实际上，近年来重大安全事件并不鲜见。例如2017年5月12日WannaCry勒索软件病毒的大爆发，波及了世界上100多个国家和地区，令教育、电力、能源、银行、交通、医疗等多个行业都遭受了不同程度的打击。研究公司MITRE的报告指出，针对工业控制系统的攻击已经形成了完整的矩阵，攻击者完全可以通过标准化、流程化操作来控制生产系统。

相较于快速迭代的安全威胁、日益增长的安全风险，大部分政府部门及企业面临预算有限、防护资源和运维人力不足的痛点。IDC数据显示，2019年我国IT安全投入占IT整体投入比例仅为1.84%，尚不到全球市场平均3.74%的一半，距离美国的4.78%更有偌大的差距。

无论拥抱数字化的目的是带来新收入、降低成本或者其他，在此过程中海量且种类繁多的设备的接入、应用场景和系统的复杂化以及暴露面的显著增加等，都对网络安全保障提出了新的要求。

对于网络安全的高度重视，令安全产业成为一个炙手可热、前景广阔的风口产业，表现为市场规模稳步增长、资本交易活跃度明显提升。有统计显示，2018年，我国网络安全产业规模达到510.92亿元，较2017年增长19.2%，2019年更是达到了631.29亿元；2010-2019年，国内参与资本运作的网络安全企业达到近300家，上市的企业也有20多家，累计交易事件数量近600起，交易金额高达近800亿元。

此外，零信任、态势感知、IPDRR、CARTA、软件定义边界、SOAR、城市安全大脑、城市安全运营中心等种种网络安全新技术、新理念一时间亦层出不穷。

而在火热市场的另一面，则是相关各方满意度都不高的冰冷现实。在全国大型实战演练下，我国企事业单位以往以“合规”为建设导向的安全防护及运营体系受到了巨大的挑战，暴露出不少问题。主管、监管单位不断加强要求，促进各界对安全的重视和投入；除了极少网络安全建设和运营水平很高的单位，绝大部分企事业单位的网络安全现状不容乐观，责任人焦虑；上市网络安全企业2020前三季度实际表现实际利润为负，即便在2019年没有疫情影响的情况下利润总和也仅有几个亿，市盈率变成“市梦率”，厂商们看似风光无限，实则生存艰难。

那么，问题究竟出在了哪儿？

站在使用者的角度，从体系建设和日常运维角度出发，目前我国有网络安全保障需求的企事业单位可以分为三类，呈现一个“金字塔”的结构。

宋端智剖析道，在“金字塔”的最顶端，包括以BAT为代表的互联网大厂、头部金融机构以及华为等，这类单位因业务驱动对安全的投资巨大，安全体系的建设主要“以我为主”，不仅体现在产品技术自研、购买上，还建立了专业、庞大的安全团队，有着大量的安全专业人员，从而拥有在国际上都属较高的网络安全实战水平，能够轻松拦截基本的网络攻击、应对常规的网络安全事件。但是这类单位又是最稀少的，全国只有不到100家。

在“金字塔”的第二层，包括大部分大型和部分中型企事业单位，诸如地市级以上政府委办局、传统大型企业、高速公路集团、地铁、机场、三甲医院、高校等，这类单位每年一般有上百万到千万元额度的安全预算，有一个很小的网络安全部门或至少有一个人对网络安全负责，他们的安全投资以合规驱动为主，对厂商或集成商的依赖性较强，虽有成体系的安全架构，但整体安全建设和运维水平无法令人放心，承受攻击的能力较弱，难以抵御APT攻击或是漫无目的自动化攻击。他们大量存在，数以万计。

在“金字塔”的最底层，包括小型和大部分中型企事业单位，诸如非三甲医院、普通中小学、一般的制造企业、县级政府单位等，这类单位虽有一定的安全防范意识，但预算极为有限，基本没有投资或每年几十万以下，既没有专门的网络安全负责人也买不起驻场安服人员，即使曾经投资了基本的安全建设亦形同虚设，一个具有传染性的普通的病毒就可能导致整个系统瘫痪，网络安全水平最为堪忧。这类单位在国内普遍存在，数以百万计。

