华为乾坤安全重保解决方案技术主打胶片

为客户提供全流程、服务型安全保障华为乾坤安全重保解决方案华为乾坤安全重保解决方案介绍04华为乾坤重保方案关键价值总结各行业成功案例02目录Content01网络安全建设的重要趋势与挑战03数字经济成为国家战略，网络安全法律法规持续升级十四五规划和2035年远景目标纲要

数字经济成为国家战略关于加快推进国有企业数字化转型工作的通知推进国有企业数字化转型关于推进“上云用数赋智”行动培育新经济发展实施方案推动中小企业上云(2020.04)2016.112017.072020.042020.072021.092021.112019.10《网络安全法》《党委（党组）网络安全工作责任制实施办法》《密码法》《网络产品和服务安全审查办法》《贯彻落实网络安全等级保护制度与关键信息基础设施保护的指导意见》《关键信息基础设施保护条例》《数据安全法》《个人信息保护法》网络安全要求越来越高数字化转型不断推进以制造业发达的广东为例，网络安全成为影响发展的事实因素制造业成为遭受攻击最多的行业广东成为国内遭受勒索病毒攻击最多的地区18.57%最新案例2022.08.11号，位于广东的M集团遭受新型勒索病毒攻击，要求支付千万美元赎金，影响正常办公生产201820192021201720162016年，公安部会同民航局、国家电网组织开展了“HW2016”网络安全攻防演习活动。组织形式：

