解码2022中国网安强星丨正向建、反向查,华为构建数字化时代的网络安全防线

科技云报道原创。

由中国网络安全产业联盟(CCIA)、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量 照见未来”为主题,邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间,从行业、技术、市场等多角度探讨网安相关话题,探究企业背后的创新力量和安全实力。

image.png

如今,众多企业选择加速数字化转型以增强自身的敏捷性和韧性,来应对复杂多变的市场环境。随着企业各类业务加速“触网”,如何在日益严峻复杂的网络安全环境下筑牢安全底座,为数字化转型战略的成功实施提供可靠的安全保障,是整个产业界需要研究和解决的严峻问题。

7月27日,华为数据通信产品线安全产品领域总裁马烨做客“解码2022中国网安强星”直播间,与大家分享了关于构建网络安全体系的最新观点。

image.png

**
打不垮、穿不透,夯实数字化转型安全底座**

马烨介绍,2000年,华为便成立了安全产品线,是最早布局网络安领域的企业之一。如今,华为已在全球设立了6个网络安全创新实验室,研发团队人数达到2500人。目前,华为已经具备3000多个涉及安全领域的芯片、AI等专利技术。正是通过对根技术的不断创新和持续投入,使得华为安全系列产品和解决方案构筑起既高且厚的竞争壁垒。

产品方面,主要包含云网边端四个方向的产品,比如防火墙、入侵防御、Anti-DDoS、安全态势感知以及主要面向政企客户的安全云服务产品。2021-2022年,华为防火墙蝉联Gartnter客户之选全球第一名,是国内唯一两次入选NSS Lab推荐级的安全产品,并且在Forrester评测中,华为安全首次评即获得国内唯一“卓越表现者”,连续9年进入著名分析师机构Gartner魔力象限,也是国内唯一一家连续5年入选的厂商。此外,对于安全大脑的核心,华为态势感知系统是2022年国内唯一入选 Gartner安全信息和事件管理魔力象限的产品。

解决方案层面,华为HiSec实现了从针对威胁的防御到面向业务确定性保障的思路演进。基于内生可信、威胁检测分析算法、自动化管理与风险评估等根技术,HiSec从系统内生安全、威胁防御、运营管理流程三个维度构筑韧性技术架构,确保守住系统安全底线。华为HiSec安全解决方案不仅得到了诸多全球TOP客户的认可,在国内外权威的机构测评中也多次荣获奖项。

另外,华为还孵化了很多面向垂直领域的安全解决方案。比如电子政务外网的检测平台、数据安全解决方案,还有针对关键信息技术设施的安全解决方案,以及面向未来IPv6+的安全解决方案,同时也包含了基于网络安全基础的等保解决方案。目前为止,HiSec安全解决方案已经广泛部署在了全球TOP企业之中,涵盖政府、金融、能源、交通等各个细分行业。

大痛点、阻转型,网络安全需要一体化设计

数字时代下,网络安全进入了攻击复杂化、漏洞产业化、重保常态化等新常态。为应对数字世界新挑战,网络安全防护需要新的理论思考和方法。

对于网络安全正在呈现的新趋势,马烨表示,伴随数字化转型进程的深入,各大企业、事业单位、政府机构、国家机关等都逐步将业务系统迁移至云端。云服务模式的深化应用、细分领域和场景的安全实践,都推动了网络安全市场需求水涨船高。混合多云、云原生、AI、IoT等新技术,更是催生了更细化的安全场景和更丰富的安全需求。

近几年,国家陆续出台了《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法规,从通用型法律法规,到重点行业相关条例等,为企业数据安全提出了更高要求。

马烨认为,目前有五大痛点正在阻碍企业的数字化转型步伐。

首先,数字化将原来的企业安全防护边界完全打破,传统安全架构已经无法匹配未来的数字化和云化发展诉求。网络安全建设需要和业务同步规划、同步建设、同步运维,对于任何企业而言,都需要将安全这一重要因素考虑进顶层架构设计之中。

在完成架构设计之后,安全体系要与整个业务规划进行融合,要匹配业务未来长期发展。这就需要梳理业务所在的垂直领域和行业,并根据自身的业务流整合出数据流,从而通过数据流来洞察企业在网络安全方面的薄弱点,再依靠企业的治理制度、业务流程、安全技术消除安全薄弱环节。

第二,当前网络安全的每个细分领域,以及安全厂商、安全产品都呈现碎片化的状态,在同等安全技术标准下,由防火墙、入侵防御、抗DDoS攻击等各类安全组件搭建的安全系统,其防护能力却不尽相同,但怎样的系统才是真正安全的系统,并没有一个明确的定义。另外,像串联、旁挂等多元部署形式,让安全设备之间无法形成联动与合力,导致网络安全建设较为松散,无法形成统一的安全体系。

第三,虽然网络安全体系很多时候可能满足了合规的要求,但并没有真正将网络安全产品和解决方案的实际效果发挥出来。很多企业在网络安全体系第一期建设完以后,并没有根据最新的漏洞,对特征库进行实时刷新和升级,导致网络安全缺乏时效性。这里面会涉及到解决方案灵活性的问题,即能否支持这种随时动态的刷新。

第四,网络安全设备本身是否足够安全也是一个问题。目前很多攻击往往都是利用了网络安全设备的漏洞,导致设备本身不够安全可信,最终造成整个网络被击穿。《网络安全法》对守护网络安全防线、构建安全可信网络体系提出了更高要求,其中也明确提出要应用安全可信的网络产品和服务。

第五,网络安全在企业中的角色仍未被有效重视。目前很多企业虽然购买了很多安全设备,但安全体系牵涉环节众多,企业在网络安全方面缺乏足够的人员配备,导致有限的运维人员在面对大量安全报警时捉襟见肘。如何解决安全运维中的服务痛点也是企业必须考虑的问题。

