安全資訊

“新基建”的技術(shù)新特點(diǎn)

就ICT領(lǐng)域而言，新型基礎設施更側重于以信息網(wǎng)絡(luò )為基礎，綜合集成新一代信息技術(shù)，是圍繞數據的感知、傳輸、存儲、計算、處理和安全等環(huán)節所形成的基礎設施體系，對于經(jīng)濟社會(huì )數字化發(fā)展至關(guān)重要，亦有利于加快構建“以國內大循環(huán)為主體，國內國際雙循環(huán)互相促進(jìn)”的新發(fā)展格局。與傳統基建相比，可以看出“新基建”有以下幾方面特點(diǎn)。

一是“新基建”支撐更多領(lǐng)域實(shí)現數字化、網(wǎng)絡(luò )化、智能化?！靶禄ā辟x能產(chǎn)業(yè)，通過(guò)數字化、網(wǎng)絡(luò )化、智能化改造，促進(jìn)產(chǎn)業(yè)的“數據驅動(dòng)發(fā)展”，進(jìn)一步推進(jìn)傳統產(chǎn)業(yè)全方位、全角度、全鏈條改造升級，并在5G、人工智能等前沿領(lǐng)域完善應用環(huán)境，搶占發(fā)展先機。

二是“新基建”與天地一體化深度融合實(shí)現寬帶高速化服務(wù)?！靶禄ā币跃W(wǎng)絡(luò )切片方式在共享資源上按需提供虛擬專(zhuān)用網(wǎng)絡(luò )服務(wù)，不僅可以智能化劃分網(wǎng)絡(luò )連接密度、流量容量等，為運營(yíng)商及用戶(hù)提供差異化服務(wù);還可以提供適配不同領(lǐng)域需求的網(wǎng)絡(luò )連接應用場(chǎng)景，推動(dòng)行業(yè)轉型。

三是“新基建”利用泛在化實(shí)現數據資源網(wǎng)絡(luò )安全管理優(yōu)勢?！靶禄ā崩梅涸诰W(wǎng)絡(luò )解決了人與人、人與物、物與物的交流，同時(shí)圍繞大數據的采集、存儲、加工、分析和可視化，形成了適應數字經(jīng)濟與實(shí)體經(jīng)濟融合發(fā)展需要的信息基礎設施體系。

“新基建”網(wǎng)絡(luò )安全防護風(fēng)險分析

“新基建”的發(fā)展將促使接入網(wǎng)絡(luò )設備和數據量的高速增長(cháng)，這給漏洞安全防護及網(wǎng)絡(luò )安全保障體系建設提出了更高的要求，將面臨更復雜的網(wǎng)絡(luò )攻擊。同時(shí)，針對“新基建”的安全防護措施也難以匹配其發(fā)展速度。因此，在以5G網(wǎng)絡(luò )、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、衛星互聯(lián)網(wǎng)等為代表的新一代網(wǎng)絡(luò )基礎設施中，將出現新的安全隱患，具體有以下幾個(gè)方面。

一是網(wǎng)絡(luò )架構服務(wù)化導致由物理環(huán)境和物理隔離提供安全保障的策略徹底失效。一方面，計算、存儲及網(wǎng)絡(luò )資源虛擬化會(huì )導致傳統網(wǎng)絡(luò )邊界模糊，從而引發(fā)虛擬化軟件安全、虛擬機安全及虛擬機間的通信安全、數據安全等問(wèn)題。另一方面，集中部署硬件會(huì )導致相關(guān)漏洞更容易被網(wǎng)絡(luò )攻擊者發(fā)現、病毒更易傳播?？刂破矫婧蛿祿脚_的分層解耦、用戶(hù)業(yè)務(wù)的開(kāi)放性和多廠(chǎng)商設備集成也會(huì )給“新基建”網(wǎng)云化平臺的安全可信帶來(lái)前所未有的挑戰。

二是業(yè)務(wù)場(chǎng)景切片化需要較強的安全隔離能力，認證和鑒權能力不足也可造成敏感信息和個(gè)人隱私數據泄露。海量數據在網(wǎng)絡(luò )中的傳輸以及各個(gè)節點(diǎn)存儲、處理和調度等環(huán)節，都將面臨被竊取、破壞、篡改的風(fēng)險?！靶禄ā彼褂玫?G網(wǎng)絡(luò )切片通過(guò)統一基礎設施承載，為用戶(hù)提供不同業(yè)務(wù)的數據傳輸，同時(shí)也提供差異化安全服務(wù)。這就要求網(wǎng)絡(luò )切片需要具有安全隔離能力，因為不同的網(wǎng)絡(luò )切片共享網(wǎng)絡(luò )基礎設施但承載不同的5G業(yè)務(wù)，如果網(wǎng)絡(luò )切片的認證和鑒權能力不足，則可能造成敏感信息和個(gè)人隱私數據泄露。