组织攻防两方，进攻方（一般称为红队）对防守方（一般称为蓝队）发动网络攻击，检测出防守方存在的安全漏洞。影响性：”攻防演练行动“会对所参与的单位进行排名，在攻防演练中表现不佳的单位，未来评优评先等工作均会受到影响。”攻防演练行动“中，参与攻防演练的企业、单位的网络被攻击者打穿，责任者会受到影响并被上级点名批评。以攻促防，各部门组织攻防演练，检验并提升实际安全防护水平公安部、民航局、国家电网2017年部分政府部门加入“HW2017”行动，组织演练模拟门户网站、重要信息系统遭受攻击破坏等真实场景。重点政府部门2018年部分国有企事业单位及其它重点单位加入“HW2018”行动，组织演练模拟对相关网站和信息系统展开攻击。重点事业单位2019年涉及范围更广，工信、安全、交通、铁路、民航、能源、新闻广电、电信运营商等单位都加入到“HW2019”行动中，充分彰显对网络安全的重视。政府、能源、金融、电信、广电、民航等2021年，由公安部组织开展的“HW2021”网络攻防演习，在政府机关、大型央企、交通、能源、金融等关键信息基础设施部门间开展。公有云、物联网网络安全攻防演练介绍红方组成：国家信息安全队伍、科研机构、测评机构、安全公司等攻击方式：不限制攻击路径，模拟可能使用的任意方法（web攻击、主机攻击、已知漏洞、敏感文件、口令爆破），以提权控制业务、获取数据为最终目的，但攻击过程受到监控。蓝方组成：防守方自有员工+临时招募驻场人员防守方式：访问策略收紧、减少攻击暴露面、口令复杂化、核心业务白名单化、漏洞检查、主机系统加固等。加分项：发现类（木马、账号异常、恶意邮件）、消除类（处置攻击者进入内网，现场接触式攻击）、追溯类（还原攻击链条，溯源攻击者身份，反控攻击方主机等）演习准备自查整顿预演习正式演习通报总结编制攻防演习方案召开攻防演习启动会资产梳理网络架构分析蜜罐网络搭建态势感知平台搭建主机漏洞扫描工作web漏洞扫描渗透测试工作整改加固缩小攻击暴露面完善方案以及流程预演习工作开展预演习攻防总结驻场人员招募监测预警指挥决策威胁信息共享应急响应总结汇报问题汇总整改工作安排企业在攻防演练活动中面临的关键挑战风险评估不客观攻击检测不全面告警分析耗人力事件处置效率低威胁信息更新不及时一个客户攻防演练的实例：6人驻场，近50人天工作量，大量人工参与驻场的环节驻场分析风险排查5人*2天模拟演练2人*3天攻防演练6人*5天总结加固3人*1天对外暴露面人工检查资产排查，漏洞扫描安全加固，非必要业务关闭人工渗透测试过程演练驻场分析驻场分析驻场分析人工分析事件各系统离散分析人工关联威胁信息分析，160个/人天通过聊天群人工传递人工录入策略封禁IP攻防总结加固措施企业在攻防演练活动中存在的典型问题极端防守策略攻防演练行动是政治任务，防守方空前重视，导致防守方的防守方式趋于极端：全下线：非重要业务系统全部下线；目标系统阶段性下线；狂封IP：把对外开放系统大量关停甚至全关，封禁所有的海外地址或者阿里云IP地址等边缘化：核心业务仅保留最核心的功能且仅上报边缘系统。违背了攻防演练的初衷不论是关停系统还是大量封禁IP都不能帮助企业发现自身安全问题，后续此类问题仍然存在掩耳盗铃避重就轻目标：常态化“真”演练漏洞感知、修复慢亡羊不能补牢目标：全息风险感知产品操作系统、数据库、各类组件等产品不可避免存在漏洞:各类产品的0Day、1day漏洞，一旦被利用，可以使攻击者突破网络边界，获取控制权限进入网络，获取用户账户信息，并快速拿下相关设备和网络的控制权限。从发现漏洞到漏洞被真正修复，时间跨度长。大多企业针对定向0day、1day、APT攻击无还手之力，只能进行被动防御人员临时招募临时抱佛脚目标：AI实时安全运营因为没有开展常态化的安全运营，攻防演练前会出现大量单位疯狂招安全人员驻场的情况。演练期间网络安全人才紧缺，很多企业招到的只是一个实习生或者大学生。攻防演练时间有限，临时团队无法完成全部隐患排查或是整改人员能力有限，无法通过一次性的演练服务解决所有网络安全问题绕开“马奇诺”，攻击薄弱点千里之堤溃于蚁穴目标：全方位纵深立体防御总部机构严密设防，关键业务系统严密设防，但是内部安全存在“短板”：受制于人物财力限制，各地分支机构防御相对薄弱一台边缘系统被入侵后，可做为跳板攻击一个区域其它主机甚至攻击核心业务系统/靶标系统通过总部的系统防守会较为严密，攻击者正面突破下属单位防守相对薄弱，攻击者绕过重兵防守区域，转而攻击相对薄弱的下属单位和系统，再迂回进攻总部目标系统华为乾坤安全重保解决方案介绍04华为乾坤重保方案关键价值总结各行业成功案例02目录Content01网络安全建设的重要趋势与挑战03什么是安全重保解决方案？