马烨表示,安全本身是一个跨学科的领域,现在仍不能从业务生命周期中剥离出来,安全也并不是单纯由技术驱动。因此,开发者、运营商和安全人员需要彼此配合,安全体系的一体化设计和构建需要聚合多方力量共同探索。

**
正向建、反向查,构建一张具备韧性的安全网 **

要做到“绝对安全”是不可能的,但要构建一个安全可信、充满韧性的网络安全,从而提高安全防护壁垒、提升攻击成本,将安全风险降到最低却是可能的。想完成这一目标,就需要安全防御从尽力而为向确定性安全迈进,准确地说是面向确定性业务的韧性保障。

对此,马烨给出了华为在网络安全体系建设方面的基本思路——“正向建、反向查”。

l 正向建

首先构建安全可信的网络基础设施,通过供应链可信、硬件可信和软件可信,构建ICT基础设施的“可信基座”。

其次,网络层通过IPv6+和路由协议等安全技术,将不确定的IP网络变成确定性网络,避免路由被劫持和不符合预期的流量,确保“网络可信”

第三,应用层构建可信任身份,基于数字身份和信任评估框架,构建持续的信任评估机制,加强设备、人员入网可信身份验证和对数据的合法访问,确保“身份可信”,以上三个层面搭建起安全可信的网络体系架构。

l 反向查

首先要在云网边端全域进行监测,对未知漏洞、病毒、缺陷、攻击进行实时检查,从而保证网络的基本防御能力。无论是在云端、网络侧,还是在边缘侧的安全网关,或者端上的EDR,共同组成了一套完整的方案。

其次,未来的威胁防御是算力之间的对抗,因此需要构建威胁检测和分析的算力支撑,利用AI技术与之进行对抗。通过智能防御,基于AI的威胁关联检测、云地联邦学习,大幅提升威胁检出率和处置风险的能力。

第三,构建一体安全。安全不应该是割裂的,应该和广域网络、城域网络、园区网络、数据中心网络等紧密连接,形成联动机制,以云网端协同防护,提升网络韧性。

不难看出,“正向建”是一种内生安全,以可信视角打造信任体系,降低系统内部不确定性。“反向查”以技术升级构建威胁防御体系,消减外部威胁带来的安全不确定性。一方面,深挖地基、构建更有韧性的安全架构;另一方面,通过自动化、AI等多种技术手段,建立立体化防护体系抵御来犯之敌。

对于企业而言,基于“正向建、反向查”的安全体系,将从内到外构建出一张可信、安全、充满韧性的网络,进一步增强安全确定性。

**
补短板、见实效,建立最广泛的安全合作阵线**

对于一些企业而言,可能已经有比较完备的安全产品配置,但还有一些安全防线没有建好,那么是把已经构建好的网络安全体系抛弃掉进行重建,还是在现有基础上进行联动?

马烨表示,华为会根据政企客户诉求帮助他们梳理业务流,包括管理流程、业务流程、数据部署、潜在威胁、防护痛点等,和企业共同构建场景化的安全解决方案。

比如,医院在等保的基础上,可能需要大型医疗设备远程运维方案;高校关注较多的是防挂靠、防勒索;智能制造需要IT和OT等整合性更高的安全方案。对于不同场景,应在安全防护基础方案之上,叠加政企客户所在行业的垂直领域方案,从而组成一个面向业务的整体方案。

针对中大型企业,华为会在网络安全建设初期与企业共同做安全规划,帮助其进行顶层架构设计。由于网络安全体系建设不是一蹴而就,也无法一劳永逸,很多时候需要分期进行投入和建设。

对此,马烨表示,网络安全一定要与业务同步规划,要在业务体系建设起来的时候,同步考虑网络安全建设。其次,企业在设计安全架构时,要根据自身未来发展留出余量,从而可以根据业务变化进行灵活的扩容。比如可以选用一些弹性能力较强的安全设备,而不是把单个设备进行叠加。

对于中小企业,更需要专业的安全运维能力。对此,华为推出了网安一体的乾坤安全云服务解决方案。相比传统网络安全方案,华为乾坤云服务只需要在分支部署一台硬件,通过云服务即订即用,开通快,升级快、威胁处置快,解决了大部分企业对于安全服务化的诉求。

马烨指出,网络安全领域覆盖的技术门类众多,产品体系宽度相对较宽,无法依靠单一产品构建完整的安全体系,每家安全厂商也无法独自完成所有安全细分领域的产品和解决方案,而是需要众多安全厂商发挥各自技术优势,共同构建网络安全解决方案。

如果想要构建一个面向未来的安全解决方案,除了要具备基础的软硬件,还需要基础大数据平台以及互联互通的标准接口。因此,华为不断参与一些行业标准的开发和制定,从而保证其安全解决方案具备更好的兼容性。同时,这也是华为推动安全商业联盟成立的初衷。

2018年,华为倡议并牵头成立“华为安全商业联盟”,联盟基于华为HiSec安全解决方案,深度整合联盟伙伴在细分领域的领先产品,实现网络、应用和终端之间的协同联动,为客户提供更具防护实效的安全解决方案。目前,华为安全商业联盟共有17家合作伙伴,共同为企业搭建面向未来的网络安全体系。

结语

物理世界的安全体系已经形成,但数字世界的体系却落后于时代发展。筑牢数字世界安全底座需要各方共同努力。面向万物互联的智能世界,华为坚持做网络安全的“催化剂”和“粘合剂”,通过夯实技术基础,凝聚各方力量,共同打造场景化安全解决方案,为千行百业的数字化转型保驾护航。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值