戍天九思：华为“五不两可”安防系统：对抗美国网络入...

lameihua

　　据央视网9月20日报道，近日，中国国家计算机病毒应急处理中心通报，在处置西北工业大学遭受网络攻击时，成功提取了名为“二次约会”的美国国家安全局间谍软件样本。2009年，美国国家安全局下属的特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。2022年9月，又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击，窃取大量高价值数据。

　　在笔者看来，西工大虽然很牛还是被美国偷了，但美国要想偷华为就不那么容易了，毕竟华为是搞通信出身的，看家本领就是网络安全。

　　何以见得？ 我们从华为首席信息官陶景文的《华为？数字化转型必修课》中可略知端倪，华为有“五不两可”安防系统。要真正理解华为的厉害之处，我们还是看看索尼“黑客门”事件的国际笑话。

　　2011年索尼“黑客门”事件笑话

　　起初，一个叫George Hotz的黑客破解了索尼游戏机PS3的底层系统，导致索尼经营多年的加密防线失效了。然后，索尼就把George Hotz告上了法庭。

　　George Hotz气不过，说我破解了自己买来的PS3，凭什么被起诉？于是，就在网上发帖求赞助！

　　因为他要和索尼打官司，这下他的帖子得到了不少黑客组织的响应。其中，有一个代号为“匿名者”的黑客组织还在网上给索尼下了战书，声称要发起攻击。

　　索尼财大气粗，也不甘示弱，宣布自己已经聘请了全球领先的网络安全公司来与黑客组织交战。这下黑客们的热情被点燃了，一个月内先后三次攻击索尼的网络，导致1亿多用户的个人信息遭到泄露，索尼的游戏、电影、音乐等服务也在短期内中断。

　　后来，索尼当时的副社长平井一夫出面向公众鞠躬道歉，表示要作出检讨，避免事件重演。

　　在索尼黑客事件笑话中，问题不仅出在索尼的傲慢和高调，还因为网络安全永无止境，不可能一劳永逸，而是一场矛与盾的持久较量。

　　据美国网络安全公司Cybersecurity Ventures预测，到2021年，网络犯罪每年给全球造成的损失将从2015年的3万亿美元上升到6万亿美元。

　　2022年日本GDP为4.23万亿美元，全球每年网络犯罪的损失超过日本一个国家的GDP。

　　华为“五不两可”安防系统可钓鱼

　　据华为陶景文讲，华为内部有个安全作战地图——“五不两可”。“两可”指的是可追溯和可恢复。“五不”是指攻不进、看不见、看不懂、拿不走、毁不掉。

　　“攻不进”是指外面的黑客无法通过边界入侵进入企业的系统，对边界最简单的理解就是各种外边界应用、邮箱和账号密码等。

　　“看不见”说的是黑客看不到企业的核心资产，比如说黑客攻击华为，重点是盗取华为的5G技术，但华为已经提前对5G技术做了深度隔离，黑客在系统里看不到任何5G相关的内容。

　　“看不懂”主要指加密和伪装技术，达到的效果是，黑客即便看到了某项核心数据，也不会认为这项数据很关键。

　　“拿不走”，强调的是企业要能感知到自己的数据资产是否被黑客转移或者挪动，一旦出现异常情况，企业要有一套阻隔的系统，防止数据被拿走。

　　“毁不掉”，针对摧毁等高危操作进行实时告警与阻隔。

　　“可恢复”就是一旦企业的数据被破坏，企业的系统可以恢复到多少天以前的，多长时间可以恢复。

　　“可追溯”是指如果被黑客入侵后可追溯其源头！通常情况下，多数企业遭黑客入侵后就会直接通过安全系统远程控制电脑，立即阻断黑客的操作。但是，更好的方法是欲擒故纵，先让黑客在电脑里转转，搞清楚他的真实目的是什么，看这个黑客到底图我电脑里的什么东西，然后再采取反制措施，就像《谍影重重5》里那段追踪分析程序一样，能更好地掌握并锁定黑客是谁、来自哪里、有什么意图，然后再进行远程阻断。同时，还能全程确保核心资产安全、关键系统不中断。

