從“豐富人們的溝通與生活”，到“把數字世界帶入每個人、每個家庭、每個組織，構建萬物互聯的智能世界”，華為公司的愿景正在悄然地發生著改變。 而在新的愿景變化之背后，有一道堅實的壁壘在保護著美好的萬物互聯的智能世界的實現，那就是：網絡安全。

華為是一家有些“偏執”的公司，但是“偏執”在此并不是一個貶義詞，是指能夠堅持，堅持在同一個方向上持續地努力、不斷地積累并成為佼佼者。華為幾十年來一直是這樣做的。那么，在網絡安全領域，華為又是怎樣 “偏執”而行的呢?

“在萬物互聯時代到來的今天，華為在網絡安全方面的態度也發生了巨大的變化，即從網絡安全1.0向2.0時代演進。2.0代表了華為希望持續地通過網絡安全的能力，幫助我們的客戶和這個社會創造更多的價值。”在近日舉辦的2018華為網絡安全中國行上，華為網絡安全領域總經理宋端智在演講中如是說道。

華為網絡安全領域總經理宋端智

如今全球的網絡安全行業正在經歷著前所未有的挑戰：黑色產業鏈越來越成熟，安全威脅越來越多;攻擊變得越來越隱蔽，常規手段變得難以獲取威脅的準確信息并加以阻斷;網絡安全威脅的擴散也變得異常迅速，令我們始料未及。而在此情況下，國內的網絡安全領域卻存在著諸多的不合理現象。

對此宋端智說道：“第一是許多企事業單位在做網絡安全建設的時候，最主要的目的不是為了做更好的防御措施，而是為了滿足合規的要求;其次，我們更關注威脅發生后怎么應急處置，而不愿意花更多的投資在事前的預防和事中的自動處置上;第三，傳統的防御方式，面對每天不計其數的告警無所適從，自動處置無從談起，無法真正有效地提升防御效果。最后，在過去兩三年內，態勢感知成為火熱的名詞，但其應該成為我們進行網絡安全建設達到防御的一個手段，而不應該作為一個目的。”

面對這樣的挑戰與困境，華為又將能為我們提供怎樣的網絡安全?

在今年2月，華為在巴塞羅那向全球發布了SDSec安全解決方案，即“軟件定義安全”。不同的是，華為SDSec的定義已經超出了Gartner 對“軟件定義安全”的范疇。“不僅僅局限在云環境下的資源調度和策略管理，而是在所有的場景下，用軟件定義的方式把網絡及安全的網元、安全功能模塊系統地的協同起來，并通過定義接口與執行，讓所有的安全能力形成真正的聯動。”宋端智說道。

那么，華為的SDSec安全解決方案，又是如何詮釋其“軟件定義安全”理念的?

SDSec安全解決方案包含了三層架構，從上至下分別是分析器、控制器、執行器。分析器即該解決方案的大腦，負責做分析，做決策，根據收集的信息來判斷威脅、威脅有多嚴重、該如何處理;控制器是中樞神經，它接收分析器的指令，然后通知五官和四肢，告訴他們如何把威脅控制在一定范圍或者將其阻斷掉;執行器承擔著五官和四肢的作用，既包括防火墻等傳統安全網關類的設備，也包括一些應用類安全網關設備、終端端點安全的軟件等，另外還有很大一部分執行器是網絡設備，網絡設備的參與也會給整個方案帶來巨大價值。

“依托于該SDSec軟件定義安全架構，將智能化的分析器、控制器與執行器三層網元協同起來，形成閉環的主動網絡防御體系。宋端智說道。

“主動防御”是當前網絡安全界所提倡的新的安全防御模式，而要想真正做到主動防御并不容易。為了實現主動防御，宋端智詳細介紹了華為SDSec安全解決方案的主要四大技能：火眼金睛、全民皆兵、天羅地網和運籌帷幄。

