信息化觀察網(wǎng)

伴隨著ICT產(chǎn)業(yè)與社會(huì)各層面的深度融合，“新基建”下的網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間，一旦遭受攻擊將直接影響公眾生活、社會(huì)穩(wěn)定和國家安全，“新基建”在助力產(chǎn)業(yè)新秩序建立的同時(shí)，也將面臨網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)。當(dāng)前，進(jìn)一步完善網(wǎng)絡(luò)安全等級(jí)防護(hù)體系、加速網(wǎng)絡(luò)安全產(chǎn)品升級(jí)、推進(jìn)網(wǎng)絡(luò)安全企業(yè)服務(wù)化轉(zhuǎn)型，對(duì)于促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展具有重要意義。

“新基建”的技術(shù)新特點(diǎn)

就ICT領(lǐng)域而言，新型基礎(chǔ)設(shè)施更側(cè)重于以信息網(wǎng)絡(luò)為基礎(chǔ)，綜合集成新一代信息技術(shù)，是圍繞數(shù)據(jù)的感知、傳輸、存儲(chǔ)、計(jì)算、處理和安全等環(huán)節(jié)所形成的基礎(chǔ)設(shè)施體系，對(duì)于經(jīng)濟(jì)社會(huì)數(shù)字化發(fā)展至關(guān)重要，亦有利于加快構(gòu)建“以國內(nèi)大循環(huán)為主體，國內(nèi)國際雙循環(huán)互相促進(jìn)”的新發(fā)展格局。與傳統(tǒng)基建相比，可以看出“新基建”有以下幾方面特點(diǎn)。

一是“新基建”支撐更多領(lǐng)域?qū)崿F(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化。“新基建”賦能產(chǎn)業(yè)，通過數(shù)字化、網(wǎng)絡(luò)化、智能化改造，促進(jìn)產(chǎn)業(yè)的“數(shù)據(jù)驅(qū)動(dòng)發(fā)展”，進(jìn)一步推進(jìn)傳統(tǒng)產(chǎn)業(yè)全方位、全角度、全鏈條改造升級(jí)，并在5G、人工智能等前沿領(lǐng)域完善應(yīng)用環(huán)境，搶占發(fā)展先機(jī)。

二是“新基建”與天地一體化深度融合實(shí)現(xiàn)寬帶高速化服務(wù)。“新基建”以網(wǎng)絡(luò)切片方式在共享資源上按需提供虛擬專用網(wǎng)絡(luò)服務(wù)，不僅可以智能化劃分網(wǎng)絡(luò)連接密度、流量容量等，為運(yùn)營商及用戶提供差異化服務(wù);還可以提供適配不同領(lǐng)域需求的網(wǎng)絡(luò)連接應(yīng)用場景，推動(dòng)行業(yè)轉(zhuǎn)型。

三是“新基建”利用泛在化實(shí)現(xiàn)數(shù)據(jù)資源網(wǎng)絡(luò)安全管理優(yōu)勢。“新基建”利用泛在網(wǎng)絡(luò)解決了人與人、人與物、物與物的交流，同時(shí)圍繞大數(shù)據(jù)的采集、存儲(chǔ)、加工、分析和可視化，形成了適應(yīng)數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)融合發(fā)展需要的信息基礎(chǔ)設(shè)施體系。

新基建”網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)分析

“新基建”的發(fā)展將促使接入網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)量的高速增長，這給漏洞安全防護(hù)及網(wǎng)絡(luò)安全保障體系建設(shè)提出了更高的要求，將面臨更復(fù)雜的網(wǎng)絡(luò)攻擊。同時(shí)，針對(duì)“新基建”的安全防護(hù)措施也難以匹配其發(fā)展速度。因此，在以5G網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)等為代表的新一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，將出現(xiàn)新的安全隱患，具體有以下幾個(gè)方面。

