日前,工信部起草了《網絡數據安全標準體系建設指南(征求意見稿)》,通過頂層設計,制定政府引導和市場驅動相結合的網絡數據安全標準體系建設方案,有利于“新基建”健康運行。
標準體系明年初步建成
《建設指南》(征求意見稿)指出,到2021年,初步建立網絡數據安全標準體系,有效落實網絡數據安全管理要求,基本滿足行業網絡數據安全保護需要,推進標準在重點企業、重點領域中的應用,研制網絡數據安全行業標準20項以上。
到2023年,健全完善網絡數據安全標準體系,標準技術水平、應用水平和國際化水平顯著提高,有力促進行業網絡數據安全保護能力提升,研制網絡數據安全行業標準50項以上。網絡數據安全標準體系包括基礎共性、關鍵技術、安全管理、重點領域四大類標準。
網絡安全成“新基建”最大挑戰
在國家政策推動下,5G網絡、數據中心、工業互聯網等新型基礎設施建設加快推進,可以預見,“新基建”將成為我國經濟增長的新引擎。
不過,“新基建”在助力產業新秩序重新建立的同時,也將面臨網絡安全帶來的新挑戰。當下人們已經通過物聯網、人工智能、大數據解決很多問題,隨著接入網絡設備的快速增長,每天產生海量的數據,對關鍵信息基礎設施進行安全保障至關重要。
其實網絡安全無處不在,無論是普通的網絡平臺的賬號、隱私和數據安全,還是基于人工智能技術下無人駕駛和機器人技術都離不開安全。
近日,就有多位院士專家在網絡安全線上研討會上表示,在新基建為中國經濟發展鋪路的同時,網絡安全可為新基建保駕護航。
院士沈昌祥
當前,網絡空間已成為海、陸、空、天以后的第五大主權空間,這也是過去國際戰略在軍事領域演進的結果。沈昌祥沈院士指出,現在“網絡戰”已經常態化,習近平總書記指示我們,“沒有網絡安全就沒有國家安全”。因此,我們必須要按照國家的法律戰略制度來推廣安全可信產品,筑牢新基建的網絡安全底線。
“安全的問題是避免不了的,我們設計IT系統,必定存在邏輯不全的缺陷,攻擊就會利用邏輯缺陷,這是網絡安全的永遠主題。” 沈院士表示,我們要調整思路,要有主動免疫的網絡安全計算,確保為完成計算任務的邏輯組合不被篡改,不被破壞,能實現正確的計算,讓可信的目標能達到。
沈院士認為,我們的對策是主動免疫,要反思以前就事論事的“老三樣”:殺病毒、防火墻、入侵檢測。因為現在攻擊漏洞太多,邏輯缺陷太多,利用老的經驗積累去封堵是解決不了問題的。怎么辦呢?我們要用可信計算,而且是主動免疫可信計算,計算運行的同時進行安全防護,以密碼為基因實施身份識別、狀態度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質,相當于為網絡信息系統培育了免疫能力。
沈院士指出,5G網絡、云計算、大數據、工業控制、物聯網等,關鍵是五個方面的可信:
體系架構不能變。
資源配置不能篡改,可信。
操作行為(可信)不能攻擊。
確保數據的可信。
策略管理要可信,不能被篡改。
值得一提的是,中國可信計算的發展是走在世界前列的。在1992年就立項研究了可信計算綜合安全保護系統,1995年2月就通過了測評鑒定,然后經過長期軍民融合聯合攻關,形成了自主創新安全可信的體系,開啟了可信計算的3.0新時代。
院士鄔賀銓
中國信息協會專家委員會主任委員鄔賀銓院士指出,新一代信息基礎設施是“雙刃劍”,在應對原有網絡安全問題之外,還將面對新的安全挑戰。
第一是虛擬化的挑戰
5G網絡和云數據中心的虛擬化模糊了網絡的物理邊界,基于邏輯拓撲定義的虛擬安全域需要根據虛擬機的遷移狀況動態變化,傳統依賴物理邊界防護的安全機制難以奏效。另外,軟件定義網絡與網絡功能虛擬化的上層控制系統高度集中,容易成為網絡安全攻擊的對象,而底層計算、存儲及網絡資源共享將考驗安全隔離手段。
第二是開放性的挑戰
5G采用基于服務的網絡體系,開放業務生成和調用,網絡切片也可以開放給客戶自定義與調配,這與傳統移動網絡封閉的業務管理相比,惡意第三方容易獲得對網絡的操控能力。5G采用通用互聯網協議代替傳統移動網絡專用協議,擴展了業務能力,但更易受到外部攻擊。
第三是切片化的挑戰
5G、數據中心和工業互聯網都會面對大量有不同業務要求的租戶,以網絡切片方式在共享資源上按需提供VPN服務,切片間需要有效的安全隔離機制,以免某個低防護能力的網絡切片受攻擊后成為跳板而波及其他切片。
第四是大連接的挑戰
