“新基建”的技術(shù)新特點

就ICT領(lǐng)域而言，新型基礎設施更側(cè)重于以信息網(wǎng)絡為基礎，綜合集成新一代信息技術(shù)，是圍繞數(shù)據(jù)的感知、傳輸、存儲、計算、處理和安全等環(huán)節(jié)所形成的基礎設施體系，對于經(jīng)濟社會數(shù)字化發(fā)展至關(guān)重要，亦有利于加快構(gòu)建“以國內(nèi)大循環(huán)為主體，國內(nèi)國際雙循環(huán)互相促進”的新發(fā)展格局。與傳統(tǒng)基建相比，可以看出“新基建”有以下幾方面特點。

一是“新基建”支撐更多領(lǐng)域?qū)崿F(xiàn)數(shù)字化、網(wǎng)絡化、智能化?！靶禄ā辟x能產(chǎn)業(yè)，通過數(shù)字化、網(wǎng)絡化、智能化改造，促進產(chǎn)業(yè)的“數(shù)據(jù)驅(qū)動發(fā)展”，進一步推進傳統(tǒng)產(chǎn)業(yè)全方位、全角度、全鏈條改造升級，并在5G、人工智能等前沿領(lǐng)域完善應用環(huán)境，搶占發(fā)展先機。

二是“新基建”與天地一體化深度融合實現(xiàn)寬帶高速化服務。“新基建”以網(wǎng)絡切片方式在共享資源上按需提供虛擬專用網(wǎng)絡服務，不僅可以智能化劃分網(wǎng)絡連接密度、流量容量等，為運營商及用戶提供差異化服務;還可以提供適配不同領(lǐng)域需求的網(wǎng)絡連接應用場景，推動行業(yè)轉(zhuǎn)型。

三是“新基建”利用泛在化實現(xiàn)數(shù)據(jù)資源網(wǎng)絡安全管理優(yōu)勢?！靶禄ā崩梅涸诰W(wǎng)絡解決了人與人、人與物、物與物的交流，同時圍繞大數(shù)據(jù)的采集、存儲、加工、分析和可視化，形成了適應數(shù)字經(jīng)濟與實體經(jīng)濟融合發(fā)展需要的信息基礎設施體系。

“新基建”網(wǎng)絡安全防護風險分析

“新基建”的發(fā)展將促使接入網(wǎng)絡設備和數(shù)據(jù)量的高速增長，這給漏洞安全防護及網(wǎng)絡安全保障體系建設提出了更高的要求，將面臨更復雜的網(wǎng)絡攻擊。同時，針對“新基建”的安全防護措施也難以匹配其發(fā)展速度。因此，在以5G網(wǎng)絡、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)等為代表的新一代網(wǎng)絡基礎設施中，將出現(xiàn)新的安全隱患，具體有以下幾個方面。

一是網(wǎng)絡架構(gòu)服務化導致由物理環(huán)境和物理隔離提供安全保障的策略徹底失效。一方面，計算、存儲及網(wǎng)絡資源虛擬化會導致傳統(tǒng)網(wǎng)絡邊界模糊，從而引發(fā)虛擬化軟件安全、虛擬機安全及虛擬機間的通信安全、數(shù)據(jù)安全等問題。另一方面，集中部署硬件會導致相關(guān)漏洞更容易被網(wǎng)絡攻擊者發(fā)現(xiàn)、病毒更易傳播?？刂破矫婧蛿?shù)據(jù)平臺的分層解耦、用戶業(yè)務的開放性和多廠商設備集成也會給“新基建”網(wǎng)云化平臺的安全可信帶來前所未有的挑戰(zhàn)。

二是業(yè)務場景切片化需要較強的安全隔離能力，認證和鑒權(quán)能力不足也可造成敏感信息和個人隱私數(shù)據(jù)泄露。海量數(shù)據(jù)在網(wǎng)絡中的傳輸以及各個節(jié)點存儲、處理和調(diào)度等環(huán)節(jié)，都將面臨被竊取、破壞、篡改的風險。“新基建”所使用的5G網(wǎng)絡切片通過統(tǒng)一基礎設施承載，為用戶提供不同業(yè)務的數(shù)據(jù)傳輸，同時也提供差異化安全服務。這就要求網(wǎng)絡切片需要具有安全隔離能力，因為不同的網(wǎng)絡切片共享網(wǎng)絡基礎設施但承載不同的5G業(yè)務，如果網(wǎng)絡切片的認證和鑒權(quán)能力不足，則可能造成敏感信息和個人隱私數(shù)據(jù)泄露。

