华为网络安全领域总经理宋端智：标准化是促进安全产业健康发展的必经之路

推进网络信息安全产业发展 夯实网络安全强国建设基础

经过近20多年的发展，我国网络信息安全产业在克服各种困难中砥砺前行。从国家逐步完善网络信息安全产业的顶层设计，到各职能部门陆续推出各项政策法规和鼓励措施，再到网络信息安全企业的不懈奋斗，网络信息安全产业的发展为信息化建设提供了基本保障。如今，网络信息安全产业迎来了前所未有的发展机遇，网络信息安全产业的从业者，必将会披荆斩棘在不断化解各种“问题”的路上继续前行。

用户网络正面临与日俱增的安全威胁，黑客的攻击手段隐蔽而持续，且不断升级，使用户防不胜防，损失惨重。这种情况使用户在网络安全建设过程中，需要在终端、网络、应用等多个层面相互协同防御的解决方案。但是，现实情况更为复杂，一方面，网络安全厂商各自为战，无法形成合力有效应对攻击威胁；另一方面，单一网络安全厂商由于自身业务的局限无法提供全面领先的整体方案。因此，需要网络安全厂商团结起来形成合力，共同应对存在的问题，为网络安全产业未来的发展探讨可行的解决方案。

用户的需求：在终端、网络、应用等多个层面相互协同防御的解决方案

从中国网络安全市场供需双方的情况看，存在供应商说不清效果，客户不知道如何选择，短期投机多于长期投资，以及市场不公平竞争等情况，影响网络安全产业的正常秩序。

目前，网络安全行业的发展具有以下特征：第一，从用户的感受情况看，许多安全厂商都自称是“老中医，包治百病”，但是，实际效果却不是这样。第二，从厂商的情况看，安全市场碎片化严重、竞争不公平，很难做大。第三，从安全从业者的角度，他们认为安全行业的前景好、就业情况好，但是，自己的技能却施展不开。

我们认为，造成这种情况的主要原因有三个：首先是客户搞不清安全产品或方案的实施效果，所以，不愿过多投入。第二，安全产品复杂繁多，不知道该如何选择，于是导致关系驱动采购，很难公平竞争。第三，由于缺乏公平竞争，所以导致市场碎片化，安全企业更倾向于短期投机，而不是长期投资，最终导致整个产业秩序相对混乱。

虽然政府可以通过促进投资、政策支持等手段，驱动产业发展，但是这些做法只能是锦上添花，很难从根本上改变产业趋向健康发展。针对以上问题，华为认为，对于企业市场网络安全市场来说，标准化才是这个产业健康发展的必经之路，只有标准化才能促进实现公平竞争、优胜劣汰、合理分工的良性环境。

华为的解决方案：联合产业领先厂商打造面向信息安全市场的商业联盟

为解决这个问题，华为给出的解决方案是“联合产业领先厂商打造面向信息安全市场的商业联盟”，即华为安全商业联盟，而且，对联盟成员的选择标准提出要求：首先，有“一技之长”，即在所提供产品的细分领域是佼佼者，这样才能在整个联盟、整个安全解决方案的组合中贡献更大的力量。第二，联盟成员是可以长期合作的伙伴，而非急功近利的伙伴，因为打造一个能够真正给客户带来价值的安全解决方案，是一个长期的过程。在华为，有一句话，叫“板凳要坐十年冷”。我们强调，针对一个长期重大的商业目标，一定要有战略耐心，希望联盟成员也同样要有战略耐心，即在打造安全解决方案的过程中，能真正给客户带来价值就一定有商业回报。

从联盟的名称上看，华为安全商业联盟的名字中加了一个关键词“商业”，是想表明该联盟的目标之一就是商业成功。我们希望，该联盟能为每一位联盟成员带来商业成功，一个不能给联盟成员带来商业价值的联盟可能很快就会分崩离析。但是，对于华为安全商业联盟来说，华为不希望商业目标的达成是通过一些短期的行为，如在一些市场项目中各家厂商瓜分利益的方式去实现，更希望通过各厂商长期的共同努力打造一个能够帮助客户解决其所面临的安全风险与威胁的安全解决方案。在客户感知安全解决方案的价值之后，客户愿意分享利益给联盟，实现整个联盟的商业目标。

