由中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟（CCIA）、科技云報道共同主辦的“解碼2022中國網(wǎng)安強星”活動正式拉開帷幕。本次活動以“網(wǎng)安力量 照見未來”為主題，邀請榮獲“2022年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”的企業(yè)高層做客直播間，從行業(yè)、技術、市場等多角度探討網(wǎng)安相關話題，探究企業(yè)背后的創(chuàng)新力量和安全實力。

如今，眾多企業(yè)選擇加速數(shù)字化轉型以增強自身的敏捷性和韌性，來應對復雜多變的市場環(huán)境。

隨著企業(yè)各類業(yè)務加速“觸網(wǎng)”，如何在日益嚴峻復雜的網(wǎng)絡安全環(huán)境下筑牢安全底座，為數(shù)字化轉型戰(zhàn)略的成功實施提供可靠的安全保障，是整個產(chǎn)業(yè)界需要研究和解決的嚴峻問題。

華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領域總裁馬燁做客“解碼2022中國網(wǎng)安強星”直播間，與大家分享了關于構建網(wǎng)絡安全體系的最新觀點。

打不垮、穿不透

夯實數(shù)字化轉型安全底座

馬燁介紹，2000年，華為便成立了安全產(chǎn)品線，是最早布局網(wǎng)絡安領域的企業(yè)之一。

如今，華為已在全球設立了6個網(wǎng)絡安全創(chuàng)新實驗室，研發(fā)團隊人數(shù)達到2500人。

目前，華為已經(jīng)具備3000多個涉及安全領域的芯片、AI等專利技術。

正是通過對根技術的不斷創(chuàng)新和持續(xù)投入，使得華為安全系列產(chǎn)品和解決方案構筑起既高且厚的競爭壁壘。

產(chǎn)品方面，主要包含云網(wǎng)邊端四個方向的產(chǎn)品，比如防火墻、入侵防御、Anti-DDoS、安全態(tài)勢感知以及主要面向政企客戶的安全云服務產(chǎn)品。

2021-2022年，華為防火墻蟬聯(lián)Gartnter客戶之選全球第一名，是國內(nèi)唯一兩次入選NSS Lab推薦級的安全產(chǎn)品，并且在Forrester評測中，華為安全首次評即獲得國內(nèi)唯一“卓越表現(xiàn)者”，連續(xù)9年進入著名分析師機構Gartner魔力象限，也是國內(nèi)唯一一家連續(xù)5年入選的廠商。

此外，對于安全大腦的核心，華為態(tài)勢感知系統(tǒng)是2022年國內(nèi)唯一入選 Gartner安全信息和事件管理魔力象限的產(chǎn)品。

解決方案層面，華為HiSec實現(xiàn)了從針對威脅的防御到面向業(yè)務確定性保障的思路演進。

基于內(nèi)生可信、威脅檢測分析算法、自動化管理與風險評估等根技術，HiSec從系統(tǒng)內(nèi)生安全、威脅防御、運營管理流程三個維度構筑韌性技術架構，確保守住系統(tǒng)安全底線。

華為HiSec安全解決方案不僅得到了諸多全球TOP客戶的認可，在國內(nèi)外權威的機構測評中也多次榮獲獎項。

另外，華為還孵化了很多面向垂直領域的安全解決方案。比如電子政務外網(wǎng)的檢測平臺、數(shù)據(jù)安全解決方案，還有針對關鍵信息技術設施的安全解決方案，以及面向未來IPv6+的安全解決方案，同時也包含了基于網(wǎng)絡安全基礎的等保解決方案。

目前為止，HiSec安全解決方案已經(jīng)廣泛部署在了全球TOP企業(yè)之中，涵蓋政府、金融、能源、交通等各個細分行業(yè)。

2

大痛點、阻轉型

網(wǎng)絡安全需要一體化設計

數(shù)字時代下，網(wǎng)絡安全進入了攻擊復雜化、漏洞產(chǎn)業(yè)化、重保常態(tài)化等新常態(tài)。為應對數(shù)字世界新挑戰(zhàn)，網(wǎng)絡安全防護需要新的理論思考和方法。

對于網(wǎng)絡安全正在呈現(xiàn)的新趨勢，馬燁表示，伴隨數(shù)字化轉型進程的深入，各大企業(yè)、事業(yè)單位、政府機構、國家機關等都逐步將業(yè)務系統(tǒng)遷移至云端。

云服務模式的深化應用、細分領域和場景的安全實踐，都推動了網(wǎng)絡安全市場需求水漲船高。

混合多云、云原生、AI、IoT等新技術，更是催生了更細化的安全場景和更豐富的安全需求。

近幾年，國家陸續(xù)出臺了《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》等法律法規(guī)，對企業(yè)數(shù)據(jù)安全提出了更高要求。

