人工智能(AI)正以前所未有的深度和广度重塑网络空间:一方面是生成式AI赋能攻击者,自动化、高仿真的勒索钓鱼、社会工程攻击层出不穷,攻击门槛持续降低;另一方面则是量子计算的脚步渐近,对现有加密体系构成潜在颠覆性威胁。万物互联、云化转型在释放巨大数字生产力的同时,也让关键信息基础设施(以下简称“关基”)的暴露面急剧扩大,传统边界防护体系在智能化、立体化、服务化的未知威胁面前显得力不从心。关基作为国之命脉,正面临前所未有的安全挑战——筑牢其安全底座,已成为关乎国家安全和社会稳定的核心议题。
面对这场智能时代的“攻防不对称”困局,如何构建一个能动态感知、智能决策、快速响应、弹性恢复的下一代安全防御体系?如何将安全能力从“单点布防”升级为覆盖“云、网、边、端”的一体化韧性防护?
本次关保联盟独家对话华为安全产品领域首席技术官张光明,深度解析华为如何以创新科技“智构”关基安全未来。
根技术筑基:揭秘华为从安全专用芯片、内生可信架构出发,如何打造“确定性”的安全根基,为复杂环境下的关基系统设立牢不可破的安全底线。
AI驱动智御:深入探讨AI(尤其是大模型)如何打通数据壁垒,实现百倍级威胁检测效率提升与毫秒级自动响应,解决海量告警、未知威胁和APT攻击等核心痛点,重构安全运营范式。
韧性体系构建:阐释华为如何融合“内生安全+AI智能分析+自动化风险评估与运营”三层能力,实现防御体系的动态自优化与弹性恢复,确保关基业务在遭受攻击时依然能“打不垮、断不了”。
体系化防御破局:借鉴联合作战理念,剖析华为“云网边端一体化”架构如何通过统一平台、数据融合、数字地图与智能编排,实现全局协同、情报共享与快速精准处置,破解传统安全“孤岛”困境。
应对未来挑战:直面AI武器化、量子计算威胁,解读华为在PQC(后量子密码)、QKD(量子密钥分发)等前沿领域的布局,为关基构建面向未来的加密防护能力。
成功实践赋能:分享华为在金融、政府等关基行业的零信任全场景防护、跨域协同防御等标杆案例与实效数据(如勒索检出率>99%),验证韧性防御体系的实战价值。
华为网络安全,致力于以自主创新的根技术与前沿的AI智能,为关键信息基础设施“智构”一道动态进化、全域协同、固若金汤的韧性安全长城。本次访谈,将为您揭示智能时代守护关基命脉的核心路径与华为方案。
一、未来安全技术趋势与产业发展
关保联盟:未来1—3年,AI在攻防两端(如自动化攻击对抗、未知威胁识别)将如何具体演进?量子计算会否颠覆现有加密防御体系?
张光明:近十几年来,AI从机器学习,到神经网络为代表的深度学习,再到最新的生成式AI的大模型,跨越了技术拐点,从“预测推断”走向“认知创造”。从网络安全从业者的角度看,AI在网络安全领域的应用,在早期更多体现为专家系统(辅助签名、规则、情报提取),同时逐步用ML/DL检测模型去做变种/未知威胁检测,再到当前利用安全大模型,构建自动化的安全运营,以及深度病毒DNA溯源分析,APT攻击链分析等;安全业内人士逐步真正认可AI的价值,并开始用AI重构目前的安全体系。
在当前的智能时代,对于网络安全而言,AI是把双刃剑。黑客利用AI进行攻防对抗的能力提升,使得攻击平台化,智能化、服务化(RaaS,勒索即服务)。AI辅助网络安全攻击带来的新威胁场景:自主化、规模化的拒绝服务攻击威胁;智能化、高仿真的社会工程学攻击威胁;智能化、精准化恶意代码威胁。例如生成式AI辅助的社工攻击,黑客通过社工方式,进行金融欺诈、网络钓鱼,通过心理引导、潜意识植入,实现经济和政治利益,将成为未来的主流方式。基于人性弱点的信息欺诈,是安全风险的最重点来源。同时随着AI在生产生活领域的大规模应用,AI模型本身的安全风险:提示注入,数据泄漏,模型投毒、AI幻觉,都带来新的安全风险和威胁。
AI在网络安全防护方面,主要在4个大的安全场景:
1、根据Statista的报告,预计到2030年,全球物联网(IoT)连接设备的数量可能达到300亿,IoT/云SaaS广泛使用,暴露面不断扩大,海量资产和不断出现的漏洞,管理复杂度提升,人力+工具不能满足。