虽然安全行业已经有众多联盟组织，但是华为安全商业联盟在成立之初即有明确的目标和清晰的方向：联盟的方向是基于华为软件定义安全（SDSec）解决方案的架构，结合华为与联盟成员各自的优势，不断完善华为SDSec安全解决方案；目标是希望整体安全解决方案能够真正地解决客户问题，帮助客户在实际应用中防御任何可能出现的安全威胁与风险。希望通过努力，将华为SDSec打造成业界最佳实践，并成为一个被大家逐渐认可的、事实上的标准，同时，通过SDSec软件定义安全架构来促进安全产业的标准化，促进安全产业的健康发展。这也是未来华为安全商业联盟的工作重点和方向。

从今年3月华为主导成立华为安全商业联盟开始，到9月首届华为安全商业联盟峰会召开的半年时间，华为安全商业联盟的合作伙伴已经拓展到11家，包括传统、新兴和初创安全厂商，涵盖边界安全、网络安全、应用安全和终端安全等技术领域，并且已经实际对接签约和落地的客户案例。这一系列进展包括：第一，发布了多个用于统一联盟成员产品对接的标准规范；第二，先后与多家联盟成员的相关产品进行了基于SDSec架构的方案对接，为联盟成员搭建互通的桥梁；第三，帮助包括多家商业银行在内的企业客户加强安全风险防御能力。通过协作与实践，联盟本身的价值与影响力已初步体现，也因此在国际上获得了企业用户评选的ONUG创新大奖。

虽然在过去半年里，联盟推进的商业结果还没有很快呈现出来，但是，就像华为一贯的作风一样，一步一个脚印，脚踏实地前行，每走一步都会为未来打下坚实的基础。在保证利益共享的前提下，“不求快速，逐步发展”，一定要“共同前行，锲而不舍”，这样的事业才能做得长久。诚如所言：独行者步疾，结伴者行远。当然，建立安全生态的难度之大，任重道远，成立联盟只是万里长征的第一步。

未来的方向：以智能软件定义安全的整体架构促进安全产业的标准化

安全环境和安全需求复杂多变，很难标准化。但是，客户定制化和个性化需求是不得已而为之，因为之前没有业界标准，没有人或太多人对标准进行定义。依赖安全标准组织事实上很难，因此，从最佳实践中提炼安全标准更加实际、更有可能。我们认为，标准化是产业健康发展的必经之路，希望通过SDSec软件定义安全的架构来促进安全产业的标准化，并寻找在业界细分领域中有竞争力的合作伙伴产品。

基于华为的SDSec软件定义安全架构，联盟推出了协同各伙伴优秀产品的整体网络安全解决方案，该架构分为三层，即安全分析器、安全控制器和安全执行器。这三层就像人的大脑、中枢神经、四肢和五官。其中，安全分析器就是大脑，它负责收集执行器中的安全相关数据，结合云端的联盟威胁情报，引入AI，进行大数据分析，精准检测已知和未知威胁，并自动通知安全控制器进行威胁处置。

SDSec安全解决方案通过基于AI技术的威胁检测、软件定义网络与安全的联动防御以及安全策略智能调优，提高运营商网络基础设施和企业IT网络抵御威胁的能力，提高安全运维效率，降低运维成本。这种平台标准化的模式可以应对各种行业场景和业务场景的安全需求，但是仅凭华为一家厂商，无法自行构建完整的SDSec，要想达到整体化，就必须开放。从技术上看，SDSec已经统一了一些接口标准，以搭建联盟成员技术互通的关键基础，例如第三方安全网元纳管接口、沙箱联动协议接口、大数据分析南向数据采集接口、EDR联动接口等。而且，需要不断完善SDSec的架构及组成、涉及部件，寻找业界有竞争力的产品，把SDSec打造为业界最佳实践。

标准化是网络安全市场产业健康发展的必经之路，只有达到相对的标准化，在公平竞争的环境里，整个产业才会有合理的分工，才能在公平竞争中，实现公平的较量。而且，只有实现标准化之后，社会和产业都将受益。

（本文刊登于《中国信息安全》杂志2018年第10期）

更多信息安全专家文章

请关注公众号！