伴随着ICT产业与社会各层面的深度融合,“新基建”下的网络攻击将从数字空间延伸到物理空间,一旦遭受攻击将直接影响公众生活、社会稳定和国家安全,“新基建”在助力产业新秩序建立的同时,也将面临网络安全带来的新挑战。当前,进一步完善网络安全等级防护体系、加速网络安全产品升级、推进网络安全企业服务化转型,对于促进数字经济创新发展具有重要意义。
“新基建”的技术新特点
就ICT领域而言,新型基础设施更侧重于以信息网络为基础,综合集成新一代信息技术,是围绕数据的感知、传输、存储、计算、处理和安全等环节所形成的基础设施体系,对于经济社会数字化发展至关重要,亦有利于加快构建“以国内大循环为主体,国内国际双循环互相促进”的新发展格局。与传统基建相比,可以看出“新基建”有以下几方面特点。
一是“新基建”支撑更多领域实现数字化、网络化、智能化。“新基建”赋能产业,通过数字化、网络化、智能化改造,促进产业的“数据驱动发展”,进一步推进传统产业全方位、全角度、全链条改造升级,并在5G、人工智能等前沿领域完善应用环境,抢占发展先机。
二是“新基建”与天地一体化深度融合实现宽带高速化服务。“新基建”以网络切片方式在共享资源上按需提供虚拟专用网络服务,不仅可以智能化划分网络连接密度、流量容量等,为运营商及用户提供差异化服务;还可以提供适配不同领域需求的网络连接应用场景,推动行业转型。
三是“新基建”利用泛在化实现数据资源网络安全管理优势。“新基建”利用泛在网络解决了人与人、人与物、物与物的交流,同时围绕大数据的采集、存储、加工、分析和可视化,形成了适应数字经济与实体经济融合发展需要的信息基础设施体系。
“新基建”网络安全防护风险分析
“新基建”的发展将促使接入网络设备和数据量的高速增长,这给漏洞安全防护及网络安全保障体系建设提出了更高的要求,将面临更复杂的网络攻击。同时,针对“新基建”的安全防护措施也难以匹配其发展速度。因此,在以5G网络、工业互联网、物联网、卫星互联网等为代表的新一代网络基础设施中,将出现新的安全隐患,具体有以下几个方面。
一是网络架构服务化导致由物理环境和物理隔离提供安全保障的策略彻底失效。一方面,计算、存储及网络资源虚拟化会导致传统网络边界模糊,从而引发虚拟化软件安全、虚拟机安全及虚拟机间的通信安全、数据安全等问题。另一方面,集中部署硬件会导致相关漏洞更容易被网络攻击者发现、病毒更易传播。控制平面和数据平台的分层解耦、用户业务的开放性和多厂商设备集成也会给“新基建”网云化平台的安全可信带来前所未有的挑战。
二是业务场景切片化需要较强的安全隔离能力,认证和鉴权能力不足也可造成敏感信息和个人隐私数据泄露。海量数据在网络中的传输以及各个节点存储、处理和调度等环节,都将面临被窃取、破坏、篡改的风险。“新基建”所使用的5G网络切片通过统一基础设施承载,为用户提供不同业务的数据传输,同时也提供差异化安全服务。这就要求网络切片需要具有安全隔离能力,因为不同的网络切片共享网络基础设施但承载不同的5G业务,如果网络切片的认证和鉴权能力不足,则可能造成敏感信息和个人隐私数据泄露。
三是“新基建”供应链安全涉及整个生命周期,海量终端异构化可能被利用成为新攻击源或者成为攻击对象。一方面,“新基建”供应链安全涉及网络产品和服务的整个生命周期,防护较弱的环节会导致产品、服务及其所包含的组件等遭受恶意篡改、植入、替换、伪造等,从而使供应链完整性遭受威胁。另一方面,网络产品和服务存在部分远程控制功能,但未告知远程控制目的、范围和关闭方法。这些安全威胁可能导致被非法控制、遭受干扰或破坏等风险,进而影响国家安全。
四是决策下沉节点和边缘计算的安全能力不够完善,可抵御的单个攻击和攻击种类强度不够。由于受到成本、性能、部署灵活性等多种因素制约,边缘计算技术节点的安全能力不够完善,将导致包括终端应用、接入终端等都暴露在错综复杂、管控能力缺失的环境中,使边缘节点更容易遭到非授权访问、恶意数据伪造、敏感数据泄露等威胁,且被攻击后可能造成服务中断、用户隐私和数据泄露、物理设备毁坏等严重后果。同时,当边缘计算服务由第三方提供时,也面临着认证与鉴权等安全问题。
“新基建”下,基于等级保护2.0的趋势分析