2、利用0day漏洞、Nday变种、混淆绕过,传统签名、规则、单点防御容易被绕过。基于AI的攻击工具和平台,比如FraudGPT/XXXGPT/WolfGPT/DarkBERT等的出现,更加简化黑客攻击的难度,也在重塑着整个网络安全业态。
3、海量告警事件,海量安全策略,人工专家不足,运维自动化程度低,无法有效响应。
4、APT针对性攻击,隐蔽性强,告警信号弱,威胁狩猎,系统修复依赖人工专家,闭环时间长。
这些场景基本都需要AI的感知认识能力,否则依靠专家人力和现有工具无法很好解决。
受到量子计算能力的影响,现有公钥体系如RSA等在量子计算机理论框架下可在多项式时间内进行破解,因此不再安全;对称加密算法虽然不会被量子计算完全破解,但量子计算可以提供二次加速,将暴力破解攻击的时间从2n缩短到大约2n/2。因此开发出能够替代当前公钥体系的密码学算法或技术势在必行。当前针对传统密码学算法的替代方案主要两种:一种基于后量子密钥学算法(PQC),主要是开发出能够抵抗量子计算的数学算法;还有一种是量子密钥分发技术(QKD),主是利用量子物理的特性来建立安全密钥,以保护通信中的信息传输安全。我国在QKD方面是走在世界前列的,美国在后量子密码(PQC)领域的进展处于全球领先地位。2024年8月,美国国家标准与技术研究院(NIST)全球率先发布后量子加密标准,NIST已在推进第四轮算法征集。PQC相对QKD成本低,不改变现有体系,更易部署,我国也需要加快加强PQC的进度。
关保联盟:面对防火墙、入侵检测等传统安全产品的同质化竞争,企业应聚焦哪些新增长点(如零信任、云原生安全)破局?
张光明:实事求是来讲,国内网络安全技术的发展是落后于国内企事业组织在数智化转型建设速度的。同质化的竞争其实反映的是低安全标准的安全防护技术的内卷,网络安全产品的技术创新不足,以及实战化能力的不足。真实网络安全空间的攻防对抗需要高安全标准的产品,需要不断的技术创新,因此产业还有很大进步空间。针对云、AI和量子计算带来的变化,未来的网络安全体系需要变革,这对于国内广大网络安全企业既是机遇,也是挑战。
万物互联、云应用带来了开放灵活繁荣的数字世界,同时带来的是安全暴露面急剧扩大。传统网络安全通过内外网隔离,边界防护实现安全防护。在云时代,物理边界变得模糊,但信任边界还是存在。从安全系统视角,首要就是缩减攻击面,实现全面零信任,从身份—设备—网络—应用—数据,各个维度,定义可信的数字实体,可信的连接协同、可信的数据融合,构成确定性的信任体系,同时持续实时的威胁检测评估,实时的安全策略生成,快速的部署响应。企事业组织的防护体系要从网络边界防护,转向全面零信任网络。
未来是混合云时代,大的企事业组织,都有私有云数据中心、SaaS服务、公有云数据中心。所以,云同样可以是安全防护数据和能力的汇聚点,可以通过对各类终端、网络、网关、云全方面的安全数据采集,从而构建全局模型,建立数字孪生地图,通过红蓝对抗、沙盘推演、风险评估,自适应自学习,构建安全规则、安全AI模型、安全专家知识库的多重能力,以及基于云原生的安全SaaS服务体系,完成对数字空间的安全防护。
关保联盟:华为在基础安全技术(如芯片级防护)上有何重点布局?如何针对欧美合规性与新兴市场需求制定差异化战略?
张光明:华为网络安全,从根技术做起,有自主可控的安全专用CPU,双密钥实现安全启动和密钥的高安加密,内置10大加速引擎,保障防火墙产品高性能和高安全。其中内置报文加速单元,不依赖外部芯片即可实现快速转发加速,达成安全产品低时延高吞吐的优异性能;内置安全加密单元,实现设备的关键密匙的安全存储访问,并具备基于SSL业务加速引擎,支持加密数据报文更高效的检测处理;内置AI智能单元,可提供高级威胁防御检测与加速,高效准确识别攻击特性报文。
华为网络安全在海内市场扩展中,始终把客户的安全和隐私保护放在第一位,遵守所在国的网络安全法律法规,保证在每个市场上的安全合规运营。
二、借鉴印巴空战,构建体系化防御
关保联盟:从印巴空战的“联合作战”经验看,关键基础设施行业因涉及国家安全和社会运行的核心领域,已成为网络攻击的首要目标,您觉得网络安全体系化防御需哪些关键能力(如情报共享、跨域协同)?
