助力“互聯網+”行動：解讀華為的網絡安全
—— 基于“互聯網＋”行動背景下的華為公司信息安全及戰略布局

□ 崔傳楨

?

助力“互聯網+”行動：解讀華為的網絡安全
—— 基于“互聯網＋”行動背景下的華為公司信息安全及戰略布局

□ 崔傳楨

華為積極響應我國網絡空間安全國家戰略，助力“互聯網+”行動。華為在16年前布局信息安全，至今厚積薄發，成為中國移動、中國電信骨干網絡部署防火墻設備數量最多的廠商，并成功為上海政務外網等政府項目提供安全服務。華為的信息安全戰略是：通過提供泛在的安全產品和整體的深度防御，以及可靠的安全服務運營體系，為用戶構建安全的全連接世界。為此，華為常年來投入巨額研發資金，以安全大數據能力為中心，構建了涵蓋云-管-端的一體化安全解決方案以及完善的安全服務運營體系。

為進一步了解華為技術有限公司的信息安全戰略，以及如何助力國家“互聯網+”行動計劃，本刊近期走進華為技術有限公司，深入探究華為技術有限公司的信息網絡安全及戰略布局。

華為積極響應中央戰略，參與”互聯網+”行動計劃

2016年4月19日，習近平總書記在京主持召開網絡安全和信息化工作座談會并發表重要講話。習近平指出，在中國“互聯網+”行動計劃之下，要著力推動互聯網和實體經濟深度融合發展，建設網絡良好生態，依法加強網絡空間治理，同時要把更多人力物力投向核心技術研發。習近平強調，網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。網絡安全為人民，網絡安全靠人民，維護網絡安全是全社會共同責任，需要政府、企業、社會組織、廣大網民共同參與，共筑網絡安全防線。

華為技術有限公司（文中簡稱“華為”）CEO任正非先生出席了此次座談會，與參會人員就實現信息化發展新跨越、加快構建信息領域核心技術體系、加強網絡信息安全技術能力、建設頂層設計等議題提出了意見和建議。華為將網絡安全保障作為公司的重要工作，與政府、客戶及行業伙伴以開放加快全球網絡基礎設施建設，促進互聯互通，有利于加強經濟文化交流，共享發展機遇。習近平主席同時強調：“安全和發展是一體之兩翼、驅動之雙輪”，“網絡監聽、網絡攻擊、網絡恐怖主義活動已成為“全球公害”，各國應該共同遏制信息技術濫用，反對網絡監聽和網絡攻擊，保護互聯網的安全。”互聯網的安全保障，是“互聯網+”行動計劃順利推進的前提。華為打造了云-管-端一體化的安全產品和解決方案，擁有一支超過1000名安全專家的隊伍和全球的安全服務運營體系，以開放合作的態度，希望與安全產業共同協作，助力“互聯網+”行動計劃的落地和實施，真正實現網絡互聯互通、共享共治、構建網絡空間命運共同體。

華為信息安全之路：厚積薄發、艱苦奮斗、客戶為中心

2016年3月，美國RSA大會期間，華為獲得全球最權威的第三方信息安全評測機構NSS實驗室所頒發的NGFW下一代防火墻“推薦級”。 NSS實驗室的推薦級，只有頂級的技術產品才有資格獲得。這表明華為防火墻通過了獨立的第三方驗證，達到業界一流水平。提到華為安全，大家首先想到的可能就是防火墻了。獲得國際專業機構的殊榮，正是這些年來華為安全產品所取得成績的一個縮影。近20年來，在安全產品領域，華為圍繞網絡層的硬件安全產品，逐步拓展建立起完善的軟件、服務體系，并已逐步覆蓋企業網絡與數據中心安全、云安全、終端安全、網絡安全、應用安全、安全管理和安全服務等多個業務領域。

1）厚積薄發

華為安全團隊最早可以追溯到2000年初，當時華為已經是電信制造業的佼佼者，主要服務的客戶是全球運營商。客戶在購買路由器等傳統數通產品的同時，對骨干網絡的傳輸安全加密產生大量需求，同時由于IPv4地址開始耗盡，大規模NAT地址轉換也成為剛需。華為安全業務團隊基于VRP平臺，開始研發硬件安全網關，首先提供給大型運營商，并沒有奢求開始就鋪開產品系列。由于并不服務于電信之外的其他用戶，這種聚焦的戰略在幾和透明的方式，共同應對安全方面的挑戰，共同構筑“互聯網+”的安全屏障。

李克強總理在2015年兩會政府工作報告中提出：制定“互聯網+”行動計劃，推動移動互聯網、云計算、大數據、物聯網等與現代制造業結合，促進電子商務、工業互聯網和互聯網金融健康。”“互聯網+”正式成為國家戰略。

華為作為一家中國本土企業，全球每天超過20億人使用華為的設備通信，在150多個國家擁有500個客戶，70%營收來自海外。

2015年1月4日，國務院總理李克強視察華為深圳總部，在任正非的陪同下參觀了華為展廳。聽完任正非的工作匯報，李克強總理對華為在全球取得的成績表示贊許，并稱“華為大有作為”。

“互聯網+”的本質是傳統產業的在線化、數據化，人、商品、交易行為遷移到互聯網上，在產業上下游、協作主體之間以最低的成本流動和交換，最大限度地發揮數據的價值。“互聯網+”的過程，是傳統產業轉型升級的過程。 “互聯網+”帶來了積極的影響，開放的網絡連接端到端的產業鏈，13億人口連接百億的機器，推動生產生活更加便利，促進國家經濟快速發展。

互聯網以驚人的速度在發展，給人們帶來巨大利益的同時，網絡犯罪也在以驚人速度增加，破壞性也從虛擬世界擴展到真實世界。近年來，大量的網絡安全事件逐漸引發全球關注：斯諾登事件引起多個國家的外交關系異常；烏克蘭電網被攻擊造成70萬人在圣誕節前夕斷電；東南亞政府和印度政府遭到間諜組織常年的網絡滲透……。網絡犯罪日益猖獗地深入到世界的每一個角落，對政治和經濟都造成嚴重影響，甚至形成了地下黑色產業鏈。

