“新基建”的技術(shù)新特點

就ICT領(lǐng)域而言，新型基礎(chǔ)設(shè)施更側(cè)重于以信息網(wǎng)絡(luò)為基礎(chǔ)，綜合集成新一代信息技術(shù)，是圍繞數(shù)據(jù)的感知、傳輸、存儲、計算、處理和安全等環(huán)節(jié)所形成的基礎(chǔ)設(shè)施體系，對于經(jīng)濟社會數(shù)字化發(fā)展至關(guān)重要，亦有利于加快構(gòu)建“以國內(nèi)大循環(huán)為主體，國內(nèi)國際雙循環(huán)互相促進”的新發(fā)展格局。與傳統(tǒng)基建相比，可以看出“新基建”有以下幾方面特點。

一是“新基建”支撐更多領(lǐng)域?qū)崿F(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化?！靶禄ā辟x能產(chǎn)業(yè)，通過數(shù)字化、網(wǎng)絡(luò)化、智能化改造，促進產(chǎn)業(yè)的“數(shù)據(jù)驅(qū)動發(fā)展”，進一步推進傳統(tǒng)產(chǎn)業(yè)全方位、全角度、全鏈條改造升級，并在5G、人工智能等前沿領(lǐng)域完善應(yīng)用環(huán)境，搶占發(fā)展先機。

二是“新基建”與天地一體化深度融合實現(xiàn)寬帶高速化服務(wù)?！靶禄ā币跃W(wǎng)絡(luò)切片方式在共享資源上按需提供虛擬專用網(wǎng)絡(luò)服務(wù)，不僅可以智能化劃分網(wǎng)絡(luò)連接密度、流量容量等，為運營商及用戶提供差異化服務(wù);還可以提供適配不同領(lǐng)域需求的網(wǎng)絡(luò)連接應(yīng)用場景，推動行業(yè)轉(zhuǎn)型。

三是“新基建”利用泛在化實現(xiàn)數(shù)據(jù)資源網(wǎng)絡(luò)安全管理優(yōu)勢?！靶禄ā崩梅涸诰W(wǎng)絡(luò)解決了人與人、人與物、物與物的交流，同時圍繞大數(shù)據(jù)的采集、存儲、加工、分析和可視化，形成了適應(yīng)數(shù)字經(jīng)濟與實體經(jīng)濟融合發(fā)展需要的信息基礎(chǔ)設(shè)施體系。

“新基建”網(wǎng)絡(luò)安全防護風(fēng)險分析

“新基建”的發(fā)展將促使接入網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)量的高速增長，這給漏洞安全防護及網(wǎng)絡(luò)安全保障體系建設(shè)提出了更高的要求，將面臨更復(fù)雜的網(wǎng)絡(luò)攻擊。同時，針對“新基建”的安全防護措施也難以匹配其發(fā)展速度。因此，在以5G網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)等為代表的新一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，將出現(xiàn)新的安全隱患，具體有以下幾個方面。

一是網(wǎng)絡(luò)架構(gòu)服務(wù)化導(dǎo)致由物理環(huán)境和物理隔離提供安全保障的策略徹底失效。一方面，計算、存儲及網(wǎng)絡(luò)資源虛擬化會導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界模糊，從而引發(fā)虛擬化軟件安全、虛擬機安全及虛擬機間的通信安全、數(shù)據(jù)安全等問題。另一方面，集中部署硬件會導(dǎo)致相關(guān)漏洞更容易被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)、病毒更易傳播?？刂破矫婧蛿?shù)據(jù)平臺的分層解耦、用戶業(yè)務(wù)的開放性和多廠商設(shè)備集成也會給“新基建”網(wǎng)云化平臺的安全可信帶來前所未有的挑戰(zhàn)。

二是業(yè)務(wù)場景切片化需要較強的安全隔離能力，認證和鑒權(quán)能力不足也可造成敏感信息和個人隱私數(shù)據(jù)泄露。海量數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸以及各個節(jié)點存儲、處理和調(diào)度等環(huán)節(jié)，都將面臨被竊取、破壞、篡改的風(fēng)險?！靶禄ā彼褂玫?G網(wǎng)絡(luò)切片通過統(tǒng)一基礎(chǔ)設(shè)施承載，為用戶提供不同業(yè)務(wù)的數(shù)據(jù)傳輸，同時也提供差異化安全服務(wù)。這就要求網(wǎng)絡(luò)切片需要具有安全隔離能力，因為不同的網(wǎng)絡(luò)切片共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施但承載不同的5G業(yè)務(wù)，如果網(wǎng)絡(luò)切片的認證和鑒權(quán)能力不足，則可能造成敏感信息和個人隱私數(shù)據(jù)泄露。

