伴随着5G网络、大数据中心、工业互联网等新型基础设施建设的加快推进,新基建将成为拉动消费、保障经济发展的重要手段之一。但与此同时,新基建也为我国的网络安全带来全新的挑战,相关企业安全能力塑造面临极大的紧迫性和挑战性。
记者近日采访了解到,在新基建大潮来临之际,大型安全公司、产业联盟和论坛平台等纷纷组织相关部门负责人、专家学者和公司高管,共同解读新基建的新机遇、新担当和新内涵,而这一风口背后衍生出来的安全挑战和应对策略已经成为重中之重。
《网络安全审查办法》为新基建把舵导航
数据显示,我国数字经济发展迅猛,目前占GDP的比重约为35%,总量超过30万亿元。数字经济的发展包括两个方面:数字产业化、产业数字化。
“今后对数字经济发展将有重大贡献、规模几十万亿元的新基建,实际上往往包含数字产业化、产业数字化两个方面的融合。”中国工程院院士倪光南在接受记者采访时表示。他说,作为一个新领域,新型基础设施重要关键词就是网络安全,网络安全是做好新基建的一个前提条件。近日12部门联合发布的《网络安全审查办法》(以下简称《办法》)为新基建确定了保障网络安全的正确方向。《办法》明确,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
倪光南表示,由于自主可控是网络安全的必要条件,近期已在有关领域实施并取得成效的“自主可控测评”,其包含内容和实施经验都可以作为《办法》的借鉴,为落实《办法》提供帮助。为了确保重要领域的自主可控,有关部门对核心技术产品实施包括自主可控测评的多维度测评,即除了以往已经实施的“质量测评”和“安全测评”外,还增加了“自主可控测评”。自主可控需制订客观、科学的测评标准,并由第三方机构实行测评;在关系到网信安全的重要场合,自主可控测评可起“一票否决”作用。
用主动免疫的可信计算筑牢安全防线
在中关村网络安全与信息化产业联盟近日举办的“联盟网信新基建专题座谈会”上,中国工程院院士沈昌祥做了“用主动免疫可信计算构筑新型基础设施网络安全保障体系”的主题演讲。
记者注意到,沈昌祥此次演讲的书面材料说,新基建作为国家经济发展战略正在显现出强大动能,聚焦新旧动能转换,助力现代化高品质城市建设迈向新高度。但对网络安全也提出严峻挑战,如勒索病毒几年来横扫网络系统,造成的损失巨大。
新型基础设施是以数据和网络为核心,其发展前提是用主动免疫的可信计算筑牢安全防线。主动免疫可信计算是一种运算的同时进行安全防护的新计算模式,以密码为基因抗体实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提,必须对人的操作访问策略四要素(主体、客体、操作、环境)进行可信度量、识别和控制。由此,只有加强对安全可信和密码的管理服务,才能确保基础设施五个环节可信:体系结构可信、资源配置可信、策略管理可信、数据存储可信和操作行为可信。
沈昌祥提出,新基建采用新的计算模式必须建立新体系框架,实施安全管理支撑下的计算环境、区域边界和通信网络三重主动免疫防御框架,实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、计算资源改不了、系统工作瘫不成和攻击行为赖不掉的安全防护效果,并做到全程可测可控,不被干扰,消除安全隐患,确保计算结果与预期一致。
相关企业安全能力塑造需要多措并举
专家指出,新基建的发展将促使接入网络设备和数据量的高速增长,这给漏洞安全防护及网络安全保障体系建设提出了更高的要求。
在绿盟科技主办的题为“新基建大潮下的漏洞安全观”的直播论坛上,中国计算机学会理事、绿盟科技星云实验室负责人刘文懋表示,新基建环境下,未来人工智能和自动化能实现大规模分布式场景下的智能决策和响应,这也将是新基建安全的重要支撑技术。
业界认为,5G网络和云数据中心的虚拟化模糊了网络的物理边界,大量采用开源软件,AI领域对第三方开源基础库过度依赖,加大了引入安全漏洞的风险。对此,绿盟科技企业安全管理产品线总监李静表示,做好漏洞管理首先要考虑安全前置工作,明确管理范围,根据范围设置相应的角色和职能要求,选择好评估工具,根据范围精炼对应的策略和服务等级协议,这样才能让后面的漏洞管理流程更顺畅。
李静说,在漏洞管理的过程中,基于风险级别完成漏洞的分片、分段管理,能高效、快速修复漏洞,将风险降低。化被动为主动的云端漏洞响应自动化,通过对已有开发、运维工具的集成与整合,实现对突发安全漏洞的快速响应,将企业受到安全威胁的时间窗口从数周、数月缩短到小时级。
在赛宁网安制作的“赛宁谈靶场”节目里,赛宁网安副总经理王旭表示,加强企业安全能力塑造成为新基建企业应对外部(网络)威胁与风险的重要举措。新基建企业需要更加强大、更为成熟的安全能力来为产业发展保驾护航。
王旭认为,以科技为推动力的新基建是国际间技术竞争的核心领域,必然也是网络安全威胁发生的重要战场。虽然这些行业网络安全能力的建设、安全人员能力的培养很早就在布局,但面对新基建的机遇和挑战,需要更深程度、更为成熟的安全能力建设。