□ 崔傳楨

?

助力“互聯(lián)網(wǎng)+”行動：解讀華為的網(wǎng)絡安全
—— 基于“互聯(lián)網(wǎng)＋”行動背景下的華為公司信息安全及戰(zhàn)略布局

□ 崔傳楨

華為積極響應我國網(wǎng)絡空間安全國家戰(zhàn)略，助力“互聯(lián)網(wǎng)+”行動。華為在16年前布局信息安全，至今厚積薄發(fā)，成為中國移動、中國電信骨干網(wǎng)絡部署防火墻設備數(shù)量最多的廠商，并成功為上海政務外網(wǎng)等政府項目提供安全服務。華為的信息安全戰(zhàn)略是：通過提供泛在的安全產品和整體的深度防御，以及可靠的安全服務運營體系，為用戶構建安全的全連接世界。為此，華為常年來投入巨額研發(fā)資金，以安全大數(shù)據(jù)能力為中心，構建了涵蓋云-管-端的一體化安全解決方案以及完善的安全服務運營體系。

為進一步了解華為技術有限公司的信息安全戰(zhàn)略，以及如何助力國家“互聯(lián)網(wǎng)+”行動計劃，本刊近期走進華為技術有限公司，深入探究華為技術有限公司的信息網(wǎng)絡安全及戰(zhàn)略布局。

華為積極響應中央戰(zhàn)略，參與”互聯(lián)網(wǎng)+”行動計劃

2016年4月19日，習近平總書記在京主持召開網(wǎng)絡安全和信息化工作座談會并發(fā)表重要講話。習近平指出，在中國“互聯(lián)網(wǎng)+”行動計劃之下，要著力推動互聯(lián)網(wǎng)和實體經(jīng)濟深度融合發(fā)展，建設網(wǎng)絡良好生態(tài)，依法加強網(wǎng)絡空間治理，同時要把更多人力物力投向核心技術研發(fā)。習近平強調，網(wǎng)絡安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。要樹立正確的網(wǎng)絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網(wǎng)絡安全態(tài)勢，增強網(wǎng)絡安全防御能力和威懾能力。網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民，維護網(wǎng)絡安全是全社會共同責任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡安全防線。

華為技術有限公司（文中簡稱“華為”）CEO任正非先生出席了此次座談會，與參會人員就實現(xiàn)信息化發(fā)展新跨越、加快構建信息領域核心技術體系、加強網(wǎng)絡信息安全技術能力、建設頂層設計等議題提出了意見和建議。華為將網(wǎng)絡安全保障作為公司的重要工作，與政府、客戶及行業(yè)伙伴以開放加快全球網(wǎng)絡基礎設施建設，促進互聯(lián)互通，有利于加強經(jīng)濟文化交流，共享發(fā)展機遇。習近平主席同時強調：“安全和發(fā)展是一體之兩翼、驅動之雙輪”，“網(wǎng)絡監(jiān)聽、網(wǎng)絡攻擊、網(wǎng)絡恐怖主義活動已成為“全球公害”，各國應該共同遏制信息技術濫用，反對網(wǎng)絡監(jiān)聽和網(wǎng)絡攻擊，保護互聯(lián)網(wǎng)的安全?！被ヂ?lián)網(wǎng)的安全保障，是“互聯(lián)網(wǎng)+”行動計劃順利推進的前提。華為打造了云-管-端一體化的安全產品和解決方案，擁有一支超過1000名安全專家的隊伍和全球的安全服務運營體系，以開放合作的態(tài)度，希望與安全產業(yè)共同協(xié)作，助力“互聯(lián)網(wǎng)+”行動計劃的落地和實施，真正實現(xiàn)網(wǎng)絡互聯(lián)互通、共享共治、構建網(wǎng)絡空間命運共同體。

華為信息安全之路：厚積薄發(fā)、艱苦奮斗、客戶為中心

2016年3月，美國RSA大會期間，華為獲得全球最權威的第三方信息安全評測機構NSS實驗室所頒發(fā)的NGFW下一代防火墻“推薦級”。 NSS實驗室的推薦級，只有頂級的技術產品才有資格獲得。這表明華為防火墻通過了獨立的第三方驗證，達到業(yè)界一流水平。提到華為安全，大家首先想到的可能就是防火墻了。獲得國際專業(yè)機構的殊榮，正是這些年來華為安全產品所取得成績的一個縮影。近20年來，在安全產品領域，華為圍繞網(wǎng)絡層的硬件安全產品，逐步拓展建立起完善的軟件、服務體系，并已逐步覆蓋企業(yè)網(wǎng)絡與數(shù)據(jù)中心安全、云安全、終端安全、網(wǎng)絡安全、應用安全、安全管理和安全服務等多個業(yè)務領域。

1）厚積薄發(fā)

華為安全團隊最早可以追溯到2000年初，當時華為已經(jīng)是電信制造業(yè)的佼佼者，主要服務的客戶是全球運營商?？蛻粼谫徺I路由器等傳統(tǒng)數(shù)通產品的同時，對骨干網(wǎng)絡的傳輸安全加密產生大量需求，同時由于IPv4地址開始耗盡，大規(guī)模NAT地址轉換也成為剛需。華為安全業(yè)務團隊基于VRP平臺，開始研發(fā)硬件安全網(wǎng)關，首先提供給大型運營商，并沒有奢求開始就鋪開產品系列。由于并不服務于電信之外的其他用戶，這種聚焦的戰(zhàn)略在幾和透明的方式，共同應對安全方面的挑戰(zhàn)，共同構筑“互聯(lián)網(wǎng)+”的安全屏障。

李克強總理在2015年兩會政府工作報告中提出：制定“互聯(lián)網(wǎng)+”行動計劃，推動移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等與現(xiàn)代制造業(yè)結合，促進電子商務、工業(yè)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)金融健康。”“互聯(lián)網(wǎng)+”正式成為國家戰(zhàn)略。

華為作為一家中國本土企業(yè)，全球每天超過20億人使用華為的設備通信，在150多個國家擁有500個客戶，70%營收來自海外。

2015年1月4日，國務院總理李克強視察華為深圳總部，在任正非的陪同下參觀了華為展廳。聽完任正非的工作匯報，李克強總理對華為在全球取得的成績表示贊許，并稱“華為大有作為”。

“互聯(lián)網(wǎng)+”的本質是傳統(tǒng)產業(yè)的在線化、數(shù)據(jù)化，人、商品、交易行為遷移到互聯(lián)網(wǎng)上，在產業(yè)上下游、協(xié)作主體之間以最低的成本流動和交換，最大限度地發(fā)揮數(shù)據(jù)的價值?！盎ヂ?lián)網(wǎng)+”的過程，是傳統(tǒng)產業(yè)轉型升級的過程。 “互聯(lián)網(wǎng)+”帶來了積極的影響，開放的網(wǎng)絡連接端到端的產業(yè)鏈，13億人口連接百億的機器，推動生產生活更加便利，促進國家經(jīng)濟快速發(fā)展。

