兩個(gè)月前，臺(tái)積電遭受“WannaCry”變種攻擊，事件導(dǎo)致三個(gè)工廠業(yè)務(wù)停擺，帶來的損失超過10億人民幣。時(shí)隔不到一個(gè)月，華住酒店集團(tuán)1．3億身份數(shù)據(jù)泄露事件將其推上了風(fēng)口浪尖，數(shù)據(jù)泄露帶來的影響和潛在損失巨大。IDC報(bào)告指出，在過去的一年中國由網(wǎng)絡(luò)安全事件造成的直接經(jīng)濟(jì)損失超過100億美元。

網(wǎng)絡(luò)安全事件在全球范圍內(nèi)持續(xù)泛濫，整體看來網(wǎng)絡(luò)安全威脅變得越來越多樣性，同時(shí)復(fù)雜性不斷提升。舉例來說，1年前國內(nèi)多省政務(wù)云被挖礦木馬感染，導(dǎo)致電子政務(wù)業(yè)務(wù)中斷達(dá)數(shù)小時(shí)，這種新型攻擊以竊取系統(tǒng)資源并賺取數(shù)字貨幣為目的，取代了以往的攻擊手段；2年前Mirai攻陷了超過200萬臺(tái)攝像頭等IoT設(shè)備，導(dǎo)致美國大面積斷網(wǎng)，人們首次感受到了物聯(lián)網(wǎng)攻擊的威力。

事實(shí)上，不斷多樣化、復(fù)雜化的攻擊從來沒有間斷過，在Gartner看來，由于安全團(tuán)隊(duì)無法管理數(shù)字化風(fēng)險(xiǎn)，這將導(dǎo)致到2020年60％的數(shù)字化公司遭遇重大的服務(wù)故障。

華為網(wǎng)絡(luò)安全領(lǐng)域總經(jīng)理宋端智

在今天新技術(shù)成為企業(yè)數(shù)字化轉(zhuǎn)型成敗的關(guān)鍵時(shí)刻，CIO、IT負(fù)責(zé)人該如何面對(duì)企業(yè)數(shù)字化的未來？在HUAWEI CONNECT 2018構(gòu)筑智能端到端安全保障體系峰會(huì)上，華為網(wǎng)絡(luò)安全領(lǐng)域總經(jīng)理宋端智一句話問向了在座的每一個(gè)人：“安全是獨(dú)立于ICT基礎(chǔ)設(shè)施的存在嗎？”結(jié)合自身實(shí)踐也許很多人會(huì)猶豫，但答案顯然是否定的，并且華為堅(jiān)定地認(rèn)為安全是ICT基礎(chǔ)設(shè)施和企業(yè)數(shù)字化進(jìn)程中密不可分的一部分。

為此，華為在HUAWEI CONNECT 2018上發(fā)布了HiSec華為智能安全解決方案，這是一套基于軟件定義安全（SDSec）解決方案架構(gòu)的端到端ICT基礎(chǔ)設(shè)施智能安全解決方案，并且華為同時(shí)發(fā)布了基于AI的新一代防火墻，毫無疑問智能成為關(guān)鍵詞。

全面防護(hù)，引入全網(wǎng)智能安全

“云上和云下智能聯(lián)動(dòng)，集中智能和邊緣智能配合；利用開放架構(gòu)，實(shí)現(xiàn)基于軟件定義的安全產(chǎn)品間動(dòng)態(tài)配合；由業(yè)務(wù)驅(qū)動(dòng)不斷演進(jìn)，安全實(shí)現(xiàn)與ICT基礎(chǔ)設(shè)施的充分配合”。這即是HiSec華為智能安全解決方案帶來的全面全網(wǎng)防護(hù)能力。

HiSec通過安全與ICT基礎(chǔ)設(shè)施的配合，實(shí)現(xiàn)威脅響應(yīng)能力從安全孤島升級(jí)為聯(lián)合戰(zhàn)線、威脅擴(kuò)散范圍從區(qū)域邊界降低為主機(jī)邊界。這里的ICT基礎(chǔ)設(shè)施并非僅是以防火墻為代表的專業(yè)安全網(wǎng)元，此外還包括以交換機(jī)、路由器為代表的數(shù)通網(wǎng)元，以及包括與不同廠商終端安全產(chǎn)品的配合，通過接入安全分析大腦快速應(yīng)對(duì)高級(jí)安全風(fēng)險(xiǎn)。

此外，得益于引入的邊緣智能安全網(wǎng)關(guān)的部署，HiSec帶來了全網(wǎng)智能。邊緣智能安全網(wǎng)關(guān)實(shí)現(xiàn)了實(shí)時(shí)采集、實(shí)時(shí)分析、實(shí)時(shí)控制，邊緣智能安全網(wǎng)關(guān)將通信壓力分散到了邊緣節(jié)點(diǎn)，減少了實(shí)時(shí)數(shù)據(jù)傳輸，帶寬占用下降90％。并且，其上通過部署高級(jí)安全分析能力，加之與云端智能深度聯(lián)動(dòng)，從而提升邊緣安全網(wǎng)關(guān)威脅檢測(cè)能力，威脅檢測(cè)時(shí)間從10s降到1s。

首創(chuàng)AI防火墻，讓企業(yè)邊界防護(hù)智能化

為進(jìn)一步強(qiáng)化邊緣智能，華為還推出了USG6000E系列AI防火墻，通過引入AI技術(shù)，讓下一代防火墻再次進(jìn)化。

“AI防火墻基于AI技術(shù)的高級(jí)威脅檢測(cè)，檢出率高于99％；全新自研加速芯片，性能提升至業(yè)界2倍；創(chuàng)新VNF架構(gòu)，可融合第三方安全能力?！彼味酥切纪瞥鯝I防火墻時(shí)如是說。

