華為HiSec安全方案，以AI之力守護“數字地球”

2021年6月，國家重大科技基礎設施——地球系統數值模擬裝置在京建成并投入使用。這是我國首個具有自主知識產權，以地球系統各圈層數值模擬軟件為核心，軟、硬件協同設計，國產新一代E級高性能地球模擬超算平臺，通過專業軟件和海量計算，這套超算能夠模擬大氣圈、水圈、冰凍圈、巖石圈、生物圈的物理、化學、生物過程及其相互作用，為防災減災、應對氣候變化、生態環境建設等國家重要議題提供科學支撐。

套用時下流行的概念，這套地球系統數值模擬裝置就是地球的“數字孿生”，用龐大的計算來推演大氣、海洋和地質的變化，讓科學家們能夠洞悉關于這顆藍色星球過去和未來演化的秘密。顯然，這樣一套系統意義非凡，而保障其計算和數據不被網絡安全問題所困擾更事關重大。

其實，對于各類企事業單位的網絡安全防護，政府早在2016年頒布的《網絡安全法》當中就有明確規定：網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務。就這類尖端科研裝備而言，其適用標準則是嚴格的等保三級。此后，伴隨網絡安全威脅的快速變化和升級，等保的標準也在2019年末升級到了2.0版。

一邊是新系統、另一邊則是更嚴苛的網絡安全標準；中科院大氣物理研究所的需求非常明確：為這套復雜、強大的科學裝置搭建一套符合等保2.0三級規范的網絡安全系統，以應對各類已知和未知的安全威脅。

新系統、新標準大裝置的安全誰來守護？

作為一套搭建在數據中心內的集群系統，地球系統數值模擬裝置在等保2.0體系下的網絡安全防護系統搭建其實并不復雜。與所有數據中心一樣，解決方案要做的就是在系統每個可用區的網絡邊界部署一組區域防火墻，并在整個系統的互聯網接入區部署一組DDoS防御系統、邊界防火墻及IPS（入侵預防系統）；整網部署獨立的安全運維區，為整套系統提供運維審計、安全事件管理、漏洞掃描、終端威脅檢測與相應、安全準入認證等功能。

 

以上都是等保2.0時代IT系統網絡安全建設的標準“套路”，但作為一套典型的超算系統，地球系統數值模擬裝置的難點在于其極高的網絡基礎配置。雖然核心交換與承擔主要計算和存儲任務的HPC和存儲區采用普通的萬兆以太網連接，但其連接高性能計算區、DMZ區（承擔數據發布任務）、辦公園區、出口互聯的核心交換區均為100Gb高速連接。因此，對應的防火墻和網絡設備必須具備極高的吞吐量。

另一方面，作為全球頂尖的科研裝置，大氣所的地球系統數值模擬裝置顯然是各類黑客和攻擊行為的重點目標之一，其安全形勢只能用波譎云詭來形容。因此，扮演核心角色的防火墻和特征庫不僅要對已有的攻擊模式進行快速響應、快速阻斷，更要在未來相當長時間的持續運營當中經受住各類未知攻擊手段的考驗。

因此，這套網絡安全防護系統的供應商必須在安全和數通領域具備強大實力和豐富經驗。而經過反復對比調研，最終接下這一重任的正是華為；而華為給出的答案則是融合了全新AI技術的HiSec安全解決方案。

以AI之力守護“數字地球”

既然叫“網絡安全”；顯然要先建網，再談網絡安全。

為了保證基礎網絡在性能、可靠性等方面的能力，華為首先為裝置的基礎網絡搭建提供了多款旗艦級數通產品。華為在數據中心核心交換機方面為大氣所提供的是其久負盛名的CloudEngine16800，其在提供強大交換能力的同時也具備極強擴展性和可管理性、易維護性。在園區網方面，華為則帶來了同為旗艦產品的S12700敏捷交換機，能夠在支持大二層網絡的同時為用戶提供有線無線融合管理、智能排障、面向業務的可視化管理、SDN支持等眾多先進特性。

而在安全部分，華為則選擇了誕生于“未然”實驗室的HiSec安全解決方案，其最大特點便是對AI和大數據技術的綜合運用。

眾所周知，傳統的網絡安全思路是被動式的。防火墻提供商只能基于已有的病毒和攻擊樣本來提取特征，并對特征庫進行更新；而后，防火墻才具備對應的防護能力。在這種“道高一尺、魔高一丈”的競爭中，特征庫和防火墻總是落后一步，這就使得系統在應對未知威脅時防御力幾乎為零。而這顯然是大氣所和地球系統數值模擬裝置所不能接受的。

 

華為HiSec安全解決方案所搭載的AI算法則會主動分析全部流量，并基于強大的計算能力對包含于其中的網絡代碼進行深度分析，判斷其意圖和效果。一旦發現其存在破壞系統或盜取數據的可能，防火墻便會自動阻斷連接，防患于未然。經過眾多案例的實際驗證，這套基于行為和意圖的防護方式對于目前流行且得手率極高的APT攻擊具備更高的防護率。

當然，根據系統運行所生成的網絡日志，HiSec系統也會為正常的網絡訪問和業務流量建立對應的模型，讓系統的正常運行不會被防火墻打擾，從而保證裝置整體的網絡性能和效能。

作為整套系統的核心，HiSec系統會在本地和云端持續對AI算法進行訓練；這既能保證本地算力的充分運用，也能讓云端的龐大算力為AI的持續進化加速。

與此同時，華為未然實驗室的2500余名工程師也會在日常工作中對來自全球的網絡安全實踐和病毒樣本進行分析，對HiSec的特征庫和AI算法進行持續更新和維護，以確保安全系統的常用常新。

在AI算法、先進技術以及合理系統設計的多重加持下，華為HiSec安全解決方案能夠在外部入侵防御、內網安全防御、運維管理、網絡協同防御等方面為大氣所提供突出價值。而在華為工程團隊、服務團隊與大氣所的通力協作下，地球系統數值模擬裝置不僅如期上線，更順利通過了2.0標準下的等保三級評審認證工作。

截止目前為止，運行在地球系統數值模擬裝置里的“數字地球”運轉正常，一路安好。

打造數字時代新安全

雖然大氣所的地球系統數值模擬裝置在科研層面是國內乃至全球的頂尖存在，但其在網絡安全領域所面臨的困境和挑戰卻并不鮮見。新一代高性能基礎架構如何在新標準條件下實現安全效果和等保2.0驗收方面的雙合格，如何在持續的運行過程中實現長治久安；這是很多企事業單位都在思考的問題。

通過為安全系統引入AI、大數據及云能力，華為能夠將過去被動式的安全防護徹底逆轉，讓算法和算力主動出擊，最終實現防患于未然。同時，依托于對等保2.0標準的深刻理解和強大的服務能力，華為也有能力幫助用戶從容應對等保2.0標準中所增加的專家評審環節，加速系統的驗收和上線，為業務發展鋪平道路。

伴隨時代和技術的進步，網絡安全形勢只會更復雜，挑戰也只會更多；而以地球系統數值模擬裝置為代表的眾多案例則表明，AI加持的新一代安全解決方案正是解決已知威脅、應對未知風險的解藥和疫苗。

“因聚而生 為你所能”2022年6月15-16日，我們誠邀您 線上相聚，共赴華為伙伴暨開發者大會2022！

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。