华为坚持做网络安全的“催化剂”和“粘合剂”

由中国网络安全产业联盟（CCIA）、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量 照见未来”为主题，邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间，从行业、技术、市场等多角度探讨网安相关话题，探究企业背后的创新力量和安全实力。

如今，众多企业选择加速数字化转型以增强自身的敏捷性和韧性，来应对复杂多变的市场环境。

随着企业各类业务加速“触网”，如何在日益严峻复杂的网络安全环境下筑牢安全底座，为数字化转型战略的成功实施提供可靠的安全保障，是整个产业界需要研究和解决的严峻问题。

华为数据通信产品线安全产品领域总裁马烨做客“解码2022中国网安强星”直播间，与大家分享了关于构建网络安全体系的最新观点。

打不垮、穿不透

夯实数字化转型安全底座

马烨介绍，2000年，华为便成立了安全产品线，是最早布局网络安领域的企业之一。

如今，华为已在全球设立了6个网络安全创新实验室，研发团队人数达到2500人。

目前，华为已经具备3000多个涉及安全领域的芯片、AI等专利技术。

正是通过对根技术的不断创新和持续投入，使得华为安全系列产品和解决方案构筑起既高且厚的竞争壁垒。

产品方面，主要包含云网边端四个方向的产品，比如防火墙、入侵防御、Anti-DDoS、安全态势感知以及主要面向政企客户的安全云服务产品。

2021-2022年，华为防火墙蝉联Gartnter客户之选全球第一名，是国内唯一两次入选NSS Lab推荐级的安全产品，并且在Forrester评测中，华为安全首次评即获得国内唯一“卓越表现者”，连续9年进入著名分析师机构Gartner魔力象限，也是国内唯一一家连续5年入选的厂商。

此外，对于安全大脑的核心，华为态势感知系统是2022年国内唯一入选 Gartner安全信息和事件管理魔力象限的产品。

解决方案层面，华为HiSec实现了从针对威胁的防御到面向业务确定性保障的思路演进。

基于内生可信、威胁检测分析算法、自动化管理与风险评估等根技术，HiSec从系统内生安全、威胁防御、运营管理流程三个维度构筑韧性技术架构，确保守住系统安全底线。

华为HiSec安全解决方案不仅得到了诸多全球TOP客户的认可，在国内外权威的机构测评中也多次荣获奖项。

另外，华为还孵化了很多面向垂直领域的安全解决方案。比如电子政务外网的检测平台、数据安全解决方案，还有针对关键信息技术设施的安全解决方案，以及面向未来IPv6+的安全解决方案，同时也包含了基于网络安全基础的等保解决方案。

目前为止，HiSec安全解决方案已经广泛部署在了全球TOP企业之中，涵盖政府、金融、能源、交通等各个细分行业。

2

大痛点、阻转型

网络安全需要一体化设计

数字时代下，网络安全进入了攻击复杂化、漏洞产业化、重保常态化等新常态。为应对数字世界新挑战，网络安全防护需要新的理论思考和方法。

对于网络安全正在呈现的新趋势，马烨表示，伴随数字化转型进程的深入，各大企业、事业单位、政府机构、国家机关等都逐步将业务系统迁移至云端。

云服务模式的深化应用、细分领域和场景的安全实践，都推动了网络安全市场需求水涨船高。

混合多云、云原生、AI、IoT等新技术，更是催生了更细化的安全场景和更丰富的安全需求。

近几年，国家陆续出台了《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规，对企业数据安全提出了更高要求。

马烨认为，目前有五大痛点正在阻碍企业的数字化转型步伐。

首先，数字化将原来的企业安全防护边界完全打破，传统安全架构已经无法匹配未来的数字化和云化发展诉求。

网络安全建设需要和业务同步规划、同步建设、同步运维，对于任何企业而言，都需要将安全这一重要因素考虑进顶层架构设计之中。

在完成架构设计之后，安全体系要与整个业务规划进行融合，要匹配业务未来长期发展。

这就需要梳理业务所在的垂直领域和行业，并根据自身的业务流整合出数据流，从而通过数据流来洞察企业在网络安全方面的薄弱点，再依靠企业的治理制度、业务流程、安全技术消除安全薄弱环节。

第二，当前网络安全的每个细分领域，以及安全厂商、安全产品都呈现碎片化的状态，在同等安全技术标准下，由防火墙、入侵防御、抗DDoS攻击等各类安全组件搭建的安全系统，其防护能力却不尽相同，但怎样的系统才是真正安全的系统，并没有一个明确的定义。