總結(jié)來說，華為基于AI的新一代防火墻具備智能、創(chuàng)“芯”、融合三大特點(diǎn)。

智能——防火墻內(nèi)置基于神經(jīng)網(wǎng)絡(luò)構(gòu)建的AI高級(jí)威脅檢測(cè)模型，不依賴外部部署的大數(shù)據(jù)分析平臺(tái)，在防火墻本地即可精準(zhǔn)發(fā)現(xiàn)高級(jí)威脅，這包括惡意加密流量不解密識(shí)別（Encrypted Communication AnalyTIcs ECA），惡意軟件非法連接遠(yuǎn)控服務(wù)器行為識(shí)別、暴力破解惡意行為識(shí)別等等，威脅檢出率＞99％，誤報(bào)率＜5％；同時(shí)，AI檢測(cè)模型能夠還能通過云端訓(xùn)練，分鐘級(jí)主動(dòng)更新到網(wǎng)關(guān)設(shè)備，確保了云上和云下的智能聯(lián)動(dòng)。

創(chuàng)“芯”——AI防火墻通過采用華為自主研發(fā)的安全ARM芯片，實(shí)現(xiàn)IPSec VPN、入侵防御、反病毒等防火墻關(guān)鍵功能的優(yōu)化加速，威脅處置性能翻倍，達(dá)到業(yè)界處理性能的2倍。自此，華為也成為業(yè)內(nèi)為數(shù)不多的具備芯片自研能力的安全廠商。

融合——華為基于AI的新一代防火墻不再是一個(gè)盒子，其采用VNF（虛擬網(wǎng)絡(luò)功能）架構(gòu)，可靈活集成第三方檢測(cè)能力，例如通過遠(yuǎn)程軟件安裝方式部署新的網(wǎng)絡(luò)和應(yīng)用能力，保證安全業(yè)務(wù)按需擴(kuò)展。并且基于此，AI防火墻還可內(nèi)置輕量誘捕系統(tǒng)，并通過基于SDSec安全解決方案的協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)大規(guī)模輕量誘捕與動(dòng)態(tài)引流到重度蜜罐相結(jié)合，輕量誘捕與重度誘捕聯(lián)動(dòng)，實(shí)現(xiàn)針對(duì)不存在IP和未開放端口誘騙的全面監(jiān)控。它帶來的好處除了大幅提升整體威脅檢測(cè)效果外，還可以最大程度減少硬件設(shè)備，簡(jiǎn)化運(yùn)維成本，讓安全業(yè)務(wù)更易管理。

Capex降低80％、威脅檢測(cè)處置性能提升2倍、威脅綜合檢出率高于99％，這即是華為基于AI的新一代防火墻由能力的全面提升帶來的顯著價(jià)值。

SDSec升級(jí)，大幅提升網(wǎng)絡(luò)免疫力

基于軟件定義安全（SDSec）的華為HiSec智能安全解決方案和基于AI的新一代防火墻的推出，也同時(shí)讓華為SDSec安全解決方案威脅檢測(cè)全面升級(jí)。

華為SDSec構(gòu)建了安全的“有機(jī)體”，其三層架構(gòu)——分析器、控制器、執(zhí)行器，組成了安全協(xié)同聯(lián)動(dòng)的“大腦”、“中樞神經(jīng)”和“四肢”，它將被動(dòng)、單點(diǎn)防御演變到主動(dòng)、整網(wǎng)防御，從人工運(yùn)維演變?yōu)橹悄苓\(yùn)維。

如今，在華為全力推進(jìn)人工智能戰(zhàn)略的背景下，SDSec也在不斷增強(qiáng)AI能力，例如孵化出的高級(jí)威脅檢測(cè)能力，實(shí)現(xiàn)了ECA不解密精確識(shí)別加密攻擊，覆蓋28個(gè)家族，包括木馬、勒索、間諜、主流挖礦軟件等， 達(dá)到99．9％準(zhǔn)確率；首創(chuàng)網(wǎng)絡(luò)內(nèi)置主動(dòng)交互誘捕陷阱，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)所有不存在IP和未開放端口的全面監(jiān)控，通過大規(guī)模輕量誘捕＋動(dòng)態(tài)引流到重度誘捕聯(lián)動(dòng)，及時(shí)斷開攻擊源、保護(hù)真實(shí)業(yè)務(wù)系統(tǒng)。

現(xiàn)在再來回顧一下宋端智提出的那個(gè)問題：安全是獨(dú)立于ICT基礎(chǔ)設(shè)施的存在嗎？顯然答案是否定的。作為數(shù)字化轉(zhuǎn)型保障，其實(shí)他還拋出了安全的另外兩個(gè)問題：安全產(chǎn)品兢兢業(yè)業(yè)、各司其職，是不是就可以了？對(duì)于企業(yè)來說，有一個(gè)智能的安全大腦是否就夠了？

現(xiàn)實(shí)告訴我們，這兩個(gè)答案均是是否定的。因?yàn)橹挥邪踩a(chǎn)品之間智能聯(lián)動(dòng)、安全大腦與ICT基礎(chǔ)設(shè)施充分配合、集中智能和邊緣智能相互協(xié)調(diào)才是提升網(wǎng)絡(luò)免疫力的最強(qiáng)戰(zhàn)線，這其實(shí)就是華為在進(jìn)行的安全實(shí)踐。