三是“新基建”供應鏈安全涉及整個生命周期，海量終端異構(gòu)化可能被利用成為新攻擊源或者成為攻擊對象。一方面，“新基建”供應鏈安全涉及網(wǎng)絡產(chǎn)品和服務的整個生命周期，防護較弱的環(huán)節(jié)會導致產(chǎn)品、服務及其所包含的組件等遭受惡意篡改、植入、替換、偽造等，從而使供應鏈完整性遭受威脅。另一方面，網(wǎng)絡產(chǎn)品和服務存在部分遠程控制功能，但未告知遠程控制目的、范圍和關(guān)閉方法。這些安全威脅可能導致被非法控制、遭受干擾或破壞等風險，進而影響國家安全。

四是決策下沉節(jié)點和邊緣計算的安全能力不夠完善，可抵御的單個攻擊和攻擊種類強度不夠。由于受到成本、性能、部署靈活性等多種因素制約，邊緣計算技術(shù)節(jié)點的安全能力不夠完善，將導致包括終端應用、接入終端等都暴露在錯綜復雜、管控能力缺失的環(huán)境中，使邊緣節(jié)點更容易遭到非授權(quán)訪問、惡意數(shù)據(jù)偽造、敏感數(shù)據(jù)泄露等威脅，且被攻擊后可能造成服務中斷、用戶隱私和數(shù)據(jù)泄露、物理設備毀壞等嚴重后果。同時，當邊緣計算服務由第三方提供時，也面臨著認證與鑒權(quán)等安全問題。

“新基建”下，基于等級保護2.0的趨勢分析

隨著《中華人民共和國網(wǎng)絡安全法》的深入貫徹和實施，等級保護制度已成為新時期國家網(wǎng)絡安全的基本制度。隨著等級保護2.0標準的出臺，網(wǎng)絡安全保護對象實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新一代信息基礎設施的全覆蓋。當前，新型基礎設施以數(shù)據(jù)和網(wǎng)絡為核心，因此新型信息基礎設施安全防護應深入到設備結(jié)構(gòu)、流程、功能、機制等每個環(huán)節(jié)，并按等級保護2.0標準、可信計算3.0設計主動防御總體安全框架，搭建安全可信、主動免疫的防御體系。當前基于“新基建”安全風險需求可以進行以下幾方面保護。

構(gòu)建安全可信體系確保安全計算環(huán)境

云計算、大數(shù)據(jù)等技術(shù)手段會對分布于網(wǎng)絡中的異構(gòu)海量數(shù)據(jù)進行梳理映射、歸納處理。所涉及的存儲、計算平臺及網(wǎng)絡環(huán)境等載體，分屬不同的信息系統(tǒng)，處理全過程覆蓋網(wǎng)絡空間資源安全，因而加劇了網(wǎng)絡空間中攻擊與防御的不對稱性。面對新形勢下的安全問題，主要集中在“封、堵、查、殺”層面的傳統(tǒng)網(wǎng)絡安全防護措施，難以應對大數(shù)據(jù)時代的安全挑戰(zhàn)。因此，保障安全的計算環(huán)境便成了信息系統(tǒng)安全的核心和基礎。目前，大數(shù)據(jù)處理系統(tǒng)大多是基于云計算平臺實現(xiàn)各環(huán)節(jié)數(shù)據(jù)的梳理計算，主要憑借業(yè)務信息處理和系統(tǒng)服務保障來確定安全等級，因此可按等級保護2.0標準構(gòu)建安全管理中心支撐下的三重防護架構(gòu)。