網絡犯罪的攻擊面和攻擊方式在持續增長，網絡犯罪分子越來越熟練地進行無法探測的訪問，并成為IT環境中一個持續、低調、長期的存在。攻擊無孔不入，無處不在；攻擊造成的破壞性越來越大，破壞時間越來越短。

2015年底烏鎮第二屆全球互聯網大會上，習近平主席提出了“互聯互通、共享共治，構建網絡空間命運共同體”這一重要主張，呼吁各國年之后其技術優勢開始顯現。2004年，華為研發出基于NP的防火墻，2008年又首次推出萬兆分布式防火墻。后來，華為和業界知名安全公司賽門鐵克成立了華為賽門鐵克合資公司，進一步引入了賽門鐵克的安全技術，并逐漸走向國際市場和覆蓋除了電信用戶外的企業用戶。2012年，華為又發布了業界首款T級性能的高端防火墻。通過技術上的不斷突破，滿足了在大數據、云計算發展的大背景下，電信為主的用戶流量爆發增長對安全防護的高要求。

正是由于這種厚積薄發，目前，華為成為在中國移動、中國電信骨干網絡部署防火墻設備數量最多的廠商。截至目前，每年發貨的硬件設備超過10萬臺套，成為第1個進入Gartner咨詢公司防火墻魔術象限報告的中國廠商，服務超過70個國家的用戶。

2）艱苦奮斗

華為安全業務創立初期，深受公司整體艱苦奮斗的企業文化影響，奉行“墊子文化”。即在項目周期緊張、客戶交割的時刻，為了保障產品的按時交付和業務順利上線，項目組的研發和市場人員通宵達旦地工作，累了就在工位下面放一個床墊子，躺下休息一會再爬起來繼續工作。因為他們清醒地認識到，整個信息產業都在逐漸轉變為低毛利規模的傳統產業，用于電子工業的生存原料是取之不盡的河沙、軟件代碼、數學邏輯。因此，讓華為人始終保有危機感。后退就意味著消亡，要想在這個產業中生存，只有不斷創新和艱苦奮斗才能不被淘汰。雖然現在的墊子已經用于午休，但創業初期形成的“墊子文化”承載了華為人奮斗和拼搏的精神，時至今日仍然是持續傳承的精神財富。

在經營海外市場中，競爭對手是來自全球各個發達國家地區世界級的安全企業，他們擁有幾十年的商業底蘊積累、雄厚的資金保障、全球知名的品牌、世界一流的專業團隊，以及深厚的市場地位和客戶基礎。面對如此高超的技術和市場壁壘，華為的安全團隊沒有多少經驗可以借鑒，只有經過千辛萬苦，一點一點地爭取到訂單和邊緣市場，然后把收入又拿出來繼續投入到研發上，在摸爬滾打中積累經驗。正是靠這種“不拋棄、不放棄”的艱苦奮斗精神 ，才使得今天華為安全市場逐步在全球打開了局面，海外銷售收入占比能夠達到總收入的一半。

3）客戶為中心

對于企業來說，硬實力相當于冰山上的一角，而水下的部分雖然看不見卻更重要，那就是企業的文化和核心價值觀。除艱苦奮斗外，以客戶為中心正是華為的核心文化和競爭力。開展企業客戶業務后，各種行業客戶的需求紛至沓來。華為內部有強大的平臺支撐分析客戶訴求，業務線始終站在客戶的立場上比客戶多想一步，而不是一味地追求華為利益的最大化。舉例來說，前兩年各地政務網絡紛紛建立自己的數據中心和專網，用戶在出口需要部署安全網關來保證政務網的穩定運行。由于國內信息安全廠商品牌眾多，有的設備做地址轉換，有的做4～7層的安全防護，有的做入侵檢測，網絡非常復雜，而沒有一家可以將這些安全功能整合起來。華為經過調研分析，認為完全可以把各種安全業務多合一，替換掉原有性能不足的老舊設備，同時也不用做大的投資購買多臺設備。近年來，網絡攻擊也發生了變化，以高級可持續性攻擊APT攻擊為代表的未知威脅對敏感信息的精準竊取給政府和企業聲譽帶來了不可估量的損失。這種威脅易攻難守。華為安全業務團隊組建了獨立的研發團隊，并聘請歐洲研究所的專家，不惜犧牲短期的虧損向此領域投資。正是這種以客戶為中心的理念，支撐華為安全業務團隊始終能站在客戶需求前面，給客戶帶來最新的解決方案。

華為全球信息安全情況和國內市場案例

作為全球領先的信息與通信解決方案供應商，華為始終保持在網絡安全領域的耕耘投入和建設。2013年，華為安全推出下一代防火墻產品；2014年，USG9500高端防火墻系列獲得了NSS實驗室的最快防火墻評價；2016年，USG6000中低端下一代防火墻獲得安全業界國際最高水平的CC EAL4+認證、NSS實驗室推薦級評價以及ICSA實驗室 IPSec和SSLTLS雙認證。

通用準則(common criteria，CC)及評估保證級別 (evaluation assurance level, EAL）等級，主要用于評估IT產品或解決方案的安全性、可靠性以及對信息隱私的保護，是目前公認的全球標準。政府和機構在建設IT解決方案時，CC認證可作為產品安全性評估的重要依據。在CC認證的評估過程中，會對產品的安全性、脆弱性等各方面進行針對性的評估和測試。作為目前網絡產品可獲得的最高評級，EAL4+級的評估程序更為嚴謹，甚至包括產品的代碼審視。在防火墻產品領域，華為是國內首家也是目前唯一通過CC EAL4+級評估的廠商，表明華為下一代防火墻的安全穩定性已經達到國際領先水平。

