您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
專題:多位院士專家解讀“新基建”下的網(wǎng)絡(luò)安全
日前,工信部起草了《網(wǎng)絡(luò)數(shù)據(jù)安全標準體系建設(shè)指南(征求意見稿)》,通過頂層設(shè)計,制定政府引導和市場驅(qū)動相結(jié)合的網(wǎng)絡(luò)數(shù)據(jù)安全標準體系建設(shè)方案,有利于“新基建”健康運行。
標準體系明年初步建成
《建設(shè)指南》(征求意見稿)指出,到2021年,初步建立網(wǎng)絡(luò)數(shù)據(jù)安全標準體系,有效落實網(wǎng)絡(luò)數(shù)據(jù)安全管理要求,基本滿足行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護需要,推進標準在重點企業(yè)、重點領(lǐng)域中的應用,研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標準20項以上。
到2023年,健全完善網(wǎng)絡(luò)數(shù)據(jù)安全標準體系,標準技術(shù)水平、應用水平和國際化水平顯著提高,有力促進行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護能力提升,研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標準50項以上。網(wǎng)絡(luò)數(shù)據(jù)安全標準體系包括基礎(chǔ)共性、關(guān)鍵技術(shù)、安全管理、重點領(lǐng)域四大類標準。
網(wǎng)絡(luò)安全成“新基建”最大挑戰(zhàn)
在國家政策推動下,5G網(wǎng)絡(luò)、數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)加快推進,可以預見,“新基建”將成為我國經(jīng)濟增長的新引擎。
不過,“新基建”在助力產(chǎn)業(yè)新秩序重新建立的同時,也將面臨網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)。當下人們已經(jīng)通過物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)解決很多問題,隨著接入網(wǎng)絡(luò)設(shè)備的快速增長,每天產(chǎn)生海量的數(shù)據(jù),對關(guān)鍵信息基礎(chǔ)設(shè)施進行安全保障至關(guān)重要。
其實網(wǎng)絡(luò)安全無處不在,無論是普通的網(wǎng)絡(luò)平臺的賬號、隱私和數(shù)據(jù)安全,還是基于人工智能技術(shù)下無人駕駛和機器人技術(shù)都離不開安全。
近日,就有多位院士專家在網(wǎng)絡(luò)安全線上研討會上表示,在新基建為中國經(jīng)濟發(fā)展鋪路的同時,網(wǎng)絡(luò)安全可為新基建保駕護航。
院士沈昌祥
當前,網(wǎng)絡(luò)空間已成為海、陸、空、天以后的第五大主權(quán)空間,這也是過去國際戰(zhàn)略在軍事領(lǐng)域演進的結(jié)果。沈昌祥沈院士指出,現(xiàn)在“網(wǎng)絡(luò)戰(zhàn)”已經(jīng)常態(tài)化,習近平總書記指示我們,“沒有網(wǎng)絡(luò)安全就沒有國家安全”。因此,我們必須要按照國家的法律戰(zhàn)略制度來推廣安全可信產(chǎn)品,筑牢新基建的網(wǎng)絡(luò)安全底線。
“安全的問題是避免不了的,我們設(shè)計IT系統(tǒng),必定存在邏輯不全的缺陷,攻擊就會利用邏輯缺陷,這是網(wǎng)絡(luò)安全的永遠主題?!?沈院士表示,我們要調(diào)整思路,要有主動免疫的網(wǎng)絡(luò)安全計算,確保為完成計算任務的邏輯組合不被篡改,不被破壞,能實現(xiàn)正確的計算,讓可信的目標能達到。
沈院士認為,我們的對策是主動免疫,要反思以前就事論事的“老三樣”:殺病毒、防火墻、入侵檢測。因為現(xiàn)在攻擊漏洞太多,邏輯缺陷太多,利用老的經(jīng)驗積累去封堵是解決不了問題的。怎么辦呢?我們要用可信計算,而且是主動免疫可信計算,計算運行的同時進行安全防護,以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質(zhì),相當于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。
沈院士指出,5G網(wǎng)絡(luò)、云計算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等,關(guān)鍵是五個方面的可信:
體系架構(gòu)不能變。
