本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策>

安全:创新中构筑,合作中增进

安全:创新中构筑,合作中增进

从当今全球的数字化趋势来看,新技术越来越成为推动社会加速数字化演进的核心驱动力量。新技术无疑使人们的工作和生活更高效、更美好,提升了社会资源的整合利用水平,为数字经济发展注入活力,但也不可避免地让我们在网络安全上面临全新的挑战。对此,华为主张采取积极主动的措施来应对挑战,通过技术创新寻找解决方案,构建更紧密的国际合作,或者逐步建立更适应于新技术背景之下的社会准则,共建更加值得信赖的全联接世界。


新技术驱动数字化演进,同时带来新的安全挑战

移动网络不断发展,将实现万物永远在线。5G时代,每平方公里的联接数将达百万个,生产、生活中的所有物品都会被联接。同时,5G还可以达到1毫秒的超低时延,网络响应速度比4G提高50倍。许多今天还无法实现的、实时性的应用,到时都可以基于新的5G架构得以实现。

大数据和人工智能驱动的新应用不断涌现,如机器学习、视觉识别、诊断辅助等,科幻小说中的场景正在成为现实。例如在医疗领域,未来,从实现基因检测的人工智能芯片,到阅读海量检测结果的医疗大脑,大数据和人工智能将全面应用于医疗服务、造福人类。

云也变得更普及、成本更低。未来十年内,100%的企业将联接云服务,85%的应用将部署在云端,企业的效率会大大提升。我们可以在云上开发、发布各种应用,在云端创建“数字大脑”,大部分人类脑力活动都可以在“数字大脑”的协助下变得更高效。

然而,每个硬币都有两面。移动网络、传感器实现了高密度的互联互通,但也使网络受到攻击的可能性比过去成指数级的扩大。人工智能和大数据使信息的深度开发成为了可能,与此同时数据泄露的风险也在不断攀升。云化带来了资源的高度共享,业务平台从封闭到开放,但也使得传统的防护边界模糊了。

对此,华为始终认为,新技术带来的安全挑战绝不应成为停步不前的借口,克服挑战本身也是技术发展、社会进步的一部分。所以要做的不应是回避,而要积极应对。


在创新中构筑安全

作为数字化浪潮中的技术提供者,首先应通过自身在技术上的创新来构筑安全。具体的措施包括:

安全成为公司治理的一个支柱,并完全融入到所有的经营活动中

如果董事会和高级管理者都不认为网络安全是一个优先事项,员工自然也就不会重视网络安全。在公司网络安全架构的顶层设计上,华为承诺将网络安全保障责任置于公司的商业利益之上,并于2010年成立了覆盖全公司所有业务体系的全球网络安全委员会,委员会包括公司主要的董事会成员,以及相关业务领域的高级管理者。从而确保网络安全融入公司的战略设计、治理架构和业务活动中,使得网络安全成为华为企业基因的一部分。

积极开展前沿性的安全技术研究,用更先进的技术克服当前技术带来的挑战

面对日益复杂的网络安全挑战,技术提供者应该通过持续的技术创新,积累更强的网络安全能力,向客户提供可信赖、安全稳定的产品和服务。华为在安全前沿技术研究上积极投入,确保能将区块链、量子加密等前沿技术应用到华为提供的产品和服务中,从而有效提高业务的分布式完整性、传输和存储加密的能力。

除此之外,我们还看到越来越多的公司在安全技术上增加投入,更多新的技术手段不断涌现,如大数据、人工智能。近年来,华为也在管道安全、终端安全、虚拟化安全、算法安全等前沿技术上积极投入,并取得了一定的成绩。比如,华为欧洲安全实验室研究的SDN北向安全接口技术,被开放网络基金(ONF)采纳。

要用新的安全理念和安全措施适应新技术挑战

ICT技术发展日新月异,面对基于云的、全联接的移动世界,技术提供者必须思考最佳的保护方式。过去,行业通常基于“边界防御”的理念进行安全防护—建立“大而强的墙”,即复杂的防火墙。但现在新技术来了,传统的防护边界越来越模糊,不知道关卡该设于何处;即便设了关卡,也可能被从其他通路绕过。边界防御理念不再适用。因此,华为将进一步聚焦“纵深防御”的理念,并把这一理念与新的技术发展进行充分地结合。这一理念的假设是你的防火墙在某一点可能被攻破,在这种情况下,你就要考虑:如何在ICT系统的每个层面上识别威胁、隔离威胁、消除威胁?