　　陶景文还专门分享了华为与勒索病毒作战的真实案例。2017年，WannaCry勒索病毒造成全球有150多个国家的电脑感染，不少用户被迫不得不交纳赎金。

　　WannaCry在感染用户电脑后，会对电脑里的程序、图片、文档等各类文件加密，用户只有交完赎金才能解锁和使用文件。这个病毒当时主要在装了Windows系统的电脑和服务器上传播，因为微软这样的硅谷巨头出现了安全漏洞。中国当时有近3万家机构受到影响，最严重的是高校的教育网以及企事业单位的内网。

　　当时WannaCry勒索病毒也入侵了华为的近万台服务器，但它却没法对这些服务器进行加密，没法加密也就勒索不到钱。

　　当时，WannaCry勒索病毒想要给文件加密，华为的程序就会判断，加密的这个主体是不是华为内部的人，他的操作是不是符合华为内部的规范。最后，程序发现情况异常，于是提前阻隔了WannaCry勒索病毒的加密进程。这样就起到了“毁不掉”的作用。

　　上述情况说明华为的“五不两可”安全防线还是十分可靠的。笔者由此推断，虽然美国国安局能够入侵华为总部服务器，但是，偷不走华为核心商业机密。

　　数字时代：没有数据安全只能是为他人做嫁妆

　　全球最大的酒店集团万豪， 2017年开始数字化转型，2018年底其数据库遭到黑客入侵，3.83 亿房客的个人数据被泄露，涉及姓名、地址、邮箱、电话、护照号码等非常多的隐私信息。当时，英国监管机构罚了万豪1.24亿美元，万豪在美国还遭到集体诉讼，索赔金额高达125亿美元。

　　航空界有一条飞行安全的经典法则，叫海恩法则。讲的是每一起严重事故的背后，必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。也就是说，每一起严重飞机事故事先一定有大量的征兆。

　　网络安全也是如此。就是所有针对企业核心资产发起的攻击，此前在企业的边缘业务或者非核心资产上一定是有很多迹象的。比如，黑客攻击某个国家国防部部长的电脑，可能是从一个普通文员的办公电脑那儿入手的，也可能是从食堂人员或者清洁人员的手机那儿找到的突破点。

　　我们不妨模拟一下黑客是怎样想问题的。假设我们现在就是黑客，任务是要在短时间内解锁一家高科技跨国公司的核心技术，你会怎么办？直接入侵肯定是行不通的，因为在这些企业中核心技术一定是当核心资产被保护起来的。所以黑客就得琢磨了，哪些地方的安全防范力量是最薄弱呢？

　　第一步，要做的可能是，先大量爬取一波和核心技术相关的合作人员的邮箱地址。

　　第二步，给这些邮箱发钓鱼软件，一些没有及时打补丁的邮箱会被攻破，这样就拿到了一些账号和密码。

　　第三步，再拿这些账号和密码尝试登录边缘系统，从中查找可以连接这个公司的路径。

　　第四步，一旦路径成功连接了，就可以通过跳板的方式拿着去攻击它的内部核心系统了。

　　所以，从黑客找短板的逻辑来看，一个企业和机构如果只是简单地想保核心资产的安全是远远不够的，必须形成一个系统，把与客户、合作伙伴、供应商等对接的账号等周边最容易被忽略的元素全部纳入进来，实行系统化防范。形成系统之后，你就非常清楚了，黑客一旦对非核心资产发起攻击，本身就是攻击核心资产的一个先行信号，系统就会有预警，有预警才有系统反应时间，才能有效防范。

　　这就是华为数字时代系统思维和“五不两可”的安防经验，也是确保数据安全行之有效的法宝，对于数字时代军队掌握制数权也有重要的借鉴和启示作用。

　　总之，数字时代必须时刻牢记防火防盗防美国的警示！因为美国的网络霸权、网络攻击无处不在！否则，都是白忙乎，都是在为美国做嫁妆。