简称重保，是指在重要会议或重大活动期间保障网络基础设施、重点网站和业务系统安全服务期间进行安全防护、指导等工作，协助企业提升安全防护能力和应急处置能力重保应用场景重保在重大会议期间，对企业云上资产进行安全防护，避免因安全防护能力不到位，出现网站被挂恶意页面、DDoS攻击导致业务中断等安全事故。在企业新系统或新功能上线、促销和商业活动期间，需要保障业务系统的正常运营，避免因为网络安全事件导致的业务中断、恶意入侵等情况。在法定节假日期间，企事业单位可能由于人力不足而无法对企业资产的安全性形成有效的防护与响应，需要借助于重要时期保障服务确保企业资产安全。安全攻防演练期间，云上资产往往容易成为企业安全被突破的第一道防线，需要提升企业云上资产整体的安全防护能力，实时对安全设备进行分析和处理。特殊敏感时期防护网络安全攻防演练企业业务活动监控重大节假日安全防护针对各类攻防演练和重保活动，华为乾坤协同服务伙伴提供E2E安全闭环服务阶段划分重保流程详细描述华为提供的完整闭环服务操作实施备战风险自查外部：梳理对互联网的资产暴露情况，关闭不必要的对外服务和端口。暴露面风险检测华为乾坤产品+华为安全服务商内部：识别关键资产风险，比如漏洞、弱口令排查等，提供专家修复建议漏洞扫描华为乾坤产品+华为安全服务商整改加固修复关键资产的漏洞、整改弱口令等漏洞修复华为安全服务商运维岗位人员安全意识教育、安全策略有效性检查安全培训华为安全服务商下线非必要的对外服务和接口。关闭风险服务华为安全服务商模拟演练模拟对抗，进行动态攻防演练，找出系统薄弱点网络威胁评估(可试用)华为乾坤产品+华为安全服务商流程演练，模拟演练响应流程、应急预案等并优化红蓝对抗演练华为安全服务商决战攻防值守云端安全专家实时值守，安全监控分析，日常安全事件监控、分析，确认攻击或误报边界防护与响应终端防护与响应华为乾坤产品快速的信息共享、威胁信息查询，防止同一攻击手段攻破多处重保威胁信息华为乾坤产品应急事件处置，快速闭环安全事件边界防护与响应终端防护与响应华为乾坤+华为安全服务商蜜罐诱捕，追溯得分云蜜罐(伙伴)华为乾坤生态产品总结报告总结云端专家针对关键攻击事件进行溯源、攻击路径还原等技术支持和总结边界防护与响应终端防护与响应华为乾坤产品+华为安全服务商总结报告，包括闭环安全缺陷、吸取教训、总结经验等安全总结报告华为安全服务商华为乾坤安全重保解决方案核心优势门槛降低80%SaaS服务按需订阅，随开随用，随用随新一站式解决方案，易部署、易使用，门槛降低80%降门槛，提能力防护效果200%云网边端一体化联动，秒级处置闭环外部攻击99%自动阻断，防护效果提升两倍以上保实效，提得分拓服务，促共赢华为客户渠道Win渠道可基于乾坤重保包装10+客户侧服务项客户、渠道、华为通过三向正循环实现共赢华为乾坤安全重保套餐整体方案：一站式、服务型、常态化保障事前(看症)SaaS轻量化风险评估能力场景一：资产风险评估，多维漏洞识别，轻量化动态风险评估事中(治病)准确威胁判定和自动化处置场景二：纵深防御加固，一站式立体化防护场景三：全面威胁检测，云边端9大检测引擎，威胁检出率大于96%，伙伴云蜜罐主动诱捕，0day感知场景四：自动攻击溯源，云端SOC+AI算法溯源，100%威胁判定场景五：云边端联动判定处置，分钟级威胁快速闭环事后(报告+手术)极致安全体验场景六：实时掌控全局，自动化安全报告，态势大屏，Portal/APP/邮件/短信，MSSP代维提供专业服务2治病安全能力中心AI分析中心边界防护与响应暴露面监测网络威胁评估漏洞扫描华为防火墙/天关华为防火墙/天关客户A1看症漏洞扫描终端防护与响应威胁信息防护能力监测安全日志分析威胁信息关联分析华为防火墙/天关客户C3报告客户B安全感知短信告警周报月报APPPortalMSSP工作台专业服务4手术123EEEEMEEE云边端注：E代表EDRAgentMMMM代表蜜罐代理Agent云蜜罐场景一：轻量化资产风险评估，多维漏洞扫描，联动服务闭环典型场景持续发现、梳理、评估组织资产重保前全面清查资产，整改加固常见问题各系统分散建设，资产失联多清点难时间紧且任务重，漏洞修复难以完成解决方案资产持续发现，建立统一清晰的资产台账风险统筹管理，提供更多的整改加固手段方案优势基于SaaS模式的轻量化漏洞风险识别主动风险管理，服务联动加固华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务华为天关漏扫扫描漏洞扫描漏洞扫描云蜜罐场景二：纵深防御加固，纵向安全分层，横向网络分区，端边主动防御典型场景纵向网络安全分层，建立纵深防御体系横向网络安全分区，建立内网的微隔离常见问题盲目追求单项指标，安全功能孤立建设，各自为战难以协同解决方案互联网边界防护、内网区域边界防护信息终端防护、信息系统防护蜜罐分布式服务伪装，主动诱捕方案优势内生安全：持续重投入，确保产品安全可信纵深防御：立体风险感知，多维威胁检测主动诱捕：蜜罐诱捕，主动防御变种威胁一站统