馬燁認為，目前有五大痛點正在阻礙企業(yè)的數(shù)字化轉型步伐。

首先，數(shù)字化將原來的企業(yè)安全防護邊界完全打破，傳統(tǒng)安全架構已經(jīng)無法匹配未來的數(shù)字化和云化發(fā)展訴求。

網(wǎng)絡安全建設需要和業(yè)務同步規(guī)劃、同步建設、同步運維，對于任何企業(yè)而言，都需要將安全這一重要因素考慮進頂層架構設計之中。

在完成架構設計之后，安全體系要與整個業(yè)務規(guī)劃進行融合，要匹配業(yè)務未來長期發(fā)展。

這就需要梳理業(yè)務所在的垂直領域和行業(yè)，并根據(jù)自身的業(yè)務流整合出數(shù)據(jù)流，從而通過數(shù)據(jù)流來洞察企業(yè)在網(wǎng)絡安全方面的薄弱點，再依靠企業(yè)的治理制度、業(yè)務流程、安全技術消除安全薄弱環(huán)節(jié)。

第二，當前網(wǎng)絡安全的每個細分領域，以及安全廠商、安全產(chǎn)品都呈現(xiàn)碎片化的狀態(tài)，在同等安全技術標準下，由防火墻、入侵防御、抗DDoS攻擊等各類安全組件搭建的安全系統(tǒng)，其防護能力卻不盡相同，但怎樣的系統(tǒng)才是真正安全的系統(tǒng)，并沒有一個明確的定義。

另外，像串聯(lián)、旁掛等多元部署形式，讓安全設備之間無法形成聯(lián)動與合力，導致網(wǎng)絡安全建設較為松散，無法形成統(tǒng)一的安全體系。

第三，雖然網(wǎng)絡安全體系很多時候可能滿足了合規(guī)的要求，但并沒有真正將網(wǎng)絡安全產(chǎn)品和解決方案的實際效果發(fā)揮出來。

很多企業(yè)在網(wǎng)絡安全體系第一期建設完以后，并沒有根據(jù)最新的漏洞，對特征庫進行實時刷新和升級，導致網(wǎng)絡安全缺乏時效性。

這里面會涉及到解決方案靈活性的問題，即能否支持這種隨時動態(tài)的刷新。

第四，網(wǎng)絡安全設備本身是否足夠安全也是一個問題。

目前很多攻擊往往都是利用了網(wǎng)絡安全設備的漏洞，導致設備本身不夠安全可信，最終造成整個網(wǎng)絡被擊穿。

《網(wǎng)絡安全法》對守護網(wǎng)絡安全防線、構建安全可信網(wǎng)絡體系提出了更高要求，其中也明確提出要應用安全可信的網(wǎng)絡產(chǎn)品和服務。

第五，網(wǎng)絡安全在企業(yè)中的角色仍未被有效重視。

目前很多企業(yè)雖然購買了很多安全設備，但安全體系牽涉環(huán)節(jié)眾多，企業(yè)在網(wǎng)絡安全方面缺乏足夠的人員配備，導致有限的運維人員在面對大量安全報警時捉襟見肘。

如何解決安全運維中的服務痛點也是企業(yè)必須考慮的問題。

馬燁表示，安全本身是一個跨學科的領域，現(xiàn)在仍不能從業(yè)務生命周期中剝離出來，安全也并不是單純由技術驅動。

因此，開發(fā)者、運營商和安全人員需要彼此配合，安全體系的一體化設計和構建需要聚合多方力量共同探索。

3

正向建、反向查

構建一張具備韌性的安全網(wǎng)

要做到“絕對安全”是不可能的，但要構建一個安全可信、充滿韌性的網(wǎng)絡安全，從而提高安全防護壁壘、提升攻擊成本，將安全風險降到最低卻是可能的。

想完成這一目標，就需要安全防御從盡力而為向確定性安全邁進，準確地說是面向確定性業(yè)務的韌性保障。

對此，馬燁給出了華為在網(wǎng)絡安全體系建設方面的基本思路——“正向建、反向查”。

正向建

首先構建安全可信的網(wǎng)絡基礎設施，通過供應鏈可信、硬件可信和軟件可信，構建ICT基礎設施的“可信基座”。

其次，網(wǎng)絡層通過IPv6+和路由協(xié)議等安全技術，將不確定的IP網(wǎng)絡變成確定性網(wǎng)絡，避免路由被劫持和不符合預期的流量，確保“網(wǎng)絡可信”。

第三，應用層構建可信任身份，基于數(shù)字身份和信任評估框架，構建持續(xù)的信任評估機制，加強設備、人員入網(wǎng)可信身份驗證和對數(shù)據(jù)的合法訪問，確保“身份可信”，以上三個層面搭建起安全可信的網(wǎng)絡體系架構。

反向查

首先要在云網(wǎng)邊端全域進行監(jiān)測，對未知漏洞、病毒、缺陷、攻擊進行實時檢查，從而保證網(wǎng)絡的基本防御能力。

無論是在云端、網(wǎng)絡側，還是在邊緣側的安全網(wǎng)關，或者端上的EDR，共同組成了一套完整的方案。

其次，未來的威脅防御是算力之間的對抗，因此需要構建威脅檢測和分析的算力支撐，利用AI技術與之進行對抗。

通過智能防御，基于AI的威脅關聯(lián)檢測、云地聯(lián)邦學習，大幅提升威脅檢出率和處置風險的能力。

第三，構建一體安全。安全不應該是割裂的，應該和廣域網(wǎng)絡、城域網(wǎng)絡、園區(qū)網(wǎng)絡、數(shù)據(jù)中心網(wǎng)絡等緊密連接，形成聯(lián)動機制，以云網(wǎng)端協(xié)同防護，提升網(wǎng)絡韌性。

