“知行合一 聚势致远”——“新基建”与网络安全同频共振
“知行合一 聚势致远”——“新基建”与网络安全同频共振
2020年,网络安全产业出现了影响深远的新动向、新挑战与新契机。一方面,肆虐全球的新冠病毒疫情带来了企业生产与协作方式的巨大改变;另一方面,国家对“新基建”给予高度关注,相关政策的出台将产业发展带入新疆界,企业安全防护的内涵和外延在不断扩大,网络安全环境变得前所未有的复杂。
2018年底中央经济工作会议指出,“加快5G商用步伐,加强人工智能、工业互联网、物联网等新型基础设施建设”,“新基建”的提法由此产生。2020年3月4日中共中央政治局常务委员会会议指出,加快推进国家规划已明确的重大工程和基础设施建设。要加大公共卫生服务,应急物资保障领域投入,加快5G网络、数据中心等新型基础设施建设进度,将“新基建”提升到战略高度。
4月20日,国家发展改革委例行在线新闻发布会上,创新和高技术发展司司长伍浩表示,关于新型基础设施的概念,初步研究认为是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。目前来看,新型基础设施主要包括3个方面内容:
一是信息基础设施
主要是指基于新一代信息技术演化生成的基础设施,比如,以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等。
二是融合基础设施
主要是指深度应用互联网、大数据、人工智能等技术,支撑传统基础设施转型升级,进而形成的融合基础设施,比如,智能交通基础设施、智慧能源基础设施等。
三是创新基础设施
主要是指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施,比如,重大科技基础设施、科教基础设施、产业技术创新基础设施等。
在新一代信息基础设施中,突出的是5G、数据中心、人工智能(AI)、工业互联网及物联网、信息网络等。5G提供无线数据的宽带实时传输与分发,数据中心作为云计算的后台承担了数据存储、计算与处理,AI平台实现数据挖掘与分析决策,工业互联网支撑数据在产业链的采集、应用与线上线下联动。它们共同完成数据链从采集到分析决策和应用的全过程,发挥数据作为生产要素的作用。上述数据链的各环节还需要由作为底层网络的IPv6下一代互联网和光纤传输网承载,并且网络安全能力将嵌入数据链的各环节中。新一代信息基础设施既是基建项目,又是新型信息消费平台,更是战略性新兴产业,还是传统产业数字化的新引擎,同时也是其他领域新基建的通用支撑技术,赋能传统基建领域提质增效。新一代信息技术有力支撑了对云课堂、云办公、云复工、云签约、云商贸等需求,培育了云经济,激活了超高清视频直播和VR/AR等应用,助力流行病学调查与密切接触者的管理,提升了医学影像数据分析与药效评估的效率,促成了各类机器人在医院送药、护理、消毒和医疗废物处理等场景的应用,优化了紧缺物资的组织调配与物流,保障了对社区的精细化管理。新一代信息基础设施在经济领域的贡献更为显著,不仅表现在保驾复工复产,在生产组织、智能制造、智能质检、供应链管理、市场营销、客户服务、财务管理、产业信贷和人员培训等环节也都有成功的应用案例,今后还将加快推广以取得更大的效益。新一代信息基础设施的建设将增加IT领域的投资,带动劳动生产率提升,促进经济增长,是当之无愧的数字经济新动能。
4月15日是第5个全民国家安全教育日,“国家安全始于心,网络安全践于行”。近年来中国网络安全市场快速发展,增长速度在全球领先,但是对比美国,中国网络安全的产业规模还比较小,在经济总量尤其是数字经济中的占比很低,网络安全投入在IT整体预算中的占比远低于美国,IDC的数据显示,中国网络安全在IT投入中的占比只有1.84%,而美国已经达到了4.78%。
