兩個月前，臺積電遭受“WannaCry”變種攻擊，事件導(dǎo)致三個工廠業(yè)務(wù)停擺，帶來的損失超過10億人民幣。時隔不到一個月，華住酒店集團(tuán)1．3億身份數(shù)據(jù)泄露事件將其推上了風(fēng)口浪尖，數(shù)據(jù)泄露帶來的影響和潛在損失巨大。IDC報告指出，在過去的一年中國由網(wǎng)絡(luò)安全事件造成的直接經(jīng)濟(jì)損失超過100億美元。

網(wǎng)絡(luò)安全事件在全球范圍內(nèi)持續(xù)泛濫，整體看來網(wǎng)絡(luò)安全威脅變得越來越多樣性，同時復(fù)雜性不斷提升。舉例來說，1年前國內(nèi)多省政務(wù)云被挖礦木馬感染，導(dǎo)致電子政務(wù)業(yè)務(wù)中斷達(dá)數(shù)小時，這種新型攻擊以竊取系統(tǒng)資源并賺取數(shù)字貨幣為目的，取代了以往的攻擊手段；2年前Mirai攻陷了超過200萬臺攝像頭等IoT設(shè)備，導(dǎo)致美國大面積斷網(wǎng)，人們首次感受到了物聯(lián)網(wǎng)攻擊的威力。

事實(shí)上，不斷多樣化、復(fù)雜化的攻擊從來沒有間斷過，在Gartner看來，由于安全團(tuán)隊無法管理數(shù)字化風(fēng)險，這將導(dǎo)致到2020年60％的數(shù)字化公司遭遇重大的服務(wù)故障。

華為網(wǎng)絡(luò)安全領(lǐng)域總經(jīng)理宋端智

在今天新技術(shù)成為企業(yè)數(shù)字化轉(zhuǎn)型成敗的關(guān)鍵時刻，CIO、IT負(fù)責(zé)人該如何面對企業(yè)數(shù)字化的未來？在HUAWEI CONNECT 2018構(gòu)筑智能端到端安全保障體系峰會上，華為網(wǎng)絡(luò)安全領(lǐng)域總經(jīng)理宋端智一句話問向了在座的每一個人：“安全是獨(dú)立于ICT基礎(chǔ)設(shè)施的存在嗎？”結(jié)合自身實(shí)踐也許很多人會猶豫，但答案顯然是否定的，并且華為堅定地認(rèn)為安全是ICT基礎(chǔ)設(shè)施和企業(yè)數(shù)字化進(jìn)程中密不可分的一部分。

為此，華為在HUAWEI CONNECT 2018上發(fā)布了HiSec華為智能安全解決方案，這是一套基于軟件定義安全（SDSec）解決方案架構(gòu)的端到端ICT基礎(chǔ)設(shè)施智能安全解決方案，并且華為同時發(fā)布了基于AI的新一代防火墻，毫無疑問智能成為關(guān)鍵詞。

全面防護(hù)，引入全網(wǎng)智能安全

“云上和云下智能聯(lián)動，集中智能和邊緣智能配合；利用開放架構(gòu)，實(shí)現(xiàn)基于軟件定義的安全產(chǎn)品間動態(tài)配合；由業(yè)務(wù)驅(qū)動不斷演進(jìn)，安全實(shí)現(xiàn)與ICT基礎(chǔ)設(shè)施的充分配合”。這即是HiSec華為智能安全解決方案帶來的全面全網(wǎng)防護(hù)能力。

HiSec通過安全與ICT基礎(chǔ)設(shè)施的配合，實(shí)現(xiàn)威脅響應(yīng)能力從安全孤島升級為聯(lián)合戰(zhàn)線、威脅擴(kuò)散范圍從區(qū)域邊界降低為主機(jī)邊界。這里的ICT基礎(chǔ)設(shè)施并非僅是以防火墻為代表的專業(yè)安全網(wǎng)元，此外還包括以交換機(jī)、路由器為代表的數(shù)通網(wǎng)元，以及包括與不同廠商終端安全產(chǎn)品的配合，通過接入安全分析大腦快速應(yīng)對高級安全風(fēng)險。

此外，得益于引入的邊緣智能安全網(wǎng)關(guān)的部署，HiSec帶來了全網(wǎng)智能。邊緣智能安全網(wǎng)關(guān)實(shí)現(xiàn)了實(shí)時采集、實(shí)時分析、實(shí)時控制，邊緣智能安全網(wǎng)關(guān)將通信壓力分散到了邊緣節(jié)點(diǎn)，減少了實(shí)時數(shù)據(jù)傳輸，帶寬占用下降90％。并且，其上通過部署高級安全分析能力，加之與云端智能深度聯(lián)動，從而提升邊緣安全網(wǎng)關(guān)威脅檢測能力，威脅檢測時間從10s降到1s。

首創(chuàng)AI防火墻，讓企業(yè)邊界防護(hù)智能化

為進(jìn)一步強(qiáng)化邊緣智能，華為還推出了USG6000E系列AI防火墻，通過引入AI技術(shù)，讓下一代防火墻再次進(jìn)化。

“AI防火墻基于AI技術(shù)的高級威脅檢測，檢出率高于99％；全新自研加速芯片，性能提升至業(yè)界2倍；創(chuàng)新VNF架構(gòu)，可融合第三方安全能力?！彼味酥切纪瞥鯝I防火墻時如是說。

