敏捷网络的发展正越来越多地造就着万物互联的时代加速到来，物联网正在改变着我们工作生活的方方面面。在享受物联网时代所带来的便捷与高效的同时，一个不容忽视的问题也呈现在我们面前：物联网正在放大着网络安全的威胁。

为应对日益严峻的安全形势，在日前召开的华为2015HNC大会上，华为向业界重磅推出了最新的基于大数据的安全解决方案，并倡议发起“云清联盟”，提供全球范围内的DDoS攻击实时清洗服务, 保护链路带宽的可用性和数据中心业务的连续性。

改变防御思路 有效应对APT攻击

据统计，在现实世界中，250亿个物联终端70%都存在安全漏洞，平均每台设备上的漏洞数达25个。而这些设备很有可能在信息世界中沦为APT攻击的跳板，成为僵尸网络的肉鸡。

面对这一趋势，华为在本次大会上重磅推出了其基于大数据的安全解决方案，主要包含三大重量级产品： FireHunter系列安全沙箱、CIS网络智能安全系统，以及USG6000V系列软件虚拟防火墙。

华为交换机与企业通信产品线副总裁、安全网关领域总经理刘立柱日前在2015HNC大会期间接受了媒体记者专访，介绍了华为基于大数据的APT安全解决方案的防御思路，他指出：在对APT 攻击的防御上，华为今年将进一步向大数据安全的方向发展。APT安全防御需要深度的机器学习，建立正常的企业的流量行为基线，并对各种行为进行并进行多维度的威胁分析。当企业遭遇APT攻击，其必将会暴露出以对核心系统以窃密和达成控制为目标的攻击行为，当这一异常行为表现出来，一经对比就会立刻察觉。华为正是基于这样的设计理念来考虑APT大数据安全解决方案如何去设计和发展。

相较于业界同类产品，FireHunter系列安全沙箱拥有18万/天的快速稳健检测性能，以及8Gbps的强大web 零day检测能力，远远高于业界水平;CIS网络安全智能系统在检测可疑行为数目、智能检测时延以及早期预警时间等方面也远远赶超业界水准;而USG6000V系列软件防火墙也是一款具有高性能、全特性、广适配、易对接等特性的高性能安全产品。通过这三大重量级产品，华为将系统地构筑起面向APT和深度高级恶意威胁的各种形式的安全防护。

据刘立柱介绍，华为目前已在金融行业开始规模部署FireHunter沙箱，在两个月内，已成功发现了230多种APT未知的恶意行为，其中有72种为业界首次发现。从过去黑名单式的防御模式，到如今要建立起企业正常的流量基线和正常的业务模型，华为今年的APT安全解决方案也彰显出其在安全防御思维方面的改变。

发挥各自优势 共同抗击DDoS

面对物联网、云计算的发展， DDoS攻击成为其面临的最大问题。随着云计算的发展，大量公众云成为僵尸主机的新宿主，并呈现大规模和全球化的趋势。据统计，在4年间，DDoS攻击增长率高达500%，也由此演变成了成本越来越低廉但危害性却越来越大的攻击形式。

针对目前业界对DDoS攻击的防御模式，刘立柱表示：华为认为现在的防护手段更像是各家自扫门前雪，但在真正危机来的时候谁也不能解决问题，而且会带来很多正常流量所需要带宽的无价值的消耗。因此，华为希望通过建立云清联盟来实对全球DDoS攻击防护的调度，实现近源清洗，以此提高防护效果、节约成本。

在本次2015HNC大会上，华为与中国电信、青松科技等公司共同倡议发起了“云清联盟”，旨在建设基于大数据的云SOC平台，联接全球范围内电信运营商和大中型IDC的DDoS防护资源，对DDoS攻击进行实时分析和响应。

对此刘立柱说道：“华为提出‘云清联盟’的解决方案是一个很好的模式，比如说，电信运营商有带宽，对于流量攻击有天然的防护优势;MSSP有很好的运营能力，其拥有精细化的调度和客户化服务的好技术和方法;结合华为的抗DDoS攻击等技术，我们将各自的优势汇聚在一起，共同打造一个云清联盟。”

据悉，云清联盟成立后，可在全球范围内提供分钟级的DDoS清洗服务。而联盟也将基于开放共赢的模式，最终用户、合作伙伴、华为多方均可从中获益。

结语

无论是发布基于大数据的APT安全解决方案，还是倡导成立云清联盟，从APT安全防御，到边界的防护、内部的网络隔离，再到网络流量的行为管理，以及到整个带宽的管理，华为近年来在网络安全领域进行了非常多的探索努力。目前，华为安全解决方案已在敏捷网络中与其控制器和其他的网元都形成了业务随行、全网协防，形成联动和协同的效果，给用户带来巨大的便利与价值。而华为也将持续致力于帮助客户构筑出更加安全、清洁的“全联接”网络环境。

(责任编辑：安博涛)