三是“新基建”供應鏈安全涉及整個(gè)生命周期，海量終端異構化可能被利用成為新攻擊源或者成為攻擊對象。一方面，“新基建”供應鏈安全涉及網(wǎng)絡(luò )產(chǎn)品和服務(wù)的整個(gè)生命周期，防護較弱的環(huán)節會(huì )導致產(chǎn)品、服務(wù)及其所包含的組件等遭受惡意篡改、植入、替換、偽造等，從而使供應鏈完整性遭受威脅。另一方面，網(wǎng)絡(luò )產(chǎn)品和服務(wù)存在部分遠程控制功能，但未告知遠程控制目的、范圍和關(guān)閉方法。這些安全威脅可能導致被非法控制、遭受干擾或破壞等風(fēng)險，進(jìn)而影響國家安全。

四是決策下沉節點(diǎn)和邊緣計算的安全能力不夠完善，可抵御的單個(gè)攻擊和攻擊種類(lèi)強度不夠。由于受到成本、性能、部署靈活性等多種因素制約，邊緣計算技術(shù)節點(diǎn)的安全能力不夠完善，將導致包括終端應用、接入終端等都暴露在錯綜復雜、管控能力缺失的環(huán)境中，使邊緣節點(diǎn)更容易遭到非授權訪(fǎng)問(wèn)、惡意數據偽造、敏感數據泄露等威脅，且被攻擊后可能造成服務(wù)中斷、用戶(hù)隱私和數據泄露、物理設備毀壞等嚴重后果。同時(shí)，當邊緣計算服務(wù)由第三方提供時(shí)，也面臨著(zhù)認證與鑒權等安全問(wèn)題。

“新基建”下，基于等級保護2.0的趨勢分析

隨著(zhù)《中華人民共和國網(wǎng)絡(luò )安全法》的深入貫徹和實(shí)施，等級保護制度已成為新時(shí)期國家網(wǎng)絡(luò )安全的基本制度。隨著(zhù)等級保護2.0標準的出臺，網(wǎng)絡(luò )安全保護對象實(shí)現了對云計算、大數據、物聯(lián)網(wǎng)、工業(yè)控制系統等新一代信息基礎設施的全覆蓋。當前，新型基礎設施以數據和網(wǎng)絡(luò )為核心，因此新型信息基礎設施安全防護應深入到設備結構、流程、功能、機制等每個(gè)環(huán)節，并按等級保護2.0標準、可信計算3.0設計主動(dòng)防御總體安全框架，搭建安全可信、主動(dòng)免疫的防御體系。當前基于“新基建”安全風(fēng)險需求可以進(jìn)行以下幾方面保護。

構建安全可信體系確保安全計算環(huán)境

云計算、大數據等技術(shù)手段會(huì )對分布于網(wǎng)絡(luò )中的異構海量數據進(jìn)行梳理映射、歸納處理。所涉及的存儲、計算平臺及網(wǎng)絡(luò )環(huán)境等載體，分屬不同的信息系統，處理全過(guò)程覆蓋網(wǎng)絡(luò )空間資源安全，因而加劇了網(wǎng)絡(luò )空間中攻擊與防御的不對稱(chēng)性。面對新形勢下的安全問(wèn)題，主要集中在“封、堵、查、殺”層面的傳統網(wǎng)絡(luò )安全防護措施，難以應對大數據時(shí)代的安全挑戰。因此，保障安全的計算環(huán)境便成了信息系統安全的核心和基礎。目前，大數據處理系統大多是基于云計算平臺實(shí)現各環(huán)節數據的梳理計算，主要憑借業(yè)務(wù)信息處理和系統服務(wù)保障來(lái)確定安全等級，因此可按等級保護2.0標準構建安全管理中心支撐下的三重防護架構。

