“新基建”下网络安全亟待破题


本文来源:中国科学报

新型基础设施建设(以下简称“新基建”)无疑是今年的热点话题,也是全国两会讨论的焦点之一。全国政协委员、中国科学院信息工程研究所所长孟丹提出,“新基建”在带来新的发展机遇的同时,也给网络空间安全带来了全新挑战。

随着“新基建”的持续推进,各行各业将会越来越多地以“网络+App”的形式来服务大众,网络安全的影响也会越来越深入。“网络安全是发展好‘新基建’的前提。”孟丹认为,今天,网络安全已由过去的“辅助性”功能,变成信息基础设施的重要组成部分。

对此,中国工程院院士倪光南告诉《中国科学报》:“‘新基建’从一开始就要考虑采用我国安全可控的信息技术体系,形成新一代安全架构,以保证基础设施的安全。”

新技术伴生新安全问题

在抗击新冠肺炎疫情期间,人们很快进入线上交易、远程办公、在线教育等数字化新生活。而这一转变的背后,得益于数字经济在“新基建”之上的快速发展。

当我们的生活与数字经济密不可分,网络安全问题也就与每个人息息相关。正如全国政协委员、360集团董事长兼CEO周鸿祎所说,物联网等新技术将虚拟和现实连接起来,来自虚拟世界的攻击可能变成物理世界的伤害,如委内瑞拉大停电、乌克兰电网遭黑客攻击等。

全国政协常委、民建中央副主席周汉民也一直关注数字经济在国家经济发展中的作用。考虑到新技术应用会带来新安全隐患,周汉民建议出台数字经济“安全基建”国家标准。

全国人大代表、华中科技大学计算机科学与技术学院院长冯丹虽然今年没有关于网络安全方面的建议,但在发展区块链技术及产业化的建议上,她提出“以‘新基建’为契机,建设区块链平台,实现多云平台数据安全共享,夯实大数据经济发展基础”。

归根结底,“网络安全取决于新技术带来的新的安全问题”。网络空间安全专家、中国工程院院士方滨兴告诉《中国科学报》,有了新技术就必然伴生新的安全问题。

需从“甲方”视角出发

网络安全问题老生常谈,为何要在“新基建”下强调它?

“不搞‘新基建’也并非没有安全风险。只有在‘发展中’求安全才能安全,停滞不前的话,安全技术就更落伍。”中国工程院院士邬贺铨在接受《中国科学报》采访时表示。

也就是说,对于网络信息领域,发展和安全都是硬道理,两手都要抓、两手都要硬。

新形势下,网络安全不再是事后应对的问题,仅靠原来防火墙等方法论,显然无法解决‘新基建’带来的新挑战。“要将网络安全措施与‘新基建’同步部署,而不是出了问题再打补丁。”邬贺铨说。

受访专家认为,未来的网络安全公司也不能仅从攻防的视角来考虑网络安全问题,需要从“甲方”视角出发,重新构建新一代安全架构和安全基建标准。

孟丹认为,当前要构建的安全体系,要从被动防控向主动防御转变,用安全的“新基建”来保障数字经济的健康有序发展。

今年3月,阿里巴巴提出了“安全基建”的概念,并发布数字基建新一代安全架构。阿里安全首席架构师钱磊认为,真正的安全能力是在具体业务场景中千锤百炼出来的,会运用多种技术的组合去解决业务问题。而不同业态和数字技术结合所带来的全新化学反应,也要求新一代的安全架构要立足甲方视角,以解决不同场景下的实际问题为目标。

“安全基建对数字经济最大意义在于,为各类App和网站等数字经济的搭建过程建立标准化流程,确保数字经济在建设之初就运行在较高的安全基准线上。”钱磊说。

孟丹提出,要利用“新基建”的契机,加快网络安全产业升级,充分发挥数字化程度高、安全技术能力强的企业的作用,推动企业输出安全能力,将它们在不同应用场景中沉淀的网络空间安全技术和产品,推广应用到国家“新基建”中。

从管理入手做好标准

事实上,网络安全不仅是技术问题,也是管理的问题。在邬贺铨看来,关键基础设施通常使用内网,但如果管理不慎也会给外网病毒以可乘之机。

随着‘新基建’的发展、数字化程度日益深化,“要保障大安全时代的网络安全,应尽快考虑和落实‘顶层设计、全局感知’。”周鸿祎建议,要建设全网安全大脑,全网采集安全大数据,建立全视角安全感知能力,即时输出威胁情报,实现全局升级基础上的单体能力提升。

这与邬贺铨的观点不谋而合。“网络安全需要产业上下游协作,做到威胁情报共享和协同防御。”邬贺铨告诉《中国科学报》。

但是,其前提是肯在网络安全上投入。周鸿祎表示,据了解,我国在网络安全领域的投入比例长期偏低。投入偏低会导致网络安全产业发展困难、人才流失严重,长此以往可能导致各行各业的网络安全缺乏有力支撑。

如何让创新与安全两者齐头并进?周汉民认为,在数字化加速互联互通的当下,应当出台数字经济“安全基建”的国家标准。他建议有关部门尽快组织关于“安全基建”标准的调研,广泛了解企业在实践中积累且行之有效的做法,结合新一代信息通信技术发展情况,为构建完整的安全基础设施提供参考。

钱磊认为,数字基建的安全标准应包括软件供应链安全、技术和业务漏洞检测、隐私与内容风险检测、应用可信等多个维度的标准。

倪光南指出,在诸多标准中,安全可控这一“标准”最为迫切。

“实践证明,目前我国自主可控、安全可控的信息基础体系已经达到可用阶段,正在向好用方面发展。随着市场的发展,我国目前网络信息领域和国外的差距相对传统领域正逐渐缩小。”倪光南表示,未来应尽最大努力用我国安全可控的技术体系来支撑“新基建”的发展。