智御APT，固守網(wǎng)絡(luò)疆界 河北移動(dòng)打造AI WAN內(nèi)生安全新防線

通信世界網(wǎng)消息（CWW）隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和各行各業(yè)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，網(wǎng)絡(luò)安全威脅日益增加且呈多樣化發(fā)展趨勢(shì)，尤其是APT（高級(jí)持續(xù)性威脅）攻擊，給國(guó)家網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)峻挑戰(zhàn)。

APT攻擊復(fù)雜多變、隱蔽性強(qiáng)、持續(xù)時(shí)間長(zhǎng)，攻擊者通常利用仿冒或盜用賬號(hào)、協(xié)議漏洞等對(duì)設(shè)備進(jìn)行入侵。侵入設(shè)備后，一方面可植入“木馬”病毒進(jìn)行長(zhǎng)期潛伏并竊取數(shù)據(jù)，如國(guó)內(nèi)某高校遭受攻擊，超過(guò)140GB的高價(jià)值數(shù)據(jù)被竊取；另一方面，還可對(duì)設(shè)備進(jìn)行破壞性操作，造成設(shè)備損毀且難以恢復(fù)，如某海外運(yùn)營(yíng)商遭受APT攻擊，網(wǎng)絡(luò)設(shè)備被重置變“磚”，全網(wǎng)停服12小時(shí)以上，導(dǎo)致部分地區(qū)發(fā)生騷亂。

構(gòu)建安全、智能的網(wǎng)絡(luò)環(huán)境

中國(guó)移動(dòng)積極落實(shí)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，聯(lián)合華為開(kāi)展AI WAN內(nèi)生安全解決方案創(chuàng)新實(shí)踐，基于NetEngine5000E AI集群路由器和威脅防護(hù)處理板，在河北移動(dòng)打造抵御APT攻擊的內(nèi)生安全防御系統(tǒng)，通過(guò)一系列技術(shù)創(chuàng)新構(gòu)建更加安全、智能的網(wǎng)絡(luò)環(huán)境。

首創(chuàng)獨(dú)立系統(tǒng)硬隔離架構(gòu)，實(shí)現(xiàn)安全“零暴露”：通過(guò)獨(dú)立的威脅防護(hù)處理單板構(gòu)建安全隔離域，從架構(gòu)上消除暴露風(fēng)險(xiǎn)。

以AI驅(qū)動(dòng)APT威脅檢測(cè)，實(shí)現(xiàn)100%未知異常檢出率：融合深度學(xué)習(xí)與行為分析算法，精準(zhǔn)識(shí)別各類APT攻擊行為，大幅提升威脅發(fā)現(xiàn)能力。

分鐘級(jí)整網(wǎng)智能同步，快速收斂攻擊影響：依托威脅態(tài)勢(shì)感知平臺(tái)，檢測(cè)到攻擊事件后，在10分鐘內(nèi)完成處置策略下發(fā)，設(shè)備聯(lián)動(dòng)響應(yīng)，快速隔離受感染節(jié)點(diǎn)，遏制攻擊擴(kuò)散。

全鏈AI精準(zhǔn)溯源，構(gòu)建APT攻擊畫(huà)像：結(jié)合網(wǎng)絡(luò)流量日志、用戶行為數(shù)據(jù)及威脅情報(bào)庫(kù)，AI引擎全維度還原攻擊證據(jù)鏈，為后續(xù)處置提供決策依據(jù)。

實(shí)現(xiàn)精準(zhǔn)防御APT攻擊

河北移動(dòng)在內(nèi)生安全創(chuàng)新實(shí)踐中，圍繞暴露面管理、入侵檢測(cè)和主動(dòng)防護(hù)三大維度構(gòu)建下一代安全防護(hù)體系，實(shí)現(xiàn)精準(zhǔn)防御APT攻擊。

暴露面管理

通過(guò)自動(dòng)化的資產(chǎn)發(fā)現(xiàn)與清點(diǎn)機(jī)制，持續(xù)且實(shí)時(shí)地掌握全網(wǎng)設(shè)備資產(chǎn)的動(dòng)態(tài)變化，并在此基礎(chǔ)上進(jìn)行深度的安全配置合規(guī)性檢查，迅速定位不合規(guī)的弱配置項(xiàng)。與此同時(shí)，結(jié)合強(qiáng)大的暴露面管理能力，對(duì)所有面向互聯(lián)網(wǎng)開(kāi)放的端口、服務(wù)及潛在攻擊入口進(jìn)行持續(xù)監(jiān)控與測(cè)繪，從而將因配置疏漏或資產(chǎn)不明導(dǎo)致的暴露窗口期大幅縮短，從源頭上收斂了暴露面。

入侵檢測(cè)

基于安全AI檢測(cè)模型，有效捕捉針對(duì)路由器、服務(wù)器等關(guān)鍵網(wǎng)絡(luò)設(shè)備的各類已知攻擊模式，包括利用黑名單IP、失陷憑證進(jìn)行的異常登錄嘗試和暴力破解等行為。同時(shí)，為每一個(gè)賬號(hào)建立動(dòng)態(tài)的行為基線模型，精準(zhǔn)識(shí)別偽裝成正常用戶而行為模式卻偏離基線的內(nèi)部威脅或賬戶竊取活動(dòng)，確保威脅感知“無(wú)盲區(qū)”。

主動(dòng)防護(hù)

從事前預(yù)防、事中處置到事后加固，構(gòu)成了攻擊防御的完整閉環(huán)。在事前，通過(guò)強(qiáng)制性的防弱口令策略等手段，夯實(shí)設(shè)備自身的“免疫力”；在事中，構(gòu)建了一套基于實(shí)時(shí)風(fēng)險(xiǎn)計(jì)算的動(dòng)態(tài)信任評(píng)估模型，對(duì)運(yùn)維人員及其他用戶的高危操作進(jìn)行即時(shí)風(fēng)險(xiǎn)量化，一旦評(píng)估結(jié)果超過(guò)閾值，自動(dòng)觸發(fā)預(yù)定義的響應(yīng)動(dòng)作，例如立即上報(bào)告警、臨時(shí)禁用用戶權(quán)限等，實(shí)現(xiàn)了從“被動(dòng)告警”到“主動(dòng)攔截”的跨越；在事后，系統(tǒng)還能對(duì)關(guān)鍵配置變更行為（如非法登錄后嘗試修改端口鏡像配置以竊取數(shù)據(jù)等）進(jìn)行追蹤與告警，確保安全事件得以及時(shí)追溯。

未來(lái)，中國(guó)移動(dòng)將持續(xù)迭代APT防御體系，拓展應(yīng)用場(chǎng)景。同時(shí)，聚焦基礎(chǔ)網(wǎng)絡(luò)安全，將更多的AI能力融入產(chǎn)品和解決方案中，構(gòu)建從軟件到硬件的全方位安全生態(tài)系統(tǒng)，積極推動(dòng)產(chǎn)業(yè)鏈趨于成熟，培養(yǎng)更多網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)人才。

*本篇刊載于《通信世界》2025年12月10日*

第23期 總981期