互聯(lián)網(wǎng)以驚人的速度在發(fā)展，給人們帶來巨大利益的同時，網(wǎng)絡犯罪也在以驚人速度增加，破壞性也從虛擬世界擴展到真實世界。近年來，大量的網(wǎng)絡安全事件逐漸引發(fā)全球關注：斯諾登事件引起多個國家的外交關系異常；烏克蘭電網(wǎng)被攻擊造成70萬人在圣誕節(jié)前夕斷電；東南亞政府和印度政府遭到間諜組織常年的網(wǎng)絡滲透……。網(wǎng)絡犯罪日益猖獗地深入到世界的每一個角落，對政治和經(jīng)濟都造成嚴重影響，甚至形成了地下黑色產業(yè)鏈。

網(wǎng)絡犯罪的攻擊面和攻擊方式在持續(xù)增長，網(wǎng)絡犯罪分子越來越熟練地進行無法探測的訪問，并成為IT環(huán)境中一個持續(xù)、低調、長期的存在。攻擊無孔不入，無處不在；攻擊造成的破壞性越來越大，破壞時間越來越短。

2015年底烏鎮(zhèn)第二屆全球互聯(lián)網(wǎng)大會上，習近平主席提出了“互聯(lián)互通、共享共治，構建網(wǎng)絡空間命運共同體”這一重要主張，呼吁各國年之后其技術優(yōu)勢開始顯現(xiàn)。2004年，華為研發(fā)出基于NP的防火墻，2008年又首次推出萬兆分布式防火墻。后來，華為和業(yè)界知名安全公司賽門鐵克成立了華為賽門鐵克合資公司，進一步引入了賽門鐵克的安全技術，并逐漸走向國際市場和覆蓋除了電信用戶外的企業(yè)用戶。2012年，華為又發(fā)布了業(yè)界首款T級性能的高端防火墻。通過技術上的不斷突破，滿足了在大數(shù)據(jù)、云計算發(fā)展的大背景下，電信為主的用戶流量爆發(fā)增長對安全防護的高要求。

正是由于這種厚積薄發(fā)，目前，華為成為在中國移動、中國電信骨干網(wǎng)絡部署防火墻設備數(shù)量最多的廠商。截至目前，每年發(fā)貨的硬件設備超過10萬臺套，成為第1個進入Gartner咨詢公司防火墻魔術象限報告的中國廠商，服務超過70個國家的用戶。

2）艱苦奮斗

華為安全業(yè)務創(chuàng)立初期，深受公司整體艱苦奮斗的企業(yè)文化影響，奉行“墊子文化”。即在項目周期緊張、客戶交割的時刻，為了保障產品的按時交付和業(yè)務順利上線，項目組的研發(fā)和市場人員通宵達旦地工作，累了就在工位下面放一個床墊子，躺下休息一會再爬起來繼續(xù)工作。因為他們清醒地認識到，整個信息產業(yè)都在逐漸轉變?yōu)榈兔?guī)模的傳統(tǒng)產業(yè)，用于電子工業(yè)的生存原料是取之不盡的河沙、軟件代碼、數(shù)學邏輯。因此，讓華為人始終保有危機感。后退就意味著消亡，要想在這個產業(yè)中生存，只有不斷創(chuàng)新和艱苦奮斗才能不被淘汰。雖然現(xiàn)在的墊子已經(jīng)用于午休，但創(chuàng)業(yè)初期形成的“墊子文化”承載了華為人奮斗和拼搏的精神，時至今日仍然是持續(xù)傳承的精神財富。

在經(jīng)營海外市場中，競爭對手是來自全球各個發(fā)達國家地區(qū)世界級的安全企業(yè)，他們擁有幾十年的商業(yè)底蘊積累、雄厚的資金保障、全球知名的品牌、世界一流的專業(yè)團隊，以及深厚的市場地位和客戶基礎。面對如此高超的技術和市場壁壘，華為的安全團隊沒有多少經(jīng)驗可以借鑒，只有經(jīng)過千辛萬苦，一點一點地爭取到訂單和邊緣市場，然后把收入又拿出來繼續(xù)投入到研發(fā)上，在摸爬滾打中積累經(jīng)驗。正是靠這種“不拋棄、不放棄”的艱苦奮斗精神 ，才使得今天華為安全市場逐步在全球打開了局面，海外銷售收入占比能夠達到總收入的一半。

3）客戶為中心

對于企業(yè)來說，硬實力相當于冰山上的一角，而水下的部分雖然看不見卻更重要，那就是企業(yè)的文化和核心價值觀。除艱苦奮斗外，以客戶為中心正是華為的核心文化和競爭力。開展企業(yè)客戶業(yè)務后，各種行業(yè)客戶的需求紛至沓來。華為內部有強大的平臺支撐分析客戶訴求，業(yè)務線始終站在客戶的立場上比客戶多想一步，而不是一味地追求華為利益的最大化。舉例來說，前兩年各地政務網(wǎng)絡紛紛建立自己的數(shù)據(jù)中心和專網(wǎng)，用戶在出口需要部署安全網(wǎng)關來保證政務網(wǎng)的穩(wěn)定運行。由于國內信息安全廠商品牌眾多，有的設備做地址轉換，有的做4～7層的安全防護，有的做入侵檢測，網(wǎng)絡非常復雜，而沒有一家可以將這些安全功能整合起來。華為經(jīng)過調研分析，認為完全可以把各種安全業(yè)務多合一，替換掉原有性能不足的老舊設備，同時也不用做大的投資購買多臺設備。近年來，網(wǎng)絡攻擊也發(fā)生了變化，以高級可持續(xù)性攻擊APT攻擊為代表的未知威脅對敏感信息的精準竊取給政府和企業(yè)聲譽帶來了不可估量的損失。這種威脅易攻難守。華為安全業(yè)務團隊組建了獨立的研發(fā)團隊，并聘請歐洲研究所的專家，不惜犧牲短期的虧損向此領域投資。正是這種以客戶為中心的理念，支撐華為安全業(yè)務團隊始終能站在客戶需求前面，給客戶帶來最新的解決方案。

華為全球信息安全情況和國內市場案例

作為全球領先的信息與通信解決方案供應商，華為始終保持在網(wǎng)絡安全領域的耕耘投入和建設。2013年，華為安全推出下一代防火墻產品；2014年，USG9500高端防火墻系列獲得了NSS實驗室的最快防火墻評價；2016年，USG6000中低端下一代防火墻獲得安全業(yè)界國際最高水平的CC EAL4+認證、NSS實驗室推薦級評價以及ICSA實驗室 IPSec和SSLTLS雙認證。

通用準則(common criteria，CC)及評估保證級別 (evaluation assurance level, EAL）等級，主要用于評估IT產品或解決方案的安全性、可靠性以及對信息隱私的保護，是目前公認的全球標準。政府和機構在建設IT解決方案時，CC認證可作為產品安全性評估的重要依據(jù)。在CC認證的評估過程中，會對產品的安全性、脆弱性等各方面進行針對性的評估和測試。作為目前網(wǎng)絡產品可獲得的最高評級，EAL4+級的評估程序更為嚴謹，甚至包括產品的代碼審視。在防火墻產品領域，華為是國內首家也是目前唯一通過CC EAL4+級評估的廠商，表明華為下一代防火墻的安全穩(wěn)定性已經(jīng)達到國際領先水平。