另外，像串联、旁挂等多元部署形式，让安全设备之间无法形成联动与合力，导致网络安全建设较为松散，无法形成统一的安全体系。

第三，虽然网络安全体系很多时候可能满足了合规的要求，但并没有真正将网络安全产品和解决方案的实际效果发挥出来。

很多企业在网络安全体系第一期建设完以后，并没有根据最新的漏洞，对特征库进行实时刷新和升级，导致网络安全缺乏时效性。

这里面会涉及到解决方案灵活性的问题，即能否支持这种随时动态的刷新。

第四，网络安全设备本身是否足够安全也是一个问题。

目前很多攻击往往都是利用了网络安全设备的漏洞，导致设备本身不够安全可信，最终造成整个网络被击穿。

《网络安全法》对守护网络安全防线、构建安全可信网络体系提出了更高要求，其中也明确提出要应用安全可信的网络产品和服务。

第五，网络安全在企业中的角色仍未被有效重视。

目前很多企业虽然购买了很多安全设备，但安全体系牵涉环节众多，企业在网络安全方面缺乏足够的人员配备，导致有限的运维人员在面对大量安全报警时捉襟见肘。

如何解决安全运维中的服务痛点也是企业必须考虑的问题。

马烨表示，安全本身是一个跨学科的领域，现在仍不能从业务生命周期中剥离出来，安全也并不是单纯由技术驱动。

因此，开发者、运营商和安全人员需要彼此配合，安全体系的一体化设计和构建需要聚合多方力量共同探索。

3

正向建、反向查

构建一张具备韧性的安全网

要做到“绝对安全”是不可能的，但要构建一个安全可信、充满韧性的网络安全，从而提高安全防护壁垒、提升攻击成本，将安全风险降到最低却是可能的。

想完成这一目标，就需要安全防御从尽力而为向确定性安全迈进，准确地说是面向确定性业务的韧性保障。

对此，马烨给出了华为在网络安全体系建设方面的基本思路——“正向建、反向查”。

正向建

首先构建安全可信的网络基础设施，通过供应链可信、硬件可信和软件可信，构建ICT基础设施的“可信基座”。

其次，网络层通过IPv6+和路由协议等安全技术，将不确定的IP网络变成确定性网络，避免路由被劫持和不符合预期的流量，确保“网络可信”。

第三，应用层构建可信任身份，基于数字身份和信任评估框架，构建持续的信任评估机制，加强设备、人员入网可信身份验证和对数据的合法访问，确保“身份可信”，以上三个层面搭建起安全可信的网络体系架构。

反向查

首先要在云网边端全域进行监测，对未知漏洞、病毒、缺陷、攻击进行实时检查，从而保证网络的基本防御能力。

无论是在云端、网络侧，还是在边缘侧的安全网关，或者端上的EDR，共同组成了一套完整的方案。

其次，未来的威胁防御是算力之间的对抗，因此需要构建威胁检测和分析的算力支撑，利用AI技术与之进行对抗。

通过智能防御，基于AI的威胁关联检测、云地联邦学习，大幅提升威胁检出率和处置风险的能力。

第三，构建一体安全。安全不应该是割裂的，应该和广域网络、城域网络、园区网络、数据中心网络等紧密连接，形成联动机制，以云网端协同防护，提升网络韧性。

不难看出，“正向建”是一种内生安全，以可信视角打造信任体系，降低系统内部不确定性。

“反向查”以技术升级构建威胁防御体系，消减外部威胁带来的安全不确定性。

一方面，深挖地基、构建更有韧性的安全架构；另一方面，通过自动化、AI等多种技术手段，建立立体化防护体系抵御来犯之敌。

对于企业而言，基于“正向建、反向查”的安全体系，将从内到外构建出一张可信、安全、充满韧性的网络，进一步增强安全确定性。

4

补短板、见实效

建立最广泛的安全合作阵线

对于一些企业而言，可能已经有比较完备的安全产品配置，但还有一些安全防线没有建好，那么是把已经构建好的网络安全体系抛弃掉进行重建，还是在现有基础上进行联动？

马烨表示，华为会根据政企客户诉求帮助他们梳理业务流，包括管理流程、业务流程、数据部署、潜在威胁、防护痛点等，和企业共同构建场景化的安全解决方案。

比如，医院在等保的基础上，可能需要大型医疗设备远程运维方案；高校关注较多的是防挂靠、防勒索；智能制造需要IT和OT等整合性更高的安全方案。

对于不同场景，应在安全防护基础方案之上，叠加政企客户所在行业的垂直领域方案，从而组成一个面向业务的整体方案。

针对中大型企业，华为会在网络安全建设初期与企业共同做安全规划，帮助其进行顶层架构设计。

由于网络安全体系建设不是一蹴而就，也无法一劳永逸，很多时候需要分期进行投入和建设。

对此，马烨表示，网络安全一定要与业务同步规划，要在业务体系建设起来的时候，同步考虑网络安全建设。

其次，企业在设计安全架构时，要根据自身未来发展留出余量，从而可以根据业务变化进行灵活的扩容。

比如可以选用一些弹性能力较强的安全设备，而不是把单个设备进行叠加。

对于中小企业，更需要专业的安全运维能力。对此，华为推出了网安一体的乾坤安全云服务解决方案。

相比传统网络安全方案，华为乾坤云服务只需要在分支部署一台硬件，通过云服务即订即用，开通快、升级快、威胁处置快，解决了大部分企业对于安全服务化的诉求。

马烨指出，网络安全领域覆盖的技术门类众多，产品体系宽度相对较宽，无法依靠单一产品构建完整的安全体系，每家安全厂商也无法独自完成所有安全细分领域的产品和解决方案，而是需要众多安全厂商发挥各自技术优势，共同构建网络安全解决方案。

如果想要构建一个面向未来的安全解决方案，除了要具备基础的软硬件，还需要基础大数据平台以及互联互通的标准接口。

因此，华为不断参与一些行业标准的开发和制定，从而保证其安全解决方案具备更好的兼容性。

同时，这也是华为推动安全商业联盟成立的初衷。

2018年，华为倡议并牵头成立“华为安全商业联盟”，联盟基于华为HiSec安全解决方案，深度整合联盟伙伴在细分领域的领先产品，实现网络、应用和终端之间的协同联动，为客户提供更具防护实效的安全解决方案。

目前，华为安全商业联盟共有17家合作伙伴，共同为企业搭建面向未来的网络安全体系。

结语

物理世界的安全体系已经形成，但数字世界的体系却落后于时代发展。筑牢数字世界安全底座需要各方共同努力。

面向万物互联的智能世界，华为坚持做网络安全的“催化剂”和“粘合剂”，通过夯实技术基础，凝聚各方力量，共同打造场景化安全解决方案，为千行百业的数字化转型保驾护航。