無法形成聯(lián)動與合力，導致網(wǎng)絡(luò)安全建設(shè)較為松散，無法形成統(tǒng)一的安全體系。

第三，雖然網(wǎng)絡(luò)安全體系很多時候可能滿足了合規(guī)的要求，但并沒有真正將網(wǎng)絡(luò)安全產(chǎn)品和解決方案的實際效果發(fā)揮出來。

很多企業(yè)在網(wǎng)絡(luò)安全體系第一期建設(shè)完以后，并沒有根據(jù)最新的漏洞，對特征庫進行實時刷新和升級，導致網(wǎng)絡(luò)安全缺乏時效性。

這里面會涉及到解決方案靈活性的問題，即能否支持這種隨時動態(tài)的刷新。

第四，網(wǎng)絡(luò)安全設(shè)備本身是否足夠安全也是一個問題。

目前很多攻擊往往都是利用了網(wǎng)絡(luò)安全設(shè)備的漏洞，導致設(shè)備本身不夠安全可信，最終造成整個網(wǎng)絡(luò)被擊穿。

《網(wǎng)絡(luò)安全法》對守護網(wǎng)絡(luò)安全防線、構(gòu)建安全可信網(wǎng)絡(luò)體系提出了更高要求，其中也明確提出要應用安全可信的網(wǎng)絡(luò)產(chǎn)品和服務。

第五，網(wǎng)絡(luò)安全在企業(yè)中的角色仍未被有效重視。

目前很多企業(yè)雖然購買了很多安全設(shè)備，但安全體系牽涉環(huán)節(jié)眾多，企業(yè)在網(wǎng)絡(luò)安全方面缺乏足夠的人員配備，導致有限的運維人員在面對大量安全報警時捉襟見肘。

如何解決安全運維中的服務痛點也是企業(yè)必須考慮的問題。

馬燁表示，安全本身是一個跨學科的領(lǐng)域，現(xiàn)在仍不能從業(yè)務生命周期中剝離出來，安全也并不是單純由技術(shù)驅(qū)動。

因此，開發(fā)者、運營商和安全人員需要彼此配合，安全體系的一體化設(shè)計和構(gòu)建需要聚合多方力量共同探索。

3

正向建、反向查

構(gòu)建一張具備韌性的安全網(wǎng)

要做到“絕對安全”是不可能的，但要構(gòu)建一個安全可信、充滿韌性的網(wǎng)絡(luò)安全，從而提高安全防護壁壘、提升攻擊成本，將安全風險降到最低卻是可能的。

想完成這一目標，就需要安全防御從盡力而為向確定性安全邁進，準確地說是面向確定性業(yè)務的韌性保障。

對此，馬燁給出了華為在網(wǎng)絡(luò)安全體系建設(shè)方面的基本思路——“正向建、反向查”。

正向建

首先構(gòu)建安全可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過供應鏈可信、硬件可信和軟件可信，構(gòu)建ICT基礎(chǔ)設(shè)施的“可信基座”。

其次，網(wǎng)絡(luò)層通過IPv6+和路由協(xié)議等安全技術(shù)，將不確定的IP網(wǎng)絡(luò)變成確定性網(wǎng)絡(luò)，避免路由被劫持和不符合預期的流量，確保“網(wǎng)絡(luò)可信”。

第三，應用層構(gòu)建可信任身份，基于數(shù)字身份和信任評估框架，構(gòu)建持續(xù)的信任評估機制，加強設(shè)備、人員入網(wǎng)可信身份驗證和對數(shù)據(jù)的合法訪問，確保“身份可信”，以上三個層面搭建起安全可信的網(wǎng)絡(luò)體系架構(gòu)。

反向查

首先要在云網(wǎng)邊端全域進行監(jiān)測，對未知漏洞、病毒、缺陷、攻擊進行實時檢查，從而保證網(wǎng)絡(luò)的基本防御能力。

無論是在云端、網(wǎng)絡(luò)側(cè)，還是在邊緣側(cè)的安全網(wǎng)關(guān)，或者端上的EDR，共同組成了一套完整的方案。

其次，未來的威脅防御是算力之間的對抗，因此需要構(gòu)建威脅檢測和分析的算力支撐，利用AI技術(shù)與之進行對抗。

通過智能防御，基于AI的威脅關(guān)聯(lián)檢測、云地聯(lián)邦學習，大幅提升威脅檢出率和處置風險的能力。

第三，構(gòu)建一體安全。安全不應該是割裂的，應該和廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)等緊密連接，形成聯(lián)動機制，以云網(wǎng)端協(xié)同防護，提升網(wǎng)絡(luò)韌性。

