近年來互聯(lián)網安全形勢嚴峻，針對終端的木馬、病毒等越來越智能化，針對服務器和網絡的惡意DDoS攻擊也越來越頻繁。與此同時，隨著網絡帶寬的提升和移動互聯(lián)網的發(fā)展，2020年前后全球將達到1000億連接，如此龐大的網絡體系，究竟靠什么來保證安全?

　　華為劉立柱認為，借助先進的大數(shù)據(jù)分析工具和高度智能化的檢測技術發(fā)現(xiàn)、控制威脅，同時全球網絡運營商、IDC等機構加強合作，可共同應對網絡安全問題。

　　“未來連接會越來越密集，因此安全問題也將無處不在，我們需要讓網絡更加穩(wěn)定，預警更靈敏，安全威脅的消除更徹底?！比A為交換機與企業(yè)通信產品線副總裁、安全網關領域總經理劉立柱說。

　　多種手段應對APT

　　APT即高級持續(xù)性威脅，是指利用先進的攻擊手段進行長期的、持續(xù)性的網絡攻擊。這種攻擊在發(fā)動之前往往會潛伏下來收集、分析目標的信息，發(fā)現(xiàn)漏洞并利用漏洞進行攻擊。對于大型企業(yè)或機構的網絡、IT系統(tǒng)和應用來說，APT是一個亟待解決的難題。

　　針對APT安全問題，華為提出的對策是通過深度的機器學習來發(fā)現(xiàn)各種APT攻擊造成的網絡流量上的變化特征，根據(jù)這些特征進行相關的聯(lián)動分析。“遭遇APT攻擊時，攻擊方會嘗試獲得更高的控制權限，最終竊取核心系統(tǒng)的信息或者使正常業(yè)務中斷?！眲⒘⒅f，“這與正常的流量有差異，華為的APT大數(shù)據(jù)安全方案就是基于這樣的設計理念發(fā)展起來的?！?/p>

　　華為近年來發(fā)展了先進的FireHunter系列安全沙箱、CIS網絡安全智能系統(tǒng)和USG6000V系列軟件防火墻等重量級的產品，幫助業(yè)界構筑面向APT和深度高級惡意威脅的安全防護體系。其中FireHunter安全沙箱使用了信譽系統(tǒng)和多層檢測技術，擁有業(yè)界最快的文件檢測速度，每天能檢測超過18萬個文件，是業(yè)界同類產品的1.5倍。FireHunter安全沙箱還支持Web頁面0day漏洞檢測，這是國內同類產品中唯一能做到這一點的。這些技術使FireHunter發(fā)現(xiàn)未知威脅的效率大大增加。據(jù)劉立柱介紹，在一家金融業(yè)客戶部署華為FireHunter安全沙箱后短短兩個月，就檢測出了230多種未知APT威脅，其中72個是首次被發(fā)現(xiàn)的。

　　由于APT攻擊隱蔽性很強，華為專門推出了CIS網絡安全智能系統(tǒng)，用于預警和清除對企業(yè)網絡的APT攻擊。CIS以大數(shù)據(jù)平臺為基礎，對關鍵流量、日志、上下文以及外部信息進行大數(shù)據(jù)關聯(lián)性分析，及時發(fā)現(xiàn)可疑行為、預警被感染對象，繼而實施阻斷、溯源和清理。目前華為CIS可以檢測出350多種可疑行為，遠超業(yè)界一般水平。

　　為了強化全網設備的安全防護能力，華為還推出了可在敏捷交換機、敏捷路由器上彈性部署的USG6000V系列軟件防火墻。該防火墻方案中采用了Intel最新的“DPDK+SR-IOV”技術及Hyperscan軟件模式匹配引擎，通過性能是業(yè)界平均水平的5倍多，最高可達40Gbps。

　　劉立柱介紹說，今后華為還將不斷加大樣本采集范圍，提高運算效率，積累可疑行為模式，幫助業(yè)界有效應對APT威脅。

  云清聯(lián)盟對抗DDoS攻擊

　　隨著寬帶網絡、移動互聯(lián)網的發(fā)展，云計算、物聯(lián)網大行其道，同時DDoS攻擊的增長速度也越來越快，規(guī)模越來越大，傳統(tǒng)的防御手段漸漸力不能及。

　　“隨著云計算的發(fā)展，大量公有云成了僵尸主機的資源池，這使得DDoS攻擊的成本越來越低，危害性卻越來越大。”劉立柱說，“與此同時，DDoS攻擊還會造成大量垃圾流量擠占網絡帶寬。”

　　自掃門前雪已經不能解決問題了，業(yè)界需要聯(lián)合起來共同防范、消除DDoS攻擊。因此華為倡議成立了云清聯(lián)盟，希望通過調度全球網絡和IT資源，實現(xiàn)快速定位和近源清洗。這樣不僅可以節(jié)省各個受攻擊企業(yè)的開支，也可以大大提升防護效果。