随着《中华人民共和国网络安全法》的深入贯彻和实施,等级保护制度已成为新时期国家网络安全的基本制度。随着等级保护2.0标准的出台,网络安全保护对象实现了对云计算、大数据、物联网、工业控制系统等新一代信息基础设施的全覆盖。当前,新型基础设施以数据和网络为核心,因此新型信息基础设施安全防护应深入到设备结构、流程、功能、机制等每个环节,并按等级保护2.0标准、可信计算3.0设计主动防御总体安全框架,搭建安全可信、主动免疫的防御体系。当前基于“新基建”安全风险需求可以进行以下几方面保护。
构建安全可信体系确保安全计算环境
云计算、大数据等技术手段会对分布于网络中的异构海量数据进行梳理映射、归纳处理。所涉及的存储、计算平台及网络环境等载体,分属不同的信息系统,处理全过程覆盖网络空间资源安全,因而加剧了网络空间中攻击与防御的不对称性。面对新形势下的安全问题,主要集中在“封、堵、查、杀”层面的传统网络安全防护措施,难以应对大数据时代的安全挑战。因此,保障安全的计算环境便成了信息系统安全的核心和基础。目前,大数据处理系统大多是基于云计算平台实现各环节数据的梳理计算,主要凭借业务信息处理和系统服务保障来确定安全等级,因此可按等级保护2.0标准构建安全管理中心支撑下的三重防护架构。
搭建态势感知框架对安全风险进行防御
随着《中华人民共和国网络安全法》和等级保护2.0等政策标准的出台,对未来安全态势的感知被提升到了战略高度,“新基建”下安全态势感知技术迅速崛起。态势感知的最终目的是能够基于环境,动态地、整体地识别安全风险,并依靠大数据的支撑,从整体系统视角识别安全威胁,进而分析、理解、预警,最后响应、处置落地。目前,态势感知需要采集多个维度信息源的数据,采用数据分析技术识别海量数据中有用的信息,通过机器学习、威胁情报分析等自动生成分析模型,由已知威胁推演未知威胁,对未来安全趋势进行风险预警和协同防御,如图1所示。
图1 态势感知框架
组建安全管理团队提高网络安全保障
技术是安全防护的必要手段,人是安全防护的核心和尺度。当前,“新基建”下相关系统运营人员普遍存在安全意识不高、安全知识缺乏、安全能力不足等问题。面对日益严峻的网络安全形势,需要组建专业的安全管理团队来提供网络安全保障服务。安全管理团队可由“新基建”相关系统运营单位自己组建,也可通过专业的第三方安全团队提供安全管理。安全管理团队在做好基本安全管理工作的同时,还需加强以下管理:一是做好系统风险监测、预警通报,及时向有关部门通报可能影响系统的重大漏洞和风险;二是定期开展应急演练、做好应急预案,通过演练找到安全防护体系的短板,及时弥补持续优化,切实提升安全防护、应急响应和处置能力;三是负责对突发安全事件的攻击过程进行分析和处理,以及事件的调查与溯源,做好事后总结工作。
新战略思路增强安全防护能力
“新基建”将更广泛和深入地服务于社会经济,因此与之相伴的安全问题将更为严峻,为保障“新基建”推动中国数字经济转型升级,确保其安全有序发展和持续安全运行,需要有新的战略思路来增强安全防护能力。
一是在等级保护2.0时代,“新基建”要在传统安全防护的基础上,结合等级保护新增要求,以“一个中心、三重防御”为核心思想,按照《中华人民共和国网络安全法》《中华人民共和国密码法》《网络安全审查办法》等法律法规,从国家、地方政府以及企业层面加强统筹协调,有效协同推进“新基建”发展,严格落实相关法律法规要求,做好顶层设计和规划,强化制度供给,进一步向企业开放应用场景。
二是在切实提升“新基建”网络安全水平的同时,需进一步加强“新基建”核心产业链和供应链自主可控,切实提升全网范围的安全监管能力。对“新基建”涉及的核心产业链和供应链通过分析严格把关,以自主可控为主线,从维护国家安全角度统筹考虑“新基建”及其安全建设,在“新基建”发展过程中,强化安全技术措施的“三同步”要求,即“同步规划、同步建设、同步使用”,深入确保“新基建”网络安全,将安全贯穿于规划、建设和使用的全阶段,切实增强关键安全技术攻关,确保“新基建”有序有力推进。
三是将安全测评及风险评估纳入新型基础设施建设安全风险管理过程,定期开展相关安全活动,通过安全联动的方式,平台化整合安全防御力量,构建一个事前态势感知、事中响应防护、事后追踪溯源的主动安全防御体系,以确保“新基建”的安全建设和运行。同时,推动相关测评标准、技术等的发展和进步,提升发现“新基建”安全风险的能力,全面提升“新基建”网络安全感知能力和防护能力。