助力“互联网+”行动：解读华为的网络安全<br/>—— 基于“互联网＋”行动背景下的华为公司信息安全及战略布局

助力“互联网+”行动：解读华为的网络安全
—— 基于“互联网＋”行动背景下的华为公司信息安全及战略布局

2016-11-21崔传桢

信息安全研究 2016年6期

□ 崔传桢

助力“互联网+”行动：解读华为的网络安全
—— 基于“互联网＋”行动背景下的华为公司信息安全及战略布局

□ 崔传桢

华为积极响应我国网络空间安全国家战略，助力“互联网+”行动。华为在16年前布局信息安全，至今厚积薄发，成为中国移动、中国电信骨干网络部署防火墙设备数量最多的厂商，并成功为上海政务外网等政府项目提供安全服务。华为的信息安全战略是：通过提供泛在的安全产品和整体的深度防御，以及可靠的安全服务运营体系，为用户构建安全的全连接世界。为此，华为常年来投入巨额研发资金，以安全大数据能力为中心，构建了涵盖云-管-端的一体化安全解决方案以及完善的安全服务运营体系。

为进一步了解华为技术有限公司的信息安全战略，以及如何助力国家“互联网+”行动计划，本刊近期走进华为技术有限公司，深入探究华为技术有限公司的信息网络安全及战略布局。

华为积极响应中央战略，参与”互联网+”行动计划

2016年4月19日，习近平总书记在京主持召开网络安全和信息化工作座谈会并发表重要讲话。习近平指出，在中国“互联网+”行动计划之下，要着力推动互联网和实体经济深度融合发展，建设网络良好生态，依法加强网络空间治理，同时要把更多人力物力投向核心技术研发。习近平强调，网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。

华为技术有限公司（文中简称“华为”）CEO任正非先生出席了此次座谈会，与参会人员就实现信息化发展新跨越、加快构建信息领域核心技术体系、加强网络信息安全技术能力、建设顶层设计等议题提出了意见和建议。华为将网络安全保障作为公司的重要工作，与政府、客户及行业伙伴以开放加快全球网络基础设施建设，促进互联互通，有利于加强经济文化交流，共享发展机遇。习近平主席同时强调：“安全和发展是一体之两翼、驱动之双轮”，“网络监听、网络攻击、网络恐怖主义活动已成为“全球公害”，各国应该共同遏制信息技术滥用，反对网络监听和网络攻击，保护互联网的安全。”互联网的安全保障，是“互联网+”行动计划顺利推进的前提。华为打造了云-管-端一体化的安全产品和解决方案，拥有一支超过1000名安全专家的队伍和全球的安全服务运营体系，以开放合作的态度，希望与安全产业共同协作，助力“互联网+”行动计划的落地和实施，真正实现网络互联互通、共享共治、构建网络空间命运共同体。

华为信息安全之路：厚积薄发、艰苦奋斗、客户为中心

2016年3月，美国RSA大会期间，华为获得全球最权威的第三方信息安全评测机构NSS实验室所颁发的NGFW下一代防火墙“推荐级”。 NSS实验室的推荐级，只有顶级的技术产品才有资格获得。这表明华为防火墙通过了独立的第三方验证，达到业界一流水平。提到华为安全，大家首先想到的可能就是防火墙了。获得国际专业机构的殊荣，正是这些年来华为安全产品所取得成绩的一个缩影。近20年来，在安全产品领域，华为围绕网络层的硬件安全产品，逐步拓展建立起完善的软件、服务体系，并已逐步覆盖企业网络与数据中心安全、云安全、终端安全、网络安全、应用安全、安全管理和安全服务等多个业务领域。

1）厚积薄发

华为安全团队最早可以追溯到2000年初，当时华为已经是电信制造业的佼佼者，主要服务的客户是全球运营商。客户在购买路由器等传统数通产品的同时，对骨干网络的传输安全加密产生大量需求，同时由于IPv4地址开始耗尽，大规模NAT地址转换也成为刚需。华为安全业务团队基于VRP平台，开始研发硬件安全网关，首先提供给大型运营商，并没有奢求开始就铺开产品系列。由于并不服务于电信之外的其他用户，这种聚焦的战略在几和透明的方式，共同应对安全方面的挑战，共同构筑“互联网+”的安全屏障。

李克强总理在2015年两会政府工作报告中提出：制定“互联网+”行动计划，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业互联网和互联网金融健康。”“互联网+”正式成为国家战略。

华为作为一家中国本土企业，全球每天超过20亿人使用华为的设备通信，在150多个国家拥有500个客户，70%营收来自海外。

2015年1月4日，国务院总理李克强视察华为深圳总部，在任正非的陪同下参观了华为展厅。听完任正非的工作汇报，李克强总理对华为在全球取得的成绩表示赞许，并称“华为大有作为”。

“互联网+”的本质是传统产业的在线化、数据化，人、商品、交易行为迁移到互联网上，在产业上下游、协作主体之间以最低的成本流动和交换，最大限度地发挥数据的价值。“互联网+”的过程，是传统产业转型升级的过程。 “互联网+”带来了积极的影响，开放的网络连接端到端的产业链，13亿人口连接百亿的机器，推动生产生活更加便利，促进国家经济快速发展。