搭建態(tài)勢感知框架對安全風(fēng)險進(jìn)行防御

隨著(zhù)《中華人民共和國網(wǎng)絡(luò )安全法》和等級保護2.0等政策標準的出臺，對未來(lái)安全態(tài)勢的感知被提升到了戰略高度，“新基建”下安全態(tài)勢感知技術(shù)迅速崛起。態(tài)勢感知的最終目的是能夠基于環(huán)境，動(dòng)態(tài)地、整體地識別安全風(fēng)險，并依靠大數據的支撐，從整體系統視角識別安全威脅，進(jìn)而分析、理解、預警，最后響應、處置落地。目前，態(tài)勢感知需要采集多個(gè)維度信息源的數據，采用數據分析技術(shù)識別海量數據中有用的信息，通過(guò)機器學(xué)習、威脅情報分析等自動(dòng)生成分析模型，由已知威脅推演未知威脅，對未來(lái)安全趨勢進(jìn)行風(fēng)險預警和協(xié)同防御，如圖1所示。

圖1 態(tài)勢感知框架

組建安全管理團隊提高網(wǎng)絡(luò )安全保障

技術(shù)是安全防護的必要手段，人是安全防護的核心和尺度。當前，“新基建”下相關(guān)系統運營(yíng)人員普遍存在安全意識不高、安全知識缺乏、安全能力不足等問(wèn)題。面對日益嚴峻的網(wǎng)絡(luò )安全形勢，需要組建專(zhuān)業(yè)的安全管理團隊來(lái)提供網(wǎng)絡(luò )安全保障服務(wù)。安全管理團隊可由“新基建”相關(guān)系統運營(yíng)單位自己組建，也可通過(guò)專(zhuān)業(yè)的第三方安全團隊提供安全管理。安全管理團隊在做好基本安全管理工作的同時(shí)，還需加強以下管理：一是做好系統風(fēng)險監測、預警通報，及時(shí)向有關(guān)部門(mén)通報可能影響系統的重大漏洞和風(fēng)險;二是定期開(kāi)展應急演練、做好應急預案，通過(guò)演練找到安全防護體系的短板，及時(shí)彌補持續優(yōu)化，切實(shí)提升安全防護、應急響應和處置能力;三是負責對突發(fā)安全事件的攻擊過(guò)程進(jìn)行分析和處理，以及事件的調查與溯源，做好事后總結工作。

新戰略思路增強安全防護能力

“新基建”將更廣泛和深入地服務(wù)于社會(huì )經(jīng)濟，因此與之相伴的安全問(wèn)題將更為嚴峻，為保障“新基建”推動(dòng)中國數字經(jīng)濟轉型升級，確保其安全有序發(fā)展和持續安全運行，需要有新的戰略思路來(lái)增強安全防護能力。

一是在等級保護2.0時(shí)代，“新基建”要在傳統安全防護的基礎上，結合等級保護新增要求，以“一個(gè)中心、三重防御”為核心思想，按照《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國密碼法》《網(wǎng)絡(luò )安全審查辦法》等法律法規，從國家、地方政府以及企業(yè)層面加強統籌協(xié)調，有效協(xié)同推進(jìn)“新基建”發(fā)展，嚴格落實(shí)相關(guān)法律法規要求，做好頂層設計和規劃，強化制度供給，進(jìn)一步向企業(yè)開(kāi)放應用場(chǎng)景。

二是在切實(shí)提升“新基建”網(wǎng)絡(luò )安全水平的同時(shí)，需進(jìn)一步加強“新基建”核心產(chǎn)業(yè)鏈和供應鏈自主可控，切實(shí)提升全網(wǎng)范圍的安全監管能力。對“新基建”涉及的核心產(chǎn)業(yè)鏈和供應鏈通過(guò)分析嚴格把關(guān)，以自主可控為主線(xiàn)，從維護國家安全角度統籌考慮“新基建”及其安全建設，在“新基建”發(fā)展過(guò)程中，強化安全技術(shù)措施的“三同步”要求，即“同步規劃、同步建設、同步使用”，深入確?！靶禄ā本W(wǎng)絡(luò )安全，將安全貫穿于規劃、建設和使用的全階段，切實(shí)增強關(guān)鍵安全技術(shù)攻關(guān)，確?！靶禄ā庇行蛴辛ν七M(jìn)。

三是將安全測評及風(fēng)險評估納入新型基礎設施建設安全風(fēng)險管理過(guò)程，定期開(kāi)展相關(guān)安全活動(dòng)，通過(guò)安全聯(lián)動(dòng)的方式，平臺化整合安全防御力量，構建一個(gè)事前態(tài)勢感知、事中響應防護、事后追蹤溯源的主動(dòng)安全防御體系，以確?！靶禄ā钡陌踩ㄔO和運行。同時(shí)，推動(dòng)相關(guān)測評標準、技術(shù)等的發(fā)展和進(jìn)步，提升發(fā)現“新基建”安全風(fēng)險的能力，全面提升“新基建”網(wǎng)絡(luò )安全感知能力和防護能力。