中国信息协会战略合作伙伴奇安信集团总裁吴云坤认为,中国网络安全落后于信息化发展,过去多年“局部整改”、“碎片化”的建设模式造成的网络安全零散发展,与我国过去二十多年信息化的高速发展完全不匹配;另外网络安全市场缺少领头羊公司来带动产业规模的扩大,也缺少咨询角色和运行角色,造成网络安全缺少规划、缺少运行,难以形成体系化能力来支撑数字化、智能化时代的信息化安全保障。新冠肺炎疫情爆发后,国家大力度推动新型基础设施建设、政企机构的数字化转型和以远程办公、远程医疗、远程教育为代表的“宅经济”发展,信息化投资和建设将加速,这对于网络安全产业是机会,更是极大挑战。“网络安全行业需要考虑建立新的网络安全体系框架,来满足‘新基建’带来的数字化、智能化时代的信息化安全保障需求,来提升产业发展。”
在收获机遇的同时,“新基建”必然面临挑战。中国信息协会理事单位360城市安全集团系统设计部总监李晓明认为,第一个挑战是国际格局日趋复杂,中国与国际的技术交流、技术合作及技术供应链有被阻断风险。第二个挑战是随着大数据与人工智能技术的发展与广泛应用,如何保障隐私和数据安全。第三个挑战是能否找到行之有效的商业模式,在产业互联网的大背景下,要求5G、大数据、人工智能等高科技产业找到与传统产业的有效结合点,即:高价值、可落地与可复制。“如果在‘新基建’过程中没有考虑到网络安全,简直就是在裸奔”,如果真正发生网络攻击,将不会仅仅是传统的网络攻击,它的破坏力将不同,“新基建”下的网络攻击将从数字空间延伸到物理空间,会造成非常严重的后果。这种攻击不仅仅是针对一辆车,而是会因为一辆车被攻击导致大面积的交通事故。“新基建”有很多智慧医疗的场景,如果通过网络入侵CT机,哪怕通过一种方法欺骗体温枪绕过门口的疫情检测卡,这就有可能造成大规模的感染或者医疗事故。
中国信息协会信息安全专业委员会副会长李京春认为,“新基建”正在为中国经济发展铺路,可以用五个字来形容“新基建”的硬核——“快、融、新、基、智”,也就是说:线上线下都体现了一个“快”,相互融合度高,催生新的模式,具有领域基础性特点,紧密围绕人工智能。针对网络安全方面的硬核科技,同样有五个字——“内、外、保、管、智”,“内”即内生安全,系统、平台、产品要有更多的自限性安全机制,在新基建当中发挥作用;“外”是针对威胁情报要共享,外部的要联防联动,加强不同层级的,不同层面的保障;“保”指:保障信息化建设和网络安全建设的“三同步”——同步的规划,同步的建设,同步的运行;“管”要管好系统运行的连续性,管好核心人员,管好数据,管好应急;“治”就要针对网络安全乱象进行治理,要打击网络的犯罪,加强网上的监督等等,做到网络安全的内核。总而言之,网络安全要升级到更高的层面,和硬核的新基建相配套。
中国信息协会专家委员会主任委员邬贺铨院士指出,新一代信息基础设施是“双刃剑”,在应对原有网络安全问题之外,还将面对新的安全挑战。第一是虚拟化的挑战,5G网络和云数据中心的虚拟化模糊了网络的物理边界,基于逻辑拓扑定义的虚拟安全域需要根据虚拟机的迁移状况动态变化,传统依赖物理边界防护的安全机制难以奏效。另外,软件定义网络与网络功能虚拟化的上层控制系统高度集中,容易成为网络安全攻击的对象,而底层计算、存储及网络资源共享将考验安全隔离手段。第二是开放性的挑战,5G采用基于服务的网络体系,开放业务生成和调用,网络切片也可以开放给客户自定义与调配,这与传统移动网络封闭的业务管理相比,恶意第三方容易获得对网络的操控能力。5G采用通用互联网协议代替传统移动网络专用协议,扩展了业务能力,但更易受到外部攻击。第三是切片化的挑战,5G、数据中心和工业互联网都会面对大量有不同业务要求的租户,以网络切片方式在共享资源上按需提供VPN服务,切片间需要有效的安全隔离机制,以免某个低防护能力的网络切片受攻击后成为跳板而波及其他切片。