一是網(wǎng)絡(luò)架構(gòu)服務(wù)化導(dǎo)致由物理環(huán)境和物理隔離提供安全保障的策略徹底失效。一方面，計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源虛擬化會(huì)導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界模糊，從而引發(fā)虛擬化軟件安全、虛擬機(jī)安全及虛擬機(jī)間的通信安全、數(shù)據(jù)安全等問題。另一方面，集中部署硬件會(huì)導(dǎo)致相關(guān)漏洞更容易被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)、病毒更易傳播?？刂破矫婧蛿?shù)據(jù)平臺(tái)的分層解耦、用戶業(yè)務(wù)的開放性和多廠商設(shè)備集成也會(huì)給“新基建”網(wǎng)云化平臺(tái)的安全可信帶來前所未有的挑戰(zhàn)。

二是業(yè)務(wù)場景切片化需要較強(qiáng)的安全隔離能力，認(rèn)證和鑒權(quán)能力不足也可造成敏感信息和個(gè)人隱私數(shù)據(jù)泄露。海量數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸以及各個(gè)節(jié)點(diǎn)存儲(chǔ)、處理和調(diào)度等環(huán)節(jié)，都將面臨被竊取、破壞、篡改的風(fēng)險(xiǎn)。“新基建”所使用的5G網(wǎng)絡(luò)切片通過統(tǒng)一基礎(chǔ)設(shè)施承載，為用戶提供不同業(yè)務(wù)的數(shù)據(jù)傳輸，同時(shí)也提供差異化安全服務(wù)。這就要求網(wǎng)絡(luò)切片需要具有安全隔離能力，因?yàn)椴煌木W(wǎng)絡(luò)切片共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施但承載不同的5G業(yè)務(wù)，如果網(wǎng)絡(luò)切片的認(rèn)證和鑒權(quán)能力不足，則可能造成敏感信息和個(gè)人隱私數(shù)據(jù)泄露。

三是“新基建”供應(yīng)鏈安全涉及整個(gè)生命周期，海量終端異構(gòu)化可能被利用成為新攻擊源或者成為攻擊對(duì)象。一方面，“新基建”供應(yīng)鏈安全涉及網(wǎng)絡(luò)產(chǎn)品和服務(wù)的整個(gè)生命周期，防護(hù)較弱的環(huán)節(jié)會(huì)導(dǎo)致產(chǎn)品、服務(wù)及其所包含的組件等遭受惡意篡改、植入、替換、偽造等，從而使供應(yīng)鏈完整性遭受威脅。另一方面，網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在部分遠(yuǎn)程控制功能，但未告知遠(yuǎn)程控制目的、范圍和關(guān)閉方法。這些安全威脅可能導(dǎo)致被非法控制、遭受干擾或破壞等風(fēng)險(xiǎn)，進(jìn)而影響國家安全。

四是決策下沉節(jié)點(diǎn)和邊緣計(jì)算的安全能力不夠完善，可抵御的單個(gè)攻擊和攻擊種類強(qiáng)度不夠。由于受到成本、性能、部署靈活性等多種因素制約，邊緣計(jì)算技術(shù)節(jié)點(diǎn)的安全能力不夠完善，將導(dǎo)致包括終端應(yīng)用、接入終端等都暴露在錯(cuò)綜復(fù)雜、管控能力缺失的環(huán)境中，使邊緣節(jié)點(diǎn)更容易遭到非授權(quán)訪問、惡意數(shù)據(jù)偽造、敏感數(shù)據(jù)泄露等威脅，且被攻擊后可能造成服務(wù)中斷、用戶隱私和數(shù)據(jù)泄露、物理設(shè)備毀壞等嚴(yán)重后果。同時(shí)，當(dāng)邊緣計(jì)算服務(wù)由第三方提供時(shí)，也面臨著認(rèn)證與鑒權(quán)等安全問題。