  • 这需要使用大数据技术,将网络和系统里流动的数据和运行的程序与已知的行为进行比较(包括好的行为和不好的行为)。

  • 还需要使用日益成熟的人工智能技术来评估;允许哪些数据继续流动、哪些程序继续运行; 需要隔离哪些数据和程序以进行进一步观察。

  • 对于已经被动态阻断的数据和程序,要隔离可能已经感染的部分,实时更新策略来阻止其扩散并消除威胁。

为确保这些理念落实到产品和解决方案中,自2012年起,华为就将如下三项措施纳入到公司网络安全整体架构中:

  • 在开发流程中融入安全

华为在产品规划中不仅导入安全研究的成果和安全标准的要求,也会导入各国的法律要求和客户的网络安全需求。在产品规划时就确定产品的安全竞争力方向、目标,以及后续开发中要投入的资源。在产品开发流程中也嵌入严格的安全要求,从安全设计、安全编码一直到安全测试。

  • 在设计中构筑安全

华为在设计中遵循最小权限、纵深防御、安全仲裁等基本的安全原则。同时,建立了300多人的安全能力中心,制定研发安全规范,帮助近8万名研发人员提升安全能力。并且,在新技术领域,安全能力中心也与研发团队协同,一起制定完善的安全解决方案,这里以云和物联网为例:

在云服务领域,华为以数据保护为核心,通过对现网安全态势的大数据分析,有目的地识别出华为云中存在的重要安全风险和威胁,并采取防范、削减和解决措施;通过多维度、完善、立体的云安全防御和分析等技术体系支撑云服务运维运营安全,实现对云安全风险和威胁的快速发现、快速隔离和快速恢复。

在物联网领域,华为制定了以端点安全、联接安全、平台及应用安全和总体安全管控组成的物联网安全总体框架。包含基于端点测的TPM/TEE硬件安全机制、设备安全启动/安全升级等方案;联接测的双向身份认证、网络隔离与传输数据加密等方案;平台及应用测的沙箱隔离、WAF、DDOS防护等方案组成了分层的防护机制,并在总体管控上采取安全监控、大数据分析、安全策略管理等方案来感知整网的安全态势,对系统的行为进行分析,探知并应对潜在的风险和威胁。

  • 独立的安全验证

华为建立了一个内部网络安全实验室,独立于业务部门之外,直接受全球网络安全官领导,专门对即将上市的产品进行独立验证,对于安全质量不达标的产品实行一票否决并问责。

实施端到端的供应链安全

当前,信息技术和产品的研究、制造、交付、使用高度依赖于全球化的供应链。对于安全的保障,也必须沿供应链端到端地进行。在企业内部,有产品制造、交付与服务等环节;在外部,则包括供应商管理等,这是一个复杂的系统工程,需要多方努力。华为认为,以下几点尤为关键。

 硬件与软件的可追溯

复杂的技术可能包含成千的部件和几千万行的代码,一定要确保可以追溯、定位所有产品的所有部件。在华为,经过努力,已经可以做到:对硬件,小到一个电容、二极管,任何可以替换的器件都可以实现快速追溯;对软件,则可以实现代码级的快速追溯。

 安全部署与维护

部署和维护产品时进行的安全活动,将直接影响客户网络和所承载业务的安全稳定。华为一直致力于实现交付与服务业务与客户流程对接,并严格遵从当地法律法规和客户对网络安全的要求。无论是本地的交付,还是远程的维护,都通过技术平台和工具来保证流程执行到位。

