似乎有点危言耸听，但根据专业机构对全球500强企业CIO/CTO的访谈显示，BYOD、社交网络、公有云大规模用于企业核心业务的最大障碍正是安全性顾虑。

　　SDN(软件定义网络)架构的提出，为这些新兴业务所必需的弹性、高可用和低成本网络平台带来了全新的思路，但截至目前，业界厂商所发布的SDN网络方案大多缺乏对安全性的创新性思考，仍然试图以传统思路解决SDN时代的网络安全威胁。这就出现了本文一开始提到的场景和问题：在APT、新兴DDoS、未知恶意软件、零日漏洞的虎视眈眈之下，没有将安全融入其中的解决之道永远只能是风雨中的钢丝绳：可以把钢丝设计到最结实，怎么都不会断;可以给平衡大师穿上特制的装备，粘在钢丝上怎么都掉不下去、多大的风都迷不了眼、多低的温度都寒不了身……就算这样，谁敢走?所以现实情况就是，企业只能慢一点、贵一些——核心业务不移动、关键业务不社交、多花点钱自建私有云。

　　要在这场ICT变革的风口浪尖上持续创新、赢得客户信赖，需要从最初设计、构建网络时开始考虑安全问题。众所周知，基于TCP/IP架构的传统网络，在安全方面本质上是封闭、隔离、不可信的。随着信息化的不断深入，虽然安全技术日新月异，企业为安全所投入的预算也越来越高，安全问题造成的危害却越来越大、越来越严重。下一代安全必须与网络是一个整体，这样才能解开网络安全问题的症结。

　　华为基于SDN架构的敏捷网络，在设计之初就把网络与安全作为一个整体进行构架，彻底颠覆传统TCP/IP网络安全“缺省阻断”、“尽力而为”的原则，从终端到网络，从网络到DC，全网自动感知环境脆弱性，基于业务实施安全策略，智能整合安全信誉、大数据和沙箱等技术来检测和防御未知威胁，为企业提供真正可控、可用、可信的网络。

　　可控安全设备能够从“用户、应用、内容、物理位置、时间、威胁”等多个维度感知企业ICT环境，并能够和其它网络设备一样被共同的controller管理和调度，这意味着企业可以定义和感知网络中几乎所有对象，包括人、部门、业务、信息等等，也可以基于各种方法去管控和保护，比如时间、地点、重要性、危害性等等。凭借对环境的精细化动态感知能力，华为敏捷网络甚至能够从最终用户网络体验的角度，对企业关键业务和关键员工的业务质量进行监控，提升网络对业务的支撑水平。

　　华为目前提供超过6000种APP识别能力，居业界最高水平，能够感知和导入企业组织结构、人员信息，检测上百种文件类型和文件内容，并通过终端Agent、AP等组件快速定位终端所在物理位置(公司内部或外部、总部或分支、国内或海外等)，具备真正全方位、无死角的环境感知能力。可控的才是安全的，可感知才能可控，只有全网协同才能真正做到无漏洞的环境感知。

　　可用在敏捷网络中，安全不再是一个个孤立的网络节点，而是通过多层次的虚拟化技术构成一个安全资源池，再通过统一的controller在全网调度，形成一系列有关联的虚拟安全网关。企业原有的呈地理分布的多套物理安全网关，可通过横向和纵向虚拟化技术形成一台超级虚拟安全网关，然后再根据企业自身的业务和安全诉求进行“一虚多”重新划分，既可以按照组织结构进行部署，也可以按照区域进行部署，甚至在广域链路质量比较好的地区之间实现资源整合、调度性能与功能。“多虚一”和“一虚多”技术形成的安全资源池可以实现全球安全策略与会话的自动同步，比如在外出差的员工，其权限控制与资源控制可以根据物理位置的感知自动迁移到最近的安全网关上，真正做到随时随地、一致体验。除此之外，基于华为多层次“多虚一”技术实现的安全云，同样具备多层次的弹性扩展能力，宏观上可以向任何一个节点扩容物理安全网关，来增强全网安全处理能力;微观上也可以对网络中的安全网关、交换机和路由器进行安全扩展，包括业务处理板、CPU内核、接口和安全特性。