“新基建”下，基于等級(jí)保護(hù)2.0的趨勢分析

隨著《中華人民共和國網(wǎng)絡(luò)安全法》的深入貫徹和實(shí)施，等級(jí)保護(hù)制度已成為新時(shí)期國家網(wǎng)絡(luò)安全的基本制度。隨著等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的出臺(tái)，網(wǎng)絡(luò)安全保護(hù)對(duì)象實(shí)現(xiàn)了對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新一代信息基礎(chǔ)設(shè)施的全覆蓋。當(dāng)前，新型基礎(chǔ)設(shè)施以數(shù)據(jù)和網(wǎng)絡(luò)為核心，因此新型信息基礎(chǔ)設(shè)施安全防護(hù)應(yīng)深入到設(shè)備結(jié)構(gòu)、流程、功能、機(jī)制等每個(gè)環(huán)節(jié)，并按等級(jí)保護(hù)2.0標(biāo)準(zhǔn)、可信計(jì)算3.0設(shè)計(jì)主動(dòng)防御總體安全框架，搭建安全可信、主動(dòng)免疫的防御體系。當(dāng)前基于“新基建”安全風(fēng)險(xiǎn)需求可以進(jìn)行以下幾方面保護(hù)。

構(gòu)建安全可信體系確保安全計(jì)算環(huán)境

云計(jì)算、大數(shù)據(jù)等技術(shù)手段會(huì)對(duì)分布于網(wǎng)絡(luò)中的異構(gòu)海量數(shù)據(jù)進(jìn)行梳理映射、歸納處理。所涉及的存儲(chǔ)、計(jì)算平臺(tái)及網(wǎng)絡(luò)環(huán)境等載體，分屬不同的信息系統(tǒng)，處理全過程覆蓋網(wǎng)絡(luò)空間資源安全，因而加劇了網(wǎng)絡(luò)空間中攻擊與防御的不對(duì)稱性。面對(duì)新形勢下的安全問題，主要集中在“封、堵、查、殺”層面的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施，難以應(yīng)對(duì)大數(shù)據(jù)時(shí)代的安全挑戰(zhàn)。因此，保障安全的計(jì)算環(huán)境便成了信息系統(tǒng)安全的核心和基礎(chǔ)。目前，大數(shù)據(jù)處理系統(tǒng)大多是基于云計(jì)算平臺(tái)實(shí)現(xiàn)各環(huán)節(jié)數(shù)據(jù)的梳理計(jì)算，主要憑借業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來確定安全等級(jí)，因此可按等級(jí)保護(hù)2.0標(biāo)準(zhǔn)構(gòu)建安全管理中心支撐下的三重防護(hù)架構(gòu)。

搭建態(tài)勢感知框架對(duì)安全風(fēng)險(xiǎn)進(jìn)行防御

隨著《中華人民共和國網(wǎng)絡(luò)安全法》和等級(jí)保護(hù)2.0等政策標(biāo)準(zhǔn)的出臺(tái)，對(duì)未來安全態(tài)勢的感知被提升到了戰(zhàn)略高度，“新基建”下安全態(tài)勢感知技術(shù)迅速崛起。態(tài)勢感知的最終目的是能夠基于環(huán)境，動(dòng)態(tài)地、整體地識(shí)別安全風(fēng)險(xiǎn)，并依靠大數(shù)據(jù)的支撐，從整體系統(tǒng)視角識(shí)別安全威脅，進(jìn)而分析、理解、預(yù)警，最后響應(yīng)、處置落地。目前，態(tài)勢感知需要采集多個(gè)維度信息源的數(shù)據(jù)，采用數(shù)據(jù)分析技術(shù)識(shí)別海量數(shù)據(jù)中有用的信息，通過機(jī)器學(xué)習(xí)、威脅情報(bào)分析等自動(dòng)生成分析模型，由已知威脅推演未知威脅，對(duì)未來安全趨勢進(jìn)行風(fēng)險(xiǎn)預(yù)警和協(xié)同防御，如圖1所示。