NSS實驗室是業界公認的獨立安全產品測評與研究領域領先者，在安全領域內擁有無可置疑的權威性。因其獨立性和先進的測試方法，被全球的企業和組織廣泛認可。本次NGFW測評，NSS 實驗室采用了最新的測試方法學V6.0標準，引入了網絡高級告警系統（cyber advanced warning system, CAWS）現網測試環節，用于評估產品對最新威脅的防護能力。RSA2016大會上，華為宣布防火墻產品在最新的NSS實驗室下一代防火墻（next generation firewall, NGFW）評測中表現出色，獲得最高的“推薦級”評價。本次NGFW群組測評囊括了13個業界領先安全廠商的產品。NSS實驗室的推薦級只有頂級的技術產品才有資格獲得。這表明華為防火墻通過了獨立的第三方驗證，達到業界一流水平。華為USG6650下一代防火墻100%通過了“防火墻策略”、“應用控制”、“防躲避”、“穩定性與可靠性”測試。在安全有效性方面表現出色，CAWS威脅檢測率達到99.95%，綜合安全有效性達到98.1%。

ICSA(International Computer Security Association) 實驗室是業界知名的第三方安全產品測試和認證機構。20多年來，ICSA為許多世界頂級的安全產品開發商和服務商提供兼容性、可靠性、性能測試和認證，其客觀公正的測試方法及認證標準贏得了各大企業的信任。華為下一代防火墻已經累計通過4項ICSA認證，獲得一次大獎。第1次是獲得ICSA Firewall和 IPS雙認證；第2次是于2015年RSA大會現場獲ICSA“10年EIST卓越信息安全測試大獎”；第3次就是2016年獲得的IPSec和SSL-TLS雙認證。每次提交認證的設備最終都會被保留在ICSA實驗室中繼續進行長期穩定性測試，累計一年多的測試，華為下一代防火墻贏得了好的口碑。ICSA實驗室負責人Brian MonkMan對此深有感觸：”ICSA實驗室嚴格的測試標準確保我們的客戶的解決方案滿足其用戶的高標準要求。華為的持續測試表明其在質量保障流程方面的承諾。”

據IDC發布的《中國IT安全硬件市場2015—2019預測與分析（2014 年下半年）》報告顯示：華為在中國防火墻市場以18.9%的市場份額排在第1位。在安全硬件市場占比總和超過6成的防火墻和統一威脅管理（united threat management，UTM) 2個領域，2014年市場占有率之和繼續保持第一。自2014年底起，華為抓住了“安全產品國產化”的市場機會，在中國的行業市場持續發力，貼近客戶的業務需求，推出系列場景化的解決方案。例如：在金融市場，圍繞數據中心建設，推出了數據中心安全解決方案；在運營商市場，持續入圍電信及移動集采項目，并取得較高份額；在中小企業市場，大力發展渠道，與廣大渠道伙伴一起共同為行業及商業市場客戶服務。據IDC發布的《中國IT安全硬件市場2015上半年》報告顯示：華為在中國防火墻+UTM硬件市場中排名第一，尤其在企業級市場中表現搶眼。2015年上半年，中國區總體安全業務營收同比增長63.7%，已經逐步成為中國IT安全市場的領軍廠商。目前中國區數通（含安全）產品的渠道商已超過160家，華為認證網絡安全工程師超過700人。

華為安全產品服務于全球10萬多企業客戶，遍布北美、歐洲、拉美、非洲、亞太等各個區域，在互聯網、金融、教育、政府、能源、大企業等行業得到普遍應用，尤其在保障政務和高校的網絡業務順利開展上作出巨大貢獻。

上海電子政務的信息化建設一直處于全國領先的地位，政務外網承擔著協同辦公、政務公開、互動服務的職責，是政務協作的平臺、政務公開的窗口。經過3個5年計劃的發展，上海政務外網已匯集市委、市政府、市人大、市政協等單位，并覆蓋到包括市級各委辦局、管委會及其直屬單位等在內的1200多家市級單位；匯接17個區縣政務外網，涵蓋區縣內各委辦局、鄉鎮及街道辦事處，并延伸到居委會、村委會和社區中心，電腦終端8萬多臺，同時負責統一落實政務外網安全防護體系架構及互聯網統一出口建設。網絡規模大而又責任重大。上海政務外網出口改造，主攻出口統一安全網關的建設。通過深入了解客戶需求日漸清晰，華為推出了高可靠、高并發、高安全、高可擴展的安全解決方案。

可靠性對政務外網來說是絕對的制高點。設備的可靠性決定了網絡的可靠程度，任何一個節點的故障，都可能導致政務外網業務中斷、接入單位使用體驗差。華為的USG9500高端防火墻通過電信級硬件平臺、關鍵器件冗余、板間備份、雙機熱備、雙站點備份等一系列可靠性手段，能夠最大限度保障政務外網的穩定正常運行。

1200家單位、8萬終端的互聯網流量匯聚，為互聯網出口帶來巨大的并發壓力。一方面要盡可能滿足所有訪問需求，另一方面要避免造成網絡的性能瓶頸，使網絡質量變差。華為的USG9500高端防火墻提供優異的處理性能，整機可達到480G處理能力，充分滿足政務外網當前和未來幾年的網絡發展需求。

作為出口安全網關，安全能力是基礎也是關鍵。電子政務網涉及到眾多政府敏感信息的交互。互聯網出口一方面要應對公網上無數的安全威脅；另一方面在內部多個委辦局的安全隔離、訪問控制上也需要有全面的考慮。

華為的USG9500高端防火墻具備強大的安全能力，除了傳統的防火墻、NAT、VPN能力，同時提供智能選路、流量管控、入侵防御、用戶管理、應用識別、內容審計、防DDOS攻擊等一系列應用層安全防護功能，并通過全球安全能力中心應對瞬息萬變的互聯網威脅。

