上海移動×華為：SDSec一小步，網路安全一大步

當萬物互聯感知帶來網路連接大爆發，與網路安全國家戰略持續推進呈現出“時”與“勢”的迅猛交織，運營商的網路資訊安全體系迎來前所未有挑戰。如何化繁為簡、主動出擊、防患未然，成為擺在它們面前最迫切需要解決的問題。6月27日，在MWCS2018（2018世界移動大會·上海）的首日，上海移動攜手華為重磅發佈了SDSec安全解決方案聯合創新成果，並啟動商用樣板點建設。

有別於傳統單點、被動的防禦機制，基於華為SDSec安全解決方案，上海移動與華為的聯合創新實現了以用戶為中心，全天候、全方位感知安全態勢，並主動防禦網路威脅，從而進一步提升了上海移動的網路安全防禦能力。該解決方案在理念、技術層面展現出完全不同於以往安全方案的諸多特性，堪稱“SDSec一小步，網路安全一大步”。

SDSec加持，上海移動的網路安全防禦獲得“上帝視角”

隨著聯網設備數量和網路流量激增，網際網路安全威脅的種類及方式也變得紛繁複雜，使得即便專業過硬、經驗豐富的網路安全管理員，在很多時候也變得手忙腳亂或束手無策。“敵在暗，我在明”的不對等關係，往往讓網路安全管理員不知道網路上發生了什麼，只有等到攻擊發生了才採取應對措施；而又往往會因為“敵眾我寡”，致使他們不總是能夠第一時間解決新冒出來的問題，造成安全SLA無法承諾。

“不識廬山真面目，只緣身在此山中”，在上海移動和華為看來，造成上述現象的主要原因在於網路安全管理員缺少感知全網安全態勢的工具。因此，上海移動聯合華為基於SDSec安全解決方案的聯合創新，第一步便著眼于給安全管理人員帶來可視化的統一監測平臺，賦予他們“上帝視角”，一目了然看清全網攻擊情況。在發現問題的基礎上，該解決方案將攻擊溯源、一鍵處置和工單派發等後續執行動作整合到同一界面中，賦予安全管理員與“上帝視角”相匹配的“上帝能力”，使得即便是非資深人員也能夠“按部就班”排除威脅。

在發佈會現場，上海移動的工作人員現場演示了一個簡單的如何封堵和解封疑似非法博彩網站的案例，其中的一鍵處置完美展現了SDSec安全解決方案對安全事件的秒級響應能力。而在更多更複雜的網路攻擊情境中，該解決方案的主動發現威脅、攻擊深度溯源、一鍵處置及工單派發將聯動發力，快速地發現、鎖定並解決問題。

出席發佈會的上海移動資訊安全管理部總經理薛崢對此解決方案做出高度評價，他指出，打造以用戶為中心的網路，護衛用戶網路安全是我們一直以來的目標。本次與華為深度合作的創新SDSec安全解決方案覆蓋了數據中心、城域網等各業務場景，為用戶構築了主動、智慧的防禦體系。

簡約而不簡單，SDSec是理念與技術的合力

無數的先例告訴我們，越是簡單的事情背後往往越不簡單。SDSec“上帝視角”及“上帝能力”的煉成，可以説是理念與技術的合力，兩者缺一不可。

在理念上，此次上海移動與華為發佈的SDSec安全解決方案聯合創新成果，是華為意圖驅動的智簡網路解決方案（IDN，Intent-Driven Network）在安全場景的首個運營商商用部署用例，其理念承襲了華為對IDN的定義和期許。所謂IDN，其核心就是通過在物理網路和商業意圖之間構建一個“數字孿生世界”，驅動網路從SDN網路向智簡網路演進，使能商業價值最大化。安全是華為IDN的五大特徵之一，華為SDSec的核心就是提前識別安全威脅，實現主動防禦，為網路的智慧化和自動化提供安全保障。

這一理念定位也使得華為SDSec安全解決方案相對傳統SDSec（比如Gartner的定義）具備更多內涵。比如傳統的SDSec聚焦于雲環境下的資源調度和策略管理，在業務運維的角度進行優化，主要考慮如何靈活敏捷的獲取、編排、調整、擴容等角度。而華為定義的SDSec安全解決方案，是在所有的場景下，用軟體定義的方式把網路及安全的網元、安全功能模組系統地的協同起來，並通過定義介面與執行，讓所有的安全能力形成真正的聯動。在SDN的環境中採用的安全方案，還應當考慮防護效率的問題，也就是要抓住“認得出“、“防得住”的安全本質。

必須意識到，具備領先和示範效應的理念和技術，都不是一步達成或憑空産生的。華為能夠超越Gartner定義的通用軟體定義安全而推出更具特色的SDSec安全解決方案，背後的理念進階和技術升級也是有跡可循的。比如在提出SDSec之前，華為在雲安全、物聯網安全等方面做了不少積累。在Gartner發佈的2017年企業防火牆魔力象限(Magic Quadrant)報告中，華為的企業防火牆産品系列首次從尼基象限（Niche Player）進入到挑戰者象限（Challenger Player）；而以防火牆為代表的安全網元，正是SDSec安全解決方案中非常重要的執行單元。

SDSec一小步，可能是網路安全的一大步

值得注意的是，此次上海移動與華為發佈的SDSec安全解決方案聯合創新成果，是華為SDSec安全解決方案在運營商場景的首個商用部署，亦即初次亮相。出席發佈會的雙方高管也均表示，該項目仍在雙方的緊密合作中持續推進。該解決方案的能力——特別是其中AI加持的全面智慧化能力——也正在從連續不斷的實際案例自學習中成長壯大。

“與上海移動的SDSec聯合創新是華為IDN理念在安全領域落地實踐的第一個樣本，我們將全面助力上海移動打造以用戶體驗為中心的安全網路，最大化網路價值，最終使能其商業成功。”華為網路産品線首席行銷官危峰如是説。

眼下，隨著4G LTE不斷演進和5G到來，高頻寬、大容量、低時延的網路正在催生連接量的大爆發，加速雲化以支撐海量連接、海量新業務的運營商網路將面臨更多的資訊洩露、管道攻擊、僵木蠕氾濫、越權訪問等安全威脅，要求運營商必須主動出擊發現網路威脅，提高整網攻擊事件處置效率，為不斷升級擴容的網路提供智慧化與自動化的安全保障，為用戶構築主動、智慧的防禦體系，同時降低自己的OPEX。

儘管從目前來看，包括正式商用的案例數量和系統自身的發展階段，SDSec目前可能還只是邁出了一小步，但它背後的智簡網路理念與技術，無疑代表著運營商網路安全防禦水準朝前跨進了一大步。在網路連接大爆發和網路安全國家戰略不斷深化等多重因素作用下，未來越來越多的運營商也將加入到這場跨越中來，全面升級網路安全防禦能力，積極主動擁抱未來。（本文由極客網供稿）