NSS實驗室是業(yè)界公認的獨立安全產品測評與研究領域領先者，在安全領域內擁有無可置疑的權威性。因其獨立性和先進的測試方法，被全球的企業(yè)和組織廣泛認可。本次NGFW測評，NSS 實驗室采用了最新的測試方法學V6.0標準，引入了網(wǎng)絡高級告警系統(tǒng)（cyber advanced warning system, CAWS）現(xiàn)網(wǎng)測試環(huán)節(jié)，用于評估產品對最新威脅的防護能力。RSA2016大會上，華為宣布防火墻產品在最新的NSS實驗室下一代防火墻（next generation firewall, NGFW）評測中表現(xiàn)出色，獲得最高的“推薦級”評價。本次NGFW群組測評囊括了13個業(yè)界領先安全廠商的產品。NSS實驗室的推薦級只有頂級的技術產品才有資格獲得。這表明華為防火墻通過了獨立的第三方驗證，達到業(yè)界一流水平。華為USG6650下一代防火墻100%通過了“防火墻策略”、“應用控制”、“防躲避”、“穩(wěn)定性與可靠性”測試。在安全有效性方面表現(xiàn)出色，CAWS威脅檢測率達到99.95%，綜合安全有效性達到98.1%。

ICSA(International Computer Security Association) 實驗室是業(yè)界知名的第三方安全產品測試和認證機構。20多年來，ICSA為許多世界頂級的安全產品開發(fā)商和服務商提供兼容性、可靠性、性能測試和認證，其客觀公正的測試方法及認證標準贏得了各大企業(yè)的信任。華為下一代防火墻已經(jīng)累計通過4項ICSA認證，獲得一次大獎。第1次是獲得ICSA Firewall和 IPS雙認證；第2次是于2015年RSA大會現(xiàn)場獲ICSA“10年EIST卓越信息安全測試大獎”；第3次就是2016年獲得的IPSec和SSL-TLS雙認證。每次提交認證的設備最終都會被保留在ICSA實驗室中繼續(xù)進行長期穩(wěn)定性測試，累計一年多的測試，華為下一代防火墻贏得了好的口碑。ICSA實驗室負責人Brian MonkMan對此深有感觸：”ICSA實驗室嚴格的測試標準確保我們的客戶的解決方案滿足其用戶的高標準要求。華為的持續(xù)測試表明其在質量保障流程方面的承諾?！?/p>

據(jù)IDC發(fā)布的《中國IT安全硬件市場2015—2019預測與分析（2014 年下半年）》報告顯示：華為在中國防火墻市場以18.9%的市場份額排在第1位。在安全硬件市場占比總和超過6成的防火墻和統(tǒng)一威脅管理（united threat management，UTM) 2個領域，2014年市場占有率之和繼續(xù)保持第一。自2014年底起，華為抓住了“安全產品國產化”的市場機會，在中國的行業(yè)市場持續(xù)發(fā)力，貼近客戶的業(yè)務需求，推出系列場景化的解決方案。例如：在金融市場，圍繞數(shù)據(jù)中心建設，推出了數(shù)據(jù)中心安全解決方案；在運營商市場，持續(xù)入圍電信及移動集采項目，并取得較高份額；在中小企業(yè)市場，大力發(fā)展渠道，與廣大渠道伙伴一起共同為行業(yè)及商業(yè)市場客戶服務。據(jù)IDC發(fā)布的《中國IT安全硬件市場2015上半年》報告顯示：華為在中國防火墻+UTM硬件市場中排名第一，尤其在企業(yè)級市場中表現(xiàn)搶眼。2015年上半年，中國區(qū)總體安全業(yè)務營收同比增長63.7%，已經(jīng)逐步成為中國IT安全市場的領軍廠商。目前中國區(qū)數(shù)通（含安全）產品的渠道商已超過160家，華為認證網(wǎng)絡安全工程師超過700人。

華為安全產品服務于全球10萬多企業(yè)客戶，遍布北美、歐洲、拉美、非洲、亞太等各個區(qū)域，在互聯(lián)網(wǎng)、金融、教育、政府、能源、大企業(yè)等行業(yè)得到普遍應用，尤其在保障政務和高校的網(wǎng)絡業(yè)務順利開展上作出巨大貢獻。

上海電子政務的信息化建設一直處于全國領先的地位，政務外網(wǎng)承擔著協(xié)同辦公、政務公開、互動服務的職責，是政務協(xié)作的平臺、政務公開的窗口。經(jīng)過3個5年計劃的發(fā)展，上海政務外網(wǎng)已匯集市委、市政府、市人大、市政協(xié)等單位，并覆蓋到包括市級各委辦局、管委會及其直屬單位等在內的1200多家市級單位；匯接17個區(qū)縣政務外網(wǎng)，涵蓋區(qū)縣內各委辦局、鄉(xiāng)鎮(zhèn)及街道辦事處，并延伸到居委會、村委會和社區(qū)中心，電腦終端8萬多臺，同時負責統(tǒng)一落實政務外網(wǎng)安全防護體系架構及互聯(lián)網(wǎng)統(tǒng)一出口建設。網(wǎng)絡規(guī)模大而又責任重大。上海政務外網(wǎng)出口改造，主攻出口統(tǒng)一安全網(wǎng)關的建設。通過深入了解客戶需求日漸清晰，華為推出了高可靠、高并發(fā)、高安全、高可擴展的安全解決方案。

可靠性對政務外網(wǎng)來說是絕對的制高點。設備的可靠性決定了網(wǎng)絡的可靠程度，任何一個節(jié)點的故障，都可能導致政務外網(wǎng)業(yè)務中斷、接入單位使用體驗差。華為的USG9500高端防火墻通過電信級硬件平臺、關鍵器件冗余、板間備份、雙機熱備、雙站點備份等一系列可靠性手段，能夠最大限度保障政務外網(wǎng)的穩(wěn)定正常運行。

1200家單位、8萬終端的互聯(lián)網(wǎng)流量匯聚，為互聯(lián)網(wǎng)出口帶來巨大的并發(fā)壓力。一方面要盡可能滿足所有訪問需求，另一方面要避免造成網(wǎng)絡的性能瓶頸，使網(wǎng)絡質量變差。華為的USG9500高端防火墻提供優(yōu)異的處理性能，整機可達到480G處理能力，充分滿足政務外網(wǎng)當前和未來幾年的網(wǎng)絡發(fā)展需求。

作為出口安全網(wǎng)關，安全能力是基礎也是關鍵。電子政務網(wǎng)涉及到眾多政府敏感信息的交互?；ヂ?lián)網(wǎng)出口一方面要應對公網(wǎng)上無數(shù)的安全威脅；另一方面在內部多個委辦局的安全隔離、訪問控制上也需要有全面的考慮。

華為的USG9500高端防火墻具備強大的安全能力，除了傳統(tǒng)的防火墻、NAT、VPN能力，同時提供智能選路、流量管控、入侵防御、用戶管理、應用識別、內容審計、防DDOS攻擊等一系列應用層安全防護功能，并通過全球安全能力中心應對瞬息萬變的互聯(lián)網(wǎng)威脅。

政府信息化進程的不斷推進，要求任何當前建設都能滿足5年內網(wǎng)絡和用戶的擴容需求。在有效保護政府投資高利用率的同時，更關注網(wǎng)絡的穩(wěn)定可持續(xù)運行。華為的USG9500高端防火墻作為框式設備，能夠通過接口板、業(yè)務板的靈活配置，靈活滿足按需配置、動態(tài)擴容的可持續(xù)性需求。以USG9500的業(yè)務板來說，一塊單板最少可支持40G處理性能，最大支持160G性能，整機最大可擴展到480G容量，充分滿足上海政務外網(wǎng)未來5年的高強度要求。