互联网以惊人的速度在发展，给人们带来巨大利益的同时，网络犯罪也在以惊人速度增加，破坏性也从虚拟世界扩展到真实世界。近年来，大量的网络安全事件逐渐引发全球关注：斯诺登事件引起多个国家的外交关系异常；乌克兰电网被攻击造成70万人在圣诞节前夕断电；东南亚政府和印度政府遭到间谍组织常年的网络渗透……。网络犯罪日益猖獗地深入到世界的每一个角落，对政治和经济都造成严重影响，甚至形成了地下黑色产业链。

网络犯罪的攻击面和攻击方式在持续增长，网络犯罪分子越来越熟练地进行无法探测的访问，并成为IT环境中一个持续、低调、长期的存在。攻击无孔不入，无处不在；攻击造成的破坏性越来越大，破坏时间越来越短。

2015年底乌镇第二届全球互联网大会上，习近平主席提出了“互联互通、共享共治，构建网络空间命运共同体”这一重要主张，呼吁各国年之后其技术优势开始显现。2004年，华为研发出基于NP的防火墙，2008年又首次推出万兆分布式防火墙。后来，华为和业界知名安全公司赛门铁克成立了华为赛门铁克合资公司，进一步引入了赛门铁克的安全技术，并逐渐走向国际市场和覆盖除了电信用户外的企业用户。2012年，华为又发布了业界首款T级性能的高端防火墙。通过技术上的不断突破，满足了在大数据、云计算发展的大背景下，电信为主的用户流量爆发增长对安全防护的高要求。

正是由于这种厚积薄发，目前，华为成为在中国移动、中国电信骨干网络部署防火墙设备数量最多的厂商。截至目前，每年发货的硬件设备超过10万台套，成为第1个进入Gartner咨询公司防火墙魔术象限报告的中国厂商，服务超过70个国家的用户。

2）艰苦奋斗

华为安全业务创立初期，深受公司整体艰苦奋斗的企业文化影响，奉行“垫子文化”。即在项目周期紧张、客户交割的时刻，为了保障产品的按时交付和业务顺利上线，项目组的研发和市场人员通宵达旦地工作，累了就在工位下面放一个床垫子，躺下休息一会再爬起来继续工作。因为他们清醒地认识到，整个信息产业都在逐渐转变为低毛利规模的传统产业，用于电子工业的生存原料是取之不尽的河沙、软件代码、数学逻辑。因此，让华为人始终保有危机感。后退就意味着消亡，要想在这个产业中生存，只有不断创新和艰苦奋斗才能不被淘汰。虽然现在的垫子已经用于午休，但创业初期形成的“垫子文化”承载了华为人奋斗和拼搏的精神，时至今日仍然是持续传承的精神财富。

在经营海外市场中，竞争对手是来自全球各个发达国家地区世界级的安全企业，他们拥有几十年的商业底蕴积累、雄厚的资金保障、全球知名的品牌、世界一流的专业团队，以及深厚的市场地位和客户基础。面对如此高超的技术和市场壁垒，华为的安全团队没有多少经验可以借鉴，只有经过千辛万苦，一点一点地争取到订单和边缘市场，然后把收入又拿出来继续投入到研发上，在摸爬滚打中积累经验。正是靠这种“不抛弃、不放弃”的艰苦奋斗精神，才使得今天华为安全市场逐步在全球打开了局面，海外销售收入占比能够达到总收入的一半。

3）客户为中心

对于企业来说，硬实力相当于冰山上的一角，而水下的部分虽然看不见却更重要，那就是企业的文化和核心价值观。除艰苦奋斗外，以客户为中心正是华为的核心文化和竞争力。开展企业客户业务后，各种行业客户的需求纷至沓来。华为内部有强大的平台支撑分析客户诉求，业务线始终站在客户的立场上比客户多想一步，而不是一味地追求华为利益的最大化。举例来说，前两年各地政务网络纷纷建立自己的数据中心和专网，用户在出口需要部署安全网关来保证政务网的稳定运行。由于国内信息安全厂商品牌众多，有的设备做地址转换，有的做4～7层的安全防护，有的做入侵检测，网络非常复杂，而没有一家可以将这些安全功能整合起来。华为经过调研分析，认为完全可以把各种安全业务多合一，替换掉原有性能不足的老旧设备，同时也不用做大的投资购买多台设备。近年来，网络攻击也发生了变化，以高级可持续性攻击APT攻击为代表的未知威胁对敏感信息的精准窃取给政府和企业声誉带来了不可估量的损失。这种威胁易攻难守。华为安全业务团队组建了独立的研发团队，并聘请欧洲研究所的专家，不惜牺牲短期的亏损向此领域投资。正是这种以客户为中心的理念，支撑华为安全业务团队始终能站在客户需求前面，给客户带来最新的解决方案。

华为全球信息安全情况和国内市场案例

作为全球领先的信息与通信解决方案供应商，华为始终保持在网络安全领域的耕耘投入和建设。2013年，华为安全推出下一代防火墙产品；2014年，USG9500高端防火墙系列获得了NSS实验室的最快防火墙评价；2016年，USG6000中低端下一代防火墙获得安全业界国际最高水平的CC EAL4+认证、NSS实验室推荐级评价以及ICSA实验室 IPSec和SSLTLS双认证。