政府信息化進程的不斷推進，要求任何當前建設都能滿足5年內網絡和用戶的擴容需求。在有效保護政府投資高利用率的同時，更關注網絡的穩定可持續運行。華為的USG9500高端防火墻作為框式設備，能夠通過接口板、業務板的靈活配置，靈活滿足按需配置、動態擴容的可持續性需求。以USG9500的業務板來說，一塊單板最少可支持40G處理性能，最大支持160G性能，整機最大可擴展到480G容量，充分滿足上海政務外網未來5年的高強度要求。

華為的USG9500防火墻進駐上海政務外網，在張江、廣紀核心機房各署2套。USG 9500就如同盡職的門衛，默默守護上海政務外網這張大網，為上海市1200多家委辦局單位的互聯網訪問保駕護航。

“晉城在線”是晉城市政府對外宣傳的主要信息窗口和晉城市人民獲取信息的重要渠道，同時也是政府與社會交流、方便市民辦事的公共信息平臺。“晉城在線”集電子政務、新聞發布于一體，晉城市人民可以通過該平臺進行網上咨詢、網上互動、網上申請、查看網上審批進度等，形成了多功能多形式的政務網絡平臺。“晉城在線”的日均點擊量達300萬次以上，在當地具有重要的社會地位和影響力。

經過嚴苛的實驗室測試和長達半年的現網考驗，華為USG9500 T級防火墻憑借高性能、高可靠、靈活擴展、精細流量管理、全面安全防護等出色的現網表現和極佳的用戶體驗，一舉贏得用戶青睞，成為晉城信息中心網絡出口防火墻更新換代的最佳選擇。

華為USG9500 T級防火墻采用專用的多核處理芯片以及分布式硬件平臺，提供4000萬到9.6億的并發連接數，整機性能從40G可平滑擴展升級到1T吞吐量，可滿足“晉城在線”未來3～5年的業務發展需求；所有部件均采用全冗余技術，提供單機高于25年的平均無故障時間和運營商級99.999%可靠性，從而進一步保證高速網絡環境下的業務連續性；針對鏈路中可能出現的單點故障隱患，華為USG9500 T級防火墻采用雙主控主備倒換和鏈路捆綁等技術，提供小于1s故障倒換時間，確保業務持續穩定運行。華為USG9500 T防火墻提供全面的安全防護能力，可以有效抵御黑客入侵，防范病毒、特洛伊木馬、蠕蟲等惡意軟件的傳播與擴散，通過云端實時升級特征庫，可以迅速檢測并阻斷最新的攻擊行為與未知威脅，為“晉城在線”業務提供全方位的安全防護。針對信息中心不同管理員的使用習慣，華為USG9500 T級防火墻提供多種運維管理方案，包括命令行配置、Web配置和網管配置，分級的用戶權限管理、操作日志管理、命令行在線幫助及命令注釋等功能，極大地簡化了操作，使得運維管理更加方便。

華為USG9500 T級防火墻上線部署一年以來，一直運行良好，穩定可靠；在吞吐量和并發會話數等方面表現優異，大幅提升“晉城在線”的訪問體驗；全面的安全防護功能，有效抵御木馬、蠕蟲和惡意軟件的侵襲，確保信息中心網絡業務安全穩定運行。

此外，華為防火墻全力守護廣東省電子政務外網安全，助力廣州電子政務云安全建設。T級數據中心防火墻更是保障中國工商銀行380萬億在線業務安全。在華為安全產品和解決方案的幫助下，北大燕園實現公網加速以順利傳遞知識力量，上海交通大學校園網有了全方位安全防護盾。

隨著ICT變革的不斷深化，華為安全將為企業客戶提供云化、移動化的全網安全協同和主動威脅防御，致力于構建安全的全聯接網絡并打造并重點打造更加開放的生態系統。

基于“互聯網+”的華為信息安全戰略

在“互聯網+”背景下，為了應對日益增長的網絡威脅和犯罪，保障良好的網絡環境，安全產業的防護理念已經從傳統的被動防御轉換為積極的主動防御。保護（protect）、檢測（detection）、響應（response）模型是體現主動安全防御思想的業界廣為認可的安全模型：保護就是采用一切可能的措施來保護網絡、系統以及信息的安全，常采用的技術及方法主要包括加密、認證、訪問控制、防火墻以及防病毒等；檢測可以了解和評估網絡和系統的安全狀態，為安全防護和安全響應提供依據，主要包括入侵檢測、漏洞檢測以及網絡掃描等技術；響應在安全模型中占有重要地位，是解決安全問題的最有效辦法，解決安全問題就是解決緊急響應和異常處理問題，建立應急響應機制，形成快速安全響應的能力，對網絡和系統而言至關重要。

為了助力“互聯網+”行動計劃的落地，與安全產業共同支撐“互連互通、共享共治、構建網絡空間命運共同體”，華為制定了全新的安全戰略：通過提供泛在的安全產品和整體的深度防御，以及可靠的安全服務運營體系，為用戶構建安全的全連接世界。

華為的信息安全戰略全面體現了保護、檢測、響應的安全理念。泛在的安全產品指云管端一體化，華為安全解決方案能夠完整覆蓋移動終端、分支、廣域網、園區和數據中心的防護，實現網絡和IT基礎設施端到端的保護；整體的深度防御指安全大數據檢測和分析，華為安全解決方案以安全大數據平臺為大腦，實現對復雜威脅的深度感知和檢測；可靠的安全服務運營體系指由資深安全專家構成的安全團隊、全球部署的安全智能中心，時刻為用戶提供應急處理和快速安全響應。

同時，華為作為世界500強以及ICT行業的領導者，堅守企業責任，在開放透明的合作、安全和隱私的法規遵從、國際認可的驗證、員工安全意識和責任的培養等多個方面著手，建立全面的網絡安全體系，保障客戶業務的穩定、安全的運營以及用戶隱私的保護，讓人民能夠安全、便捷、平等地享用信息服務。