華為的USG9500防火墻進駐上海政務外網(wǎng)，在張江、廣紀核心機房各署2套。USG 9500就如同盡職的門衛(wèi)，默默守護上海政務外網(wǎng)這張大網(wǎng)，為上海市1200多家委辦局單位的互聯(lián)網(wǎng)訪問保駕護航。

“晉城在線”是晉城市政府對外宣傳的主要信息窗口和晉城市人民獲取信息的重要渠道，同時也是政府與社會交流、方便市民辦事的公共信息平臺?！皶x城在線”集電子政務、新聞發(fā)布于一體，晉城市人民可以通過該平臺進行網(wǎng)上咨詢、網(wǎng)上互動、網(wǎng)上申請、查看網(wǎng)上審批進度等，形成了多功能多形式的政務網(wǎng)絡平臺?！皶x城在線”的日均點擊量達300萬次以上，在當?shù)鼐哂兄匾纳鐣匚缓陀绊懥Α?/p>

經(jīng)過嚴苛的實驗室測試和長達半年的現(xiàn)網(wǎng)考驗，華為USG9500 T級防火墻憑借高性能、高可靠、靈活擴展、精細流量管理、全面安全防護等出色的現(xiàn)網(wǎng)表現(xiàn)和極佳的用戶體驗，一舉贏得用戶青睞，成為晉城信息中心網(wǎng)絡出口防火墻更新?lián)Q代的最佳選擇。

華為USG9500 T級防火墻采用專用的多核處理芯片以及分布式硬件平臺，提供4000萬到9.6億的并發(fā)連接數(shù)，整機性能從40G可平滑擴展升級到1T吞吐量，可滿足“晉城在線”未來3～5年的業(yè)務發(fā)展需求；所有部件均采用全冗余技術，提供單機高于25年的平均無故障時間和運營商級99.999%可靠性，從而進一步保證高速網(wǎng)絡環(huán)境下的業(yè)務連續(xù)性；針對鏈路中可能出現(xiàn)的單點故障隱患，華為USG9500 T級防火墻采用雙主控主備倒換和鏈路捆綁等技術，提供小于1s故障倒換時間，確保業(yè)務持續(xù)穩(wěn)定運行。華為USG9500 T防火墻提供全面的安全防護能力，可以有效抵御黑客入侵，防范病毒、特洛伊木馬、蠕蟲等惡意軟件的傳播與擴散，通過云端實時升級特征庫，可以迅速檢測并阻斷最新的攻擊行為與未知威脅，為“晉城在線”業(yè)務提供全方位的安全防護。針對信息中心不同管理員的使用習慣，華為USG9500 T級防火墻提供多種運維管理方案，包括命令行配置、Web配置和網(wǎng)管配置，分級的用戶權限管理、操作日志管理、命令行在線幫助及命令注釋等功能，極大地簡化了操作，使得運維管理更加方便。

華為USG9500 T級防火墻上線部署一年以來，一直運行良好，穩(wěn)定可靠；在吞吐量和并發(fā)會話數(shù)等方面表現(xiàn)優(yōu)異，大幅提升“晉城在線”的訪問體驗；全面的安全防護功能，有效抵御木馬、蠕蟲和惡意軟件的侵襲，確保信息中心網(wǎng)絡業(yè)務安全穩(wěn)定運行。

此外，華為防火墻全力守護廣東省電子政務外網(wǎng)安全，助力廣州電子政務云安全建設。T級數(shù)據(jù)中心防火墻更是保障中國工商銀行380萬億在線業(yè)務安全。在華為安全產品和解決方案的幫助下，北大燕園實現(xiàn)公網(wǎng)加速以順利傳遞知識力量，上海交通大學校園網(wǎng)有了全方位安全防護盾。

隨著ICT變革的不斷深化，華為安全將為企業(yè)客戶提供云化、移動化的全網(wǎng)安全協(xié)同和主動威脅防御，致力于構建安全的全聯(lián)接網(wǎng)絡并打造并重點打造更加開放的生態(tài)系統(tǒng)。

基于“互聯(lián)網(wǎng)+”的華為信息安全戰(zhàn)略

在“互聯(lián)網(wǎng)+”背景下，為了應對日益增長的網(wǎng)絡威脅和犯罪，保障良好的網(wǎng)絡環(huán)境，安全產業(yè)的防護理念已經(jīng)從傳統(tǒng)的被動防御轉換為積極的主動防御。保護（protect）、檢測（detection）、響應（response）模型是體現(xiàn)主動安全防御思想的業(yè)界廣為認可的安全模型：保護就是采用一切可能的措施來保護網(wǎng)絡、系統(tǒng)以及信息的安全，常采用的技術及方法主要包括加密、認證、訪問控制、防火墻以及防病毒等；檢測可以了解和評估網(wǎng)絡和系統(tǒng)的安全狀態(tài)，為安全防護和安全響應提供依據(jù)，主要包括入侵檢測、漏洞檢測以及網(wǎng)絡掃描等技術；響應在安全模型中占有重要地位，是解決安全問題的最有效辦法，解決安全問題就是解決緊急響應和異常處理問題，建立應急響應機制，形成快速安全響應的能力，對網(wǎng)絡和系統(tǒng)而言至關重要。

為了助力“互聯(lián)網(wǎng)+”行動計劃的落地，與安全產業(yè)共同支撐“互連互通、共享共治、構建網(wǎng)絡空間命運共同體”，華為制定了全新的安全戰(zhàn)略：通過提供泛在的安全產品和整體的深度防御，以及可靠的安全服務運營體系，為用戶構建安全的全連接世界。

華為的信息安全戰(zhàn)略全面體現(xiàn)了保護、檢測、響應的安全理念。泛在的安全產品指云管端一體化，華為安全解決方案能夠完整覆蓋移動終端、分支、廣域網(wǎng)、園區(qū)和數(shù)據(jù)中心的防護，實現(xiàn)網(wǎng)絡和IT基礎設施端到端的保護；整體的深度防御指安全大數(shù)據(jù)檢測和分析，華為安全解決方案以安全大數(shù)據(jù)平臺為大腦，實現(xiàn)對復雜威脅的深度感知和檢測；可靠的安全服務運營體系指由資深安全專家構成的安全團隊、全球部署的安全智能中心，時刻為用戶提供應急處理和快速安全響應。

同時，華為作為世界500強以及ICT行業(yè)的領導者，堅守企業(yè)責任，在開放透明的合作、安全和隱私的法規(guī)遵從、國際認可的驗證、員工安全意識和責任的培養(yǎng)等多個方面著手，建立全面的網(wǎng)絡安全體系，保障客戶業(yè)務的穩(wěn)定、安全的運營以及用戶隱私的保護，讓人民能夠安全、便捷、平等地享用信息服務。