通用准则(common criteria，CC)及评估保证级别 (evaluation assurance level, EAL）等级，主要用于评估IT产品或解决方案的安全性、可靠性以及对信息隐私的保护，是目前公认的全球标准。政府和机构在建设IT解决方案时，CC认证可作为产品安全性评估的重要依据。在CC认证的评估过程中，会对产品的安全性、脆弱性等各方面进行针对性的评估和测试。作为目前网络产品可获得的最高评级，EAL4+级的评估程序更为严谨，甚至包括产品的代码审视。在防火墙产品领域，华为是国内首家也是目前唯一通过CC EAL4+级评估的厂商，表明华为下一代防火墙的安全稳定性已经达到国际领先水平。

NSS实验室是业界公认的独立安全产品测评与研究领域领先者，在安全领域内拥有无可置疑的权威性。因其独立性和先进的测试方法，被全球的企业和组织广泛认可。本次NGFW测评，NSS 实验室采用了最新的测试方法学V6.0标准，引入了网络高级告警系统（cyber advanced warning system, CAWS）现网测试环节，用于评估产品对最新威胁的防护能力。RSA2016大会上，华为宣布防火墙产品在最新的NSS实验室下一代防火墙（next generation firewall, NGFW）评测中表现出色，获得最高的“推荐级”评价。本次NGFW群组测评囊括了13个业界领先安全厂商的产品。NSS实验室的推荐级只有顶级的技术产品才有资格获得。这表明华为防火墙通过了独立的第三方验证，达到业界一流水平。华为USG6650下一代防火墙100%通过了“防火墙策略”、“应用控制”、“防躲避”、“稳定性与可靠性”测试。在安全有效性方面表现出色，CAWS威胁检测率达到99.95%，综合安全有效性达到98.1%。

ICSA(International Computer Security Association) 实验室是业界知名的第三方安全产品测试和认证机构。20多年来，ICSA为许多世界顶级的安全产品开发商和服务商提供兼容性、可靠性、性能测试和认证，其客观公正的测试方法及认证标准赢得了各大企业的信任。华为下一代防火墙已经累计通过4项ICSA认证，获得一次大奖。第1次是获得ICSA Firewall和 IPS双认证；第2次是于2015年RSA大会现场获ICSA“10年EIST卓越信息安全测试大奖”；第3次就是2016年获得的IPSec和SSL-TLS双认证。每次提交认证的设备最终都会被保留在ICSA实验室中继续进行长期稳定性测试，累计一年多的测试，华为下一代防火墙赢得了好的口碑。ICSA实验室负责人Brian MonkMan对此深有感触：”ICSA实验室严格的测试标准确保我们的客户的解决方案满足其用户的高标准要求。华为的持续测试表明其在质量保障流程方面的承诺。”

据IDC发布的《中国IT安全硬件市场2015—2019预测与分析（2014 年下半年）》报告显示：华为在中国防火墙市场以18.9%的市场份额排在第1位。在安全硬件市场占比总和超过6成的防火墙和统一威胁管理（united threat management，UTM) 2个领域，2014年市场占有率之和继续保持第一。自2014年底起，华为抓住了“安全产品国产化”的市场机会，在中国的行业市场持续发力，贴近客户的业务需求，推出系列场景化的解决方案。例如：在金融市场，围绕数据中心建设，推出了数据中心安全解决方案；在运营商市场，持续入围电信及移动集采项目，并取得较高份额；在中小企业市场，大力发展渠道，与广大渠道伙伴一起共同为行业及商业市场客户服务。据IDC发布的《中国IT安全硬件市场2015上半年》报告显示：华为在中国防火墙+UTM硬件市场中排名第一，尤其在企业级市场中表现抢眼。2015年上半年，中国区总体安全业务营收同比增长63.7%，已经逐步成为中国IT安全市场的领军厂商。目前中国区数通（含安全）产品的渠道商已超过160家，华为认证网络安全工程师超过700人。

华为安全产品服务于全球10万多企业客户，遍布北美、欧洲、拉美、非洲、亚太等各个区域，在互联网、金融、教育、政府、能源、大企业等行业得到普遍应用，尤其在保障政务和高校的网络业务顺利开展上作出巨大贡献。

上海电子政务的信息化建设一直处于全国领先的地位，政务外网承担着协同办公、政务公开、互动服务的职责，是政务协作的平台、政务公开的窗口。经过3个5年计划的发展，上海政务外网已汇集市委、市政府、市人大、市政协等单位，并覆盖到包括市级各委办局、管委会及其直属单位等在内的1200多家市级单位；汇接17个区县政务外网，涵盖区县内各委办局、乡镇及街道办事处，并延伸到居委会、村委会和社区中心，电脑终端8万多台，同时负责统一落实政务外网安全防护体系架构及互联网统一出口建设。网络规模大而又责任重大。上海政务外网出口改造，主攻出口统一安全网关的建设。通过深入了解客户需求日渐清晰，华为推出了高可靠、高并发、高安全、高可扩展的安全解决方案。

可靠性对政务外网来说是绝对的制高点。设备的可靠性决定了网络的可靠程度，任何一个节点的故障，都可能导致政务外网业务中断、接入单位使用体验差。华为的USG9500高端防火墙通过电信级硬件平台、关键器件冗余、板间备份、双机热备、双站点备份等一系列可靠性手段，能够最大限度保障政务外网的稳定正常运行。

1200家单位、8万终端的互联网流量汇聚，为互联网出口带来巨大的并发压力。一方面要尽可能满足所有访问需求，另一方面要避免造成网络的性能瓶颈，使网络质量变差。华为的USG9500高端防火墙提供优异的处理性能，整机可达到480G处理能力，充分满足政务外网当前和未来几年的网络发展需求。