　　真正可用的安全必然包括安全能力、安全部署和安全扩展等多个方面的可用性，缺一不可。可用的安全是可用网络的基本要素，也是核心要素。

　　可信传统网络安全最基本的原则就是“不可信”，比如防火墙，首先定义Trust、Untrust域，所有来自Untrust域的访问都缺省禁止，管理威胁的时候缺省怀疑所有对象、检测所有对象，只能通过管理员手工配置才能让安全网关只监控指定对象、放行指定对象。造成这个现象的根本原因在于传统安全属于“事后防御”——根据已发生的安全事件定义威胁特征，然后基于特征检测和阻断威胁，无法“事先”发现新威胁。“不可知”导致“不可信”，不可信则带来效率下降、成本上升，但安全威胁仍然无法彻底杜绝。

　　华为从根本上做出转变，致力于未知威胁检测和快速诊断，让网络可信：

　　从被动到主动

　　我们不再只是基于特征进行粗放式威胁检测和防御，也不只是在企业部署了华为安全产品后才进行威胁检测和防御。在遵守各个国家/地区法律法规、不涉及侵犯隐私的前提下，华为全球部署黑洞、蜜网系统，采集安全事件与样本，为IP、URL和文件构建信誉。企业部署华为安全产品之后，即可享受到华为全球信誉云的服务和评估，信誉评级低于指定水平的对象会被筛选出来，当作可疑对象进行下一步深入检测，绝大多数正常业务不会感知到因为安全检测带来的延迟。90%以上的安全威胁可以由此被消除，而不会带来业务延迟。从技术为本到客户为本

　　过去，当所谓红色代码、熊猫烧香、CIH等安全事件爆发后，所有的专业安全厂商比拼的都是谁先获得样本，谁先在实验室里定义出特征，然后是谁能够防御。但这些事情都是厂商自己在唱戏，客户通常要很多天后才能获取更新、得到防御、避免进一步的损失。华为把以往只放在专业安全厂商实验室里的技术产品化，部署到客户网络中和云端，直接为客户提供服务，把未知恶意软件的防御响应时间缩短到“分钟”级、甚至“秒”级。其中最具代表性的就是沙箱技术，华为可以为客户提供PE沙箱、移动沙箱、Web沙箱等多种类型的产品子类，被信誉体系筛选出来的少量可疑对象直接导入沙箱进行模拟分析，判断其过程和结果是否恶意，是否有威胁，然后做出放行与否的判断。当前业界流行的APT攻击，绝大多数都是来自或通过未知恶意软件达成，这意味着华为沙箱技术可以实现对APT攻击的有效防御。首次把大数据用于安全防御

　　当前，对企业威胁最大的安全攻击者不再是以前那些炫耀技术的黑客和愤青们了，而是雇佣黑客来达成商业或政治目的幕后黑手，或者企业内部的恶意窃取者或破坏者，这意味着许多时候要防的不再是一段代码或Flood冲击，而是人，这是传统安全永远也无法企及的领域，即使现在业界也鲜有有效的解决方案。华为通过在自身遍布全球5大洲的企业专网和IT系统上的成功实践，把大数据应用于企业信息安全防御。通过对网络设备、安全设备、终端系统和业务系统的事件采集，在大数据平台上进行关联分析，从而能够发现非法的攻击行为。

　　举例来说：某个时刻，认证系统发生了一次正常合法的认证授权请求，该用户随即访问了与其权限匹配的文件系统，并下载了关键文档，然后正常退出登录;过了几分钟后这样的过程又发生了一遍。这在一个超过10万人的企业中非常正常，但大数据系统却发现了问题：第一次访问时该用户所在地理位置是中国北京、在公司外部远程接入，但几分钟后的第二次访问却发生在美国加州硅谷。通过网络系统controller排除了合法用户使用代理服务器的可能性后，基本就可以确定这是一起非法盗号入侵事件了，第二次访问会直接被阻断并发出告警。如果网络情况比较复杂，不能排除使用代理服务器的可能性，系统则会进一步关联文件系统，从而发现该用户属于无线部门，第二次访问的文件却是和自己业务完全不相关的终端业务，由此进一步确认该行为的非法性。我们甚至可以关联差旅系统确认该员工当前应该处于哪个城市、关联考勤系统确认该员工是否休假、关联HR系统确认该员工是否有离职倾向、关联CRM系统确认该员工是否正在参与公司重大项目等等。这就是大数据的魅力，但同时也是大数据的门槛所在——几乎每个企业客户都会有定制化的业务诉求，只有具备相当研发实力、安全积累和成功实践的厂商才能够提供解决方案。

　　可控、可用、可信的敏捷网络，才是真正安全的下一代网络，才能让客户平滑演进到真正质量可控、业务可用的ICT新时代。

　　责任编辑：Mary编辑