数学化浪潮助力网络云安全模式刷新

刘晶

企业和政府机构数字化转型的加快，使上云单位总量日益庞大，网络安全成为用户最关心的事情。国内网络安全市场因此火热，资本活跃，新理念层出不穷。2018年我国网络安全产业规模达到510.92亿元，较2017年增长19.2%，2019年达到631.29亿元。

资本交易活跃度明显提升，截至2019年末，参与资本运作的网络安全企业近300家，累计交易近600起，交易金额近800亿元。但网络安全的现状仍然差强人意。 “过去两三年，我一直在思考华为安全业务该怎么做，网络安全产业到底能不能做大。”华为安全产品领域总裁宋端智于12月16日在接受《中国电子报》采访时表示，“我们希望采用一些跟过去业界不一样的办法，例如用做生态、做联盟的方式让网络安全的产业分工更清晰、专业，让用户在网络安全的投入和产出上建立信心。”

大量企业处于安全金字塔底层

资本对网络安全市场的追逐反映出这无疑是市场热点。

“如果我们了解一些攻防演练情况就会发现，一些企业的信息基础设施是不堪一击的。”宋端智说，“对产业现状的不满一方面是觉得安全产品较为鸡肋，另一方面认为服务人员能力不够，出了事搞不定。从事网络安全的企业自己也对未来充满担忧，企业自身实际的经营状况也不容乐观。”

宋端智表示，从企业在网络安全领域的建设能力和日常运维水平来看，主要可以分为三类：

第一类水平较为出色，如BAT、华为和头部银行企业，包括五大国有银行和招商银行、光大银行等股份制企业，他们的网络安全状况在从国际视角看已经达到了一定的水平，能够拦截日常的基本恶意攻击。但这样的企业和机构总量不到100家。

第二类是大型企事业单位，如制造类的头部企业，以及一些政府单位等。一些机场、高速公路集团也属于第二类企业，他们的水平跟第一类相比还是有比较大的差距。目前这类企业和机构数量在1万家以上。

第三类应用群体的网络安全水平与第二类又有较大差距，基本上没有太多的防护措施。这类应用群体主要包括中小型企业。普通的中小学、普通医院等。这样的企业和机构数量大约在100万家以上。

其中，第一类群体不仅购买网络安全设备和服务，他们还有自己庞大的安全团队，攻防能力很强，但这是靠大量投入积累的，不适用于其他类型的企业。第二类中，有专门负责网络安全的部门，但人数一般不超过十人;也可能是网络安全厂家提供驻点服务，总体来说服务水平不高。第三类基本没有专门负责安全的人，多是由IT人员兼管。

第二类和第三类数量众多，他们虽然对网络安全的需求没有那么高，但出现的安全状况却不少，“网络挂码”“勒索病毒”屡见不鲜，目前国外高级病毒已经向物联网设备渗透，带来的隐患更大。

“云+本地”实现内外网两头堵漏

“网络安全中的威胁确实在不断变化，过去没有想到在工业领域会出现的问题，现在已经存在，也有真实案例。”中国工程院院士方滨兴认为，网络空间安全是整体的而不是割裂的，网络安全与政治安全、经济安全、社会安全、文化安全、国防安全相辅相成。此外，网络空间安全是动态的而不是静态的，威胁来源不断变化。随着技术的进步，新的攻击手段也会同步出现，因此必须要树立动态、综合的网络防护理念。

一方面，网络安全功夫在平时，从低水平的网络安全状态到较好的水平，更多是依赖持续的安全运营，而运营需要较大规模的投入。运营手段包括修复漏洞、净化网络、安全加固、攻防对抗等，但大量处于第二类和第三类的企业与机构，要如何才能获得比较高性价比的安全措施？

另一方面，未来网络空间可分为公有云和线下，公有云可以依托云服务解决安全问题，线下怎么办？这些线下场景主要包括数据中心、园区网络、办公区域、物联网环境等典型的应用场景。

“我们现在想做的就是通过共享的方式，以更低成本解决本地安全问题。”宋端智说，“这是一种‘云+本地的方式，在本地}贿—个安全网关，这个网关甚至可能是免费获取的，但核心的安全服务能力是放在云上的。”与之前已经推出的多种安全云服务相比，宋端智认为，这种方式能够为企业和机构解决更多的安全问题：“‘云+本地不仅能够解决外部网站的问题，也能够解决内部网站的问题。”

本地网关能够对内部网络进行筛检，例如云端的漏洞扫描，扫描这个环境里的目标，无论是PC机、服务器还是物联网设备，只有当该设备提供的服务“暴露”在云上，才能够扫到。本地网关则可以把内部的安全问题看得一清二楚，真正解决大量内网的安全问题。

“对大部分用户来说，网络安全防护不是要和黑客进行对抗，而是要把基础做好，如果内网环境中已经有大量的漏洞，或者在大量的机器上被别人控制，就要首先做查补和修复漏洞的事，漏洞少了，攻起来就没那么容易了。”宋端智说。

降本要靠生态建设和新服务模式

目前，为公有云用户提供云安全的主要是云服务运营商，因为这种集约化的服务，效率较高。而大量的线下私有云、数据中心、办公园区、物联网环境中的安全问题，用传统的企业驻点服务方式，成本是比较高的。

“云+本地”模式关键之处就是要解决投入和产出的问题。

“现在不是华为一家在做这件事，我们依托华为安全商业联盟，把大家的能力综合起来。例如我们的合作伙伴可以针对资产管理的操作系统中存在的漏洞，提出相应对策;有的伙伴提供诱捕能力，可以把诱捕的密罐放在网关上，还能把一些可能的攻击行为引到云端。这些能力都是合作伙伴提供的，我们把这些变或阅服务，每个月多交几百块钱，然后分成给合作伙伴。”宋端智说。

“‘云+本地中的本地网关能力，不是传统意义上只做安全边界防护的服务，而是要跟云端进行交互，把云端指令发到下面去。未来还可以跟踪每—个终端。”宋端智说，“我们可以通过生态建设，推荐合作伙伴的终端软件，通过软件对接通知终端做相应的动作。”

“线下服务效率低、成本高，我们会把自动化程度较高的业务，逐步放在云端，实现自动化。”宋端智说，“如果线下服务实在不可避免，我们也会借助生态的力量保障其安全性。目前华为已经在18个省发展了当地的服务合作伙伴生态。服务合作伙伴是以一种低成本的方式来运营业务，平时有本地网关来做基礎监测和管理，在问题多的时候，服务合作伙伴可以在现场用一天时间集中处理。”

目前中小型企业和机构的安全风险比较高。据一位资深从业者介绍，他们在100多个客户里发现了差不多有近干台设备有外部链接的病毒隐患，包括勒索病毒、蠕虫病毒、木马病毒，还有大量的挖矿。

这些攻击都是采用脚本化自动运行的方式，通过云服务方式进行攻防。“我们现在通过‘云+本地的方式，实现自动的云端分析和数据汇总，增加自动化对抗能力，可以使攻防成本相对对等。”宋端智说。