1）打造符合“互聯網+”需求的一體化安全解決方案

網絡安全的建設是一個系統工程，需要系統的各個環節進行統一的綜合考慮、規劃和構架，并要時時兼顧組織內外不斷發生的變化，任何環節上的安全缺陷都會對系統構成威脅。木桶原理同樣適用于網絡安全，一個組織的網絡安全水平將由與網絡安全有關的所有環節中最薄弱的環節決定。數據資產的生命周期過程中包括產生、收集、加工、交換、存儲、檢索、存檔、銷毀等多個事件，表現形式和載體會發生各種變化，這些環節中的任何一個都可能影響整體網絡安全水平。要實現網絡安全目標，必須使構成安全防范體系這只“木桶”的所有木板都要達到一定的長度。

華為依托強大的技術研發積累，打造了以安全大數據平臺為中心、涵蓋云管端的安全產品和解決方案，提供全網協同的安全防護，同時每個產品系列都有業界領先的競爭力，組成沒有短板的“木桶”。

2）華為安全大數據平臺

挑戰：安全防御的重心從傳統的防護向檢測與分析轉移，Gartner預測，檢測分析占安全的投資比例將從2014年的不到10%上升到2020年的60%。不能檢測分析出威脅，則無法進行響應和保護。

針對檢測分析所需要的安全數據，有3個方面的挑戰難以規避：

①數據量越來越大。網絡已經從千兆邁向了萬兆，網絡安全設備要分析的數據包數據量急劇上升。同時，隨著NGFW的出現，安全網關要進行應用層協議的分析，其分析的數據量更是大增。與此同時，隨著安全防御的縱深化，安全監測的內容不斷細化，除了傳統的攻擊監測，還出現了合規監測、應用監測、用戶行為監測、性能檢測、事務監測，等等，這些都意味著要監測和分析比以往更多的數據。此外，隨著APT等新型威脅的興起，全包捕獲技術逐步應用，海量數據處理問題也日益凸顯。

②速度越來越快。對于網絡設備而言，包處理和轉發的速度需要更快；對于安管平臺、事件分析平臺而言，數據源的事件發送速率EPS（event per second）越來越快。

③種類越來越多。除了數據包、日志、資產數據，安全要素信息還加入了漏洞信息、配置信息、身份與訪問信息、用戶行為信息、應用信息、業務信息、外部情報信息等。

安全數據的數量、速度、種類的迅速膨脹，不僅帶來了海量異構數據的融合、存儲和管理的問題，甚至動搖了傳統的安全分析方法。

當前絕大多數安全分析工具和方法都是針對小數據量設計的，在面對大數據量時難以為繼。新的攻擊手段層出不窮，需要檢測的數據越來越多，現有的分析技術不堪重負。面對天量的安全要素信息，如何才能更加迅捷地感知網絡威脅態勢？

傳統的分析方法大都采用基于規則和特征的分析引擎，必須要有規則庫和特征庫才能工作，而規則和特征只能對已知的攻擊和威脅進行描述，無法識別未知的攻擊，或者是尚未被描述成規則的攻擊和威脅。面對未知攻擊和復雜攻擊如APT等，需要更有效的分析方法和技術。面對天量安全數據，傳統的集中化安全分析平臺（譬如SIEM、安全管理平臺等）也遭遇到了諸多瓶頸，主要表現在以下幾方面：

● 高速海量安全數據的采集、存儲、管理變得

困難；

● 威脅數據源較小，導致系統判斷能力有限；● 趨勢性預測較難，早期預警能力差；

● 安全系統相互獨立，無有效手段協同工作；● 分析的方法較少；

● 安全事件查詢響應效率太低；

● 系統交互能力有限，數據展示效果有待提高。

安全數據的大數據化以及傳統安全分析方法的缺陷，自然引發人們思考如何將大數據技術應用于安全領域。

華為打造安全大數據平臺，作為整個華為安全解決方案的大腦，為安全設備、軟件和服務提供更強的檢測分析能力，更全面的威脅態勢感知，更完善的安全防御，踐行了保護、檢測、響應的主動防御理念。

華為大數據檢測平臺，負責收集安全設備日志、終端行為、網絡流量等信息，通過關聯分析、離線分析、異常分析和機器學習等方法，感知威脅態勢、掌握攻擊路徑，并可提供智能檢索和威脅情報管理共享等功能，有效協助安全設備進行響應和防護。

大數據處理效率是大數據安全平臺的基礎能力，華為大數據平臺在業界主流的開源Hadoop基礎上經過多年的商業優化，其分布式存儲數據、分布式索引、分布式并行計算性能都在業界領先。

分析與檢測是大數據安全平臺的核心能力，華為的分析能力源自多年的網絡流量和安全能力積累，僅僅異常分析就包含基于統計、距離、密度、深度、偏移、高維數據等多種分析算法，能夠最大限度發現異常行為。

大數據安全平臺是安全解決方案的大腦。在網絡的不同位置，部署不同的大數據平臺組件，比如在終端部署的是終端探針，采集終端的各種行為，包括流量行為、進程行為以及相關的日志信息等；而在關鍵網絡部署位置，則部署了流探針，采集全流量；在一些關鍵設備采集日志信息；最終這些信息作為大數據分析平臺的輸入進行異常檢測。所有異常檢測的結果以及響應的防護策略將下發給防火墻等安全設備，使得安全設備能夠及時響應和阻斷威脅。

華為大數據安全平臺不僅支持華為的安全產品，第三方廠商也能夠在大數據安全平臺的數據和檢測能力基礎上提供安全呈現產品和安全防護產品，與華為攜手共同實現一體化的安全防御。

