华为引入全网智能安全 大幅提升网络免疫力

两个月前，台积电遭受“WannaCry”变种攻击，事件导致三个工厂业务停摆，带来的损失超过10亿人民币。时隔不到一个月，华住酒店集团1．3亿身份数据泄露事件将其推上了风口浪尖，数据泄露带来的影响和潜在损失巨大。IDC报告指出，在过去的一年中国由网络安全事件造成的直接经济损失超过100亿美元。

网络安全事件在全球范围内持续泛滥，整体看来网络安全威胁变得越来越多样性，同时复杂性不断提升。举例来说，1年前国内多省政务云被挖矿木马感染，导致电子政务业务中断达数小时，这种新型攻击以窃取系统资源并赚取数字货币为目的，取代了以往的攻击手段；2年前Mirai攻陷了超过200万台摄像头等IoT设备，导致美国大面积断网，人们首次感受到了物联网攻击的威力。

事实上，不断多样化、复杂化的攻击从来没有间断过，在Gartner看来，由于安全团队无法管理数字化风险，这将导致到2020年60％的数字化公司遭遇重大的服务故障。

华为网络安全领域总经理宋端智

在今天新技术成为企业数字化转型成败的关键时刻，CIO、IT负责人该如何面对企业数字化的未来？在HUAWEI CONNECT 2018构筑智能端到端安全保障体系峰会上，华为网络安全领域总经理宋端智一句话问向了在座的每一个人：“安全是独立于ICT基础设施的存在吗？”结合自身实践也许很多人会犹豫，但答案显然是否定的，并且华为坚定地认为安全是ICT基础设施和企业数字化进程中密不可分的一部分。

为此，华为在HUAWEI CONNECT 2018上发布了HiSec华为智能安全解决方案，这是一套基于软件定义安全（SDSec）解决方案架构的端到端ICT基础设施智能安全解决方案，并且华为同时发布了基于AI的新一代防火墙，毫无疑问智能成为关键词。

全面防护，引入全网智能安全

“云上和云下智能联动，集中智能和边缘智能配合；利用开放架构，实现基于软件定义的安全产品间动态配合；由业务驱动不断演进，安全实现与ICT基础设施的充分配合”。这即是HiSec华为智能安全解决方案带来的全面全网防护能力。

HiSec通过安全与ICT基础设施的配合，实现威胁响应能力从安全孤岛升级为联合战线、威胁扩散范围从区域边界降低为主机边界。这里的ICT基础设施并非仅是以防火墙为代表的专业安全网元，此外还包括以交换机、路由器为代表的数通网元，以及包括与不同厂商终端安全产品的配合，通过接入安全分析大脑快速应对高级安全风险。

此外，得益于引入的边缘智能安全网关的部署，HiSec带来了全网智能。边缘智能安全网关实现了实时采集、实时分析、实时控制，边缘智能安全网关将通信压力分散到了边缘节点，减少了实时数据传输，带宽占用下降90％。并且，其上通过部署高级安全分析能力，加之与云端智能深度联动，从而提升边缘安全网关威胁检测能力，威胁检测时间从10s降到1s。

首创AI防火墙，让企业边界防护智能化

为进一步强化边缘智能，华为还推出了USG6000E系列AI防火墙，通过引入AI技术，让下一代防火墙再次进化。

“AI防火墙基于AI技术的高级威胁检测，检出率高于99％；全新自研加速芯片，性能提升至业界2倍；创新VNF架构，可融合第三方安全能力。”宋端智宣布推出AI防火墙时如是说。

总结来说，华为基于AI的新一代防火墙具备智能、创“芯”、融合三大特点。

智能——防火墙内置基于神经网络构建的AI高级威胁检测模型，不依赖外部部署的大数据分析平台，在防火墙本地即可精准发现高级威胁，这包括恶意加密流量不解密识别（Encrypted Communication AnalyTIcs ECA），恶意软件非法连接远控服务器行为识别、暴力破解恶意行为识别等等，威胁检出率＞99％，误报率＜5％；同时，AI检测模型能够还能通过云端训练，分钟级主动更新到网关设备，确保了云上和云下的智能联动。

创“芯”——AI防火墙通过采用华为自主研发的安全ARM芯片，实现IPSec VPN、入侵防御、反病毒等防火墙关键功能的优化加速，威胁处置性能翻倍，达到业界处理性能的2倍。自此，华为也成为业内为数不多的具备芯片自研能力的安全厂商。

融合——华为基于AI的新一代防火墙不再是一个盒子，其采用VNF（虚拟网络功能）架构，可灵活集成第三方检测能力，例如通过远程软件安装方式部署新的网络和应用能力，保证安全业务按需扩展。并且基于此，AI防火墙还可内置轻量诱捕系统，并通过基于SDSec安全解决方案的协同联动，实现大规模轻量诱捕与动态引流到重度蜜罐相结合，轻量诱捕与重度诱捕联动，实现针对不存在IP和未开放端口诱骗的全面监控。它带来的好处除了大幅提升整体威胁检测效果外，还可以最大程度减少硬件设备，简化运维成本，让安全业务更易管理。

Capex降低80％、威胁检测处置性能提升2倍、威胁综合检出率高于99％，这即是华为基于AI的新一代防火墙由能力的全面提升带来的显著价值。

SDSec升级，大幅提升网络免疫力

基于软件定义安全（SDSec）的华为HiSec智能安全解决方案和基于AI的新一代防火墙的推出，也同时让华为SDSec安全解决方案威胁检测全面升级。

华为SDSec构建了安全的“有机体”，其三层架构——分析器、控制器、执行器，组成了安全协同联动的“大脑”、“中枢神经”和“四肢”，它将被动、单点防御演变到主动、整网防御，从人工运维演变为智能运维。

如今，在华为全力推进人工智能战略的背景下，SDSec也在不断增强AI能力，例如孵化出的高级威胁检测能力，实现了ECA不解密精确识别加密攻击，覆盖28个家族，包括木马、勒索、间谍、主流挖矿软件等， 达到99．9％准确率；首创网络内置主动交互诱捕陷阱，实现对内网所有不存在IP和未开放端口的全面监控，通过大规模轻量诱捕＋动态引流到重度诱捕联动，及时断开攻击源、保护真实业务系统。

现在再来回顾一下宋端智提出的那个问题：安全是独立于ICT基础设施的存在吗？显然答案是否定的。作为数字化转型保障，其实他还抛出了安全的另外两个问题：安全产品兢兢业业、各司其职，是不是就可以了？对于企业来说，有一个智能的安全大脑是否就够了？

现实告诉我们，这两个答案均是是否定的。因为只有安全产品之间智能联动、安全大脑与ICT基础设施充分配合、集中智能和边缘智能相互协调才是提升网络免疫力的最强战线，这其实就是华为在进行的安全实践。