随着网络云化，安全防御边界愈加模糊，同时威胁的数量和种类随着大量的应用和设备的使用而倍增，每天都会产生许多未知的新型攻击，传统防御手段无法有效的识别，导致威胁检测及响应处置的周期变长。对于电信网络，新型网络攻击将可能发生在骨干和城域网络、云数据中心、B2B等各个场景。当电信基础设施进入云化后，安全能力成为弹性资源池，特别是对于5G网络，不同的切片需要不同的安全功能，同时在B2B场景，安全作为增值服务需要匹配业务的快速发放。华为提出SDSec(Software-defined Security, 软件定义安全)解决方案，构建全网主动防御体系。该方案可使威胁检测、威胁处置及安全运维更为智能，提高运营商网络基础设施和企业IT网络抵御威胁的能力，提升安全运维效率，实现业务快速发放，降低运维成本。

　　一、智能检测和分析，威胁综合检出率提高到95%

　　运营商通常会部署从网络边界到终端的所有安全产品，但什么功能都具备的防御战线并不意味着能有效对抗威胁，当前客户的普遍问题是，对现网安全设备防护效果没底，对威胁事件无法判断，更不能有效检测未知威胁。同时，在运营商IT环境每天产生的日志是海量的，管理员会被淹没在巨量的日志信息中，无法做出及时有效的分析处理。另外，这些日志都是基于单点事件的告警，对入侵和攻击链的全局缺乏多点异常关联，无法识别新型复杂攻击的入侵意图，直接影响对威胁的准确判定。

　　华为SDSec解决方案首先确保了单点检测有效，从源头过滤“噪声”，基于关键资产信息、动态威胁变化和专家分析经验，生成有效过滤条件，做好一级收敛。第二，结合AI机器学习算法实现多点分析的准确性，这里的核心是构建针对“威胁场景”的高级规则，含单场景检测模型，和含日志、情报、流量异常等的多维综合判定算法，这是二级收敛。黑客已经利用机器学习生成智能的恶意软件，可以预测未来攻与防的对抗必定是人+机器的对抗，需要以更聪明的大数据安全分析大脑，结合海量黑白样本的学习训练，研究黑客入侵意图和攻击手法，来最终做出预测和判定。

　　二、自动化处置，平均响应时间降低到1天以内

　　除了主动发现威胁，对企业更重要的是如何快速响应和处置，最大程度减少损失。威胁和安全响应就是一场时间赛跑，42%的新漏洞在纰漏30天内被黑客利用，企业响应的时间远大于30天，打的就是时间差。去年5月份“名声大振”的勒索软件WannaCry使用SMB（Server Message Block）漏洞来感染计算机，并将病毒传播给新的受害者，影响超过24万受害者。WannaCry本身的技术性不强，但传播快、感染范围广。尽管所有厂商都纷纷宣称可以检测到WannaCry，但客户最关注的不是你能否“检测”到，而是第一时间定位被感染计算机，及时拦截防止内部横向扩散，对并已感染终端快速进行修复。

　　华为SDSec解决方案可协同全网来遏制威胁，结合云端或本地沙箱分析能力，快速检测未知蠕虫病毒，除了一些常规动作，比如在出口防火墙封堵445端口（WannaCry攻击采用的端口），升级IPS（Intrusion Prevention System）特征库等，更关键的是可以通过安全控制器联动接入层交换机，及时隔离已经被感染的计算机，利用网络的各个神经末梢采集流量，定位感染路径，并联动终端软件自动化清除蠕虫病毒，批量推送补丁，辅助员工配合来修复漏洞，自动化发布工具恢复加密文件。除了技术手段，更重要的是还要与员工教育、补丁推行等管理手段和流程结合，真正做到“智能、近实时处置”，将威胁响应的时间缩短到目标24小时内。

　　三、智能安全运维，安全运维成本降低80%

　　海量安全策略运维一直是运营商和中大型企业的头号难题。以一个中型规模数据中心为例，仅防火墙策略就有几万条，策略基于IP语言，业务的每次更新都需要调整防火墙策略，每天的策略更新量达到上千；业务下线，IP地址回收，不会及时通知网络安全维护部门，策略的提交责任人也不一定会取消策略，这种情况管理员很难发现，导致大量过期的安全策略堆积没人“敢动”；另外，遇到搬迁数据中心的场景，安全策略的迁移将成为一个“老大难”, 策略需要重新生成配置，手工操作花费数周时间才能完成。最后，还有重复策略的问题，同一应用多人都可以申请策略，可能会造成重复策略，策略总数膨胀。

　　智能运维的核心是“以业务驱动的安全策略”，从IP机器语言升级到基于应用的高级语言，建立应用到IP的自动映射，通过安全控制器将安全策略的生命周期与业务的生命周期紧密捆绑，在业务上线、变更和下线时，实时感知变化，自动翻译“业务的策略”到最终设备可执行的IP策略，省去人工干预。更重要的是，还可以通过安全控制器分析对应用的互访关系进行可视分析，在机房搬迁场景自动生成策略白名单，免去繁重的人工重新配置工作量；对于策略的合理性，如重复冗余、冲突和过期的策略，也可以通过观察分析应用互访流，策略命中率，进行动态的调整和优化，及时删除重复策略、下线过期策略。通过动态流量分析，还可以验证预上线策略的有效性，确保策略定义和实际执行保持一致。

　　华为SDSec解决方案在运营商、政务云等重要行业场景实现了规模商用，以安全控制器和安全分析器为核心，横向使能“一整张网络”，实现以业务驱动的云、网络和安全的上下协同，并以“威胁入侵意图”学习为核心，动态定制采集和检测，基于AI机器学习创新对恶意文件、C&C（command and control server）、内部流量异常的主动分析，使能全网神经末梢节点自动快速遏制威胁，帮助客户提升安全分析和运维的智能化、自动化程度，解放管理员简化安全运维，保护客户关键基础设施稳固，业务永续。