 供应商管理

如果供应商的技术或流程安全性不足,就会在最终交付给客户的产品与服务中埋下安全隐患。华为在通信行业里率先与供应商签订网络安全协议,帮助其增强产品与服务的安全性。在选择与认证供应商时,华为会对供应商的网络安全体系进行评估,也要对产品的网络安全质量进行检测。只有通过认证的供应商,才能成为华为的合作伙伴。

安全意识要覆盖到每个员工

人是一切安全活动的执行主体。网络安全意识不仅要植入公司整体战略的执行层面中,更要成为员工雇佣、培训、激励和绩效管理的考量之一。目前,华为的业务遍及170多个国家和地区,这意味着要针对18万名员工定期地、反复地进行网络安全教育培训与宣传。我们不仅要积极地组织全员网络安全考试、签署年度《商业行为准则(BCG)》,还将网络安全能力纳入了相关岗位的任职资格要求,并据此来设计与开发专门的网络安全课程。


合作中增进安全

在多元化的网络世界里,不仅是技术提供者要在创新中构筑安全,各利益相关方也要在安全的治理上达成共识,因此各方展开积极合作是网络安全空间治理的必要手段和必然趋势。

 政府间合作

对于政府来说,通力合作,利用双边谈判、多边协商等方式建立共同的行为准则,积极分享经验与实践,联手打击网络攻击与犯罪,这些举措都有利于创造一个可信透明、合作、开放的网络环境。例如,去年底,法国ANSSI和德国BSI联合发布了“欧洲安全云(ESCloud)”备忘录,设立了联合工作组。这个措施为今后两国共同建立统一云安全标准、提升云服务安全与信任、开展更广泛的合作开创了良好局面。又如,英国国家网络安全中心(NCSC)不久前在官网上分享了关键基础设施安全保障、供应链安全风险管控等方法,其他政府可以参考和借鉴。

 行业构筑生态

对于行业来说,要致力于推动政府制定共同的安全标准,同时有力地推进各方对开源社区安全的投入,以提升整个行业的生态安全性。统一的标准是构建网络安全保障体系的重要部分。行业组织一方面要与技术提供者共同完善国际标准,为行业提供清晰、一致的安全指导,另一方面要推动政府识别全球供应链,让各国充分意识到,各自为政不仅无助于解决安全问题,还会切断全球产业链,阻碍技术进步、增加营商成本。而开源是今后软件开发的发展方向,在产品里大量使用开源代码是大势所趋。目前,开源社区因投入不足,其安全性难以适应新技术带来的挑战。未来,开源软件的安全性不能仅依靠社区成员去维护,还需要各方共同投入。在这两方面,华为一直很积极地参与集中:华为先后参加了20多个国际安全标准组织,连续几年在主流标准组织安全小组中提案数始终保持前列,仅2016年我们在3GPP SA3和ETSI NFV中通过安全提案数就超过了两百篇。同时,我们还与其他公司一道,通过对开源社区提供资金赞助和分享安全实践等方式,帮助改善LINUX等开源社区的代码安全质量,确保漏洞的及时修复。

 用户加强意识

对于广大的技术使用者和最终消费者来说,每个企业,每个公民都要加强网络安全意识,妥善保护信息资产和隐私。近年来,世界主要国家纷纷将全民网络安全意识教育作为国家网络安全战略的重要内容之一,通过提高公众的网络安全基本技能和知识,增强全社会对网络犯罪行为和网络安全威胁的认识,促进公众自觉采取网络安全保护措施,降低公众乃至国家遭受网络安全风险的可能性。特别是在欧盟、奥地利、荷兰、澳大利亚等国家的战略层面,将提升青少年网络安全意识作为战略举措之一,此举对青少年具备良好的网络安全意识与能力,以保护其自身利益、抵制网络犯罪和防范网络威胁而言至关重要。