张光明:网络安全空间的攻防和物理世界的军事对抗,道理是一样的。2024年披露漏洞4w+,相当于每12分钟一个新漏洞。2024年HW期间有86%的0day漏洞被利用,漏洞利用速度加快,23.6%漏洞在披露当天或之前就已被利用。在当前立体化、智能化、服务化的未知威胁攻击下,单个安全产品或者安全系统,根本无法及时有效检测响应,迫切需要体系化防御。关键信息技术设施是国家级黑客攻击的重点,各种孤立部署的安全工具如果没有完全集成,难以形成防御合力。
建立体系化防护,需要有平台化能力支撑:终端安全平台,网络安全平台、安全运营平台,在此基础之上,建立网络安全网格的理念,通过统一的认证、网安数据融合、数字孪生地图、控制管理总线,协同各种安全设备,共享威胁情报和环境上下文信息。调度编排下,事前,主动持续的漏洞扫描,自动化渗透验证,实现风险提前预警、漏洞主动修复,和防护规则动态生成;事中,进行威胁事件自动化分析和响应;事后,自动化补丁修复。安全模型优化增强,从而实现完全自动化的安全防御,构建安全自治网络。
关保联盟:华为如何帮助企业构建适配云、边、端复杂环境的统一防御架构?解决数据孤岛与响应延迟的最大挑战是什么?
张光明:华为构建了乾坤云服务平台、HiSecEngine网络安全平台、HiSecEndpoint终端安全平台,建立了云网边端一体化安全防护体系。
云侧,在生成式AI技术革命下,黑客攻击速度更快、更精确,破坏力更强,安全智能体具备语义理解和丰富上下文感知能力,进行威胁溯源,狩猎高危入侵,并能构筑红蓝博弈,提前预警和消除风险;网/边,提供基于边界网关和边缘云的下一代安全边缘服务,基于零信任网络接入、高性能一体化安全引擎,实时AI检测,对已知、变种和未知威胁流量检测;端,针对勒索犯罪、金融欺诈、敏感信息窃取等攻击,通过动静态对抗、溯源图分析、恶意指令检测等技术,实现未知威胁、0day漏洞攻击的快速发现和全网同步。四维一体,构筑立体安全防御体系。
对于各类设备接入,通过大模型无码化的数据适配能力,统一数据湖,实现网安数据融合。同时,通过网安数字地图技术,可以快速识别威胁源,秒级阻断。这里最关键是网安数据融合、端网云数据融合,以及数字地图技术,实现从检测到响应低延迟、无误报、可溯源。
关保联盟:面对APT攻击的持续演化,华为如何实现防御体系的动态自优化与弹性恢复?
张光明:华为安全把系统安全韧性作为关键目标,通过内生可信、AI威胁检测分析、智能风险评估与运营,实现防御体系的自由化和弹性恢复。
内生安全:基于硬件可信与软件可信、可信协议、安全开发流程、零信任行为可信等部件,建立“确定性”基础平台,降低系统内部“不确定性”,确保系统安全底线。
AI安全检测与分析:基于AI算力,提供高性能安全分析工具与算法接口,准确识别系统内的威胁与异常(诱捕、MTD等主动安全能力),消减外部威胁带来的安全“不确定性”。
智能风险评估与运营:自动化运营/风险评估,利用AI算力与风险识别算法,对发现的潜在风险和异常状态进行及时补救,使系统安全“不确定性”能快速收敛。
三、AI重构安全:未知威胁检测与自动化运营
关保联盟:AI如何打通云、网、边、端数据壁垒,实现百倍级安全能力提升?