管：一站式安全管理可视，统一作战本部DC蜜罐蜜罐蜜罐互联网边界日志内网区域边界日志信息终端安全日志213威胁日志威胁日志云蜜罐华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务场景三：全面威胁检测，多维互补，全网协同，威胁信息关联，蜜罐诱捕典型场景基于各种安全服务的告警日志判定攻击事件常见问题报日志存日志就是不用日志，完全依赖设备购买各安全设备商驻场服务，依赖人工分析解决方案多类型、多位置互补检测借助云端算力，威胁信息关联分析，全网协同检测方案优势云边端协同，9大检测引擎，高未知威胁检出率重保专项威胁信息，实时更新，一处检出，全局免疫本部DC蜜罐蜜罐云蜜罐联动蜜罐互联网边界日志内网区域边界日志信息终端安全日志213威胁日志威胁日志云蜜罐华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务场景三：全面威胁检测，多维互补，全网协同，威胁信息关联，蜜罐诱捕典型场景安全攻防演练溯源日常安全防护诱捕常见问题基于流量或者终端日志的检测都是被动的难以发现隐蔽攻击或者新增0day威胁解决方案本地伪装代理+云蜜罐联动，主动捕获威胁方案优势伙伴云蜜罐联动检测，主动诱捕，0day感知快速攻击者溯源，提升防守得分提取专项威胁信息，全局防御本部DC蜜罐蜜罐蜜罐云蜜罐华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务客户网络内部署蜜罐伪装代理，仿冒业务端口如MySql，吸引攻击者访问1攻击者伪装代理将攻击流量引流至云蜜罐中2蜜罐检测攻击后将威胁日志发送至华为乾坤云平台3伙伴云蜜罐，部署在华为云独立的资源区内威胁处置威胁处置边界防护结合威胁信息判定后进行联动处置4场景四：自动攻击溯源，算力加持，威胁信息关联，详细攻击链可视典型场景判定攻击后，攻击溯源，为处置做好准备常见问题各管一段，线下交流，手工溯源，耗时耗力解决方案借助云端算力，自动攻击溯源方案优势自动攻击溯源，详细攻击链可视，100%威胁判定本部DC蜜罐沙箱蜜罐沙箱沙箱蜜罐威胁源互联网边界内网边界信息终端信息系统终端进程及文件系统进程及文件威胁日志威胁日志主机级别攻击链下钻到进程文件级别自动攻击溯源云蜜罐华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务场景五：联动处置响应，云上秒级分析，边端联动处置，业界最快最准的闭环能力典型场景威胁检测后，应急处置攻击溯源后，全面处置常见问题驻场人员手动封禁隔离，小时级应急处置基于IP去找失陷资产业主，缺乏系统支撑解决方案在线自动处置，秒级威胁闭环方案优势算力加持，秒级应急处置AI自动处置率超96%，业界最快处置速度端边联动，全面深度处置终端检测到外部威胁，联动边界全网封禁边界检测到恶意文件，联动终端深度清除边界检测到失陷主机，联动终端执行隔离蜜罐检测威胁联动边界全网封禁本部DC互联网边界防护内网区域边界防护信息终端安全防护信息系统安全防护蜜罐蜜罐蜜罐威胁处置威胁处置华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务云蜜罐场景六：实时掌控全局，可感知，可管理，可托付典型场景汇报时需要展示安全建设成果统一安全运维，保持安全实效常见问题关键信息散落各个系统，依赖驻场人员拼接全貌解决方案安全态势大屏，实时感知全网态势多维感知通道，随时随地安全运营方案优势可感知，可管理，可托付安全感知安全托管主动周报月报安全事件推送乾坤专属App安全报告态势大屏事件推送专属App安全态势大屏华为乾坤云平台边界防护与响应服务漏洞扫描服务威胁信息服务安全运营平台终端防护与响应服务华为乾坤安全重保套餐配置清单安全重保套餐关键能力功能描述配置项华为防火墙或者天关网络边界实时安全防护设备，对网络中的流量数据进行深度安全检测，发现并阻拦攻击流量及恶意文件必选项边界防护与响应服务提供入侵检测防御、事件自动分析、黑白名单、威胁自动阻断、定期安全报告、事件紧急通知、实时态势大屏、DNS高级威胁检测、互联网暴露面排查、自动识别与阻断外部攻击源、提供攻击链溯源等关键能力，打造立体防御，有效保护客户网络资源必选项漏洞扫描服务提供资产发现与识别、主机漏洞扫描、应用漏洞扫描，实现全面漏洞扫描，提供安全评估报告建议项终端防护与响应服务提供资产管理、病毒查杀、入侵检测，安全评估报告、高级威胁检测、自动阻断、专家托管和勒索专防（诱饵捕获、文件放篡改）等关键能力建议项重保威胁信息通过安全威胁信息服务包中重保威胁信息构建，溯源取证、攻击者画像、重保加分建议项云蜜罐服务(伙伴)提供蜜罐诱捕能力，实现风险分层主动诱捕和追溯得分（需联系华为乾坤生态伙伴默安科技进行开通）建议项人工保障服务(伙伴)