搭建態(tài)勢感知框架對安全風險進行防御

隨著《中華人民共和國網(wǎng)絡安全法》和等級保護2.0等政策標準的出臺，對未來安全態(tài)勢的感知被提升到了戰(zhàn)略高度，“新基建”下安全態(tài)勢感知技術(shù)迅速崛起。態(tài)勢感知的最終目的是能夠基于環(huán)境，動態(tài)地、整體地識別安全風險，并依靠大數(shù)據(jù)的支撐，從整體系統(tǒng)視角識別安全威脅，進而分析、理解、預警，最后響應、處置落地。目前，態(tài)勢感知需要采集多個維度信息源的數(shù)據(jù)，采用數(shù)據(jù)分析技術(shù)識別海量數(shù)據(jù)中有用的信息，通過機器學習、威脅情報分析等自動生成分析模型，由已知威脅推演未知威脅，對未來安全趨勢進行風險預警和協(xié)同防御，如圖1所示。

圖1 態(tài)勢感知框架

組建安全管理團隊提高網(wǎng)絡安全保障

技術(shù)是安全防護的必要手段，人是安全防護的核心和尺度。當前，“新基建”下相關(guān)系統(tǒng)運營人員普遍存在安全意識不高、安全知識缺乏、安全能力不足等問題。面對日益嚴峻的網(wǎng)絡安全形勢，需要組建專業(yè)的安全管理團隊來提供網(wǎng)絡安全保障服務。安全管理團隊可由“新基建”相關(guān)系統(tǒng)運營單位自己組建，也可通過專業(yè)的第三方安全團隊提供安全管理。安全管理團隊在做好基本安全管理工作的同時，還需加強以下管理：一是做好系統(tǒng)風險監(jiān)測、預警通報，及時向有關(guān)部門通報可能影響系統(tǒng)的重大漏洞和風險;二是定期開展應急演練、做好應急預案，通過演練找到安全防護體系的短板，及時彌補持續(xù)優(yōu)化，切實提升安全防護、應急響應和處置能力;三是負責對突發(fā)安全事件的攻擊過程進行分析和處理，以及事件的調(diào)查與溯源，做好事后總結(jié)工作。

新戰(zhàn)略思路增強安全防護能力

“新基建”將更廣泛和深入地服務于社會經(jīng)濟，因此與之相伴的安全問題將更為嚴峻，為保障“新基建”推動中國數(shù)字經(jīng)濟轉(zhuǎn)型升級，確保其安全有序發(fā)展和持續(xù)安全運行，需要有新的戰(zhàn)略思路來增強安全防護能力。

一是在等級保護2.0時代，“新基建”要在傳統(tǒng)安全防護的基礎上，結(jié)合等級保護新增要求，以“一個中心、三重防御”為核心思想，按照《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《網(wǎng)絡安全審查辦法》等法律法規(guī)，從國家、地方政府以及企業(yè)層面加強統(tǒng)籌協(xié)調(diào)，有效協(xié)同推進“新基建”發(fā)展，嚴格落實相關(guān)法律法規(guī)要求，做好頂層設計和規(guī)劃，強化制度供給，進一步向企業(yè)開放應用場景。

二是在切實提升“新基建”網(wǎng)絡安全水平的同時，需進一步加強“新基建”核心產(chǎn)業(yè)鏈和供應鏈自主可控，切實提升全網(wǎng)范圍的安全監(jiān)管能力。對“新基建”涉及的核心產(chǎn)業(yè)鏈和供應鏈通過分析嚴格把關(guān)，以自主可控為主線，從維護國家安全角度統(tǒng)籌考慮“新基建”及其安全建設，在“新基建”發(fā)展過程中，強化安全技術(shù)措施的“三同步”要求，即“同步規(guī)劃、同步建設、同步使用”，深入確保“新基建”網(wǎng)絡安全，將安全貫穿于規(guī)劃、建設和使用的全階段，切實增強關(guān)鍵安全技術(shù)攻關(guān)，確?！靶禄ā庇行蛴辛ν七M。

三是將安全測評及風險評估納入新型基礎設施建設安全風險管理過程，定期開展相關(guān)安全活動，通過安全聯(lián)動的方式，平臺化整合安全防御力量，構(gòu)建一個事前態(tài)勢感知、事中響應防護、事后追蹤溯源的主動安全防御體系，以確保“新基建”的安全建設和運行。同時，推動相關(guān)測評標準、技術(shù)等的發(fā)展和進步，提升發(fā)現(xiàn)“新基建”安全風險的能力，全面提升“新基建”網(wǎng)絡安全感知能力和防護能力。