HiSec构建智能的ICT基础设施主动防御体系

全球正在迈入智能社会，ICT基础设施将无处不在，承载各行业数字化转型的重任。各个行业的业务环境也将逐渐从封闭走向开放，面临更加多样化的安全需求。运营商和企业客户如何保障关键业务永续，提升安全运维效率，确保自己所建设的ICT基础设施安全可靠，成为尤其重要的三大诉求。华为推出HiSec智能安全解决方案，致力于为客户构建智能ICT基础设施安全主动防御体系。

要效率提升，不要风险丛生

随着整个世界的数字化进程不断加剧，人类社会发展的效率大幅提升。华为全球联接指数2018报告分析显示，在ICT基础设施建设上每投入1美元，即可带来大概3.7美元的GDP增长。从2018年开始，如果每年将ICT基础设施投资增长率保持在8%，那么到2025年，将带动2到3万亿美元的经济增长。

但正如每个硬币都有正反两面，当人们在享受沟通效率提升的同时，也面临着日益增加的网络安全风险。据Gartner预测，到2020年，约60%的企业会在业务数字化转型过程中因为网络安全威胁而遭遇重大的服务故障。

具体来讲，电力行业的智能电网可以大大提升供电稳定性及供电效率，但智能电表以及无人变电站也都可能成为网络攻击的来源之一；智能交通已为人们的生活带来巨大的便利，比如，人们甚至都不需要交通卡，就可以通过扫描手机二维码在地铁闸口顺利入站而乘坐地铁。然而，为了支持这种移动支付，连接互联网的地铁结算系统将整个网络暴露在外部网络环境中，时刻面临着安全威胁，一旦遭到攻击，结果可能是整个轨道交通系统的瘫痪。针对电信运营商，ICT基础设施的云化提高了电信级通信的效率，缩短了业务上线的准备时间，但云化业务的日益复杂和开放也使电信基础设施遭受攻击的概率大为增加。再看看平安城市，摄像头的部署震慑了犯罪分子，给人们的平安生活带来保障。然而，2016年10月，黑客正是通过劫持数百万联网摄像头，对互联网DNS发动DDoS攻击，导致长达数小时的大面积断网。

智能网络安全，打造ICT基础设施的安全基石

作为全球领先的ICT基础设施供应商，华为在政府、金融、交通、能源、制造、电信等行业，以及物联网、5G、云计算等新兴技术领域，提供不同的ICT基础设施解决方案，更会提供全方位的安全解决方案，来保护各行业关键ICT基础设施的安全。

在当下的安全行业，多数大大小小的安全解决方案都是独立于被保护对象而实施防护的，随之而来的问题就是扩散迅速的网络攻击无法被及时遏制。同样，各个细分领域的安全产品各司其职，彼此之间相互独立、毫无配合，即使网络被十分“完备”地保护着，可一旦遭受新型威胁，从威胁被发现到被消除，最佳的处置时机错过了，不可挽回的损失已经造成。为了保护整网业务就需要大规模部署网络探针，以实时同步给智能安全大脑进行分析，但是为检测整网流量而部署一整套智能安全大脑所需的高额投资，让很多企业望而却步。

为了解决上述问题，华为结合自身在安全领域近20年的技术积累和思考，基于ICT基础设施建设经验和自身安全实践，推出基于软件定义安全（SDSec）架构的HiSec智能安全解决方案，致力于为客户构建智能ICT基础设施安全主动防御体系。

华为的软件定义安全架构，包含三个层面：

首先是执行器，负责安全威胁处置及信息采集，包括防火墙、入侵防御系统、Web应用防火墙、终端主机安全EDR、杀毒软件等安全软硬件产品，交换机、路由器等网络设备以及摄像头等物联网终端设备；

其次是控制器，用来管理整网的执行器如何协同，接收分析器的指令并决定安全策略如何下发、优化，以及通知执行器把安全威胁控制在一定范围或者阻断掉；

最后是分析器，可以理解成是一个用来做整网分析的智能安全大脑，根据分析结果做出决策，根据收集到的信息来判断是什么威胁，威胁有多严重，该如何处理……然而，在分析器层，仅有本地的分析能力还远远不够，因为本地基于机器学习获取的情报都是过去时的，还需要一个可以从云端获取已学习到更大范围情报的大脑。基于华为云，这个大脑通过AI计算能力，及时学习云端遭受过的攻击以及遍布全球的各种已知威胁样本，并将学习结果快速同步传递给整网。

通过安全与ICT基础设施的紧密配合，HiSec解决方案将威胁响应能力从安全孤岛升级为整网联合战线，将威胁扩散范围从区域边界降低为主机边界，及时定位网络威胁源头并遏制威胁进一步横向扩散，最大限度降低损失。通过安全分析大脑和不同厂商终端安全产品之间的配合联动，HiSec解决方案可快速自动完成终端威胁调查取证、事件溯源、联动响应等一系列安全响应动作，快速而系统地化解高级安全风险。通过部署具备高级安全分析能力的边缘智能安全网关，HiSec将智能处理能力引入到网络边缘。如此一来，边缘智能可以大幅度减少实时网络数据传输上报，最大程度将通信压力分散到网络边缘；更多的威胁处置动作可在本地完成，而不需要安全分析大脑的参与。这既降低了网络部署成本，也通过减少网络流量交互流程而大幅提升了威胁检测效率。

使能HiSec解决方案边缘智能的就是华为全新发布的AI防火墙，它作为一种边缘智能安全网关，为企业提供智能化的网络边界防护。USG6000E系列AI防火墙内置基于AI的高级威胁检测引擎，支持加密流量免解密威胁检测，同时通过联动云端，威胁检出率达到99%以上；自主研发安全芯片内置加速引擎，实现IPSec、入侵防御、反病毒等防火墙关键功能的优化加速，威胁处置性能大幅提升，达到业界处理性能的2倍；基于虚拟化架构灵活集成第三方检测能力，大幅度提升整体威胁检测效果，同时实现多业务融合降低CAPEX 80%以上。

继往开来，守护数字化转型当厚积薄发

在整个数字化世界向万物互联的智能世界转化的过程中，华为希望通过构建安全能力来贡献自己的力量，为客户创造价值。华为安全产品及解决方案由业务驱动不断演进，实现与ICT基础设施的充分配合；通过开放的架构，实现基于软件定义的安全产品间的动态协同；通过集中智能和边缘智能的配合，实现云上和云下业务的智能联动。

在安全研发上的巨额投资和多年积累，都是华为先进的安全解决方案的根基。华为在全球有7大安全研发团队，分布于国内的北京、杭州、上海、深圳，以及海外的北美、欧洲等地。另外还有两个专门负责安全研究的实验室，其中谢尔德实验室负责面向未来的安全技术研究，未然实验室负责攻防渗透、漏洞挖掘、情报积累等。安全研发团队和安全研究实验室所涉及的技术及业务范围广泛，从传统的防火墙等安全网关到云安全、IoT安全、人工智能、大数据在网络安全中的应用以及安全芯片等。

基于在安全领域积累多年的能力，华为致力于为客户和整个社会创造更大的价值，充分结合自身在ICT基础设施解决方案上的优势，为客户带来更好的网络安全防护，进而为整个智能世界的不断演进保驾护航。