火眼金睛，即指華為SDSec安全解決方案對威脅的高識別率，據悉惡意文件的識別準確率已經可以達到99.5%，其中更多的是一些未知的、可能首次出現的惡意文件。這樣的識別率依賴于基于Hypervisor行為檢測的第三代沙箱。據宋端智介紹，6年前華為便在德國慕尼黑研究所組建了一個小團隊，既有安全的專家，又有人工智能和機器學習的專家，從而產生了今天基于動態行為的機器學習的第三代沙箱的基礎技術。而華為云則是另外一個非常重要的、能夠支撐華為SDSec安全解決方案真正做到火眼金睛的因素。面對每天直面上億次攻擊，華為云在不斷防護的快速迭代的過程也促進了SDSec的眼睛越來越雪亮，最終煉成了火眼金睛。

全民皆兵，指的即是華為將網絡設備發展成安全防御的“民兵”。一方面，經過網絡的流量、數據，可以根據需要傳給分析器進行分析;另一方面，網絡可以接收分析器的最終決策，通過安全控制器與SDN控制器配合，阻斷威脅。這就是所謂的全民皆兵，不僅僅用安全的功能網元，還要把網絡設備發展成“民兵”。當然，實現這一功能有賴于華為的SDN技術，即將整個網絡和軟件定義安全都要全部軟件定義起來;另外，還要求網絡設備本身具備可編程的能力。而這些恰恰都是華為在網絡技術及市場占有率方面的極大優勢，也使得SDSec“全民皆兵”的功能得以落實。

天羅地網，這第三個技能來自于最近幾年特別流行的deception即 “欺騙防御”技術，即在網絡中布置陷阱，當黑客進來或者蠕蟲擴散的時候讓其落到陷阱里把它抓住。通過引入deception技術，并結合華為網絡、特別是其可編程的優勢，在華為交換機產品中將誘捕的陷阱內嵌進去，從而讓威脅所經之處都可能有陷阱。當陷阱真的無處不在，便變成了天羅地網。從而也讓SDSec容易有很大的概率，并且很準確地能夠抓住威脅行為，結合分析器的分析，最終捕獲這類攻擊。而作為華為首創的概念，這一功能也彰顯出：只有對網絡安全前沿技術及時地跟進，才能走在業界的前面。

運籌帷幄，是四大技能中的最終技能。所有的技能要真正產生效果，能夠自動地聯動、自動地處置，都需要有一個類似諸葛亮的一個角色，坐在中軍賬運籌帷幄，對全局的策略進行管理、進行優化。承擔起這一重任的即SecoManager安全控制器。依托于華為在網絡安全領域一直以來的不斷投入、華為在安全標準方面的地位，以及華為與諸多合作伙伴組成的安全聯盟，得以讓安全控制器在這個共同架構下逐步的加入SDSec的大框架，然后形成相互之間的聯動。

以上四大技能，只是SDSec安全解決方案所有技能中的一部分，但其已經涵蓋了從威脅滲透階段、駐點階段，到內部擴散階段、以及數據外泄階段的防御，已足以說明華為SDSec安全解決方案在網絡安全防御方面的超高能力。

這樣的能力并非朝夕之間所能達成，或許通過一組數字，可以讓我們能夠更加理解華為在網絡安全領域的技能是如何煉成的： 2500、44.85億、2892。

2500，指的是截至2017年底，華為在安全方面投入的研發人員已超過2500人;

44.85億，指的是2017年，華為在網絡安全研發方面的投入是44.85億人民幣;

2892，指的是截至2017年底，華為在安全方面的發明專利已達到了2892個，并且其中很大一部分是國際專利。

這些數字，一方面詮釋了宋端智所言的華為在網絡安全領域所堅持的“偏執”所在，另一方面也彰顯出：華為有意愿、也有能力在網絡安全行業有所作為，為全球的網絡安全發展貢獻自己的力量。

“華為希望能夠給大家帶來耳目一新的感覺，這個感覺有兩個層次，一是華為在網絡安全方面的態度和實力，能夠讓大家看到耳目一新;再就是，華為的網絡安全能夠給國內的網絡安全行業帶來一股新風。”宋端智說道。