工業互聯網使用大量傳感器和PLC,量大且永遠在線而易成為DDoS攻擊的跳板,防入侵能力又受限于低功耗的輕量級安全算法。5G要支持每平方公里上百萬傳感器聯網,復雜的認證會引發信令風暴還會影響低時延的性能,車聯網還要求支持點到多點的V2V快速認證。
第五是開源化的挑戰
5G、數據中心和工業互聯網領域大量采用開源軟件,AI領域對第三方開源基礎庫過度依賴,加大了引入安全漏洞的風險。
第六是大數據的挑戰
新一代信息基礎設施依賴大數據挖掘,但難以保證數據不被污染,以失真的數據來訓練神經網絡,會使決策錯誤且因AI的結果具有不可解釋性而難以發現。通過將數據分布存儲和加密,可以防備數據被盜竊或篡改,但對于以勒索為目的的外部攻擊,會強行將數據再加密,使原有數據的擁有方也無法讀取數據。
副部長陳肇雄
4月17日,在數字基礎設施建設推進專家研討會上,工業和信息化部副部長陳肇雄指出,與數字基礎設施同步規劃、建設、運行網絡安全保障系統,推進關鍵信息基礎設施安全保護,健全網絡安全技術監測體系、應急處置機制,加強5G、工業互聯網、數據中心、云平臺等設施的安全保障,確保數字基礎設施安全平穩可靠運行。
首席專家李京春
中國網絡安全審查技術與認證中心首席專家李京春認為,針對新基建中的“硬核科技”,在網絡安全方面可歸為“內外保管治”。
“內”即內生安全,系統、平臺、產品要有更多的自限性安全機制,在新基建當中發揮作用;“外”即在網絡安全方面,針對威脅情報大家要共享起來,外部的要聯防聯動,加強不同層級的,不同層面的保障;“保”即保障信息化建設和網絡安全建設的“三同步”——同步的規劃,同步的建設,同步的運行;“管”即管好系統運行的連續性,管好核心人員,管好數據,管好應急。“治”即針對網絡安全亂象進行治理,要打擊網絡的犯罪,加強網上的監督等,做到網絡安全的內核。
北京郵電大學教授崔寶江
5G是大匯聚、融合、互聯的基礎設施,更是新基建的重中之重。
在5G接入網側,亦或稱為異構網絡接入層面,由于物聯網終端,工業智能設備、5G手機和其他異構網絡終端接入網絡皆需通過接入網側接入,在5G網絡部署中,為保證其安全接入,需考慮統一的安全認證框架、統一身份識別機制、安全接入和安全傳輸。
在核心網側,要保證核心云的安全,在各種終端接入5G網絡之后,具體相關的接入和移動管理、回話管理和統一數據管理都要通過核心云相關的信令協議來調度和實現,核心的信令協議都是在SDN和NFA虛擬化環境里通過切片技術來實現。因此,核心網側安全包括切片安全、網源安全等核心整體安全性。
在用戶層安全,用戶通過5G網絡連入訪問大量的網絡服務,實現上傳下載大量交互數據。在該環節,如用戶的隱私數據便需要重點考慮安全防護。
奇安信齊向東
齊向東認為,網絡安全是新基建的基礎。以前,網絡安全是輔助性工程,但在新基建里是基礎工程。新基建會進一步加快網絡世界和物理世界的融合。這意味著兩者的邊界將基本消失,對網絡的攻擊就等于對物理世界的攻擊,直接影響人民生活、社會穩定和國家安全。比如,5G遠程手術遭遇網絡攻擊,可能會威脅到人們的生命安全;車聯網遭受攻擊,可能會直接造成車毀人亡。
在他看來,未來絕大部分的安全問題都集中在應用場景上,因此需要把安全升級,作為基礎設施來建設。以新能源汽車充電樁為例,未來每個充電樁都會聯網,當協議出現漏洞,就出現了新的攻擊方法,安全問題瞬息萬變。傳統的解決方法是給每個充電樁部署安全設施,但未來充電樁會遍布城鄉各地,一個個分布式解決是行不通的。只有通過分層解耦、異構兼容,把安全能力資源化、目錄化、云化,用網絡調度來增減安全措施,才能保障系統的正常運轉。
360李曉明
360城市安全集團系統設計部總監李曉明認為,第一個挑戰是國際格局日趨復雜,中國與國際的技術交流、技術合作及技術供應鏈有被阻斷風險。第二個挑戰是隨著大數據與人工智能技術的發展與廣泛應用,如何保障隱私和數據安全。第三個挑戰是能否找到行之有效的商業模式,在產業互聯網的大背景下,要求5G、大數據、人工智能等高科技產業找到與傳統產業的有效結合點,即:高價值、可落地與可復制。“如果在‘新基建’過程中沒有考慮到網絡安全,簡直就是在裸奔”,如果真正發生網絡攻擊,將不會僅僅是傳統的網絡攻擊,它的破壞力將不同,“新基建”下的網絡攻擊將從數字空間延伸到物理空間,會造成非常嚴重的后果。這種攻擊不僅僅是針對一輛車,而是會因為一輛車被攻擊導致大面積的交通事故。“新基建”有很多智慧醫療的場景,如果通過網絡入侵CT機,哪怕通過一種方法欺騙體溫槍繞過門口的疫情檢測卡,這就有可能造成大規模的感染或者醫療事故。
來源: 信息安全與通信保密雜志社