華為在2014趨勢CIO峰會上介紹如何構建企業(yè)核心信息資產安全體系，利用大數據分析技術和全網安全協防理念保護企業(yè)關鍵信息資產。華為認為，企業(yè)的APT攻擊防護需要轉變思想，由“被動堵“變“主動圍”，建立主動威脅防護體系，做到“進不來，拿不走，打不開”。

　　CTI論壇(ctiforum)8月18日消息（記者 李文杰): 全球領先的信息與通信解決方案供應商華為，近日參加2014趨勢CIO峰會上，與近300位全球云計算領導廠商、國內領先行業(yè)，知名企業(yè)的CIO、CSO就云數據中心安全架構、大數據安全、移動設備安全管理等熱點話題進行討論。華為還分享了華為安全解決方案如何利用大數據分析技術和安全協防理念，幫助企業(yè)構筑縱深防御體系，應對APT攻擊，保護關鍵信息資產的安全。

　　當前，一種有組織、針對特定目標、破壞力大、持續(xù)時間長的新型威脅出現，使企業(yè)網絡安全面臨前所未有的挑戰(zhàn)。這種攻擊也被稱為APT（Advanced Persistent Threat）攻擊。APT攻擊通常走合法通道、利用零日漏洞、采用社會工程學的方式。在APT出現之前，威脅主要來自于外部，防御集中在網絡邊界，防護策略以“堵”為主。APT出現后， 通過邊界防御的概率大大增加，潛伏在企業(yè)網絡內部等待時機。因此防護策略應轉變?yōu)橐?ldquo;圍”為主，圍繞關鍵信息資產構建防御。

　　這將會促使現有的信息安全防護體系做出重大改變。首先，在網絡邊界的防護需要更加嚴密，安全網關不僅要能防御已知特征的常規(guī)威脅，還必須快速識別未知威脅。業(yè)界解決的方法主要有兩個，信譽體系和沙箱。其次，對已經穿越邊界防線的攻擊，要集合全網設備進行協同防御。綜合分析APT攻擊潛伏后的蛛絲馬跡，通過其行為特征進行識別并阻斷隔離。第三，要對關鍵信息資產進行加密保護，嚴格控制信息外傳。這也正是華為安全解決方案應對APT攻擊保護企業(yè)關鍵信息資產的思路。華為交換機與企業(yè)通信產品線首席安全架構師錢曉斌在趨勢CIO大會主題演講上的分享就清晰地指出了這一點：“進入APT時代，企業(yè)的APT攻擊防護需要轉變思想，由‘被動堵’變‘主動圍’，建立主動威脅防護體系，做到‘進不來，拿不走，打不開’。”

　　華為以下一代防火墻為主體構建了APT時代的關鍵信息安全保護體系。作為高度匹配Forrester Research提出的網絡隔離網關模型的產品，它具有完備的防護功能和出色的性能，防御APT竊取關鍵信息資產的各個階段都扮演了重要角色。

　　在邊界，使用下一代防火墻阻斷高風險應用和已知惡意網站，降低網絡受到傳統(tǒng)型攻擊的危險。同時，通過與華為安全云的聯動，依托部署在云上的沙箱及基于大量數據分析統(tǒng)計構建出的信譽體系，華為下一代防火墻能夠及時準確地識別未知威脅。在企業(yè)內網，華為敏捷網絡中的Agile Controller將收集全網設備的安全日志，通過綜合分析及時發(fā)現已潛伏攻擊的惡意行為，并智能調度全網設備進行阻斷隔離。在數據外傳階段，華為下一代防火墻會對傳輸文件的類型和內容進行嚴格檢查，有效防止關鍵信息資產從內向外的泄露。

　　客戶在華為展臺了解下一代防火墻，Anti-DDoS等網絡安全產品