张光明:华为网络安全的威胁检测横向涵盖了整个Att&ck模型,这里包括侦查准备、初始入口、持续控制、数据回传等重点的8个攻击阶段,30多类检测能力,这些模型针对未知威胁和Nday变种威胁,同时检测模型纵向打通了端、网、边、云。比如,针对网络钓鱼,在终端侧,对落盘的钓鱼病毒样本,HisecEndpoint杀毒引擎内置AI检测模型,可以检测未知和变种的钓鱼样本;非落盘的钓鱼网页,HisecEndpoint的浏览器安全插件,可以实时钓鱼URL检测;在出口网关,同样部署了防火墙,可以在线针对钓鱼网页进行AI检测,对于高绕过的钓鱼URL,还会上送边缘Pop安全服务,进行深度AI模型检测,以及内容验证;对于高对抗的钓鱼网页,同时上送云端,GPT大模型准实时进行网页内容和上下文分析,以及多模态识别,从而准确识别钓鱼意图,生成URL规则和AI模型下发终端和防火墙。
国内安全重建设、轻运营,实际上安全生命周期分为规划、建设、运营三个部分,安全运营是持续不断地保障目标网络安全平稳运行,达成组织业务战略目标的永续过程,以及在这个过程中开展的各项运营工作。生成式AI赋能安全运营,也是安全业内的共识。通过对海量威胁告警日志的消噪、分析、研判,编排调用安全设备进行及时的威胁处置响应,把通常人类分析师需要数小时做的工作,压缩到分钟级,实现百倍的处置效率提升。
站在现在看未来,各类智能助理、机器人、智能IoT设备,以及智能应用,是未来网络的流量主体,也是网络攻击的重点对象和数据泄漏点。基于全面零信任的理念,网络需要持续的感知智能终端/应用的位置、环境、应用情况,以及当前风险状态,通过动态信任评估,从而不断调整网络安全策略的安全防护级别,同时借助网络流量大模型,对通信内容进行语义识别和威胁分析,以及敏感数据过滤管控,防止高级网络攻击和重要资产数据外泄,最终实现全面的零信任安全管控。
关保联盟:华为AI方案在金融、政府等场景中,如何实现毫秒级自动响应?威胁检出率、误报率等指标实际提升多少?
张光明:金融行业面临勒索犯罪的挑战,打造金融园区全场景零信任安全方案。针对海量终端无法有效管控成为攻击突破点,分支安全防护薄弱,突破边界防护后快速内部横向扩散无法防护的问题。通过AI技术,实现实时动态台账,资产识别准确率高于99%;防勒索方面,勒索诱饵+AI模型检出率达99%;以及跨端100跳取证,端边联动查秒级处置闭环,实时自闭环。
四、关键信息基础设施安全保护与人才建设
关保联盟:在关键信息基础设施安全保护方面,华为有哪些成功的行业标杆案例和成果?
张光明:在某企业网络安全建设中,采用了零信任全场景的网络安全防御体系:本地办公零信任接入场景;远程办公零信任接入场景;物联终端零信任接入场景;零信任应用访问/服务调用场景;零信任系统运维场景。有效的应对未授权访问、访问绕过等身份安全场景。
在某组织网络安全建设中,针对其跨广域,关基云平台的业务场景,采用云网边端一体化方案:实现端网云全面采集,行业关基一盘棋,一点响应,处处联动。方案主要特点包括:全局监测,全面采集云、网络、终端多维威胁数据,云上云下统一分析,威胁分析准确率>96%;智能研判,对网络、终端、用户行为等多维数据持续评估,并实时调整授权或安全策略;精准定位,云网端全局统一攻击溯源,威胁选择最佳和最近攻击源精准定位。
关保联盟:一家组织的网络安全建设也离不开高素质的网络安全人才队伍建设,您认为一名优秀的CSO/CISO应具备哪些核心知识、技能和能力?
张光明:首先一个组织的网络安全建设是个系统工程,优秀的CSO/CISO要有构架性思考,从整体看如何构建未来安全环境?如何在组织里构建安全?如何在技术架构上构建安全?如何在实施措施、操作上构建安全?如何在每个员工人心中构建网络安全理念?
优秀的CSO/CISO同时也是网络安全的布道者,在组织里要增强影响力,安全要争取具备一票否决权。转变组织里领导层的认知,安全不只是成本投入,还是生产力;网络安全防护,和生产力提升,是相辅相成的。有安全保证的业务系统,组织才会更开放,更多数据流通和信息共享,从而更大生产效率提升,所以安全防护系统建设要敢于投入,采用业界优秀的产品和技术,目标设定不仅仅是合规,主动思考,走在业务的前面,一定要看见未来的需求,有正确的安全建设和运营的战略目标和计划。
访谈文章由关保联盟整理
访谈嘉宾:张光明
关保联盟访谈组成员:李红霞、谢超首、张行野
审核:徐倩倩 徐金挺
校对:米果 晓符