作为出口安全网关，安全能力是基础也是关键。电子政务网涉及到众多政府敏感信息的交互。互联网出口一方面要应对公网上无数的安全威胁；另一方面在内部多个委办局的安全隔离、访问控制上也需要有全面的考虑。

华为的USG9500高端防火墙具备强大的安全能力，除了传统的防火墙、NAT、VPN能力，同时提供智能选路、流量管控、入侵防御、用户管理、应用识别、内容审计、防DDOS攻击等一系列应用层安全防护功能，并通过全球安全能力中心应对瞬息万变的互联网威胁。

政府信息化进程的不断推进，要求任何当前建设都能满足5年内网络和用户的扩容需求。在有效保护政府投资高利用率的同时，更关注网络的稳定可持续运行。华为的USG9500高端防火墙作为框式设备，能够通过接口板、业务板的灵活配置，灵活满足按需配置、动态扩容的可持续性需求。以USG9500的业务板来说，一块单板最少可支持40G处理性能，最大支持160G性能，整机最大可扩展到480G容量，充分满足上海政务外网未来5年的高强度要求。

华为的USG9500防火墙进驻上海政务外网，在张江、广纪核心机房各署2套。USG 9500就如同尽职的门卫，默默守护上海政务外网这张大网，为上海市1200多家委办局单位的互联网访问保驾护航。

“晋城在线”是晋城市政府对外宣传的主要信息窗口和晋城市人民获取信息的重要渠道，同时也是政府与社会交流、方便市民办事的公共信息平台。“晋城在线”集电子政务、新闻发布于一体，晋城市人民可以通过该平台进行网上咨询、网上互动、网上申请、查看网上审批进度等，形成了多功能多形式的政务网络平台。“晋城在线”的日均点击量达300万次以上，在当地具有重要的社会地位和影响力。

经过严苛的实验室测试和长达半年的现网考验，华为USG9500 T级防火墙凭借高性能、高可靠、灵活扩展、精细流量管理、全面安全防护等出色的现网表现和极佳的用户体验，一举赢得用户青睐，成为晋城信息中心网络出口防火墙更新换代的最佳选择。

华为USG9500 T级防火墙采用专用的多核处理芯片以及分布式硬件平台，提供4000万到9.6亿的并发连接数，整机性能从40G可平滑扩展升级到1T吞吐量，可满足“晋城在线”未来3～5年的业务发展需求；所有部件均采用全冗余技术，提供单机高于25年的平均无故障时间和运营商级99.999%可靠性，从而进一步保证高速网络环境下的业务连续性；针对链路中可能出现的单点故障隐患，华为USG9500 T级防火墙采用双主控主备倒换和链路捆绑等技术，提供小于1s故障倒换时间，确保业务持续稳定运行。华为USG9500 T防火墙提供全面的安全防护能力，可以有效抵御黑客入侵，防范病毒、特洛伊木马、蠕虫等恶意软件的传播与扩散，通过云端实时升级特征库，可以迅速检测并阻断最新的攻击行为与未知威胁，为“晋城在线”业务提供全方位的安全防护。针对信息中心不同管理员的使用习惯，华为USG9500 T级防火墙提供多种运维管理方案，包括命令行配置、Web配置和网管配置，分级的用户权限管理、操作日志管理、命令行在线帮助及命令注释等功能，极大地简化了操作，使得运维管理更加方便。

华为USG9500 T级防火墙上线部署一年以来，一直运行良好，稳定可靠；在吞吐量和并发会话数等方面表现优异，大幅提升“晋城在线”的访问体验；全面的安全防护功能，有效抵御木马、蠕虫和恶意软件的侵袭，确保信息中心网络业务安全稳定运行。

此外，华为防火墙全力守护广东省电子政务外网安全，助力广州电子政务云安全建设。T级数据中心防火墙更是保障中国工商银行380万亿在线业务安全。在华为安全产品和解决方案的帮助下，北大燕园实现公网加速以顺利传递知识力量，上海交通大学校园网有了全方位安全防护盾。

随着ICT变革的不断深化，华为安全将为企业客户提供云化、移动化的全网安全协同和主动威胁防御，致力于构建安全的全联接网络并打造并重点打造更加开放的生态系统。

基于“互联网+”的华为信息安全战略

在“互联网+”背景下，为了应对日益增长的网络威胁和犯罪，保障良好的网络环境，安全产业的防护理念已经从传统的被动防御转换为积极的主动防御。保护（protect）、检测（detection）、响应（response）模型是体现主动安全防御思想的业界广为认可的安全模型：保护就是采用一切可能的措施来保护网络、系统以及信息的安全，常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等；检测可以了解和评估网络和系统的安全状态，为安全防护和安全响应提供依据，主要包括入侵检测、漏洞检测以及网络扫描等技术；响应在安全模型中占有重要地位，是解决安全问题的最有效办法，解决安全问题就是解决紧急响应和异常处理问题，建立应急响应机制，形成快速安全响应的能力，对网络和系统而言至关重要。

为了助力“互联网+”行动计划的落地，与安全产业共同支撑“互连互通、共享共治、构建网络空间命运共同体”，华为制定了全新的安全战略：通过提供泛在的安全产品和整体的深度防御，以及可靠的安全服务运营体系，为用户构建安全的全连接世界。

