SDSec重定義 華為如何讓安全“耳目一新”?

把數字世界帶入每個人、每個家庭、每個組織，構建萬物互聯的智慧世界。”，這是華為基於新的發展趨勢制定的全新的願景，數字化在改變著這個世界，我想這一點是毋庸置疑的。華為作為全球領先的ICT廠商自然是深知這一點，但大家有沒有想過在數字化發展的道路上，網路安全又扮演者怎樣的角色?

　　為了讓大家能夠更清晰的瞭解當前網路安全的嚴峻形勢，華為首次舉辦以網路安全為主題的活動，開展了2018華為網路安全中國行活動，藉此來介紹華為在網路安全領域的思考與實踐。

　　當網路安全成為大勢所趨，安全威脅愈加嚴峻，我想沒有哪家企業能夠獨善其身。概括來講，當前網路安全形勢主要為以下幾點：首先是隨著黑色產業鏈越來越成熟，攻擊越來越廉價，威脅也就變得越來越多;其次，攻擊越來越隱蔽，常規的手段很難獲取確切資訊並進行阻止;最後，安全威脅擴散異常迅速，譬如WannaCry一夜之間全球幾十萬主機中招，讓大家始料未及。

▲華為網路安全領域總經理  宋端智

　　華為安全，從1.0向2.0邁進

　　面對如此眾多的網路安全威脅，華為安全又有著怎樣的規劃呢?華為網路安全領域總經理宋端智提到，目前華為在網路安全方面的態度發生了巨大的變化，其網路安全業務從1.0向2.0進行了演進，而華為網路安全2.0代表了華為希望持續地透過網路安全的能力幫助客戶和社會創造更多的價值。

　　就在今年年初，華為在巴塞羅那向全球釋出了SDSec(軟體定義安全)安全解決方案。其SDSec安全解決方案的架構主要能夠分成三層架構，包括有上層的分析器，中間的控制器以及底層的執行器。分析器我們可以理解成是一個大腦，主要負責分析決策，能夠根據收集的資訊判斷哪些是威脅，威脅有多嚴重以及該如何處理;控制器是中樞神經，負責接收分析器的指令並下發到執行器，告訴執行器要怎麼做;執行器可以理解為五官和四肢，主要包括有傳統的安全閘道器類的裝置，比如防火牆、IPS之類的閘道器類裝置，也包括一些應用安全閘道器裝置，此外還有很大一部分執行器是網路裝置。

　　宋端智表示華為SDSec的架構是一個智慧化的架構，分析器要有智慧，控制化要完成自動處置的動作，智慧化、自動化一個閉環的體系，能夠透過不同的三層網元之間的協同，能夠真正地幫助客戶構建一個主動防禦的體系。此外，宋端智還向我們簡單介紹了華為SDSec的主要的四大技能：

　　●火眼金睛：

　　“火眼金睛”技能主要依賴於華為的第三代沙箱(第三代沙箱主要有兩個特徵，一是基於動態行為的機器學習技術的沙箱，二是基於虛擬化層的監控技術的沙箱)以及華為雲的支撐。華為SDSec解決方案在惡意檔案的識別準確率可以達到99.5%。而惡意檔案更多的是一些未知的惡意檔案，可能首次出現，華為SDSec解決方案都可以準確地進行識別，包括一些加密流量在不解密的情況下識別出是不是威脅，準確率也可以達到99%以上。

　　●全民皆兵：

　　能夠將網路裝置發展成為網路安全防禦的“民兵”，其主要是依賴了華為擅長的SDN的技術以及網路裝置自身可程式設計的能力。要知道華為交換機產品均使用了華為自研的ENP晶片，具備可變數能力，且在交換機市場有著極高的佔有率，無形中為華為SDSec解決方案的“全民皆兵”技能提供了有利條件。

　　●天羅地網：

　　其主要應用了近幾年特別流行“deception”，即“欺騙防禦”的技術，是華為首創的基於網路裝置的互動誘捕陷阱，其主要基於SDN技術進行網路安全聯動處置，並藉助網路裝置進行全網覆蓋，從而自動化批次部署誘捕陷阱。

　　●運籌帷幄：

　　宋端智將這個特性形象地比喻為諸葛亮穩坐軍中賬運籌帷幄，對全域性的策略進行管理、最佳化。不僅要指揮防火牆等安全閘道器，還要指揮網路的網元做相應動作，為了解決安全業務管理範圍太大的難題，華為SDSec安全解決方案引入安全控制器SecoManage來統一進行安全業務編排與管理。依託於華為在網路安全方面的投入、安全標準上的地位以及與眾多合作伙伴組成的華為安全商業聯盟，得實現網路與安全深度協同實現策略聯動，抵禦威脅。

　　面向未來網路安全，華為SDSec讓安全耳目一新

　　面臨當前嚴峻的網路安全形勢，網路攻擊手段日趨多樣、隱蔽且成本低廉、威脅擴散異常迅速，常規而傳統的防禦手段很難檢測並有效阻止未知威脅，企業網路一旦遭受攻擊便損失慘重。一個能夠主動檢測並處置威脅且行之有效的網路安全防禦體系，才能應企業網路之所需。

　　華為SDSec安全解決方案充分利用了華為在網路通訊市場的優勢，將安全和網路通訊裝置完美整合，從而形成了完備的產品鏈條。於客戶而言，在華為網路通訊裝置的基礎上完成華為SDSec安全解決方案的部署，能夠以最簡單的部署方式完成最高效的安全防護。可以說，華為SDSec安全解決方案確實為大家帶來“耳目一新”的感覺!