上海移動×華為：SDSec一小步，網絡安全一大步

當萬物互聯感知帶來網絡連接大爆發，與網絡安全國家戰略持續推進呈現出“時”與“勢”的迅猛交織，運營商網絡信息安全體系迎來前所未有挑戰。

當萬物互聯感知帶來網絡連接大爆發，與網絡安全國家戰略持續推進呈現出“時”與“勢”的迅猛交織，運營商的網絡信息安全體系迎來前所未有挑戰。如何化繁為簡、主動出擊、防患未然，成為擺在它們面前最迫切需要解決的問題。6月27日，在MWCS2018（2018世界移動大會·上海）的首日，上海移動攜手華為重磅發布了SDSec安全解決方案聯合創新成果，并啟動商用樣板點建設，給業界呈現了一條耳目一新且行之有效的解決之道。

有別于傳統單點、被動的防御機制，基于華為SDSec安全解決方案，上海移動與華為的聯合創新實現了以用戶為中心，全天候、全方位感知安全態勢，并主動防御網絡威脅，從而進一步提升了上海移動的網絡安全防御能力。該解決方案在理念、技術層面展現出完全不同于以往安全方案的諸多特性，堪稱“SDSec一小步，網絡安全一大步”。

SDSec加持，上海移動的網絡安全防御獲得“上帝視角”

隨著聯網設備數量和網絡流量激增，互聯網安全威脅的種類及方式也變得紛繁復雜，使得即便專業過硬、經驗豐富的網絡安全管理員，在很多時候也變得手忙腳亂或束手無策。“敵在暗，我在明”的不對等關系，往往讓網絡安全管理員不知道網絡上發生了什么，只有等到攻擊發生了才采取應對措施；而又往往會因為“敵眾我寡”，致使他們不總是能夠第一時間解決新冒出來的問題，造成安全SLA無法承諾。

“不識廬山真面目，只緣身在此山中”，在上海移動和華為看來，造成上述現象的主要原因在于網絡安全管理員缺少感知全網安全態勢的工具。因此，上海移動聯合華為基于SDSec安全解決方案的聯合創新，第一步便著眼于給安全管理人員帶來可視化的統一監測平臺，賦予他們“上帝視角”，一目了然看清全網攻擊情況。在發現問題的基礎上，該解決方案將攻擊溯源、一鍵處置和工單派發等后續執行動作整合到同一界面中，賦予安全管理員與“上帝視角”相匹配的“上帝能力”，使得即便是非資深人員也能夠“按部就班”排除威脅。

在發布會現場，上海移動的工作人員現場演示了一個簡單的如何封堵和解封疑似非法博彩網站的案例，其中的一鍵處置完美展現了SDSec安全解決方案對安全事件的秒級響應能力。而在更多更復雜的網絡攻擊情境中，該解決方案的主動發現威脅、攻擊深度溯源、一鍵處置及工單派發將聯動發力，快速地發現、鎖定并解決問題。

出席發布會的上海移動信息安全管理部總經理薛崢對此解決方案做出高度評價，他指出：“打造以用戶為中心的網絡，護衛用戶網絡安全是我們一直以來的目標。本次與華為深度合作的創新SDSec安全解決方案覆蓋了數據中心、城域網等各業務場景，為用戶構筑了主動、智能的防御體系。”

簡約而不簡單，SDSec是理念與技術的合力

無數的先例告訴我們，越是簡單的事情背后往往越不簡單。SDSec “上帝視角”及“上帝能力”的煉成，可以說是理念與技術的合力，兩者缺一不可。

在理念上，此次上海移動與華為發布的SDSec安全解決方案聯合創新成果，是華為意圖驅動的智簡網絡解決方案（IDN，Intent-Driven Network）在安全場景的首個運營商商用部署用例，其理念承襲了華為對IDN的定義和期許。所謂IDN，其核心就是通過在物理網絡和商業意圖之間構建一個“數字孿生世界”，驅動網絡從SDN網絡向智簡網絡演進，使能商業價值最大化。安全是華為IDN的五大特征之一，華為SDSec的核心就是提前識別安全威脅，實現主動防御，為網絡的智能化和自動化提供安全保障。

這一理念定位也使得華為SDSec安全解決方案相對傳統SDSec（比如Gartner的定義）具備更多內涵。比如傳統的SDSec聚焦于云環境下的資源調度和策略管理，在業務運維的角度進行優化，主要考慮如何靈活敏捷的獲取、編排、調整、擴容等角度。而華為定義的SDSec安全解決方案，是在所有的場景下，用軟件定義的方式把網絡及安全的網元、安全功能模塊系統地的協同起來，并通過定義接口與執行，讓所有的安全能力形成真正的聯動。在SDN的環境中采用的安全方案，還應當考慮防護效率的問題，也就是要抓住“認得出“、“防得住”的安全本質。

必須意識到，具備領先和示范效應的理念和技術，都不是一步達成或憑空產生的。華為能夠超越Gartner定義的通用軟件定義安全而推出更具特色的SDSec安全解決方案，背后的理念進階和技術升級也是有跡可循的。比如在提出SDSec之前，華為在云安全、物聯網安全等方面做了不少積累。在Gartner發布的2017年企業防火墻魔力象限(Magic Quadrant)報告中，華為的企業防火墻產品系列首次從尼基象限（Niche Player）進入到挑戰者象限（Challenger Player）；而以防火墻為代表的安全網元，正是SDSec安全解決方案中非常重要的執行單元。

SDSec一小步，可能是網絡安全的一大步

值得注意的是，此次上海移動與華為發布的SDSec安全解決方案聯合創新成果，是華為SDSec安全解決方案在運營商場景的首個商用部署，亦即初次亮相。出席發布會的雙方高管也均表示，該項目仍在雙方的緊密合作中持續推進。該解決方案的能力——特別是其中AI加持的全面智能化能力——也正在從連續不斷的實際案例自學習中成長壯大。

“與上海移動的SDSec聯合創新是華為IDN理念在安全領域落地實踐的第一個樣本，我們將全面助力上海移動打造以用戶體驗為中心的安全網絡，最大化網絡價值，最終使能其商業成功。” 華為網絡產品線首席營銷官危峰如是說。

眼下，隨著4G LTE不斷演進和5G到來，高帶寬、大容量、低時延的網絡正在催生連接量的大爆發，加速云化以支撐海量連接、海量新業務的運營商網絡將面臨更多的信息泄露、管道攻擊、僵木蠕泛濫、越權訪問等安全威脅，要求運營商必須主動出擊發現網絡威脅，提高整網攻擊事件處置效率，為不斷升級擴容的網絡提供智能化與自動化的安全保障，為用戶構筑主動、智能的防御體系，同時降低自己的OPEX。

這，正好給SDSec這樣奉行智能化、自動化安全防御解決方案提供了施展空間。盡管從目前來看，包括正式商用的案例數量和系統自身的發展階段，SDSec目前可能還只是邁出了一小步，但它背后的智簡網絡理念與技術，無疑代表著運營商網絡安全防御水平朝前跨進了一大步。在網絡連接大爆發和網絡安全國家戰略不斷深化等多重因素作用下，相信越來越多的運營商加入到這場跨越中來，全面升級網絡安全防御能力，積極主動擁抱未來。

最后，記得關注微信公眾號：鎂客網（im2maker），更多干貨在等你！