1）打造符合“互聯(lián)網(wǎng)+”需求的一體化安全解決方案

網(wǎng)絡安全的建設是一個系統(tǒng)工程，需要系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構架，并要時時兼顧組織內外不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構成威脅。木桶原理同樣適用于網(wǎng)絡安全，一個組織的網(wǎng)絡安全水平將由與網(wǎng)絡安全有關的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。數(shù)據(jù)資產的生命周期過程中包括產生、收集、加工、交換、存儲、檢索、存檔、銷毀等多個事件，表現(xiàn)形式和載體會發(fā)生各種變化，這些環(huán)節(jié)中的任何一個都可能影響整體網(wǎng)絡安全水平。要實現(xiàn)網(wǎng)絡安全目標，必須使構成安全防范體系這只“木桶”的所有木板都要達到一定的長度。

華為依托強大的技術研發(fā)積累，打造了以安全大數(shù)據(jù)平臺為中心、涵蓋云管端的安全產品和解決方案，提供全網(wǎng)協(xié)同的安全防護，同時每個產品系列都有業(yè)界領先的競爭力，組成沒有短板的“木桶”。

2）華為安全大數(shù)據(jù)平臺

挑戰(zhàn)：安全防御的重心從傳統(tǒng)的防護向檢測與分析轉移，Gartner預測，檢測分析占安全的投資比例將從2014年的不到10%上升到2020年的60%。不能檢測分析出威脅，則無法進行響應和保護。

針對檢測分析所需要的安全數(shù)據(jù)，有3個方面的挑戰(zhàn)難以規(guī)避：

①數(shù)據(jù)量越來越大。網(wǎng)絡已經(jīng)從千兆邁向了萬兆，網(wǎng)絡安全設備要分析的數(shù)據(jù)包數(shù)據(jù)量急劇上升。同時，隨著NGFW的出現(xiàn)，安全網(wǎng)關要進行應用層協(xié)議的分析，其分析的數(shù)據(jù)量更是大增。與此同時，隨著安全防御的縱深化，安全監(jiān)測的內容不斷細化，除了傳統(tǒng)的攻擊監(jiān)測，還出現(xiàn)了合規(guī)監(jiān)測、應用監(jiān)測、用戶行為監(jiān)測、性能檢測、事務監(jiān)測，等等，這些都意味著要監(jiān)測和分析比以往更多的數(shù)據(jù)。此外，隨著APT等新型威脅的興起，全包捕獲技術逐步應用，海量數(shù)據(jù)處理問題也日益凸顯。

②速度越來越快。對于網(wǎng)絡設備而言，包處理和轉發(fā)的速度需要更快；對于安管平臺、事件分析平臺而言，數(shù)據(jù)源的事件發(fā)送速率EPS（event per second）越來越快。

③種類越來越多。除了數(shù)據(jù)包、日志、資產數(shù)據(jù)，安全要素信息還加入了漏洞信息、配置信息、身份與訪問信息、用戶行為信息、應用信息、業(yè)務信息、外部情報信息等。

安全數(shù)據(jù)的數(shù)量、速度、種類的迅速膨脹，不僅帶來了海量異構數(shù)據(jù)的融合、存儲和管理的問題，甚至動搖了傳統(tǒng)的安全分析方法。

當前絕大多數(shù)安全分析工具和方法都是針對小數(shù)據(jù)量設計的，在面對大數(shù)據(jù)量時難以為繼。新的攻擊手段層出不窮，需要檢測的數(shù)據(jù)越來越多，現(xiàn)有的分析技術不堪重負。面對天量的安全要素信息，如何才能更加迅捷地感知網(wǎng)絡威脅態(tài)勢？

傳統(tǒng)的分析方法大都采用基于規(guī)則和特征的分析引擎，必須要有規(guī)則庫和特征庫才能工作，而規(guī)則和特征只能對已知的攻擊和威脅進行描述，無法識別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和威脅。面對未知攻擊和復雜攻擊如APT等，需要更有效的分析方法和技術。面對天量安全數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺（譬如SIEM、安全管理平臺等）也遭遇到了諸多瓶頸，主要表現(xiàn)在以下幾方面：

● 高速海量安全數(shù)據(jù)的采集、存儲、管理變得

困難；

● 威脅數(shù)據(jù)源較小，導致系統(tǒng)判斷能力有限；● 趨勢性預測較難，早期預警能力差；

● 安全系統(tǒng)相互獨立，無有效手段協(xié)同工作；● 分析的方法較少；

● 安全事件查詢響應效率太低；

● 系統(tǒng)交互能力有限，數(shù)據(jù)展示效果有待提高。

安全數(shù)據(jù)的大數(shù)據(jù)化以及傳統(tǒng)安全分析方法的缺陷，自然引發(fā)人們思考如何將大數(shù)據(jù)技術應用于安全領域。

華為打造安全大數(shù)據(jù)平臺，作為整個華為安全解決方案的大腦，為安全設備、軟件和服務提供更強的檢測分析能力，更全面的威脅態(tài)勢感知，更完善的安全防御，踐行了保護、檢測、響應的主動防御理念。

華為大數(shù)據(jù)檢測平臺，負責收集安全設備日志、終端行為、網(wǎng)絡流量等信息，通過關聯(lián)分析、離線分析、異常分析和機器學習等方法，感知威脅態(tài)勢、掌握攻擊路徑，并可提供智能檢索和威脅情報管理共享等功能，有效協(xié)助安全設備進行響應和防護。

大數(shù)據(jù)處理效率是大數(shù)據(jù)安全平臺的基礎能力，華為大數(shù)據(jù)平臺在業(yè)界主流的開源Hadoop基礎上經(jīng)過多年的商業(yè)優(yōu)化，其分布式存儲數(shù)據(jù)、分布式索引、分布式并行計算性能都在業(yè)界領先。

分析與檢測是大數(shù)據(jù)安全平臺的核心能力，華為的分析能力源自多年的網(wǎng)絡流量和安全能力積累，僅僅異常分析就包含基于統(tǒng)計、距離、密度、深度、偏移、高維數(shù)據(jù)等多種分析算法，能夠最大限度發(fā)現(xiàn)異常行為。

大數(shù)據(jù)安全平臺是安全解決方案的大腦。在網(wǎng)絡的不同位置，部署不同的大數(shù)據(jù)平臺組件，比如在終端部署的是終端探針，采集終端的各種行為，包括流量行為、進程行為以及相關的日志信息等；而在關鍵網(wǎng)絡部署位置，則部署了流探針，采集全流量；在一些關鍵設備采集日志信息；最終這些信息作為大數(shù)據(jù)分析平臺的輸入進行異常檢測。所有異常檢測的結果以及響應的防護策略將下發(fā)給防火墻等安全設備，使得安全設備能夠及時響應和阻斷威脅。

華為大數(shù)據(jù)安全平臺不僅支持華為的安全產品，第三方廠商也能夠在大數(shù)據(jù)安全平臺的數(shù)據(jù)和檢測能力基礎上提供安全呈現(xiàn)產品和安全防護產品，與華為攜手共同實現(xiàn)一體化的安全防御。

3）華為管道安全解決方案

挑戰(zhàn)：隨著云計算、BYOD、移動互聯(lián)網(wǎng)、Web2.0等各類新技術的發(fā)展和應用，管道網(wǎng)絡出現(xiàn)了巨大的變化——移動化、扁平化和大帶寬。移動化是指Wifi和LTE技術的發(fā)展使得越來越多的移動終端被使用；扁平化是指全IP技術使得接入網(wǎng)絡與核心網(wǎng)絡的層級更加接近，網(wǎng)絡的邊界更加模糊；大帶寬是指視頻、應用等各種服務快速增長使得管道內的流量以幾何級別增長。網(wǎng)絡和應用不斷復雜化。