資源配置不能篡改,可信。
操作行為(可信)不能攻擊。
確保數(shù)據(jù)的可信。
策略管理要可信,不能被篡改。
值得一提的是,中國可信計算的發(fā)展是走在世界前列的。在1992年就立項研究了可信計算綜合安全保護系統(tǒng),1995年2月就通過了測評鑒定,然后經(jīng)過長期軍民融合聯(lián)合攻關(guān),形成了自主創(chuàng)新安全可信的體系,開啟了可信計算的3.0新時代。
院士鄔賀銓
中國信息協(xié)會專家委員會主任委員鄔賀銓院士指出,新一代信息基礎(chǔ)設(shè)施是“雙刃劍”,在應對原有網(wǎng)絡(luò)安全問題之外,還將面對新的安全挑戰(zhàn)。
第一是虛擬化的挑戰(zhàn)
5G網(wǎng)絡(luò)和云數(shù)據(jù)中心的虛擬化模糊了網(wǎng)絡(luò)的物理邊界,基于邏輯拓撲定義的虛擬安全域需要根據(jù)虛擬機的遷移狀況動態(tài)變化,傳統(tǒng)依賴物理邊界防護的安全機制難以奏效。另外,軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)功能虛擬化的上層控制系統(tǒng)高度集中,容易成為網(wǎng)絡(luò)安全攻擊的對象,而底層計算、存儲及網(wǎng)絡(luò)資源共享將考驗安全隔離手段。
第二是開放性的挑戰(zhàn)
5G采用基于服務的網(wǎng)絡(luò)體系,開放業(yè)務生成和調(diào)用,網(wǎng)絡(luò)切片也可以開放給客戶自定義與調(diào)配,這與傳統(tǒng)移動網(wǎng)絡(luò)封閉的業(yè)務管理相比,惡意第三方容易獲得對網(wǎng)絡(luò)的操控能力。5G采用通用互聯(lián)網(wǎng)協(xié)議代替?zhèn)鹘y(tǒng)移動網(wǎng)絡(luò)專用協(xié)議,擴展了業(yè)務能力,但更易受到外部攻擊。
第三是切片化的挑戰(zhàn)
5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)都會面對大量有不同業(yè)務要求的租戶,以網(wǎng)絡(luò)切片方式在共享資源上按需提供VPN服務,切片間需要有效的安全隔離機制,以免某個低防護能力的網(wǎng)絡(luò)切片受攻擊后成為跳板而波及其他切片。
第四是大連接的挑戰(zhàn)
工業(yè)互聯(lián)網(wǎng)使用大量傳感器和PLC,量大且永遠在線而易成為DDoS攻擊的跳板,防入侵能力又受限于低功耗的輕量級安全算法。5G要支持每平方公里上百萬傳感器聯(lián)網(wǎng),復雜的認證會引發(fā)信令風暴還會影響低時延的性能,車聯(lián)網(wǎng)還要求支持點到多點的V2V快速認證。
第五是開源化的挑戰(zhàn)
5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)領(lǐng)域大量采用開源軟件,AI領(lǐng)域?qū)Φ谌介_源基礎(chǔ)庫過度依賴,加大了引入安全漏洞的風險。
第六是大數(shù)據(jù)的挑戰(zhàn)
新一代信息基礎(chǔ)設(shè)施依賴大數(shù)據(jù)挖掘,但難以保證數(shù)據(jù)不被污染,以失真的數(shù)據(jù)來訓練神經(jīng)網(wǎng)絡(luò),會使決策錯誤且因AI的結(jié)果具有不可解釋性而難以發(fā)現(xiàn)。通過將數(shù)據(jù)分布存儲和加密,可以防備數(shù)據(jù)被盜竊或篡改,但對于以勒索為目的的外部攻擊,會強行將數(shù)據(jù)再加密,使原有數(shù)據(jù)的擁有方也無法讀取數(shù)據(jù)。
副部長陳肇雄
4月17日,在數(shù)字基礎(chǔ)設(shè)施建設(shè)推進專家研討會上,工業(yè)和信息化部副部長陳肇雄指出,與數(shù)字基礎(chǔ)設(shè)施同步規(guī)劃、建設(shè)、運行網(wǎng)絡(luò)安全保障系統(tǒng),推進關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,健全網(wǎng)絡(luò)安全技術(shù)監(jiān)測體系、應急處置機制,加強5G、工業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)中心、云平臺等設(shè)施的安全保障,確保數(shù)字基礎(chǔ)設(shè)施安全平穩(wěn)可靠運行。
首席專家李京春
中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心首席專家李京春認為,針對新基建中的“硬核科技”,在網(wǎng)絡(luò)安全方面可歸為“內(nèi)外保管治”。