华为的信息安全战略全面体现了保护、检测、响应的安全理念。泛在的安全产品指云管端一体化，华为安全解决方案能够完整覆盖移动终端、分支、广域网、园区和数据中心的防护，实现网络和IT基础设施端到端的保护；整体的深度防御指安全大数据检测和分析，华为安全解决方案以安全大数据平台为大脑，实现对复杂威胁的深度感知和检测；可靠的安全服务运营体系指由资深安全专家构成的安全团队、全球部署的安全智能中心，时刻为用户提供应急处理和快速安全响应。

同时，华为作为世界500强以及ICT行业的领导者，坚守企业责任，在开放透明的合作、安全和隐私的法规遵从、国际认可的验证、员工安全意识和责任的培养等多个方面着手，建立全面的网络安全体系，保障客户业务的稳定、安全的运营以及用户隐私的保护，让人民能够安全、便捷、平等地享用信息服务。

1）打造符合“互联网+”需求的一体化安全解决方案

网络安全的建设是一个系统工程，需要系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。木桶原理同样适用于网络安全，一个组织的网络安全水平将由与网络安全有关的所有环节中最薄弱的环节决定。数据资产的生命周期过程中包括产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体网络安全水平。要实现网络安全目标，必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。

华为依托强大的技术研发积累，打造了以安全大数据平台为中心、涵盖云管端的安全产品和解决方案，提供全网协同的安全防护，同时每个产品系列都有业界领先的竞争力，组成没有短板的“木桶”。

2）华为安全大数据平台

挑战：安全防御的重心从传统的防护向检测与分析转移，Gartner预测，检测分析占安全的投资比例将从2014年的不到10%上升到2020年的60%。不能检测分析出威胁，则无法进行响应和保护。

针对检测分析所需要的安全数据，有3个方面的挑战难以规避：

①数据量越来越大。网络已经从千兆迈向了万兆，网络安全设备要分析的数据包数据量急剧上升。同时，随着NGFW的出现，安全网关要进行应用层协议的分析，其分析的数据量更是大增。与此同时，随着安全防御的纵深化，安全监测的内容不断细化，除了传统的攻击监测，还出现了合规监测、应用监测、用户行为监测、性能检测、事务监测，等等，这些都意味着要监测和分析比以往更多的数据。此外，随着APT等新型威胁的兴起，全包捕获技术逐步应用，海量数据处理问题也日益凸显。

②速度越来越快。对于网络设备而言，包处理和转发的速度需要更快；对于安管平台、事件分析平台而言，数据源的事件发送速率EPS（event per second）越来越快。

③种类越来越多。除了数据包、日志、资产数据，安全要素信息还加入了漏洞信息、配置信息、身份与访问信息、用户行为信息、应用信息、业务信息、外部情报信息等。

安全数据的数量、速度、种类的迅速膨胀，不仅带来了海量异构数据的融合、存储和管理的问题，甚至动摇了传统的安全分析方法。

当前绝大多数安全分析工具和方法都是针对小数据量设计的，在面对大数据量时难以为继。新的攻击手段层出不穷，需要检测的数据越来越多，现有的分析技术不堪重负。面对天量的安全要素信息，如何才能更加迅捷地感知网络威胁态势？

传统的分析方法大都采用基于规则和特征的分析引擎，必须要有规则库和特征库才能工作，而规则和特征只能对已知的攻击和威胁进行描述，无法识别未知的攻击，或者是尚未被描述成规则的攻击和威胁。面对未知攻击和复杂攻击如APT等，需要更有效的分析方法和技术。面对天量安全数据，传统的集中化安全分析平台（譬如SIEM、安全管理平台等）也遭遇到了诸多瓶颈，主要表现在以下几方面：

● 高速海量安全数据的采集、存储、管理变得

困难；

● 威胁数据源较小，导致系统判断能力有限；● 趋势性预测较难，早期预警能力差；

● 安全系统相互独立，无有效手段协同工作；● 分析的方法较少；

● 安全事件查询响应效率太低；

● 系统交互能力有限，数据展示效果有待提高。

安全数据的大数据化以及传统安全分析方法的缺陷，自然引发人们思考如何将大数据技术应用于安全领域。

华为打造安全大数据平台，作为整个华为安全解决方案的大脑，为安全设备、软件和服务提供更强的检测分析能力，更全面的威胁态势感知，更完善的安全防御，践行了保护、检测、响应的主动防御理念。

华为大数据检测平台，负责收集安全设备日志、终端行为、网络流量等信息，通过关联分析、离线分析、异常分析和机器学习等方法，感知威胁态势、掌握攻击路径，并可提供智能检索和威胁情报管理共享等功能，有效协助安全设备进行响应和防护。

大数据处理效率是大数据安全平台的基础能力，华为大数据平台在业界主流的开源Hadoop基础上经过多年的商业优化，其分布式存储数据、分布式索引、分布式并行计算性能都在业界领先。

分析与检测是大数据安全平台的核心能力，华为的分析能力源自多年的网络流量和安全能力积累，仅仅异常分析就包含基于统计、距离、密度、深度、偏移、高维数据等多种分析算法，能够最大限度发现异常行为。

大数据安全平台是安全解决方案的大脑。在网络的不同位置，部署不同的大数据平台组件，比如在终端部署的是终端探针，采集终端的各种行为，包括流量行为、进程行为以及相关的日志信息等；而在关键网络部署位置，则部署了流探针，采集全流量；在一些关键设备采集日志信息；最终这些信息作为大数据分析平台的输入进行异常检测。所有异常检测的结果以及响应的防护策略将下发给防火墙等安全设备，使得安全设备能够及时响应和阻断威胁。