第四是大连接的挑战,工业互联网使用大量传感器和PLC,量大且永远在线而易成为DDoS攻击的跳板,防入侵能力又受限于低功耗的轻量级安全算法。5G要支持每平方公里上百万传感器联网,复杂的认证会引发信令风暴还会影响低时延的性能,车联网还要求支持点到多点的V2V快速认证。第五是开源化的挑战,5G、数据中心和工业互联网领域大量采用开源软件,AI领域对第三方开源基础库过度依赖,加大了引入安全漏洞的风险。第六是大数据的挑战,新一代信息基础设施依赖大数据挖掘,但难以保证数据不被污染,以失真的数据来训练神经网络,会使决策错误且因AI的结果具有不可解释性而难以发现。通过将数据分布存储和加密,可以防备数据被盗窃或篡改,但对于以勒索为目的的外部攻击,会强行将数据再加密,使原有数据的拥有方也无法读取数据。
“新基建”本质实际上是一个国家数字化基础设施建设总体推进的路径,不是简单的刺激经济的行为。短期将发挥投资对经济的拉动,缓解经济下行的压力。长期来看,实际是一个国家战略的举措,目标是着眼于培育和壮大数字经济的动能,提高政府治理现代化的水平,实现经济社会高质量发展,这是一个社会和技术发展的必然趋势。随着新一代信息基础设施更广泛和深入服务于社会经济,其安全问题带来的后果更为严峻,需要有新的战略思路来增强安全能力
第一、需要建立软件定义的网络安全机制
过去网络安全依靠“老三件”(防火墙、入侵检测和防病毒),基于硬件为主的外挂设备的被动和固化的防御方式。今后仍需边界防护,但入口的安全能力应实现软件定义并与网络内部安全机制联动。
第二、要以强化免疫能力为本
新一代信息基础设施基本都是网络化、云化、虚拟化和智能化,很多安全挑战是内生的,需要增强免疫能力,从基础设施技术开发与网络设计开始就要有内生的安全理念,网络安全能力与基础设施是一个整体,网络安全能力需与基础设施同步建设并融入其中。
第三、从以产品为中心到服务为中心
过去我国的网络安全企业主要收入来自硬件销售,而国外同行则以服务收入为主。网络安全永远是魔高一尺道高一丈,网络安全企业需要建立专业的服务队伍,熟悉被服务企业的生产流程和信息技术产品,要将客户从销售对象转为合作对象,为企业提供个性化安全服务。需要明确网络安全企业与被服务企业间安全责任的边界,保护被服务企业的数据安全与商业秘密。
第四、完善网络安全的生态系统
网络安全能力与基础设施有同样的生命周期,覆盖从系统开发设计到项目上线检测及运行应急处置,全过程需要有可依据的标准体系、制度规范和法律法规,需要建立第三方的应用服务安全检测环境和生命周期的安全风险评估平台,建设国家工业互联网平台安全监测预警系统,开展风险信息通报与应急处置工作。网络安全生态的另一个维度覆盖工业企业、设备供应商、基础电信运营商、云服务商、工业互联网平台运营商、工业应用提供商、网络安全企业、第三方检测机构和用户等,上下游都有维护网络安全的责任,需要紧密合作实现威胁与处置情报共享。
数字经济的价值释放与长远发展的前提是网络安全保障,在疫情对宏观经济产生巨大冲击的背景下,各界都对“新基建”能否带来新的经济增长趋势倍加关注。而对网络安全行业来说,促生了更多着眼于数字化为核心的新基础设施的网络安全问题,例如5G安全、城市安全、硬核科技应用等。然而挑战伴随机遇,无论是对巨头还是小型创新企业而言,大家同时站在了新的起点,将迎来很好的机遇。4月17日,在数字基础设施建设推进专家研讨会上,工业和信息化部副部长陈肇雄指出,与数字基础设施同步规划、建设、运行网络安全保障系统,推进关键信息基础设施安全保护,健全网络安全技术监测体系、应急处置机制,加强5G、工业互联网、数据中心、云平台等设施的安全保障,确保数字基础设施安全平稳可靠运行。
供稿:朱玉