“內(nèi)”即內(nèi)生安全,系統(tǒng)、平臺、產(chǎn)品要有更多的自限性安全機制,在新基建當中發(fā)揮作用;“外”即在網(wǎng)絡(luò)安全方面,針對威脅情報大家要共享起來,外部的要聯(lián)防聯(lián)動,加強不同層級的,不同層面的保障;“?!奔幢U闲畔⒒ㄔO(shè)和網(wǎng)絡(luò)安全建設(shè)的“三同步”——同步的規(guī)劃,同步的建設(shè),同步的運行;“管”即管好系統(tǒng)運行的連續(xù)性,管好核心人員,管好數(shù)據(jù),管好應急?!爸巍奔瘁槍W(wǎng)絡(luò)安全亂象進行治理,要打擊網(wǎng)絡(luò)的犯罪,加強網(wǎng)上的監(jiān)督等,做到網(wǎng)絡(luò)安全的內(nèi)核。
北京郵電大學教授崔寶江
5G是大匯聚、融合、互聯(lián)的基礎(chǔ)設(shè)施,更是新基建的重中之重。
在5G接入網(wǎng)側(cè),亦或稱為異構(gòu)網(wǎng)絡(luò)接入層面,由于物聯(lián)網(wǎng)終端,工業(yè)智能設(shè)備、5G手機和其他異構(gòu)網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)皆需通過接入網(wǎng)側(cè)接入,在5G網(wǎng)絡(luò)部署中,為保證其安全接入,需考慮統(tǒng)一的安全認證框架、統(tǒng)一身份識別機制、安全接入和安全傳輸。
在核心網(wǎng)側(cè),要保證核心云的安全,在各種終端接入5G網(wǎng)絡(luò)之后,具體相關(guān)的接入和移動管理、回話管理和統(tǒng)一數(shù)據(jù)管理都要通過核心云相關(guān)的信令協(xié)議來調(diào)度和實現(xiàn),核心的信令協(xié)議都是在SDN和NFA虛擬化環(huán)境里通過切片技術(shù)來實現(xiàn)。因此,核心網(wǎng)側(cè)安全包括切片安全、網(wǎng)源安全等核心整體安全性。
在用戶層安全,用戶通過5G網(wǎng)絡(luò)連入訪問大量的網(wǎng)絡(luò)服務,實現(xiàn)上傳下載大量交互數(shù)據(jù)。在該環(huán)節(jié),如用戶的隱私數(shù)據(jù)便需要重點考慮安全防護。
奇安信齊向東
齊向東認為,網(wǎng)絡(luò)安全是新基建的基礎(chǔ)。以前,網(wǎng)絡(luò)安全是輔助性工程,但在新基建里是基礎(chǔ)工程。新基建會進一步加快網(wǎng)絡(luò)世界和物理世界的融合。這意味著兩者的邊界將基本消失,對網(wǎng)絡(luò)的攻擊就等于對物理世界的攻擊,直接影響人民生活、社會穩(wěn)定和國家安全。比如,5G遠程手術(shù)遭遇網(wǎng)絡(luò)攻擊,可能會威脅到人們的生命安全;車聯(lián)網(wǎng)遭受攻擊,可能會直接造成車毀人亡。
在他看來,未來絕大部分的安全問題都集中在應用場景上,因此需要把安全升級,作為基礎(chǔ)設(shè)施來建設(shè)。以新能源汽車充電樁為例,未來每個充電樁都會聯(lián)網(wǎng),當協(xié)議出現(xiàn)漏洞,就出現(xiàn)了新的攻擊方法,安全問題瞬息萬變。傳統(tǒng)的解決方法是給每個充電樁部署安全設(shè)施,但未來充電樁會遍布城鄉(xiāng)各地,一個個分布式解決是行不通的。只有通過分層解耦、異構(gòu)兼容,把安全能力資源化、目錄化、云化,用網(wǎng)絡(luò)調(diào)度來增減安全措施,才能保障系統(tǒng)的正常運轉(zhuǎn)。
360李曉明
360城市安全集團系統(tǒng)設(shè)計部總監(jiān)李曉明認為,第一個挑戰(zhàn)是國際格局日趨復雜,中國與國際的技術(shù)交流、技術(shù)合作及技術(shù)供應鏈有被阻斷風險。第二個挑戰(zhàn)是隨著大數(shù)據(jù)與人工智能技術(shù)的發(fā)展與廣泛應用,如何保障隱私和數(shù)據(jù)安全。第三個挑戰(zhàn)是能否找到行之有效的商業(yè)模式,在產(chǎn)業(yè)互聯(lián)網(wǎng)的大背景下,要求5G、大數(shù)據(jù)、人工智能等高科技產(chǎn)業(yè)找到與傳統(tǒng)產(chǎn)業(yè)的有效結(jié)合點,即:高價值、可落地與可復制。“如果在‘新基建’過程中沒有考慮到網(wǎng)絡(luò)安全,簡直就是在裸奔”,如果真正發(fā)生網(wǎng)絡(luò)攻擊,將不會僅僅是傳統(tǒng)的網(wǎng)絡(luò)攻擊,它的破壞力將不同,“新基建”下的網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間,會造成非常嚴重的后果。這種攻擊不僅僅是針對一輛車,而是會因為一輛車被攻擊導致大面積的交通事故?!靶禄ā庇泻芏嘀腔坩t(yī)療的場景,如果通過網(wǎng)絡(luò)入侵CT機,哪怕通過一種方法欺騙體溫槍繞過門口的疫情檢測卡,這就有可能造成大規(guī)模的感染或者醫(yī)療事故。(來源:信息安全與通信保密雜志社)