全面防護、全網智能 華為AI引入安全最強戰線

兩個月前，台積電遭受「WannaCry」變種攻擊，事件導致三個工廠業務停擺，帶來的損失超過10億人民幣。時隔不到一個月，華住酒店集團1.3億身份數據泄露事件將其推上了風口浪尖，數據泄露帶來的影響和潛在損失巨大。IDC報告指出，在過去的一年中國由網路安全事件造成的直接經濟損失超過100億美元。

網路安全事件在全球範圍內持續泛濫，整體看來網路安全威脅變得越來越多樣性，同時複雜性不斷提升。舉例來說，1年前國內多省政務雲被挖礦木馬感染，導致電子政務業務中斷達數小時，這種新型攻擊以竊取系統資源並賺取數字貨幣為目的，取代了以往的攻擊手段；2年前Mirai攻陷了超過200萬台攝像頭等IoT設備，導致美國大面積斷網，人們首次感受到了物聯網攻擊的威力。

事實上，不斷多樣化、複雜化的攻擊從來沒有間斷過，在Gartner看來，由於安全團隊無法管理數字化風險，這將導致到2020年60%的數字化公司遭遇重大的服務故障。

華為網路安全領域總經理宋端智

在今天新技術成為企業數字化轉型成敗的關鍵時刻，CIO、IT負責人該如何面對企業數字化的未來？在HUAWEI CONNECT 2018構築智能端到端安全保障體系峰會上，華為網路安全領域總經理宋端智一句話問向了在座的每一個人：「安全是獨立於ICT基礎設施的存在嗎？」結合自身實踐也許很多人會猶豫，但答案顯然是否定的，並且華為堅定地認為安全是ICT基礎設施和企業數字化進程中密不可分的一部分。

為此，華為在HUAWEI CONNECT 2018上發布了HiSec華為智能安全解決方案，這是一套基於軟體定義安全（SDSec）解決方案架構的端到端ICT基礎設施智能安全解決方案，並且華為同時發布了基於AI的新一代防火牆，毫無疑問智能成為關鍵詞。

全面防護，引入全網智能安全

「雲上和雲下智能聯動，集中智能和邊緣智能配合；利用開放架構，實現基於軟體定義的安全產品間動態配合；由業務驅動不斷演進，安全實現與ICT基礎設施的充分配合」。這即是HiSec華為智能安全解決方案帶來的全面全網防護能力。

HiSec通過安全與ICT基礎設施的配合，實現威脅響應能力從安全孤島升級為聯合戰線、威脅擴散範圍從區域邊界降低為主機邊界。這裡的ICT基礎設施並非僅是以防火牆為代表的專業安全網元，此外還包括以交換機、路由器為代表的數通網元，以及包括與不同廠商終端安全產品的配合，通過接入安全分析大腦快速應對高級安全風險。

此外，得益於引入的邊緣智能安全網關的部署，HiSec帶來了全網智能。邊緣智能安全網關實現了實時採集、實時分析、實時控制，邊緣智能安全網關將通信壓力分散到了邊緣節點，減少了實時數據傳輸，帶寬佔用下降90%。並且，其上通過部署高級安全分析能力，加之與雲端智能深度聯動，從而提升邊緣安全網關威脅檢測能力，威脅檢測時間從10s降到1s。

首創AI防火牆，讓企業邊界防護智能化

為進一步強化邊緣智能，華為還推出了USG6000E系列AI防火牆，通過引入AI技術，讓下一代防火牆再次進化。

「AI防火牆基於AI技術的高級威脅檢測，檢出率高於99%；全新自研加速晶元，性能提升至業界2倍；創新VNF架構，可融合第三方安全能力。」宋端智宣布推出AI防火牆時如是說。

總結來說，華為基於AI的新一代防火牆具備智能、創「芯」、融合三大特點。

智能——防火牆內置基於神經網路構建的AI高級威脅檢測模型，不依賴外部部署的大數據分析平台，在防火牆本地即可精準發現高級威脅，這包括惡意加密流量不解密識別（Encrypted Communication Analytics ECA），惡意軟體非法連接遠控伺服器行為識別、暴力破解惡意行為識別等等，威脅檢出率>99%，誤報率<5%；同時，AI檢測模型能夠還能通過雲端訓練，分鐘級主動更新到網關設備，確保了雲上和雲下的智能聯動。

創「芯」——AI防火牆通過採用華為自主研發的安全ARM晶元，實現IPSec VPN、入侵防禦、反病毒等防火牆關鍵功能的優化加速，威脅處置性能翻倍，達到業界處理性能的2倍。自此，華為也成為業內為數不多的具備晶元自研能力的安全廠商。

融合——華為基於AI的新一代防火牆不再是一個盒子，其採用VNF（虛擬網路功能）架構，可靈活集成第三方檢測能力，例如通過遠程軟體安裝方式部署新的網路和應用能力，保證安全業務按需擴展。並且基於此，AI防火牆還可內置輕量誘捕系統，並通過基於SDSec安全解決方案的協同聯動，實現大規模輕量誘捕與動態引流到重度蜜罐相結合，輕量誘捕與重度誘捕聯動，實現針對不存在IP和未開放埠誘騙的全面監控。它帶來的好處除了大幅提升整體威脅檢測效果外，還可以最大程度減少硬體設備，簡化運維成本，讓安全業務更易管理。

Capex降低80%、威脅檢測處置性能提升2倍、威脅綜合檢出率高於99%，這即是華為基於AI的新一代防火牆由能力的全面提升帶來的顯著價值。

SDSec升級，大幅提升網路免疫力

基於軟體定義安全（SDSec）的華為HiSec智能安全解決方案和基於AI的新一代防火牆的推出，也同時讓華為SDSec安全解決方案威脅檢測全面升級。

華為SDSec構建了安全的「有機體」，其三層架構——分析器、控制器、執行器，組成了安全協同聯動的「大腦」、「中樞神經」和「四肢」，它將被動、單點防禦演變到主動、整網防禦，從人工運維演變為智能運維。

如今，在華為全力推進人工智慧戰略的背景下，SDSec也在不斷增強AI能力，例如孵化出的高級威脅檢測能力，實現了ECA不解密精確識別加密攻擊，覆蓋28個家族，包括木馬、勒索、間諜、主流挖礦軟體等， 達到99.9%準確率；首創網路內置主動交互誘捕陷阱，實現對內網所有不存在IP和未開放埠的全面監控，通過大規模輕量誘捕+動態引流到重度誘捕聯動，及時斷開攻擊源、保護真實業務系統。

現在再來回顧一下宋端智提出的那個問題：安全是獨立於ICT基礎設施的存在嗎？顯然答案是否定的。作為數字化轉型保障，其實他還拋出了安全的另外兩個問題：安全產品兢兢業業、各司其職，是不是就可以了？對於企業來說，有一個智能的安全大腦是否就夠了？

現實告訴我們，這兩個答案均是是否定的。因為只有安全產品之間智能聯動、安全大腦與ICT基礎設施充分配合、集中智能和邊緣智能相互協調才是提升網路免疫力的最強戰線，這其實就是華為在進行的安全實踐。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！