新基础设施风口下网络安全加速突破
2020-05-19 16:00:00 来源:经济参考报
随着5G网络、大数据中心、工业互联网等新基础设施建设的加快,新基础设施将成为刺激消费、保障经济发展的重要手段之一。但与此同时,新的基础设施也给中国网络安全带来了新的挑战,相关企业安全能力的塑造面临着巨大的紧迫性和挑战。
记者在最近的一次采访中了解到,在新的基础设施浪潮即将到来之际,大型安全公司、行业联盟和论坛平台组织相关部门负责人、专家、学者和公司高管共同解读新基础设施的新机遇、新责任和新内涵,由此衍生的安全挑战和应对策略已成为当务之急。
《网络安全审查办法》 为新基建把舵导航
数据显示,中国数字经济发展迅速,目前占国内生产总值的35%,总额超过30万亿元。数字经济的发展包括两个方面:数字工业化和工业数字化。
“几万亿元规模的新基础设施将对未来数字经济的发展做出重大贡献,实际上通常包括数字工业化和工业数字化的集成。”中国工程院院士倪光南在接受记者采访时说。他说,作为一个新领域,新基础设施的关键词是网络安全,这是新基础设施的先决条件。最近,由12个部门联合发布的《网络安全审查办法》(以下简称《办法》)为确保新基础设施的网络安全设定了正确的方向。《办法》明确表示,关键信息基础设施运营商购买影响或可能影响国家安全的网络产品和服务,应当按照本办法进行网络安全审查。
倪光南表示,自主控制是网络安全的必要条件,近期在相关领域实施并取得成效的“自主控制评估”在内容和实施经验上可以作为《办法》的参考,为《办法》的实施提供帮助。为确保重要领域的自我控制,相关部门实施了多维度评价,包括对核心技术产品的自我控制评价,即在以往实施的“质量评价”和“安全评价”的基础上增加了“自我控制评价”。自我控制要求制定客观、科学的评价标准,并由第三方组织进行评价。在涉及互联网通信安全的重要场合,自主可控的评估可以起到“一票否决”的作用。
用主动免疫的可信计算筑牢安全防线
在中关村网络安全与信息产业联盟近期举办的“联盟网络信任新基础设施研讨会”上,中国工程院院士沈昌祥发表了题为“构建主动免疫可信计算的新型基础设施网络安全系统”的主旨演讲。
记者注意到,沈昌祥讲话的文字材料称,新基础设施作为国家经济发展战略,正呈现强劲势头,着力于新旧动力的转化,推动现代高质量城市建设迈上新台阶。然而,它也对网络安全提出了严峻的挑战。例如,勒索病毒已经在网络系统中肆虐了几年,造成了巨大的损失。
新的基础设施以数据和网络为核心,其发展前提是用主动免疫可信计算构建安全防线。主动免疫可信计算是一种在计算的同时进行安全保护的新型计算模式。它使用密码作为基因抗体来实现身份识别、状态测量、保密存储等功能。及时识别“自我”和“非自我”成分,从而破坏和排斥进入体内的有害物质,相当于培养网络信息系统的免疫能力。人机交互的信任是发挥5G、数据中心等新基础设施功能的源泉和前提。有必要测量、识别和控制人类操作访问策略的四个要素(主体、客体、操作和环境)的可信度。因此,只有加强安全和密码管理服务
沈昌祥提出,新的基础设施必须建立新的系统框架,采用新的计算模式,并实施由安全管理支持的计算环境、区域边界和通信网络三重主动免疫防御框架,以达到攻击者无法进入、未经授权的人员无法获得重要信息、机密信息被窃取无法理解、计算资源无法改变的安全保护效果。 系统工作不能崩溃,攻击行为不能依赖,整个过程可以不受干扰地进行测量和控制,消除潜在的安全风险,并确保计算结果与预期一致。
相关企业安全能力塑造需要多措并举
专家指出,新基础设施的发展将促进接入网设备和数据量的快速增长,这对脆弱性防护和网络安全保障体系建设提出了更高的要求。
在绿色联盟技术主办的“新基础设施浪潮中的脆弱性和安全性”现场论坛上,中国计算机联合会理事、绿色联盟技术星云实验室主任刘表示,在新的基础设施环境下,人工智能和自动化可以实现未来大规模分布式场景下的智能决策和响应,也将成为新基础设施安全的重要支撑技术。
业界认为5G网络和云数据中心的虚拟化模糊了网络的物理边界,采用了大量开源软件,人工智能领域过度依赖第三方开源库,从而增加了引入安全漏洞的风险。对此,绿色联盟科技企业安全管理产品线总监李晶表示,做好漏洞管理,首先要考虑安全前期工作,明确管理范围,根据范围设置相应的角色和功能需求,选择好评估工具,根据范围细化相应的政策和服务级别协议,使后面的漏洞管理过程更加顺畅。
李晶表示,在漏洞管理过程中,基于风险等级的漏洞碎片化和分段化管理可以有效、快速地修复漏洞,降低风险。变被动为主动云漏洞响应自动化。通过集成和整合现有的开发和运维工具,可以实现对突发安全漏洞的快速响应,企业受到安全威胁的时间窗口可以从几周、几个月缩短到几个小时。
在赛宁网络安全制作的《赛宁谈射击场》节目中,赛宁网络安全副总经理王旭表示,加强企业安全能力已经成为新基础设施企业应对外部(网络)威胁和风险的重要举措。新的基础设施企业需要更强大、更成熟的安全能力来保护工业发展。
王旭认为,科技驱动的新基础设施是国际技术竞争的核心领域,也是网络安全威胁的重要战场。虽然这些行业的网络安全能力建设和安全人员培训已经规划了很长时间,但面对新基础设施的机遇和挑战,需要更深入、更成熟的安全能力建设。(记者张汉卿)