华为乾坤安全合作伙伴为客户提供7*24小时的安全托管服务，在重大保障期间，具体提供风险自查、整改加固、模拟演练、攻防值、报告总结的完整服务闭环（需联系华为乾坤安全MSSP伙伴开通）建议项华为乾坤安全重保解决方案介绍04华为乾坤重保方案关键价值总结各行业成功案例02目录Content01网络安全建设的重要趋势与挑战03华为乾坤安全重保解决方案关键价值总结业界方案内生安全，自主可控国

产化查

得出IPS特征库20000+病毒库500W+，覆盖亿级样本防

得住400+防躲避手段IPS默认阻断率85%处

置快事件全量自动化分析外部攻击源、恶意域名自动处置失陷主机秒级告警，EDR联动一键处置全

自动长期参与国际网络安全攻防演练重保威胁信息自动化实时生产漏

报多弱防护响

应慢半

国产缺

经验第三方商业套片IPS特征库5000+病毒库300W+200左右防躲避手段IPS默认阻断率<50%安全事件人工分析小时级/天级处置缺少国际网络安全对抗经验威胁信息信息更新慢，重保靠人工RTOS欧拉操作系统大数据平台优势1：国产化，芯片/OS/DB全面自主可控，先规模商用再入信创名录云平台AI防火墙/天关设备系统软件/平台业界唯一高性能安全SOC处理器服务器管控系列芯片基础芯片边界防护与响应|终端防护与响应|漏洞扫描|威胁信息RTOSAIE安全专用芯片硬件平台其他转发芯片全部自研自研RTOSLinux操作系统自研VRP网络平台严格品控开源和三方件软件自主威胁检测引擎持续的特征库更新自2019年5月份发布，全球商用2年，10万套，稳定可靠运行防火墙/天关产品功能一致性能一致品质一致硬件安全自主操作系统算法/规则库优势2：查得出，各种特征库大，能发现更多安全威胁，业界最强安全网关设备的检测原理就是通过对流量中应用协议的识别解析，与产品规则库匹配，匹配成功即命中威胁。因此，威胁检测的核心能力主要依赖于对应用协议识别能力，和特征库的大小。识别能力越强、规则库越大，越能匹配更多的威胁和场景。IPS特征库AV特征库IPS特征库AV特征库流量重组协议识别协议解析特征匹配文件还原阻断/告警放行报文应用协议识别能力华为6000+

业界3000+IPS（入侵防御）特征库华为20000+业界5000+防病毒特征库华为500W+

业界300W+报文预处理威胁检测威胁处置命中末命中Internet云端能力定期更新，全网同步内置病毒检测引擎，恶意文件检出率97%，精准拦截病毒68%某防御工具91%92%97%华为CDE某防御工具某防御工具DNS结合云端域名海量威胁信息+AI深度威胁分析，精确率99.9%SOCHiSiliconNP加速引擎4核ARM64模式匹配引擎加解密引擎安全专用芯片IPS默认阻断率85%，威胁实时阻断，节省运维成本远控木马勒索软件挖矿恶意站点DNSlog域名钓鱼热点威胁信息…灰产未知威胁DGA域名无回显域名DNSTunnel…已知威胁优势3：防得住，AI技术加持，阻断率高，漏报误报少400多种防躲避手段，全面防躲避IP分片TCP分段SMB和NetBIOS协议躲避RPC躲避URL混淆HTML页面躲避HTTP协议躲避FTP协议躲避TCP分离握手非标端口传输国内唯一一家通过NSSLabs实验室全部防躲避攻击手段的厂商优势4：处置快，安全策略自动化下发，无需人为干预，安全威胁秒级闭环