3）華為管道安全解決方案

挑戰：隨著云計算、BYOD、移動互聯網、Web2.0等各類新技術的發展和應用，管道網絡出現了巨大的變化——移動化、扁平化和大帶寬。移動化是指Wifi和LTE技術的發展使得越來越多的移動終端被使用；扁平化是指全IP技術使得接入網絡與核心網絡的層級更加接近，網絡的邊界更加模糊；大帶寬是指視頻、應用等各種服務快速增長使得管道內的流量以幾何級別增長。網絡和應用不斷復雜化。

復雜的網絡面臨著來自多個網絡的各種安全威脅，網絡安全事件頻頻發生，主要集中在病毒、蠕蟲、惡意代碼，網頁篡改，垃圾郵件等方面，政府網站常常成為攻擊目標。移動終端的廣泛接入，導致威脅的攻擊點增多，威脅防不勝防，傳統防御手段無法準確識別用戶的位置，難以做到有效保護；全IP化的扁平網絡使得攻擊更加容易，IP化的物理接口很容易獲得，數據存在泄露風險；大帶寬應用，傳統的防御手段無法準確識別應用層威脅，或者在大帶寬之下啟用應用層防護會明顯影響其性能。攻擊手段變化多樣而且攻擊工具更容易獲取，以及基于僵尸網絡DDoS攻擊的出現，使得基于網絡層的攻擊層出不窮。主要的攻擊包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻擊、Land 攻擊、超大ICMP攻擊、Fragile 攻擊、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由選項攻擊、Traceroute攻擊等等。

網絡層攻擊的目標主要包括帶寬攻擊、主機或者網絡設備攻擊。帶寬攻擊指通過大量的攻擊數據包占用正常業務數據的帶寬，導致網絡帶寬擁擠，正常業務受到影響；主機或者網絡設備攻擊指的是攻擊者通過攻擊主機或者網絡設備的某個應用端口導致被攻擊設備處理不過來或者癱瘓使其不能處理正常業務數據。

針對移動化、扁平化、大帶寬的演變，華為的管道安全解決在廣域網、園區網多層級部署防火墻、入侵防護系統（IPS）、網絡接入控制設備（NAC）、DDoS清洗設備、VPN加密等多種安全防護設備，確保了整體網絡的安全。

華為管道安全解決方案擁有業界網絡準入控制環境適應能力最強，應用識別能力最高的安全準入解決方案；擁有全面融合、功能豐富、性能可靠、安全性高的遠程安全接入解決方案；擁有全面防護、高性能、高檢測率、高攻擊響應、高可靠性，并能足夠細致地評估和保證企業安全解決方案合理的攻擊防護安全解決方案；擁有提供完整防火墻功能和UTM擴展能力、高病毒檢測率、涵蓋有線到無限統一安全接入的邊界防護安全解決方案；擁有領先的全面設備日志采集性能，強大的關聯分析引擎感知安全態勢，完善的安全服務體系，可視化和高效率的安全設備管理，全面審計安全行為的安全管控、管理和審計安全解決方案。

4）華為云數據中心安全解決方案

挑戰：隨著“互聯網+”發展的進一步深化，線上業務快速發展，云數據中心越來越成為IT建設的主流選擇，可以提供創新的虛擬數據中心云服務，實現數據中心物理與虛擬資源分離，實現數據中心即服務，帶來全新的使用體驗。

云數據中心的快速發展，帶來4個涉及到安全的挑戰：

①傳統安全不適應應用彈性擴展。新增一個業務，需要在數據中心網絡邊界、內網涉及數臺安全設備配置訪問策略，耗時長、效率低；傳統安全于IP的訪問控制策略，無法適應數據中心內虛擬化設備不斷頻繁的變化。

②虛擬化打破傳統網絡安全便捷。虛擬化二層網絡下，虛擬化二層流量直接通過虛擬交換機交互，流量不可視不可控，虛擬主機跨數據中心或跨公有云遷移，擴大了網絡犯罪者的活動范圍，可信區域不 復存在。

③云中心成為僵尸網絡發起地。越來越多的攻擊源自數據中心，數據中心服務器成為肉雞，借助數據中心極大的攻擊帶寬制造大型多源攻擊，最終導致威脅進一步升級。

④安全管理復雜。計算資源共享、 數據存儲位置未知、網絡邊界崩潰、不可控的外部供應商等多個因素導致可審查性、取證困難；部署依賴手工，基于IP的安全策略不體現業務導致策略管理復雜；傳統安全缺乏宏觀的安全態勢感知和呈現，只能“事后感知”而無法“事前防護”。

華為云數據中心解決方案采用分層模型，分為物理設施安全、網絡安全、主機安全、應用安全、虛擬化安全、數據安全、用戶管理、安全管理等幾個層面，全面滿足用戶的各種安全需求。該架構中包含以下安全層面的能力：

物理設施安全。通過門禁系統、視頻監控、環境監控等確保數據中心環境、物理訪問控制等物理設施層面的安全。

網絡安全。從防火墻、IPS、SSL VPN、Anti-DDoS、IDS/IPS、網閘等技術手段確保云DC邊界和內部系統、數據和通信的隔離和安全，因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。數據中心網絡設備（路由器、交換機、安全設備防火墻等）在整個云數據中心中起到承上啟下作用。一方面，它對外擔負著云數據中心與外界其他網絡系統，如互聯網、專網等互連互通的功能；另一方面，它對內承載著各種業務系統。安全設備部署在云數據中心各網絡層內，防范來自外部互聯網的攻擊和保障內部網絡和業務的正常運行。傳統的物理邊界的防護已經不能適應云數據中心以云DC為主體的應用場景。華為云DC安全解決方案中，安全池云化管理，安全產品支持虛擬化，自動自助提供云DC邊界和內部的網絡安全邏輯隔離，很好解決了網絡安全威脅，諸如：DDoS攻擊、入侵攻擊、安全隔離的問題，而且針對未知威脅APT攻擊也能起到很好的防范效果。