华为大数据安全平台不仅支持华为的安全产品，第三方厂商也能够在大数据安全平台的数据和检测能力基础上提供安全呈现产品和安全防护产品，与华为携手共同实现一体化的安全防御。

3）华为管道安全解决方案

挑战：随着云计算、BYOD、移动互联网、Web2.0等各类新技术的发展和应用，管道网络出现了巨大的变化——移动化、扁平化和大带宽。移动化是指Wifi和LTE技术的发展使得越来越多的移动终端被使用；扁平化是指全IP技术使得接入网络与核心网络的层级更加接近，网络的边界更加模糊；大带宽是指视频、应用等各种服务快速增长使得管道内的流量以几何级别增长。网络和应用不断复杂化。

复杂的网络面临着来自多个网络的各种安全威胁，网络安全事件频频发生，主要集中在病毒、蠕虫、恶意代码，网页篡改，垃圾邮件等方面，政府网站常常成为攻击目标。移动终端的广泛接入，导致威胁的攻击点增多，威胁防不胜防，传统防御手段无法准确识别用户的位置，难以做到有效保护；全IP化的扁平网络使得攻击更加容易，IP化的物理接口很容易获得，数据存在泄露风险；大带宽应用，传统的防御手段无法准确识别应用层威胁，或者在大带宽之下启用应用层防护会明显影响其性能。攻击手段变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Traceroute攻击等等。

网络层攻击的目标主要包括带宽攻击、主机或者网络设备攻击。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据。

针对移动化、扁平化、大带宽的演变，华为的管道安全解决在广域网、园区网多层级部署防火墙、入侵防护系统（IPS）、网络接入控制设备（NAC）、DDoS清洗设备、VPN加密等多种安全防护设备，确保了整体网络的安全。

华为管道安全解决方案拥有业界网络准入控制环境适应能力最强，应用识别能力最高的安全准入解决方案；拥有全面融合、功能丰富、性能可靠、安全性高的远程安全接入解决方案；拥有全面防护、高性能、高检测率、高攻击响应、高可靠性，并能足够细致地评估和保证企业安全解决方案合理的攻击防护安全解决方案；拥有提供完整防火墙功能和UTM扩展能力、高病毒检测率、涵盖有线到无限统一安全接入的边界防护安全解决方案；拥有领先的全面设备日志采集性能，强大的关联分析引擎感知安全态势，完善的安全服务体系，可视化和高效率的安全设备管理，全面审计安全行为的安全管控、管理和审计安全解决方案。

4）华为云数据中心安全解决方案

挑战：随着“互联网+”发展的进一步深化，线上业务快速发展，云数据中心越来越成为IT建设的主流选择，可以提供创新的虚拟数据中心云服务，实现数据中心物理与虚拟资源分离，实现数据中心即服务，带来全新的使用体验。

云数据中心的快速发展，带来4个涉及到安全的挑战：

①传统安全不适应应用弹性扩展。新增一个业务，需要在数据中心网络边界、内网涉及数台安全设备配置访问策略，耗时长、效率低；传统安全于IP的访问控制策略，无法适应数据中心内虚拟化设备不断频繁的变化。

②虚拟化打破传统网络安全便捷。虚拟化二层网络下，虚拟化二层流量直接通过虚拟交换机交互，流量不可视不可控，虚拟主机跨数据中心或跨公有云迁移，扩大了网络犯罪者的活动范围，可信区域不复存在。

③云中心成为僵尸网络发起地。越来越多的攻击源自数据中心，数据中心服务器成为肉鸡，借助数据中心极大的攻击带宽制造大型多源攻击，最终导致威胁进一步升级。

④安全管理复杂。计算资源共享、数据存储位置未知、网络边界崩溃、不可控的外部供应商等多个因素导致可审查性、取证困难；部署依赖手工，基于IP的安全策略不体现业务导致策略管理复杂；传统安全缺乏宏观的安全态势感知和呈现，只能“事后感知”而无法“事前防护”。

华为云数据中心解决方案采用分层模型，分为物理设施安全、网络安全、主机安全、应用安全、虚拟化安全、数据安全、用户管理、安全管理等几个层面，全面满足用户的各种安全需求。该架构中包含以下安全层面的能力：

物理设施安全。通过门禁系统、视频监控、环境监控等确保数据中心环境、物理访问控制等物理设施层面的安全。

网络安全。从防火墙、IPS、SSL VPN、Anti-DDoS、IDS/IPS、网闸等技术手段确保云DC边界和内部系统、数据和通信的隔离和安全，因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。数据中心网络设备（路由器、交换机、安全设备防火墙等）在整个云数据中心中起到承上启下作用。一方面，它对外担负着云数据中心与外界其他网络系统，如互联网、专网等互连互通的功能；另一方面，它对内承载着各种业务系统。安全设备部署在云数据中心各网络层内，防范来自外部互联网的攻击和保障内部网络和业务的正常运行。传统的物理边界的防护已经不能适应云数据中心以云DC为主体的应用场景。华为云DC安全解决方案中，安全池云化管理，安全产品支持虚拟化，自动自助提供云DC边界和内部的网络安全逻辑隔离，很好解决了网络安全威胁，诸如：DDoS攻击、入侵攻击、安全隔离的问题，而且针对未知威胁APT攻击也能起到很好的防范效果。