安全威胁秒级闭环外部攻击源、恶意域名自动封禁；内部失陷主机秒级告警通知，EDR联动一键处置云端AI分析云端专家赋能，AI算法迭代，海量告警事件云端全量自动化分析华为乾坤云平台精准检测自动分析威胁自动阻断黑白名单功能快速闭环AI自动分析专家规则分析云端威胁中心DNS+威胁信息检测112云边一体联动，云平台AI自动化分析安全风险，攻击源自动阻断；一处发现威胁，全局快速免疫。云原生架构不断迭代增强安全能力，持续提供更多安全服务能力，满足业务持续增值要求。天关EDREDR2海量告警≈无告警无人无能力分析客户视角差异海量告警全自动分析客户0投入无能力处理安全问题需要专业运维，闭环周期长客户视角差异系统自动闭环，多服务联动处置，秒级闭环失陷主机、恶意文件联动EDR一键处置攻击源、恶意域名自动封禁优势5：威胁信息全，云端AI智能提取，百倍效率人工AI自动生产威胁信息，更新算法模型每天分析每天输出十亿级DNS请求WEB请求爆破事件百万级

恶意文件样本恶意流量样本千万级

网站攻击事件百级

200+APT攻击组织百万级

文件威胁信息万级

域名威胁信息十万级

IP威胁信息URL威胁信息百级

AI模型更新AI自动化提取威胁信息/签名，自动进化智能算法模型，效率百倍于人工，实时应对最新安全威胁13百级

文件签名公有云购买、合作公开数据算据来源安全云服务……文件类型文件结构代码段

报文信息字节信息……..

流信息威胁信息库AI检测模型库CDE文件检测引擎AI检测引擎文件签名库库威胁信息取证威胁信息检测模型更新华为全球安全能力中心附加优势：体验好，多维度服务价值推送，客户持续感知被服务周期性日报/周报/月报紧急邮件/短信/APP告警全新体验的用户Portal，支持用户快速感知安全服务效果，并基于攻击事件和详情主动进行黑白名单管理。租户全景态势大屏用户Portal按周、按月提供安全报告,也可每日自定义，邮件主动推送，全面掌握网络安全态势。安全事件分级处理，紧急事件通过短信和邮件立即通知，指导用户进行及时安全处置。威胁详情威胁事件服务首页3D操作华为乾坤安全重保解决方案介绍04华为乾坤重保方案关键价值总结各行业成功案例02目录Content01网络安全建设的重要趋势与挑战03粤盾杯是广东省政数局举办的针对省内重点单位进行网络安全攻防演练活动，分为地市级和省级演练活动，主要针对广东省重要政务系统进行全面的网络安全检查，现已经成为考核广东省各地市网络安全情况的重要指标。东莞-莞盾杯茂名-茂盾杯湛江-湛盾杯惠州-惠盾杯广东省-粤盾杯7月6月~8月8月11日~8月15日网信办主办攻防演练活动政数局主办“粤盾杯”活动以攻促防，广东全面开展“粤盾杯”网络安全攻防演练全新安全服务模式，助力五市勇夺粤盾杯“地市优秀防守单位”,含第一名惠州安全能力中心AI分析中心边界防护与响应暴露面监测漏洞扫描华为天关华为天关客户A漏洞扫描威胁信息防护能力监测安全日志分析关联分析华为天关客户C客户B47秒攻击源平均处置时长99.73%威胁综合阻断率5家地市优秀防守单位MSSPMSSPMSSP5*24小时周末无休150万+威胁事件100