復雜的網(wǎng)絡面臨著來自多個網(wǎng)絡的各種安全威脅，網(wǎng)絡安全事件頻頻發(fā)生，主要集中在病毒、蠕蟲、惡意代碼，網(wǎng)頁篡改，垃圾郵件等方面，政府網(wǎng)站常常成為攻擊目標。移動終端的廣泛接入，導致威脅的攻擊點增多，威脅防不勝防，傳統(tǒng)防御手段無法準確識別用戶的位置，難以做到有效保護；全IP化的扁平網(wǎng)絡使得攻擊更加容易，IP化的物理接口很容易獲得，數(shù)據(jù)存在泄露風險；大帶寬應用，傳統(tǒng)的防御手段無法準確識別應用層威脅，或者在大帶寬之下啟用應用層防護會明顯影響其性能。攻擊手段變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡層的攻擊層出不窮。主要的攻擊包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻擊、Land 攻擊、超大ICMP攻擊、Fragile 攻擊、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由選項攻擊、Traceroute攻擊等等。

網(wǎng)絡層攻擊的目標主要包括帶寬攻擊、主機或者網(wǎng)絡設備攻擊。帶寬攻擊指通過大量的攻擊數(shù)據(jù)包占用正常業(yè)務數(shù)據(jù)的帶寬，導致網(wǎng)絡帶寬擁擠，正常業(yè)務受到影響；主機或者網(wǎng)絡設備攻擊指的是攻擊者通過攻擊主機或者網(wǎng)絡設備的某個應用端口導致被攻擊設備處理不過來或者癱瘓使其不能處理正常業(yè)務數(shù)據(jù)。

針對移動化、扁平化、大帶寬的演變，華為的管道安全解決在廣域網(wǎng)、園區(qū)網(wǎng)多層級部署防火墻、入侵防護系統(tǒng)（IPS）、網(wǎng)絡接入控制設備（NAC）、DDoS清洗設備、VPN加密等多種安全防護設備，確保了整體網(wǎng)絡的安全。

華為管道安全解決方案擁有業(yè)界網(wǎng)絡準入控制環(huán)境適應能力最強，應用識別能力最高的安全準入解決方案；擁有全面融合、功能豐富、性能可靠、安全性高的遠程安全接入解決方案；擁有全面防護、高性能、高檢測率、高攻擊響應、高可靠性，并能足夠細致地評估和保證企業(yè)安全解決方案合理的攻擊防護安全解決方案；擁有提供完整防火墻功能和UTM擴展能力、高病毒檢測率、涵蓋有線到無限統(tǒng)一安全接入的邊界防護安全解決方案；擁有領先的全面設備日志采集性能，強大的關聯(lián)分析引擎感知安全態(tài)勢，完善的安全服務體系，可視化和高效率的安全設備管理，全面審計安全行為的安全管控、管理和審計安全解決方案。

4）華為云數(shù)據(jù)中心安全解決方案

挑戰(zhàn)：隨著“互聯(lián)網(wǎng)+”發(fā)展的進一步深化，線上業(yè)務快速發(fā)展，云數(shù)據(jù)中心越來越成為IT建設的主流選擇，可以提供創(chuàng)新的虛擬數(shù)據(jù)中心云服務，實現(xiàn)數(shù)據(jù)中心物理與虛擬資源分離，實現(xiàn)數(shù)據(jù)中心即服務，帶來全新的使用體驗。

云數(shù)據(jù)中心的快速發(fā)展，帶來4個涉及到安全的挑戰(zhàn)：

①傳統(tǒng)安全不適應應用彈性擴展。新增一個業(yè)務，需要在數(shù)據(jù)中心網(wǎng)絡邊界、內網(wǎng)涉及數(shù)臺安全設備配置訪問策略，耗時長、效率低；傳統(tǒng)安全于IP的訪問控制策略，無法適應數(shù)據(jù)中心內虛擬化設備不斷頻繁的變化。

②虛擬化打破傳統(tǒng)網(wǎng)絡安全便捷。虛擬化二層網(wǎng)絡下，虛擬化二層流量直接通過虛擬交換機交互，流量不可視不可控，虛擬主機跨數(shù)據(jù)中心或跨公有云遷移，擴大了網(wǎng)絡犯罪者的活動范圍，可信區(qū)域不 復存在。

③云中心成為僵尸網(wǎng)絡發(fā)起地。越來越多的攻擊源自數(shù)據(jù)中心，數(shù)據(jù)中心服務器成為肉雞，借助數(shù)據(jù)中心極大的攻擊帶寬制造大型多源攻擊，最終導致威脅進一步升級。

④安全管理復雜。計算資源共享、 數(shù)據(jù)存儲位置未知、網(wǎng)絡邊界崩潰、不可控的外部供應商等多個因素導致可審查性、取證困難；部署依賴手工，基于IP的安全策略不體現(xiàn)業(yè)務導致策略管理復雜；傳統(tǒng)安全缺乏宏觀的安全態(tài)勢感知和呈現(xiàn)，只能“事后感知”而無法“事前防護”。

華為云數(shù)據(jù)中心解決方案采用分層模型，分為物理設施安全、網(wǎng)絡安全、主機安全、應用安全、虛擬化安全、數(shù)據(jù)安全、用戶管理、安全管理等幾個層面，全面滿足用戶的各種安全需求。該架構中包含以下安全層面的能力：

物理設施安全。通過門禁系統(tǒng)、視頻監(jiān)控、環(huán)境監(jiān)控等確保數(shù)據(jù)中心環(huán)境、物理訪問控制等物理設施層面的安全。

網(wǎng)絡安全。從防火墻、IPS、SSL VPN、Anti-DDoS、IDS/IPS、網(wǎng)閘等技術手段確保云DC邊界和內部系統(tǒng)、數(shù)據(jù)和通信的隔離和安全，因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。數(shù)據(jù)中心網(wǎng)絡設備（路由器、交換機、安全設備防火墻等）在整個云數(shù)據(jù)中心中起到承上啟下作用。一方面，它對外擔負著云數(shù)據(jù)中心與外界其他網(wǎng)絡系統(tǒng)，如互聯(lián)網(wǎng)、專網(wǎng)等互連互通的功能；另一方面，它對內承載著各種業(yè)務系統(tǒng)。安全設備部署在云數(shù)據(jù)中心各網(wǎng)絡層內，防范來自外部互聯(lián)網(wǎng)的攻擊和保障內部網(wǎng)絡和業(yè)務的正常運行。傳統(tǒng)的物理邊界的防護已經(jīng)不能適應云數(shù)據(jù)中心以云DC為主體的應用場景。華為云DC安全解決方案中，安全池云化管理，安全產品支持虛擬化，自動自助提供云DC邊界和內部的網(wǎng)絡安全邏輯隔離，很好解決了網(wǎng)絡安全威脅，諸如：DDoS攻擊、入侵攻擊、安全隔離的問題，而且針對未知威脅APT攻擊也能起到很好的防范效果。