主机安全。保护主机层操作系统的安全，通过主机加固、防病毒软件、主机IPS、主机补丁管理等技术手段确保主机免受攻击。

虚拟化安全。从虚拟机隔离、虚拟层加固、Cloud管理应用加固、虚拟机防护、虚拟机可信计算等技术手段确保虚拟化的安全。

计算和网络资源虚拟化后，带来的最大问题除了引入新的云平台漏洞、不安全的API、共享风险等，最大的不可控在于2层流量直接通过软件虚拟交换机交互，不通过传统物理安全设备，这部分不可控流量形成安全防护的盲点，使得虚拟主机很容易成为黑客攻击的跳板，控制虚拟权限，进而对Hypervisor实施攻击，或直接攻击相邻主机，篡改数据，导致虚拟主机不能正常提供服务。

应用安全。从电子邮件防护、Web应用防护等技术手段对应用层面的数据进行保护，保障用户的应用数据能够不受破坏、更改、泄漏、篡改。华为应用安全解决方案在安全池中集中部署邮件安全网关、Web应用防火墙和网页防篡改系统，分别保护电子邮件安全、Web应用安全和网页防篡改，并提供应用安全事件日志与报表给大数据关联分析系统进行统一事件管理和分析。同时，信誉体系对某一互联网公共IP地址或者子网，从Web安全和邮件安全的角度，给出其在某一段时间内的安全评价。

数据安全。从数据加密、数据销毁、数据防泄漏、数据备份等技术手段保障数据安全。

用户管理。通过统一认证、授权、访问控制、特权用户访问审计、双因素认证等保障用户管理安全。

安全管理。通过安全信息时间管理、安全合规审计、安全策略统一管理、弱点管理等进行统一安全管理。其中，网络安全、虚拟化安全、应用安全、安全管理是云数据中心不同于传统数据中心的关键点。云DC内部部署了大量基础网络设备、安全设备、工作站和服务器、数据库、应用程序和大型机，这些设备形成各个“安全信息孤岛”。有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，越来越束手无策，难以发现真正的安全隐患。同时，政府和企事业单位也面临对信息系统审计和内控要求、等级保护要求，如何满足这些安全合规方面要求也迫切需要解决。华为在云数据中心安全框架中，大数据关联分析系统负责收集主机、服务器、交换机、路由器及安全设备收集日志与事件等信息，并负责大数据的关联分析，以发现潜在的安全威胁；控制中心主要负责下发策略指令，同时能够接收沙箱检测与大数据关联分析系统的结果，负责分布式云数据中心中虚拟机、应用跨物理数据中心迁移的安全策略随迁等。控制中心接收到大数据关联分析发现的潜在的安全威胁，能够根据管理员预先配置的策略，结合已知的网络拓扑、地址、设备类型等现网信息，转换成相关设备所能识别的设备配置并进行统一下发，达到全网自动防护的目的。

华为通过分布式部署在Hypervisor层，或者独立安全VM中部署软件虚拟防火墙，对2层流量实现过滤和监控，并与传统集中部署在3层的安全设备形成联合防护，通过统一的控制中心，实现“传统集中式安全控制＋虚拟化分布式安全控制”的立体资源池方案，通过统一的安全控制中心实现3层和虚拟化2层数据流的按需指定路径进行过滤和编排，是业界最普遍和先进的有效方案。

5）华为移动安全解决方案

挑战：移动互联网化正以不可阻挡之势改变着人们的工作方式，成为办公手段的一个必要补充。我们可以利用更多的时间碎片收发电邮、发掘销售机会点，将企业的信息化管理推向前端，使客户的界面变得更扁平化，提升决策效率和响应速度。

移动终端办公使得企业办公环境边界进一步延伸。企业用户可以在同一台移动终端上处理工作，或者下载游戏等个人应用，个人应用和企业应用的界限越来越模糊。同时，移动办公也带来新的问题。开放、智能的移动平台使移动终端成为了新的安全缺口，容易引入恶意代码植入、个人应用和企业应用混合、数据泄密、多平台的异构管理等，这些问题给企业IT管理带来极大挑战。

基于传统PC的安全策略和管理技术很难移植到移动设备，特别是非公司所拥有和管理的员工个人设备。企业必须建立针对个人设备的战略，包括策略的定义和新的管理方法。

移动终端通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处于无保护状态。移动终端智能化使应用程序更容易遭受恶意攻击。由于Root权限滥用和黑客技术的应用，移动终端成为新的孕育安全风险的温床。

如何简单、快捷地将企业的应用移植到千差万别的移动终端上，避免复杂的自开发带来的高成本，快速实现价值，以及帮助企业IT部门应对复杂的移动环境已成为一大挑战。

由于移动终端体积小，极易丢失或被盗窃。移动终端丢失不但意味着敏感商业信息的泄漏和丢失，而且可能给企业带来法规遵从的风险。

针对当前移动办公的需求、特点和挑战，华为提供了AnyOffice解决方案。

针对企业员工个人需求和企业策略遵从之间的矛盾，华为提供有效的平衡方案，使得员工在设备选择上拥有更大的个性化自由，在任何时候、任何场所，使用任何设备便捷地访问公司内网，运行企业应用，并确保安全策略不妥协。

华为移动安全解决方案中融合了AnyOffice客户端、AnyOffice管理平台（包括SMSC AE）、数据库以及网络连接所必须的防火墙等设备，实现统一的网络接入控制、全面的数据安全和威胁防护、基于生命周期的移动设备管理，如图1所示：

