借力区块链/人工智能，新华三的网络安全新法宝！

导读

如何制定物联网安全策略，不同的企业有不同的看法——在紫光旗下新华三集团看来，只有从用户的接入终端进行安全控制，才能够从源头上防御威胁。

2016年10月21日，美国东部。人们在醒来之后，习惯性的想刷刷Twitter，用Spotify听听音乐，或是用Reddit看看新闻，然而却惊讶的发现，这些常用的网站都无法登陆了。原来，就在当天，大半个美国互联网因为一起“史上最严重的 DDoS 攻击”而陷入瘫痪，黑客们使用“物联网破坏者”Mirai 病毒控制了美国大量的网络摄像头和DVR 录像机，然后操纵这些“肉鸡”攻击了美国的多个知名网站。该起事件不但对民众的日常生活造成了严重的影响，更是为亚马逊、Twitter、PayPal、Spotify等企业带来了近百亿美元的经济损失。

无独有偶，2017年5月12日，全球爆发大规模蠕虫勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。2018年，勒索病毒进一步进化，感染范围也进一步扩大……

显然，得益于网络和信息技术的发展，人们的生活变得更加便捷，企业的运营变得更有效率，但网络安全威胁事件也随之层出不穷。

对消费者来说，某些安全事件可能只是导致其无法正常上网而已；但对企业来说，安全问题除了会造成巨额的经济损失，还会导致客户信任的丧失，关键数据和信息是否安全甚至能决定一家企业的生死存亡。所以，某种程度上来说，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，网络安全基础设施也日渐成为企业网建设的重中之重。

至于如何制定安全策略，不同的企业有不同的看法——在紫光旗下新华三集团看来，只有从用户的接入终端进行安全控制，才能够从源头上防御威胁。

基于这种理念，新华三推出了端点准入防御（EAD）解决方案，旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒的攻击。

在15年的发展历史中，新华三EAD产品服务了超过3000万用户终端。在“永恒之蓝”勒索病毒猖獗的2017年，EAD守护的客户都平稳度过了该病毒的冲击。

然而，就像网络病毒和攻击手段的变化没有止境那样，EAD产品的进化同样没有终点。互联网时代，人与人之间沟通的方式没有什么太大差别，所以对通信网络的需求也是类似的；物联网时代，数以百亿计的新式设备被接入网络，终端数量和类型出现了爆发性的增长，不同类型的设备具有不同的通信需求，有的需要低功耗，有的需要广覆盖……不同的通信网络需要不同的网络管理策略，面对的安全问题也就不尽相同。

为了适应客户需求的变化，2018年12月26日，新华三发布了新一代终端准入控制系统EAD³，利用区块链、人工智能、物联网等新理念为老产品注入新的活力。数字“3”代表着3种全新的技术：分布式账本认证集群、AI+终端可视化以及阿米巴魔盒。

在传统的准入控制系统里，主认证服务器是关键，它就好比自家大门上的那把锁，只允许有钥匙进门——即只有符合管理员设定的企业安全策略、具有访问权限的人员才能访问企业内网。但是，由此带来的尴尬也显而易见，因为传统系统严重依赖主机的可靠性，一旦主服务器宕机，整套认证系统都有可能失效，继而影响企业日常业务。新华三业务软件产品部总监李冬先生将这种状况形象的比喻为“自家大门锁坏了，被挡在门外。”

解决这种尴尬的措施之一是引入备份机制，然而传统的备份方式也存在各式各样的问题。比如“冷备”需要重新认证，时效性低；“热备”在数据库宕机时用户依然无法认证；“逃生”则意味着不认证，牺牲了安全性。

新一代EAD³创新性的从区块链中得到启发，引入分布式账本技术，带来一套完全去中心化的准入控制系统。去中心化就意味着没有谁能完全说了算，没有单一节点能掌控所有处理，这使得准入控制系统进化到一种全新的运行方式。

因为分布式账本认证集群的设计不存在中心化的管理节点，单个、多个节点宕机的故障并不会影响系统正常运行，能够确保系统认证永久在线，因此整个系统认证可靠性进化到新高度。理论上，分布式账本守护下的新华三EAD³系统可靠性可达99.9999%。除此之外，它还能大幅降低用户系统实施部署的成本。

由于终端种类多、数量庞大；网络环境复杂多变；人们使用习惯各异等原因，网络管理者遇到了前所未有的新困局——管理复杂度更高，运维工作量更大。

所有这些问题可以被粗略的分为两大类：确定性问题和不确定性问题。确定性的问题很好办，按照可能出现的情况提前准备好相应的应对措施即可，那么不确定的问题呢？这时，就需要依靠人工智能技术了。通过对数据的收集和精确分析，AI能够准确识别、预测网络异常等风险因素，即时分发新的准入控制策略，控制风险蔓延。

新一代EAD³AI+终端可视化正聚焦于此，第一，AI引擎可以基于系统数据去做威胁捕捉；第二，AI引擎可以基于用户数据去做人群捕捉；第三，AI引擎还可以通过对业务数据的的分析来进行业务捕捉。

训练AI引擎的关键在于数据，在过去15年的实践中，新华三终端准入控制系统积累了业界最完整的AI训练数据和大量补丁管理数据，这些最真实的一手大数据资料成为EAD³人工智能应用的坚定基石。EAD³基于AI技术，还能提供直观的图形化界面来进行预警及风险管理，将人工管理的不可控化解于无形。

在企业认证的场景中，还会经常遇到认证服务端种类众多，不知道如何选型的困扰。新一代EAD³系统里的阿米巴魔盒从生物体中得到启示，以万变应万变。

阿米巴（Amoeba)拉丁语中是单个原生体的意思，也被称作变形虫。其最大的特性是能够随外界环境的变化而变化，不断地进行自我调整来适应所面临的生存环境。

就像阿米巴原虫一般，阿米巴魔盒可以依照客户需求随时变化应对，支持多场景适配，软硬兼备。阿米巴魔盒不仅能满足海量用户环境下的账户认证和管理，而且可以定制各种专属认证页面，通过内嵌的动态软令牌系统结合用户名和密码为客户提供双因素认证，同时还全面支持国密算法，可以满足特定行业的安全要求。

换言之，各种各样的认证服务器，都可以用一个“魔盒”去适配，由此实现了标准化和统一化，显著降低了运维人员的工作量。

目前，新华三的解决方案已经在国内众多行业客户中得到了应用，华夏银行就是其中的典型代表。12年前，华夏银行开始按照统一规划、统一标准、统一安全、统一部署、统一管理的思路推动自身网络建设。建设过程中，华夏银行高度重视终端安全管控，并且选择了新华三EAD产品。12年来，EAD成为华夏银行网络边缘强有力的守护者，助力华夏银行平稳度过2017年“永恒之蓝”勒索病毒冲击。

新华三EAD³利用人工智能、“区块链”集群、阿米巴魔盒等先进技术对终端实施企业准入控制策略，能够有效加强用户终端的多维管理能力。EAD³既支持传统网络环境，也支持公有云、私有云及混合云部署，极大丰富了用户使用的场景，全面满足用户对于网络准入、桌面安全、行为审计和数据保护的需求，进而轻松迈入数字化时代。

【原】借力区块链/人工智能，新华三的网络安全新法宝！