主機安全。保護主機層操作系統(tǒng)的安全，通過主機加固、防病毒軟件、主機IPS、主機補丁管理等技術手段確保主機免受攻擊。

虛擬化安全。從虛擬機隔離、虛擬層加固、Cloud管理應用加固、虛擬機防護、虛擬機可信計算等技術手段確保虛擬化的安全。

計算和網(wǎng)絡資源虛擬化后，帶來的最大問題除了引入新的云平臺漏洞、不安全的API、共享風險等，最大的不可控在于2層流量直接通過軟件虛擬交換機交互，不通過傳統(tǒng)物理安全設備，這部分不可控流量形成安全防護的盲點，使得虛擬主機很容易成為黑客攻擊的跳板，控制虛擬權限，進而對Hypervisor實施攻擊，或直接攻擊相鄰主機，篡改數(shù)據(jù)，導致虛擬主機不能正常提供服務。

應用安全。從電子郵件防護、Web應用防護等技術手段對應用層面的數(shù)據(jù)進行保護，保障用戶的應用數(shù)據(jù)能夠不受破壞、更改、泄漏、篡改。華為應用安全解決方案在安全池中集中部署郵件安全網(wǎng)關、Web應用防火墻和網(wǎng)頁防篡改系統(tǒng)，分別保護電子郵件安全、Web應用安全和網(wǎng)頁防篡改，并提供應用安全事件日志與報表給大數(shù)據(jù)關聯(lián)分析系統(tǒng)進行統(tǒng)一事件管理和分析。同時，信譽體系對某一互聯(lián)網(wǎng)公共IP地址或者子網(wǎng)，從Web安全和郵件安全的角度，給出其在某一段時間內的安全評價。

數(shù)據(jù)安全。從數(shù)據(jù)加密、數(shù)據(jù)銷毀、數(shù)據(jù)防泄漏、數(shù)據(jù)備份等技術手段保障數(shù)據(jù)安全。

用戶管理。通過統(tǒng)一認證、授權、訪問控制、特權用戶訪問審計、雙因素認證等保障用戶管理安全。

安全管理。通過安全信息時間管理、安全合規(guī)審計、安全策略統(tǒng)一管理、弱點管理等進行統(tǒng)一安全管理。其中，網(wǎng)絡安全、虛擬化安全、應用安全、安全管理是云數(shù)據(jù)中心不同于傳統(tǒng)數(shù)據(jù)中心的關鍵點。云DC內部部署了大量基礎網(wǎng)絡設備、安全設備、工作站和服務器、數(shù)據(jù)庫、應用程序和大型機，這些設備形成各個“安全信息孤島”。有限的安全管理人員面對這些數(shù)量巨大、彼此割裂的安全信息，越來越束手無策，難以發(fā)現(xiàn)真正的安全隱患。同時，政府和企事業(yè)單位也面臨對信息系統(tǒng)審計和內控要求、等級保護要求，如何滿足這些安全合規(guī)方面要求也迫切需要解決。華為在云數(shù)據(jù)中心安全框架中，大數(shù)據(jù)關聯(lián)分析系統(tǒng)負責收集主機、服務器、交換機、路由器及安全設備收集日志與事件等信息，并負責大數(shù)據(jù)的關聯(lián)分析，以發(fā)現(xiàn)潛在的安全威脅；控制中心主要負責下發(fā)策略指令，同時能夠接收沙箱檢測與大數(shù)據(jù)關聯(lián)分析系統(tǒng)的結果，負責分布式云數(shù)據(jù)中心中虛擬機、應用跨物理數(shù)據(jù)中心遷移的安全策略隨遷等?？刂浦行慕邮盏酱髷?shù)據(jù)關聯(lián)分析發(fā)現(xiàn)的潛在的安全威脅，能夠根據(jù)管理員預先配置的策略，結合已知的網(wǎng)絡拓撲、地址、設備類型等現(xiàn)網(wǎng)信息，轉換成相關設備所能識別的設備配置并進行統(tǒng)一下發(fā)，達到全網(wǎng)自動防護的目的。

華為通過分布式部署在Hypervisor層，或者獨立安全VM中部署軟件虛擬防火墻，對2層流量實現(xiàn)過濾和監(jiān)控，并與傳統(tǒng)集中部署在3層的安全設備形成聯(lián)合防護，通過統(tǒng)一的控制中心，實現(xiàn)“傳統(tǒng)集中式安全控制＋虛擬化分布式安全控制”的立體資源池方案，通過統(tǒng)一的安全控制中心實現(xiàn)3層和虛擬化2層數(shù)據(jù)流的按需指定路徑進行過濾和編排，是業(yè)界最普遍和先進的有效方案。

5）華為移動安全解決方案

挑戰(zhàn)：移動互聯(lián)網(wǎng)化正以不可阻擋之勢改變著人們的工作方式，成為辦公手段的一個必要補充。我們可以利用更多的時間碎片收發(fā)電郵、發(fā)掘銷售機會點，將企業(yè)的信息化管理推向前端，使客戶的界面變得更扁平化，提升決策效率和響應速度。

移動終端辦公使得企業(yè)辦公環(huán)境邊界進一步延伸。企業(yè)用戶可以在同一臺移動終端上處理工作，或者下載游戲等個人應用，個人應用和企業(yè)應用的界限越來越模糊。同時，移動辦公也帶來新的問題。開放、智能的移動平臺使移動終端成為了新的安全缺口，容易引入惡意代碼植入、個人應用和企業(yè)應用混合、數(shù)據(jù)泄密、多平臺的異構管理等，這些問題給企業(yè)IT管理帶來極大挑戰(zhàn)。

基于傳統(tǒng)PC的安全策略和管理技術很難移植到移動設備，特別是非公司所擁有和管理的員工個人設備。企業(yè)必須建立針對個人設備的戰(zhàn)略，包括策略的定義和新的管理方法。

移動終端通過網(wǎng)頁瀏覽、下載應用、收發(fā)郵件等方式訪問公司信息時，完全處于無保護狀態(tài)。移動終端智能化使應用程序更容易遭受惡意攻擊。由于Root權限濫用和黑客技術的應用，移動終端成為新的孕育安全風險的溫床。

如何簡單、快捷地將企業(yè)的應用移植到千差萬別的移動終端上，避免復雜的自開發(fā)帶來的高成本，快速實現(xiàn)價值，以及幫助企業(yè)IT部門應對復雜的移動環(huán)境已成為一大挑戰(zhàn)。

由于移動終端體積小，極易丟失或被盜竊。移動終端丟失不但意味著敏感商業(yè)信息的泄漏和丟失，而且可能給企業(yè)帶來法規(guī)遵從的風險。

針對當前移動辦公的需求、特點和挑戰(zhàn)，華為提供了AnyOffice解決方案。

針對企業(yè)員工個人需求和企業(yè)策略遵從之間的矛盾，華為提供有效的平衡方案，使得員工在設備選擇上擁有更大的個性化自由，在任何時候、任何場所，使用任何設備便捷地訪問公司內網(wǎng)，運行企業(yè)應用，并確保安全策略不妥協(xié)。

華為移動安全解決方案中融合了AnyOffice客戶端、AnyOffice管理平臺（包括SMSC AE）、數(shù)據(jù)庫以及網(wǎng)絡連接所必須的防火墻等設備，實現(xiàn)統(tǒng)一的網(wǎng)絡接入控制、全面的數(shù)據(jù)安全和威脅防護、基于生命周期的移動設備管理，如圖1所示：