不難看出，“正向建”是一種內(nèi)生安全，以可信視角打造信任體系，降低系統(tǒng)內(nèi)部不確定性。

“反向查”以技術(shù)升級構(gòu)建威脅防御體系，消減外部威脅帶來的安全不確定性。

一方面，深挖地基、構(gòu)建更有韌性的安全架構(gòu)；另一方面，通過自動化、AI等多種技術(shù)手段，建立立體化防護體系抵御來犯之敵。

對于企業(yè)而言，基于“正向建、反向查”的安全體系，將從內(nèi)到外構(gòu)建出一張可信、安全、充滿韌性的網(wǎng)絡(luò)，進一步增強安全確定性。

4

補短板、見實效

建立最廣泛的安全合作陣線

對于一些企業(yè)而言，可能已經(jīng)有比較完備的安全產(chǎn)品配置，但還有一些安全防線沒有建好，那么是把已經(jīng)構(gòu)建好的網(wǎng)絡(luò)安全體系拋棄掉進行重建，還是在現(xiàn)有基礎(chǔ)上進行聯(lián)動？

馬燁表示，華為會根據(jù)政企客戶訴求幫助他們梳理業(yè)務流，包括管理流程、業(yè)務流程、數(shù)據(jù)部署、潛在威脅、防護痛點等，和企業(yè)共同構(gòu)建場景化的安全解決方案。

比如，醫(yī)院在等保的基礎(chǔ)上，可能需要大型醫(yī)療設(shè)備遠程運維方案；高校關(guān)注較多的是防掛靠、防勒索；智能制造需要IT和OT等整合性更高的安全方案。

對于不同場景，應在安全防護基礎(chǔ)方案之上，疊加政企客戶所在行業(yè)的垂直領(lǐng)域方案，從而組成一個面向業(yè)務的整體方案。

針對中大型企業(yè)，華為會在網(wǎng)絡(luò)安全建設(shè)初期與企業(yè)共同做安全規(guī)劃，幫助其進行頂層架構(gòu)設(shè)計。

由于網(wǎng)絡(luò)安全體系建設(shè)不是一蹴而就，也無法一勞永逸，很多時候需要分期進行投入和建設(shè)。

對此，馬燁表示，網(wǎng)絡(luò)安全一定要與業(yè)務同步規(guī)劃，要在業(yè)務體系建設(shè)起來的時候，同步考慮網(wǎng)絡(luò)安全建設(shè)。

其次，企業(yè)在設(shè)計安全架構(gòu)時，要根據(jù)自身未來發(fā)展留出余量，從而可以根據(jù)業(yè)務變化進行靈活的擴容。

比如可以選用一些彈性能力較強的安全設(shè)備，而不是把單個設(shè)備進行疊加。

對于中小企業(yè)，更需要專業(yè)的安全運維能力。對此，華為推出了網(wǎng)安一體的乾坤安全云服務解決方案。

相比傳統(tǒng)網(wǎng)絡(luò)安全方案，華為乾坤云服務只需要在分支部署一臺硬件，通過云服務即訂即用，開通快、升級快、威脅處置快，解決了大部分企業(yè)對于安全服務化的訴求。

馬燁指出，網(wǎng)絡(luò)安全領(lǐng)域覆蓋的技術(shù)門類眾多，產(chǎn)品體系寬度相對較寬，無法依靠單一產(chǎn)品構(gòu)建完整的安全體系，每家安全廠商也無法獨自完成所有安全細分領(lǐng)域的產(chǎn)品和解決方案，而是需要眾多安全廠商發(fā)揮各自技術(shù)優(yōu)勢，共同構(gòu)建網(wǎng)絡(luò)安全解決方案。

如果想要構(gòu)建一個面向未來的安全解決方案，除了要具備基礎(chǔ)的軟硬件，還需要基礎(chǔ)大數(shù)據(jù)平臺以及互聯(lián)互通的標準接口。

因此，華為不斷參與一些行業(yè)標準的開發(fā)和制定，從而保證其安全解決方案具備更好的兼容性。

同時，這也是華為推動安全商業(yè)聯(lián)盟成立的初衷。

2018年，華為倡議并牽頭成立“華為安全商業(yè)聯(lián)盟”，聯(lián)盟基于華為HiSec安全解決方案，深度整合聯(lián)盟伙伴在細分領(lǐng)域的領(lǐng)先產(chǎn)品，實現(xiàn)網(wǎng)絡(luò)、應用和終端之間的協(xié)同聯(lián)動，為客戶提供更具防護實效的安全解決方案。

目前，華為安全商業(yè)聯(lián)盟共有17家合作伙伴，共同為企業(yè)搭建面向未來的網(wǎng)絡(luò)安全體系。

結(jié)語

物理世界的安全體系已經(jīng)形成，但數(shù)字世界的體系卻落后于時代發(fā)展。筑牢數(shù)字世界安全底座需要各方共同努力。

面向萬物互聯(lián)的智能世界，華為堅持做網(wǎng)絡(luò)安全的“催化劑”和“粘合劑”，通過夯實技術(shù)基礎(chǔ)，凝聚各方力量，共同打造場景化安全解決方案，為千行百業(yè)的數(shù)字化轉(zhuǎn)型保駕護航。