三是“新基建”供應(yīng)鏈安全涉及整個生命周期，海量終端異構(gòu)化可能被利用成為新攻擊源或者成為攻擊對象。一方面，“新基建”供應(yīng)鏈安全涉及網(wǎng)絡(luò)產(chǎn)品和服務(wù)的整個生命周期，防護較弱的環(huán)節(jié)會導(dǎo)致產(chǎn)品、服務(wù)及其所包含的組件等遭受惡意篡改、植入、替換、偽造等，從而使供應(yīng)鏈完整性遭受威脅。另一方面，網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在部分遠程控制功能，但未告知遠程控制目的、范圍和關(guān)閉方法。這些安全威脅可能導(dǎo)致被非法控制、遭受干擾或破壞等風(fēng)險，進而影響國家安全。

四是決策下沉節(jié)點和邊緣計算的安全能力不夠完善，可抵御的單個攻擊和攻擊種類強度不夠。由于受到成本、性能、部署靈活性等多種因素制約，邊緣計算技術(shù)節(jié)點的安全能力不夠完善，將導(dǎo)致包括終端應(yīng)用、接入終端等都暴露在錯綜復(fù)雜、管控能力缺失的環(huán)境中，使邊緣節(jié)點更容易遭到非授權(quán)訪問、惡意數(shù)據(jù)偽造、敏感數(shù)據(jù)泄露等威脅，且被攻擊后可能造成服務(wù)中斷、用戶隱私和數(shù)據(jù)泄露、物理設(shè)備毀壞等嚴重后果。同時，當邊緣計算服務(wù)由第三方提供時，也面臨著認證與鑒權(quán)等安全問題。

“新基建”下，基于等級保護2.0的趨勢分析

隨著《中華人民共和國網(wǎng)絡(luò)安全法》的深入貫徹和實施，等級保護制度已成為新時期國家網(wǎng)絡(luò)安全的基本制度。隨著等級保護2.0標準的出臺，網(wǎng)絡(luò)安全保護對象實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新一代信息基礎(chǔ)設(shè)施的全覆蓋。當前，新型基礎(chǔ)設(shè)施以數(shù)據(jù)和網(wǎng)絡(luò)為核心，因此新型信息基礎(chǔ)設(shè)施安全防護應(yīng)深入到設(shè)備結(jié)構(gòu)、流程、功能、機制等每個環(huán)節(jié)，并按等級保護2.0標準、可信計算3.0設(shè)計主動防御總體安全框架，搭建安全可信、主動免疫的防御體系。當前基于“新基建”安全風(fēng)險需求可以進行以下幾方面保護。

構(gòu)建安全可信體系確保安全計算環(huán)境

云計算、大數(shù)據(jù)等技術(shù)手段會對分布于網(wǎng)絡(luò)中的異構(gòu)海量數(shù)據(jù)進行梳理映射、歸納處理。所涉及的存儲、計算平臺及網(wǎng)絡(luò)環(huán)境等載體，分屬不同的信息系統(tǒng)，處理全過程覆蓋網(wǎng)絡(luò)空間資源安全，因而加劇了網(wǎng)絡(luò)空間中攻擊與防御的不對稱性。面對新形勢下的安全問題，主要集中在“封、堵、查、殺”層面的傳統(tǒng)網(wǎng)絡(luò)安全防護措施，難以應(yīng)對大數(shù)據(jù)時代的安全挑戰(zhàn)。因此，保障安全的計算環(huán)境便成了信息系統(tǒng)安全的核心和基礎(chǔ)。目前，大數(shù)據(jù)處理系統(tǒng)大多是基于云計算平臺實現(xiàn)各環(huán)節(jié)數(shù)據(jù)的梳理計算，主要憑借業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來確定安全等級，因此可按等級保護2.0標準構(gòu)建安全管理中心支撐下的三重防護架構(gòu)。