　　劉立柱舉例說，如果一家企業(yè)網絡受到了來自美國、歐洲的DDoS攻擊，云清聯(lián)盟就可以通過在美國、歐洲的合作伙伴清洗掉這些攻擊，從根本上解決問題。對于這家企業(yè)來說，無需自行購買防御DDoS攻擊的設備，從而節(jié)省成本;對于加入云清聯(lián)盟的合作伙伴來說，則意味著獲得了很多商業(yè)機會。

　　“所以說，云清聯(lián)盟是具有內生的商業(yè)驅動機制的安全聯(lián)盟，能夠為所有相關者都帶來效益，同時讓各行各業(yè)的互聯(lián)網業(yè)務更加順暢、安全。”劉立柱說。

　　物聯(lián)網安全問題多多

　　未來全球互聯(lián)網會越來越發(fā)達，人們的生活、工作也會變得越來越方便，但安全影響和危害也會越來越大。在劉立柱看來，目前發(fā)展迅猛的物聯(lián)網就存在很多安全防護問題。

　　如今從國家到市場，都對物聯(lián)網有非常高的期望，國內外有大量廠商在開發(fā)物聯(lián)網設備和應用系統(tǒng)。劉立柱粗略估計，有70%以上的物聯(lián)網終端都有漏洞。華為自身為了確保設備沒有漏洞，專門建立了一個很龐大的安全管理規(guī)范，每個產品出廠時都要通過安全漏洞檢查。

　　“無論是操作系統(tǒng)還是芯片，或者應用產品，都要從設計之初就充分考慮可能存在的漏洞，因為這些漏洞都有可能成為攻擊的入口?！眲⒘⒅f。不過涉足物聯(lián)網的企業(yè)很多，很難制定統(tǒng)一的標準，因此劉立柱建議各個廠商在設備上使用LiteOS。LiteOS是華為推出的開源的超輕量級物聯(lián)網操作系統(tǒng)，該系統(tǒng)考慮了很多安全方面的問題，有助于改善物聯(lián)網設備的安全性能。

　　此外，物聯(lián)網設備都要通過管道連到云端才能起作用，從管道到云端，華為都可以提供優(yōu)勢的安全解決方案。據(jù)劉立柱介紹，物聯(lián)網傳遞的數(shù)據(jù)信息比較固定，雖然數(shù)量很多、流量很大，但檢測起來并不麻煩，華為的下一代防火墻就可以承擔這些任務。

　　業(yè)務發(fā)展趨勢向好

　　2014年以來，華為在安全領域取得了非常好的成績，2014年銷售收入增幅在30%以上，達到了1.7億美元。劉立柱預計，2015年華為安全業(yè)務收入將提升到2億美元以上。

　　在金融行業(yè)，工商銀行的互聯(lián)網網銀大量采用了華為的DDoS防護和防護墻;在政府領域，華為的高端防火墻被廣東省電子政務云用于做政務外網的防護;在教育行業(yè)，國內有很多高校將華為高端防火墻應用于校園網出口及安全、NAT網關、鏈路負載均衡、NAT日志溯源等。

　　在中小企業(yè)客戶市場，華為一直持開放的態(tài)度。劉立柱表示，安全領域的企業(yè)各有各的優(yōu)勢，華為的傳統(tǒng)優(yōu)勢在IP領域，將來會主攻網絡安全市場，在此基礎上愿意與國內外合作伙伴共同開拓市場?！半S著合作伙伴業(yè)務的發(fā)展，華為在中小企業(yè)安全業(yè)務市場也取得了很大的收獲?！眲⒘⒅f，“中國區(qū)差不多一半以上的銷售業(yè)務來自于合作伙伴。”

　　云清聯(lián)盟是另一個合作共贏的模式。電信運營商有帶寬，對于流量攻擊有天然的防護優(yōu)勢;專業(yè)安全服務提供商有很好的運營能力，有精細化的調度和良好的客戶化服務能力;華為則在網絡技術、DDoS攻擊防御等領域有突出的優(yōu)勢?！霸魄迓?lián)盟把這一切匯聚在一起，可以為市場提供更好、更及時的服務?！眲⒘⒅f。

　　據(jù)劉立柱介紹，云清聯(lián)盟在發(fā)展海外合作伙伴方面已經取得了進展，一些國際領先運營商和安全服務提供商已經同意加入聯(lián)盟。華為計劃與合作伙伴一起，在全球四大洲建立超過10個清洗中心，接入云清聯(lián)盟中頂級的安全管理平臺(SOC)，從而實現(xiàn)全球的安全防護資源調度和近源清洗。目前云清聯(lián)盟將致力于爭取網絡帶寬需求較大且對網絡攻擊比較敏感的客戶，隨后向大型企業(yè)市場發(fā)展。