主機安全。保護主機層操作系統的安全，通過主機加固、防病毒軟件、主機IPS、主機補丁管理等技術手段確保主機免受攻擊。

虛擬化安全。從虛擬機隔離、虛擬層加固、Cloud管理應用加固、虛擬機防護、虛擬機可信計算等技術手段確保虛擬化的安全。

計算和網絡資源虛擬化后，帶來的最大問題除了引入新的云平臺漏洞、不安全的API、共享風險等，最大的不可控在于2層流量直接通過軟件虛擬交換機交互，不通過傳統物理安全設備，這部分不可控流量形成安全防護的盲點，使得虛擬主機很容易成為黑客攻擊的跳板，控制虛擬權限，進而對Hypervisor實施攻擊，或直接攻擊相鄰主機，篡改數據，導致虛擬主機不能正常提供服務。

應用安全。從電子郵件防護、Web應用防護等技術手段對應用層面的數據進行保護，保障用戶的應用數據能夠不受破壞、更改、泄漏、篡改。華為應用安全解決方案在安全池中集中部署郵件安全網關、Web應用防火墻和網頁防篡改系統，分別保護電子郵件安全、Web應用安全和網頁防篡改，并提供應用安全事件日志與報表給大數據關聯分析系統進行統一事件管理和分析。同時，信譽體系對某一互聯網公共IP地址或者子網，從Web安全和郵件安全的角度，給出其在某一段時間內的安全評價。

數據安全。從數據加密、數據銷毀、數據防泄漏、數據備份等技術手段保障數據安全。

用戶管理。通過統一認證、授權、訪問控制、特權用戶訪問審計、雙因素認證等保障用戶管理安全。

安全管理。通過安全信息時間管理、安全合規審計、安全策略統一管理、弱點管理等進行統一安全管理。其中，網絡安全、虛擬化安全、應用安全、安全管理是云數據中心不同于傳統數據中心的關鍵點。云DC內部部署了大量基礎網絡設備、安全設備、工作站和服務器、數據庫、應用程序和大型機，這些設備形成各個“安全信息孤島”。有限的安全管理人員面對這些數量巨大、彼此割裂的安全信息，越來越束手無策，難以發現真正的安全隱患。同時，政府和企事業單位也面臨對信息系統審計和內控要求、等級保護要求，如何滿足這些安全合規方面要求也迫切需要解決。華為在云數據中心安全框架中，大數據關聯分析系統負責收集主機、服務器、交換機、路由器及安全設備收集日志與事件等信息，并負責大數據的關聯分析，以發現潛在的安全威脅；控制中心主要負責下發策略指令，同時能夠接收沙箱檢測與大數據關聯分析系統的結果，負責分布式云數據中心中虛擬機、應用跨物理數據中心遷移的安全策略隨遷等。控制中心接收到大數據關聯分析發現的潛在的安全威脅，能夠根據管理員預先配置的策略，結合已知的網絡拓撲、地址、設備類型等現網信息，轉換成相關設備所能識別的設備配置并進行統一下發，達到全網自動防護的目的。

華為通過分布式部署在Hypervisor層，或者獨立安全VM中部署軟件虛擬防火墻，對2層流量實現過濾和監控，并與傳統集中部署在3層的安全設備形成聯合防護，通過統一的控制中心，實現“傳統集中式安全控制＋虛擬化分布式安全控制”的立體資源池方案，通過統一的安全控制中心實現3層和虛擬化2層數據流的按需指定路徑進行過濾和編排，是業界最普遍和先進的有效方案。

5）華為移動安全解決方案

挑戰：移動互聯網化正以不可阻擋之勢改變著人們的工作方式，成為辦公手段的一個必要補充。我們可以利用更多的時間碎片收發電郵、發掘銷售機會點，將企業的信息化管理推向前端，使客戶的界面變得更扁平化，提升決策效率和響應速度。

移動終端辦公使得企業辦公環境邊界進一步延伸。企業用戶可以在同一臺移動終端上處理工作，或者下載游戲等個人應用，個人應用和企業應用的界限越來越模糊。同時，移動辦公也帶來新的問題。開放、智能的移動平臺使移動終端成為了新的安全缺口，容易引入惡意代碼植入、個人應用和企業應用混合、數據泄密、多平臺的異構管理等，這些問題給企業IT管理帶來極大挑戰。

基于傳統PC的安全策略和管理技術很難移植到移動設備，特別是非公司所擁有和管理的員工個人設備。企業必須建立針對個人設備的戰略，包括策略的定義和新的管理方法。

移動終端通過網頁瀏覽、下載應用、收發郵件等方式訪問公司信息時，完全處于無保護狀態。移動終端智能化使應用程序更容易遭受惡意攻擊。由于Root權限濫用和黑客技術的應用，移動終端成為新的孕育安全風險的溫床。

如何簡單、快捷地將企業的應用移植到千差萬別的移動終端上，避免復雜的自開發帶來的高成本，快速實現價值，以及幫助企業IT部門應對復雜的移動環境已成為一大挑戰。

由于移動終端體積小，極易丟失或被盜竊。移動終端丟失不但意味著敏感商業信息的泄漏和丟失，而且可能給企業帶來法規遵從的風險。

針對當前移動辦公的需求、特點和挑戰，華為提供了AnyOffice解決方案。

針對企業員工個人需求和企業策略遵從之間的矛盾，華為提供有效的平衡方案，使得員工在設備選擇上擁有更大的個性化自由，在任何時候、任何場所，使用任何設備便捷地訪問公司內網，運行企業應用，并確保安全策略不妥協。

華為移動安全解決方案中融合了AnyOffice客戶端、AnyOffice管理平臺（包括SMSC AE）、數據庫以及網絡連接所必須的防火墻等設備，實現統一的網絡接入控制、全面的數據安全和威脅防護、基于生命周期的移動設備管理，如圖1所示：

