華為從根本上做出轉(zhuǎn)變，致力于未知威脅檢測(cè)和快速診斷，讓網(wǎng)絡(luò)可信：

　　· 從被動(dòng)到主動(dòng)

　　我們不再只是基于特征進(jìn)行粗放式威脅檢測(cè)和防御，也不只是在企業(yè)部署了華為安全產(chǎn)品后才進(jìn)行威脅檢測(cè)和防御。在遵守各個(gè)國(guó)家/地區(qū)法律法規(guī)、不涉及侵犯隱私的前提下，華為全球部署黑洞、蜜網(wǎng)系統(tǒng)，采集安全事件與樣本，為IP、URL和文件構(gòu)建信譽(yù)。企業(yè)部署華為安全產(chǎn)品之后，即可享受到華為全球信譽(yù)云的服務(wù)和評(píng)估，信譽(yù)評(píng)級(jí)低于指定水平的對(duì)象會(huì)被篩選出來(lái)，當(dāng)作可疑對(duì)象進(jìn)行下一步深入檢測(cè)，絕大多數(shù)正常業(yè)務(wù)不會(huì)感知到因?yàn)榘踩珯z測(cè)帶來(lái)的延遲。90%以上的安全威脅可以由此被消除，而不會(huì)帶來(lái)業(yè)務(wù)延遲。

　　· 從技術(shù)為本到客戶(hù)為本

　　過(guò)去，當(dāng)所謂紅色代碼、熊貓燒香、CIH等安全事件爆發(fā)后，所有的專(zhuān)業(yè)安全廠商比拼的都是誰(shuí)先獲得樣本，誰(shuí)先在實(shí)驗(yàn)室里定義出特征，然后是誰(shuí)能夠防御。但這些事情都是廠商自己在唱戲，客戶(hù)通常要很多天后才能獲取更新、得到防御、避免進(jìn)一步的損失。華為把以往只放在專(zhuān)業(yè)安全廠商實(shí)驗(yàn)室里的技術(shù)產(chǎn)品化，部署到客戶(hù)網(wǎng)絡(luò)中和云端，直接為客戶(hù)提供服務(wù)，把未知惡意軟件的防御響應(yīng)時(shí)間縮短到“分鐘”級(jí)、甚至“秒”級(jí)。其中最具代表性的就是沙箱技術(shù)，華為可以為客戶(hù)提供PE沙箱、移動(dòng)沙箱、Web沙箱等多種類(lèi)型的產(chǎn)品子類(lèi)，被信譽(yù)體系篩選出來(lái)的少量可疑對(duì)象直接導(dǎo)入沙箱進(jìn)行模擬分析，判斷其過(guò)程和結(jié)果是否惡意，是否有威脅，然后做出放行與否的判斷。當(dāng)前業(yè)界流行的APT攻擊，絕大多數(shù)都是來(lái)自或通過(guò)未知惡意軟件達(dá)成，這意味著華為沙箱技術(shù)可以實(shí)現(xiàn)對(duì)APT攻擊的有效防御。

　　· 首次把大數(shù)據(jù)用于安全防御

　　當(dāng)前，對(duì)企業(yè)威脅最大的安全攻擊者不再是以前那些炫耀技術(shù)的黑客和憤青們了，而是雇傭黑客來(lái)達(dá)成商業(yè)或政治目的幕后黑手，或者企業(yè)內(nèi)部的惡意竊取者或破壞者，這意味著許多時(shí)候要防的不再是一段代碼或Flood沖擊，而是人，這是傳統(tǒng)安全永遠(yuǎn)也無(wú)法企及的領(lǐng)域，即使現(xiàn)在業(yè)界也鮮有有效的解決方案。華為通過(guò)在自身遍布全球5大洲的企業(yè)專(zhuān)網(wǎng)和IT系統(tǒng)上的成功實(shí)踐，把大數(shù)據(jù)應(yīng)用于企業(yè)信息安全防御。通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端系統(tǒng)和業(yè)務(wù)系統(tǒng)的事件采集，在大數(shù)據(jù)平臺(tái)上進(jìn)行關(guān)聯(lián)分析，從而能夠發(fā)現(xiàn)非法的攻擊行為。

　　舉例來(lái)說(shuō)：某個(gè)時(shí)刻，認(rèn)證系統(tǒng)發(fā)生了一次正常合法的認(rèn)證授權(quán)請(qǐng)求，該用戶(hù)隨即訪問(wèn)了與其權(quán)限匹配的文件系統(tǒng)，并下載了關(guān)鍵文檔，然后正常退出登錄；過(guò)了幾分鐘后這樣的過(guò)程又發(fā)生了一遍。這在一個(gè)超過(guò)10萬(wàn)人的企業(yè)中非常正常，但大數(shù)據(jù)系統(tǒng)卻發(fā)現(xiàn)了問(wèn)題：第一次訪問(wèn)時(shí)該用戶(hù)所在地理位置是中國(guó)北京、在公司外部遠(yuǎn)程接入，但幾分鐘后的第二次訪問(wèn)卻發(fā)生在美國(guó)加州硅谷。通過(guò)網(wǎng)絡(luò)系統(tǒng)controller排除了合法用戶(hù)使用代理服務(wù)器的可能性后，基本就可以確定這是一起非法盜號(hào)入侵事件了，第二次訪問(wèn)會(huì)直接被阻斷并發(fā)出告警。如果網(wǎng)絡(luò)情況比較復(fù)雜，不能排除使用代理服務(wù)器的可能性，系統(tǒng)則會(huì)進(jìn)一步關(guān)聯(lián)文件系統(tǒng)，從而發(fā)現(xiàn)該用戶(hù)屬于無(wú)線部門(mén)，第二次訪問(wèn)的文件卻是和自己業(yè)務(wù)完全不相關(guān)的終端業(yè)務(wù)，由此進(jìn)一步確認(rèn)該行為的非法性。我們甚至可以關(guān)聯(lián)差旅系統(tǒng)確認(rèn)該員工當(dāng)前應(yīng)該處于哪個(gè)城市、關(guān)聯(lián)考勤系統(tǒng)確認(rèn)該員工是否休假、關(guān)聯(lián)HR系統(tǒng)確認(rèn)該員工是否有離職傾向、關(guān)聯(lián)CRM系統(tǒng)確認(rèn)該員工是否正在參與公司重大項(xiàng)目等等。這就是大數(shù)據(jù)的魅力，但同時(shí)也是大數(shù)據(jù)的門(mén)檻所在——幾乎每個(gè)企業(yè)客戶(hù)都會(huì)有定制化的業(yè)務(wù)訴求，只有具備相當(dāng)研發(fā)實(shí)力、安全積累和成功實(shí)踐的廠商才能夠提供解決方案。

　　可控、可用、可信的敏捷網(wǎng)絡(luò)，才是真正安全的下一代網(wǎng)絡(luò)，才能讓客戶(hù)平滑演進(jìn)到真正質(zhì)量可控、業(yè)務(wù)可用的ICT新時(shí)代。