搭建態(tài)勢感知框架對安全風(fēng)險進行防御

隨著《中華人民共和國網(wǎng)絡(luò)安全法》和等級保護2.0等政策標準的出臺，對未來安全態(tài)勢的感知被提升到了戰(zhàn)略高度，“新基建”下安全態(tài)勢感知技術(shù)迅速崛起。態(tài)勢感知的最終目的是能夠基于環(huán)境，動態(tài)地、整體地識別安全風(fēng)險，并依靠大數(shù)據(jù)的支撐，從整體系統(tǒng)視角識別安全威脅，進而分析、理解、預(yù)警，最后響應(yīng)、處置落地。目前，態(tài)勢感知需要采集多個維度信息源的數(shù)據(jù)，采用數(shù)據(jù)分析技術(shù)識別海量數(shù)據(jù)中有用的信息，通過機器學(xué)習(xí)、威脅情報分析等自動生成分析模型，由已知威脅推演未知威脅，對未來安全趨勢進行風(fēng)險預(yù)警和協(xié)同防御，如圖1所示。

圖1 態(tài)勢感知框架

組建安全管理團隊提高網(wǎng)絡(luò)安全保障

技術(shù)是安全防護的必要手段，人是安全防護的核心和尺度。當前，“新基建”下相關(guān)系統(tǒng)運營人員普遍存在安全意識不高、安全知識缺乏、安全能力不足等問題。面對日益嚴峻的網(wǎng)絡(luò)安全形勢，需要組建專業(yè)的安全管理團隊來提供網(wǎng)絡(luò)安全保障服務(wù)。安全管理團隊可由“新基建”相關(guān)系統(tǒng)運營單位自己組建，也可通過專業(yè)的第三方安全團隊提供安全管理。安全管理團隊在做好基本安全管理工作的同時，還需加強以下管理：一是做好系統(tǒng)風(fēng)險監(jiān)測、預(yù)警通報，及時向有關(guān)部門通報可能影響系統(tǒng)的重大漏洞和風(fēng)險;二是定期開展應(yīng)急演練、做好應(yīng)急預(yù)案，通過演練找到安全防護體系的短板，及時彌補持續(xù)優(yōu)化，切實提升安全防護、應(yīng)急響應(yīng)和處置能力;三是負責(zé)對突發(fā)安全事件的攻擊過程進行分析和處理，以及事件的調(diào)查與溯源，做好事后總結(jié)工作。

新戰(zhàn)略思路增強安全防護能力

“新基建”將更廣泛和深入地服務(wù)于社會經(jīng)濟，因此與之相伴的安全問題將更為嚴峻，為保障“新基建”推動中國數(shù)字經(jīng)濟轉(zhuǎn)型升級，確保其安全有序發(fā)展和持續(xù)安全運行，需要有新的戰(zhàn)略思路來增強安全防護能力。

一是在等級保護2.0時代，“新基建”要在傳統(tǒng)安全防護的基礎(chǔ)上，結(jié)合等級保護新增要求，以“一個中心、三重防御”為核心思想，按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)，從國家、地方政府以及企業(yè)層面加強統(tǒng)籌協(xié)調(diào)，有效協(xié)同推進“新基建”發(fā)展，嚴格落實相關(guān)法律法規(guī)要求，做好頂層設(shè)計和規(guī)劃，強化制度供給，進一步向企業(yè)開放應(yīng)用場景。

二是在切實提升“新基建”網(wǎng)絡(luò)安全水平的同時，需進一步加強“新基建”核心產(chǎn)業(yè)鏈和供應(yīng)鏈自主可控，切實提升全網(wǎng)范圍的安全監(jiān)管能力。對“新基建”涉及的核心產(chǎn)業(yè)鏈和供應(yīng)鏈通過分析嚴格把關(guān)，以自主可控為主線，從維護國家安全角度統(tǒng)籌考慮“新基建”及其安全建設(shè)，在“新基建”發(fā)展過程中，強化安全技術(shù)措施的“三同步”要求，即“同步規(guī)劃、同步建設(shè)、同步使用”，深入確保“新基建”網(wǎng)絡(luò)安全，將安全貫穿于規(guī)劃、建設(shè)和使用的全階段，切實增強關(guān)鍵安全技術(shù)攻關(guān)，確?！靶禄ā庇行蛴辛ν七M。

三是將安全測評及風(fēng)險評估納入新型基礎(chǔ)設(shè)施建設(shè)安全風(fēng)險管理過程，定期開展相關(guān)安全活動，通過安全聯(lián)動的方式，平臺化整合安全防御力量，構(gòu)建一個事前態(tài)勢感知、事中響應(yīng)防護、事后追蹤溯源的主動安全防御體系，以確保“新基建”的安全建設(shè)和運行。同時，推動相關(guān)測評標準、技術(shù)等的發(fā)展和進步，提升發(fā)現(xiàn)“新基建”安全風(fēng)險的能力，全面提升“新基建”網(wǎng)絡(luò)安全感知能力和防護能力。