統一的網絡接入控制：在終端認證授權方面，AnyOffice解決方案充分考慮了移動辦公的特點，除傳統的認證方式外，還提供了移動終端硬件特征綁定的手段，既安全又便于用戶操作。同時，基于企業用戶的不同角色和設備歸屬精細地控制用戶訪問企業內網資源的不同權限。

全面的數據安全和威脅防護：在鏈路安全方面，AnyOffice可提供高強度加密傳輸，保證數據隱密性安全，防止數據的惡意嗅探和篡改。在數據保護方面，AnyOffice客戶端開創性的通過沙箱技術，在同一臺移動設備上創建了一個個人與企業分離的安全地帶，輕松解決了個人和企業之間因應用和數據混合帶來的數據泄密和病毒感染等風險，在個人需求和企業策略強制的沖突中實現平衡。

圖1 移動解決方案

基于生命周期的移動設備管理：支持各主流移動終端的各項通用EMM（enterprise mobile management）功能，包括應用管理、資產管理、安全管控、數據管理和設備管理等。同時，從移動終端的獲取、部署、運行及回收4個生命周期環節提供了完善的策略和手段，確保每個環節都能順暢、安全地實施和開展。

構建助力“互聯網+”行動計劃的安全運營體系

1）全球安全智能中心

華為為了支撐全連接的安全戰略，構筑了世界級安全智能中心（見圖2），提供全球化安全運營和維護能力，包括信譽查詢、知識庫升級、維護、應急響應等服務。

信譽查詢和知識庫升級，背后是華為擁有并不斷更新的安全大數據積累。其中惡意代碼智能分析依靠大數據安全平臺和云端沙箱，具備被動掃描技術的威脅跟蹤能力和IP/Web/Mail/File鏈式信譽計算能力；華為強大的知識庫包Web分類庫、Web信譽庫、IPS簽名庫、惡意軟件特征庫、病毒特征庫等深厚的安全積累。

華為專業研究團隊分布在深圳、北京、杭州和印度班加羅爾，1000多名資深安全專家在研發、交付、維保中為客戶提供可靠的安全產品和服務；華為的安全響應中心可在一周內進行新的樣本分析和業務識別，可提小于24 h的應急響應，以及7X24 h的信譽查詢服務。

2）安全生態

在“互聯網+”的背景之下，安全越來越走向開放合作，安全產業的眾多成員聯合起來共同抵御網絡犯罪。華為長期與合作伙伴深度聯合，共同提供完善的安全產品和服務，踐行“互聯互通、共享共治、構建網絡空間命運共同體”的理念。

開放的BYOD生態：華為BYOD解決方案聯盟致力于構建開放、共贏BYOD生態聯盟系統，成員包括了集成商、ISV、電信網絡運營企業、應用開發團隊、咨詢公司等。華為在BYOD領域聚焦其擅長的移動辦公安全平臺，為企業客戶、合作伙伴、創業團隊提供AnyOffice基礎平臺，上層行業應用則由更多的合作伙伴以及創業團隊提供，從而形成完整的移動辦公解決方案生態鏈。

全球化的云清聯盟：“云清”的含義是基于云端的流量清洗方案，聯盟的含義是旨在將全球MSSP服務提供商和IDC服務提供商的資源進行整合，構成一個云端的“DDoS防御生態系統”，統一的管理和調度，在上游更加徹底解決大流量DDoS攻擊問題，主要面向的客戶群體為政府、運營商、企業等。華為建立的云清聯盟是業界第1個旨在解決全球范圍大規模DDoS攻擊的聯盟組織，通過有效整合所有合作伙伴的數十個清洗中心的清洗能力，提供超過2T的清洗帶寬，具有近源清洗、節約資源、開放擴展等特點，是針對DDoS攻擊防御的多方受益的創新商業模式。

深度的安全大數據合作：威脅情報是大數據安全能力的輸入，威脅情報的種類廣泛，包含信譽庫、特征庫、日志、告警、惡意文件樣本等等，威脅情報的共享，有利于安全產業及時發現威脅、分析威脅，從而對威脅進行及時防護，對安全生態有重要的意義。華為通過與政府機構、高校科研院所、安全廠商、運營商建立合作關系，共享威脅情報，共同使用大數據平臺進行分析檢測，共同抵御網絡攻擊和威脅。華為同時倡議安全產業各廠商、組織、團體加強安全大數據合作，助力“互聯網+”行動計劃的穩步推進。

無所不在的網絡正在改變人們的生活方式。這場革命帶來了很多機會，但也對全球安全提出了新的挑戰。面對如此復雜的要求和風險，華為制定了端到端的網絡安全保障體系。業界客戶可以通過系統地提問，以確保作出明智的決策。華為的端到端安全系統覆蓋11個關鍵維度。作為全球領先的ICT供應商，一直致力于確保數字化未來的安全。為了實現這一目標，必須在全球層面開展合作，攜手創建一個更美好的全聯接世界。

圖2 智能中心結構

總 結

華為從防火墻起步，經過長期的努力，構筑了以安全大數據為中心覆蓋云管端的整體安全解決方案，以及覆蓋全球的安全運營能力。華為同時以開放合作的姿態，與安全產業廠商和組織、團體充分合作，共同打造和諧穩定的互聯網環境。華為的進步是中國經濟快速發展的一個窗口，華為安全的進步是中國“互聯網+”行動計劃之下的一個縮影，華為和中國其他ICT企業和安全廠商，依靠中國國力的強大后盾，一定能夠在未來取得更大的成績。

鳴謝：華為公司華為中國區政府事務部總經理劉耕先生、公共事業系統部劉學先生對本文提供支持。

崔傳楨
《信息安全研究》雜志執行主編，主要研究方向為國家戰略、財政金融管理與創新、網絡空間安全、戰略與管理創新。
cctz@vip.sina.com

“Internet +”Power: The Information Security and Strategic Layout of Huawei on the Basis of “Internet +” Background

Cui Chuanzhen