總結(jié)來說，華為基于AI的新一代防火墻具備智能、創(chuàng)“芯”、融合三大特點(diǎn)。

智能——防火墻內(nèi)置基于神經(jīng)網(wǎng)絡(luò)構(gòu)建的AI高級威脅檢測模型，不依賴外部部署的大數(shù)據(jù)分析平臺，在防火墻本地即可精準(zhǔn)發(fā)現(xiàn)高級威脅，這包括惡意加密流量不解密識別（Encrypted Communication AnalyTIcs ECA），惡意軟件非法連接遠(yuǎn)控服務(wù)器行為識別、暴力破解惡意行為識別等等，威脅檢出率＞99％，誤報率＜5％；同時，AI檢測模型能夠還能通過云端訓(xùn)練，分鐘級主動更新到網(wǎng)關(guān)設(shè)備，確保了云上和云下的智能聯(lián)動。

創(chuàng)“芯”——AI防火墻通過采用華為自主研發(fā)的安全ARM芯片，實(shí)現(xiàn)IPSec VPN、入侵防御、反病毒等防火墻關(guān)鍵功能的優(yōu)化加速，威脅處置性能翻倍，達(dá)到業(yè)界處理性能的2倍。自此，華為也成為業(yè)內(nèi)為數(shù)不多的具備芯片自研能力的安全廠商。

融合——華為基于AI的新一代防火墻不再是一個盒子，其采用VNF（虛擬網(wǎng)絡(luò)功能）架構(gòu)，可靈活集成第三方檢測能力，例如通過遠(yuǎn)程軟件安裝方式部署新的網(wǎng)絡(luò)和應(yīng)用能力，保證安全業(yè)務(wù)按需擴(kuò)展。并且基于此，AI防火墻還可內(nèi)置輕量誘捕系統(tǒng)，并通過基于SDSec安全解決方案的協(xié)同聯(lián)動，實(shí)現(xiàn)大規(guī)模輕量誘捕與動態(tài)引流到重度蜜罐相結(jié)合，輕量誘捕與重度誘捕聯(lián)動，實(shí)現(xiàn)針對不存在IP和未開放端口誘騙的全面監(jiān)控。它帶來的好處除了大幅提升整體威脅檢測效果外，還可以最大程度減少硬件設(shè)備，簡化運(yùn)維成本，讓安全業(yè)務(wù)更易管理。

Capex降低80％、威脅檢測處置性能提升2倍、威脅綜合檢出率高于99％，這即是華為基于AI的新一代防火墻由能力的全面提升帶來的顯著價值。

SDSec升級，大幅提升網(wǎng)絡(luò)免疫力

基于軟件定義安全（SDSec）的華為HiSec智能安全解決方案和基于AI的新一代防火墻的推出，也同時讓華為SDSec安全解決方案威脅檢測全面升級。

華為SDSec構(gòu)建了安全的“有機(jī)體”，其三層架構(gòu)——分析器、控制器、執(zhí)行器，組成了安全協(xié)同聯(lián)動的“大腦”、“中樞神經(jīng)”和“四肢”，它將被動、單點(diǎn)防御演變到主動、整網(wǎng)防御，從人工運(yùn)維演變?yōu)橹悄苓\(yùn)維。

如今，在華為全力推進(jìn)人工智能戰(zhàn)略的背景下，SDSec也在不斷增強(qiáng)AI能力，例如孵化出的高級威脅檢測能力，實(shí)現(xiàn)了ECA不解密精確識別加密攻擊，覆蓋28個家族，包括木馬、勒索、間諜、主流挖礦軟件等， 達(dá)到99．9％準(zhǔn)確率；首創(chuàng)網(wǎng)絡(luò)內(nèi)置主動交互誘捕陷阱，實(shí)現(xiàn)對內(nèi)網(wǎng)所有不存在IP和未開放端口的全面監(jiān)控，通過大規(guī)模輕量誘捕＋動態(tài)引流到重度誘捕聯(lián)動，及時斷開攻擊源、保護(hù)真實(shí)業(yè)務(wù)系統(tǒng)。

現(xiàn)在再來回顧一下宋端智提出的那個問題：安全是獨(dú)立于ICT基礎(chǔ)設(shè)施的存在嗎？顯然答案是否定的。作為數(shù)字化轉(zhuǎn)型保障，其實(shí)他還拋出了安全的另外兩個問題：安全產(chǎn)品兢兢業(yè)業(yè)、各司其職，是不是就可以了？對于企業(yè)來說，有一個智能的安全大腦是否就夠了？

現(xiàn)實(shí)告訴我們，這兩個答案均是是否定的。因為只有安全產(chǎn)品之間智能聯(lián)動、安全大腦與ICT基礎(chǔ)設(shè)施充分配合、集中智能和邊緣智能相互協(xié)調(diào)才是提升網(wǎng)絡(luò)免疫力的最強(qiáng)戰(zhàn)線，這其實(shí)就是華為在進(jìn)行的安全實(shí)踐。