圖1態(tài)勢感知框架

組建安全管理團(tuán)隊(duì)提高網(wǎng)絡(luò)安全保障

技術(shù)是安全防護(hù)的必要手段，人是安全防護(hù)的核心和尺度。當(dāng)前，“新基建”下相關(guān)系統(tǒng)運(yùn)營人員普遍存在安全意識(shí)不高、安全知識(shí)缺乏、安全能力不足等問題。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，需要組建專業(yè)的安全管理團(tuán)隊(duì)來提供網(wǎng)絡(luò)安全保障服務(wù)。安全管理團(tuán)隊(duì)可由“新基建”相關(guān)系統(tǒng)運(yùn)營單位自己組建，也可通過專業(yè)的第三方安全團(tuán)隊(duì)提供安全管理。安全管理團(tuán)隊(duì)在做好基本安全管理工作的同時(shí)，還需加強(qiáng)以下管理：一是做好系統(tǒng)風(fēng)險(xiǎn)監(jiān)測、預(yù)警通報(bào)，及時(shí)向有關(guān)部門通報(bào)可能影響系統(tǒng)的重大漏洞和風(fēng)險(xiǎn);二是定期開展應(yīng)急演練、做好應(yīng)急預(yù)案，通過演練找到安全防護(hù)體系的短板，及時(shí)彌補(bǔ)持續(xù)優(yōu)化，切實(shí)提升安全防護(hù)、應(yīng)急響應(yīng)和處置能力;三是負(fù)責(zé)對(duì)突發(fā)安全事件的攻擊過程進(jìn)行分析和處理，以及事件的調(diào)查與溯源，做好事后總結(jié)工作。

新戰(zhàn)略思路增強(qiáng)安全防護(hù)能力

“新基建”將更廣泛和深入地服務(wù)于社會(huì)經(jīng)濟(jì)，因此與之相伴的安全問題將更為嚴(yán)峻，為保障“新基建”推動(dòng)中國數(shù)字經(jīng)濟(jì)轉(zhuǎn)型升級(jí)，確保其安全有序發(fā)展和持續(xù)安全運(yùn)行，需要有新的戰(zhàn)略思路來增強(qiáng)安全防護(hù)能力。

一是在等級(jí)保護(hù)2.0時(shí)代，“新基建”要在傳統(tǒng)安全防護(hù)的基礎(chǔ)上，結(jié)合等級(jí)保護(hù)新增要求，以“一個(gè)中心、三重防御”為核心思想，按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)，從國家、地方政府以及企業(yè)層面加強(qiáng)統(tǒng)籌協(xié)調(diào)，有效協(xié)同推進(jìn)“新基建”發(fā)展，嚴(yán)格落實(shí)相關(guān)法律法規(guī)要求，做好頂層設(shè)計(jì)和規(guī)劃，強(qiáng)化制度供給，進(jìn)一步向企業(yè)開放應(yīng)用場景。

二是在切實(shí)提升“新基建”網(wǎng)絡(luò)安全水平的同時(shí)，需進(jìn)一步加強(qiáng)“新基建”核心產(chǎn)業(yè)鏈和供應(yīng)鏈自主可控，切實(shí)提升全網(wǎng)范圍的安全監(jiān)管能力。對(duì)“新基建”涉及的核心產(chǎn)業(yè)鏈和供應(yīng)鏈通過分析嚴(yán)格把關(guān)，以自主可控為主線，從維護(hù)國家安全角度統(tǒng)籌考慮“新基建”及其安全建設(shè)，在“新基建”發(fā)展過程中，強(qiáng)化安全技術(shù)措施的“三同步”要求，即“同步規(guī)劃、同步建設(shè)、同步使用”，深入確保“新基建”網(wǎng)絡(luò)安全，將安全貫穿于規(guī)劃、建設(shè)和使用的全階段，切實(shí)增強(qiáng)關(guān)鍵安全技術(shù)攻關(guān)，確保“新基建”有序有力推進(jìn)。

三是將安全測評(píng)及風(fēng)險(xiǎn)評(píng)估納入新型基礎(chǔ)設(shè)施建設(shè)安全風(fēng)險(xiǎn)管理過程，定期開展相關(guān)安全活動(dòng)，通過安全聯(lián)動(dòng)的方式，平臺(tái)化整合安全防御力量，構(gòu)建一個(gè)事前態(tài)勢感知、事中響應(yīng)防護(hù)、事后追蹤溯源的主動(dòng)安全防御體系，以確保“新基建”的安全建設(shè)和運(yùn)行。同時(shí)，推動(dòng)相關(guān)測評(píng)標(biāo)準(zhǔn)、技術(shù)等的發(fā)展和進(jìn)步，提升發(fā)現(xiàn)“新基建”安全風(fēng)險(xiǎn)的能力，全面提升“新基建”網(wǎng)絡(luò)安全感知能力和防護(hù)能力。