比较这三类企事业单位，答案已呼之欲出，造成“都不满意”现状的根本原因就在于安全资源投入的有限——没有“塔尖”单位这样“奢侈”的资金、人员投入，后两类单位自然难以复制其成功经验，强求他们看齐显然并不现实；那些被大肆炒作的新技术、新理念，对他们来说也过于遥远。

后两类单位的网络安全实效达成之路又在何方？在采访中宋端智讲述了这样一个故事。在1994年之前，纽约的犯罪率居高不下，过去多年纽约市警察局采用各种措施都不见成效，许多社区、地铁站很不太平，恶性事件频发。新局长是从交警局长岗位上提拔上来的，他在地铁治安治理过程中，从以前没人管的涂鸦和逃票开始治理，要求每个逃票者都必须接受盘问，后来发现1/7的的被捕者曾有过刑事拘留记录、5%的人随身携带武器，这样一来警察们很快就不再怀疑打击逃票现象的重要意义了。上任后，他将自己过去四年在地铁治安治理中所采用的思路引入到纽约市，纽约市的犯罪率神奇地急速下降，就像地铁系统经历的情况一样。

在这背后，即是所谓的“破窗理论”，如果一扇窗户被打破了，过了很久也没人来把它修好，行人就会以此推断这是个没人管理的地方，很快就会有更多的窗户被打破，然后混乱就开始从这栋楼向相邻的街道蔓延。回到网络安全上，绝大多数单位的网络环境也存在着大量“破窗”，唯有踏踏实实从基础的安全运维工作开始，做好打补丁、堵漏洞、排查肉鸡、处置简单攻击事件这些基础的工作，才能逐步强健网络的安全性、提高网络攻击的成本和难度。

即便如此，由于网络安全的专业性，做好基础的安全运维工作也仍是一个挑战，不仅完整的安全方案投入不菲，专业人员也存在很大缺口。华为经过长期的思考与探索，提出了云服务这剂良药。这里的“云”并非狭义的云计算，而是代表了一种资源集中在云端、按需购买的模式与思路。

经过一年多的准备与验证、100多家试商用客户的实践，华为乾坤安全云服务正式发布。让我们来看看，它究竟如何破解了现有网络安全产业的困局。

所谓“乾坤”，就是天与地的交融，这在华为乾坤安全云服务上体现为本地、云端“云边一体”的架构。宋端智解释说，该安全云服务以“华为天关”安全防御节点为本地网络依托，结合大数据AI与云端专家能力，云上技术赋能本地、本地数据云上分析，为用户提供检测、防护、响应为一体的云化安全服务，全面防御安全威胁。这也是其有别于传统基于公有云的安全云服务的关键所在。

其中，部署在用户网络边界处的“华为天关”安全防御节点将对进出网络的流量进行深度安全检测，提供IPS、反病毒和URL过滤等安全检测/拦截能力；同时，会将检测出来的安全事件以及取证数据上传至华为乾坤安全云服务平台。在云端平台，华为安全运营专家将借助安全AI技术并结合自身经验，为用户进行安全事件的分析与响应。

在这样的机制下，用户无需在本地配备安全维护人员，在云端即可拦截高危攻击源的持续攻击行为，并通过紧急告警短信、邮件周报和月报等内容轻松了解网络安全防护状态，直达网络安全防护效果。在遇到自身难以处置的安全事件时，用户还可以求助云端安全托管服务商（MSSP）服务专家来提供应急指导或处置服务，第一时间响应、闭环紧急安全事件。

在服务获取上，华为乾坤安全云服务也对广大政企单位非常友好，只需三个步骤即可完成开通，而无需改变现有网络拓扑。此外，基于云端AI的持续训练，该云服务能够根据安全误报事件，第一时间优化检测规则，实时更新“华为天关”的检测防护能力，通过自我迭代升级，不断增强本地防护效果，让政企单位的网络安全防护能力始终处于高水平线上。

据透露，通过联合华为安全商业联盟的服务伙伴，华为目前已在北京、上海、广东、浙江、江苏等17个省份建立了区域安全服务中心，提供按需、随时、专业的现场服务，做好安全服务的“最后一公里”。