统一的网络接入控制：在终端认证授权方面，AnyOffice解决方案充分考虑了移动办公的特点，除传统的认证方式外，还提供了移动终端硬件特征绑定的手段，既安全又便于用户操作。同时，基于企业用户的不同角色和设备归属精细地控制用户访问企业内网资源的不同权限。

全面的数据安全和威胁防护：在链路安全方面，AnyOffice可提供高强度加密传输，保证数据隐密性安全，防止数据的恶意嗅探和篡改。在数据保护方面，AnyOffice客户端开创性的通过沙箱技术，在同一台移动设备上创建了一个个人与企业分离的安全地带，轻松解决了个人和企业之间因应用和数据混合带来的数据泄密和病毒感染等风险，在个人需求和企业策略强制的冲突中实现平衡。

图1 移动解决方案

基于生命周期的移动设备管理：支持各主流移动终端的各项通用EMM（enterprise mobile management）功能，包括应用管理、资产管理、安全管控、数据管理和设备管理等。同时，从移动终端的获取、部署、运行及回收4个生命周期环节提供了完善的策略和手段，确保每个环节都能顺畅、安全地实施和开展。

构建助力“互联网+”行动计划的安全运营体系

1）全球安全智能中心

华为为了支撑全连接的安全战略，构筑了世界级安全智能中心（见图2），提供全球化安全运营和维护能力，包括信誉查询、知识库升级、维护、应急响应等服务。

信誉查询和知识库升级，背后是华为拥有并不断更新的安全大数据积累。其中恶意代码智能分析依靠大数据安全平台和云端沙箱，具备被动扫描技术的威胁跟踪能力和IP/Web/Mail/File链式信誉计算能力；华为强大的知识库包Web分类库、Web信誉库、IPS签名库、恶意软件特征库、病毒特征库等深厚的安全积累。

华为专业研究团队分布在深圳、北京、杭州和印度班加罗尔，1000多名资深安全专家在研发、交付、维保中为客户提供可靠的安全产品和服务；华为的安全响应中心可在一周内进行新的样本分析和业务识别，可提小于24 h的应急响应，以及7X24 h的信誉查询服务。

2）安全生态

在“互联网+”的背景之下，安全越来越走向开放合作，安全产业的众多成员联合起来共同抵御网络犯罪。华为长期与合作伙伴深度联合，共同提供完善的安全产品和服务，践行“互联互通、共享共治、构建网络空间命运共同体”的理念。

开放的BYOD生态：华为BYOD解决方案联盟致力于构建开放、共赢BYOD生态联盟系统，成员包括了集成商、ISV、电信网络运营企业、应用开发团队、咨询公司等。华为在BYOD领域聚焦其擅长的移动办公安全平台，为企业客户、合作伙伴、创业团队提供AnyOffice基础平台，上层行业应用则由更多的合作伙伴以及创业团队提供，从而形成完整的移动办公解决方案生态链。

全球化的云清联盟：“云清”的含义是基于云端的流量清洗方案，联盟的含义是旨在将全球MSSP服务提供商和IDC服务提供商的资源进行整合，构成一个云端的“DDoS防御生态系统”，统一的管理和调度，在上游更加彻底解决大流量DDoS攻击问题，主要面向的客户群体为政府、运营商、企业等。华为建立的云清联盟是业界第1个旨在解决全球范围大规模DDoS攻击的联盟组织，通过有效整合所有合作伙伴的数十个清洗中心的清洗能力，提供超过2T的清洗带宽，具有近源清洗、节约资源、开放扩展等特点，是针对DDoS攻击防御的多方受益的创新商业模式。

深度的安全大数据合作：威胁情报是大数据安全能力的输入，威胁情报的种类广泛，包含信誉库、特征库、日志、告警、恶意文件样本等等，威胁情报的共享，有利于安全产业及时发现威胁、分析威胁，从而对威胁进行及时防护，对安全生态有重要的意义。华为通过与政府机构、高校科研院所、安全厂商、运营商建立合作关系，共享威胁情报，共同使用大数据平台进行分析检测，共同抵御网络攻击和威胁。华为同时倡议安全产业各厂商、组织、团体加强安全大数据合作，助力“互联网+”行动计划的稳步推进。

无所不在的网络正在改变人们的生活方式。这场革命带来了很多机会，但也对全球安全提出了新的挑战。面对如此复杂的要求和风险，华为制定了端到端的网络安全保障体系。业界客户可以通过系统地提问，以确保作出明智的决策。华为的端到端安全系统覆盖11个关键维度。作为全球领先的ICT供应商，一直致力于确保数字化未来的安全。为了实现这一目标，必须在全球层面开展合作，携手创建一个更美好的全联接世界。

图2 智能中心结构

总结

华为从防火墙起步，经过长期的努力，构筑了以安全大数据为中心覆盖云管端的整体安全解决方案，以及覆盖全球的安全运营能力。华为同时以开放合作的姿态，与安全产业厂商和组织、团体充分合作，共同打造和谐稳定的互联网环境。华为的进步是中国经济快速发展的一个窗口，华为安全的进步是中国“互联网+”行动计划之下的一个缩影，华为和中国其他ICT企业和安全厂商，依靠中国国力的强大后盾，一定能够在未来取得更大的成绩。

鸣谢：华为公司华为中国区政府事务部总经理刘耕先生、公共事业系统部刘学先生对本文提供支持。