統(tǒng)一的網(wǎng)絡接入控制：在終端認證授權方面，AnyOffice解決方案充分考慮了移動辦公的特點，除傳統(tǒng)的認證方式外，還提供了移動終端硬件特征綁定的手段，既安全又便于用戶操作。同時，基于企業(yè)用戶的不同角色和設備歸屬精細地控制用戶訪問企業(yè)內網(wǎng)資源的不同權限。

全面的數(shù)據(jù)安全和威脅防護：在鏈路安全方面，AnyOffice可提供高強度加密傳輸，保證數(shù)據(jù)隱密性安全，防止數(shù)據(jù)的惡意嗅探和篡改。在數(shù)據(jù)保護方面，AnyOffice客戶端開創(chuàng)性的通過沙箱技術，在同一臺移動設備上創(chuàng)建了一個個人與企業(yè)分離的安全地帶，輕松解決了個人和企業(yè)之間因應用和數(shù)據(jù)混合帶來的數(shù)據(jù)泄密和病毒感染等風險，在個人需求和企業(yè)策略強制的沖突中實現(xiàn)平衡。

圖1 移動解決方案

基于生命周期的移動設備管理：支持各主流移動終端的各項通用EMM（enterprise mobile management）功能，包括應用管理、資產管理、安全管控、數(shù)據(jù)管理和設備管理等。同時，從移動終端的獲取、部署、運行及回收4個生命周期環(huán)節(jié)提供了完善的策略和手段，確保每個環(huán)節(jié)都能順暢、安全地實施和開展。

構建助力“互聯(lián)網(wǎng)+”行動計劃的安全運營體系

1）全球安全智能中心

華為為了支撐全連接的安全戰(zhàn)略，構筑了世界級安全智能中心（見圖2），提供全球化安全運營和維護能力，包括信譽查詢、知識庫升級、維護、應急響應等服務。

信譽查詢和知識庫升級，背后是華為擁有并不斷更新的安全大數(shù)據(jù)積累。其中惡意代碼智能分析依靠大數(shù)據(jù)安全平臺和云端沙箱，具備被動掃描技術的威脅跟蹤能力和IP/Web/Mail/File鏈式信譽計算能力；華為強大的知識庫包Web分類庫、Web信譽庫、IPS簽名庫、惡意軟件特征庫、病毒特征庫等深厚的安全積累。

華為專業(yè)研究團隊分布在深圳、北京、杭州和印度班加羅爾，1000多名資深安全專家在研發(fā)、交付、維保中為客戶提供可靠的安全產品和服務；華為的安全響應中心可在一周內進行新的樣本分析和業(yè)務識別，可提小于24 h的應急響應，以及7X24 h的信譽查詢服務。

2）安全生態(tài)

在“互聯(lián)網(wǎng)+”的背景之下，安全越來越走向開放合作，安全產業(yè)的眾多成員聯(lián)合起來共同抵御網(wǎng)絡犯罪。華為長期與合作伙伴深度聯(lián)合，共同提供完善的安全產品和服務，踐行“互聯(lián)互通、共享共治、構建網(wǎng)絡空間命運共同體”的理念。

開放的BYOD生態(tài)：華為BYOD解決方案聯(lián)盟致力于構建開放、共贏BYOD生態(tài)聯(lián)盟系統(tǒng)，成員包括了集成商、ISV、電信網(wǎng)絡運營企業(yè)、應用開發(fā)團隊、咨詢公司等。華為在BYOD領域聚焦其擅長的移動辦公安全平臺，為企業(yè)客戶、合作伙伴、創(chuàng)業(yè)團隊提供AnyOffice基礎平臺，上層行業(yè)應用則由更多的合作伙伴以及創(chuàng)業(yè)團隊提供，從而形成完整的移動辦公解決方案生態(tài)鏈。

全球化的云清聯(lián)盟：“云清”的含義是基于云端的流量清洗方案，聯(lián)盟的含義是旨在將全球MSSP服務提供商和IDC服務提供商的資源進行整合，構成一個云端的“DDoS防御生態(tài)系統(tǒng)”，統(tǒng)一的管理和調度，在上游更加徹底解決大流量DDoS攻擊問題，主要面向的客戶群體為政府、運營商、企業(yè)等。華為建立的云清聯(lián)盟是業(yè)界第1個旨在解決全球范圍大規(guī)模DDoS攻擊的聯(lián)盟組織，通過有效整合所有合作伙伴的數(shù)十個清洗中心的清洗能力，提供超過2T的清洗帶寬，具有近源清洗、節(jié)約資源、開放擴展等特點，是針對DDoS攻擊防御的多方受益的創(chuàng)新商業(yè)模式。

深度的安全大數(shù)據(jù)合作：威脅情報是大數(shù)據(jù)安全能力的輸入，威脅情報的種類廣泛，包含信譽庫、特征庫、日志、告警、惡意文件樣本等等，威脅情報的共享，有利于安全產業(yè)及時發(fā)現(xiàn)威脅、分析威脅，從而對威脅進行及時防護，對安全生態(tài)有重要的意義。華為通過與政府機構、高?？蒲性核踩珡S商、運營商建立合作關系，共享威脅情報，共同使用大數(shù)據(jù)平臺進行分析檢測，共同抵御網(wǎng)絡攻擊和威脅。華為同時倡議安全產業(yè)各廠商、組織、團體加強安全大數(shù)據(jù)合作，助力“互聯(lián)網(wǎng)+”行動計劃的穩(wěn)步推進。

無所不在的網(wǎng)絡正在改變人們的生活方式。這場革命帶來了很多機會，但也對全球安全提出了新的挑戰(zhàn)。面對如此復雜的要求和風險，華為制定了端到端的網(wǎng)絡安全保障體系。業(yè)界客戶可以通過系統(tǒng)地提問，以確保作出明智的決策。華為的端到端安全系統(tǒng)覆蓋11個關鍵維度。作為全球領先的ICT供應商，一直致力于確保數(shù)字化未來的安全。為了實現(xiàn)這一目標，必須在全球層面開展合作，攜手創(chuàng)建一個更美好的全聯(lián)接世界。

圖2 智能中心結構

總 結

華為從防火墻起步，經(jīng)過長期的努力，構筑了以安全大數(shù)據(jù)為中心覆蓋云管端的整體安全解決方案，以及覆蓋全球的安全運營能力。華為同時以開放合作的姿態(tài)，與安全產業(yè)廠商和組織、團體充分合作，共同打造和諧穩(wěn)定的互聯(lián)網(wǎng)環(huán)境。華為的進步是中國經(jīng)濟快速發(fā)展的一個窗口，華為安全的進步是中國“互聯(lián)網(wǎng)+”行動計劃之下的一個縮影，華為和中國其他ICT企業(yè)和安全廠商，依靠中國國力的強大后盾，一定能夠在未來取得更大的成績。

鳴謝：華為公司華為中國區(qū)政府事務部總經(jīng)理劉耕先生、公共事業(yè)系統(tǒng)部劉學先生對本文提供支持。

崔傳楨
《信息安全研究》雜志執(zhí)行主編，主要研究方向為國家戰(zhàn)略、財政金融管理與創(chuàng)新、網(wǎng)絡空間安全、戰(zhàn)略與管理創(chuàng)新。
cctz@vip.sina.com

“Internet +”Power: The Information Security and Strategic Layout of Huawei on the Basis of “Internet +” Background

Cui Chuanzhen