不難看出，“正向建”是一種內(nèi)生安全，以可信視角打造信任體系，降低系統(tǒng)內(nèi)部不確定性。

“反向查”以技術升級構建威脅防御體系，消減外部威脅帶來的安全不確定性。

一方面，深挖地基、構建更有韌性的安全架構；另一方面，通過自動化、AI等多種技術手段，建立立體化防護體系抵御來犯之敵。

對于企業(yè)而言，基于“正向建、反向查”的安全體系，將從內(nèi)到外構建出一張可信、安全、充滿韌性的網(wǎng)絡，進一步增強安全確定性。

4

補短板、見實效

建立最廣泛的安全合作陣線

對于一些企業(yè)而言，可能已經(jīng)有比較完備的安全產(chǎn)品配置，但還有一些安全防線沒有建好，那么是把已經(jīng)構建好的網(wǎng)絡安全體系拋棄掉進行重建，還是在現(xiàn)有基礎上進行聯(lián)動？

馬燁表示，華為會根據(jù)政企客戶訴求幫助他們梳理業(yè)務流，包括管理流程、業(yè)務流程、數(shù)據(jù)部署、潛在威脅、防護痛點等，和企業(yè)共同構建場景化的安全解決方案。

比如，醫(yī)院在等保的基礎上，可能需要大型醫(yī)療設備遠程運維方案；高校關注較多的是防掛靠、防勒索；智能制造需要IT和OT等整合性更高的安全方案。

對于不同場景，應在安全防護基礎方案之上，疊加政企客戶所在行業(yè)的垂直領域方案，從而組成一個面向業(yè)務的整體方案。

針對中大型企業(yè)，華為會在網(wǎng)絡安全建設初期與企業(yè)共同做安全規(guī)劃，幫助其進行頂層架構設計。

由于網(wǎng)絡安全體系建設不是一蹴而就，也無法一勞永逸，很多時候需要分期進行投入和建設。

對此，馬燁表示，網(wǎng)絡安全一定要與業(yè)務同步規(guī)劃，要在業(yè)務體系建設起來的時候，同步考慮網(wǎng)絡安全建設。

其次，企業(yè)在設計安全架構時，要根據(jù)自身未來發(fā)展留出余量，從而可以根據(jù)業(yè)務變化進行靈活的擴容。

比如可以選用一些彈性能力較強的安全設備，而不是把單個設備進行疊加。

對于中小企業(yè)，更需要專業(yè)的安全運維能力。對此，華為推出了網(wǎng)安一體的乾坤安全云服務解決方案。

相比傳統(tǒng)網(wǎng)絡安全方案，華為乾坤云服務只需要在分支部署一臺硬件，通過云服務即訂即用，開通快、升級快、威脅處置快，解決了大部分企業(yè)對于安全服務化的訴求。

馬燁指出，網(wǎng)絡安全領域覆蓋的技術門類眾多，產(chǎn)品體系寬度相對較寬，無法依靠單一產(chǎn)品構建完整的安全體系，每家安全廠商也無法獨自完成所有安全細分領域的產(chǎn)品和解決方案，而是需要眾多安全廠商發(fā)揮各自技術優(yōu)勢，共同構建網(wǎng)絡安全解決方案。

如果想要構建一個面向未來的安全解決方案，除了要具備基礎的軟硬件，還需要基礎大數(shù)據(jù)平臺以及互聯(lián)互通的標準接口。

因此，華為不斷參與一些行業(yè)標準的開發(fā)和制定，從而保證其安全解決方案具備更好的兼容性。

同時，這也是華為推動安全商業(yè)聯(lián)盟成立的初衷。

2018年，華為倡議并牽頭成立“華為安全商業(yè)聯(lián)盟”，聯(lián)盟基于華為HiSec安全解決方案，深度整合聯(lián)盟伙伴在細分領域的領先產(chǎn)品，實現(xiàn)網(wǎng)絡、應用和終端之間的協(xié)同聯(lián)動，為客戶提供更具防護實效的安全解決方案。

目前，華為安全商業(yè)聯(lián)盟共有17家合作伙伴，共同為企業(yè)搭建面向未來的網(wǎng)絡安全體系。

結語

物理世界的安全體系已經(jīng)形成，但數(shù)字世界的體系卻落后于時代發(fā)展。筑牢數(shù)字世界安全底座需要各方共同努力。

面向萬物互聯(lián)的智能世界，華為堅持做網(wǎng)絡安全的“催化劑”和“粘合劑”，通過夯實技術基礎，凝聚各方力量，共同打造場景化安全解決方案，為千行百業(yè)的數(shù)字化轉型保駕護航。