“新基建”带给网络安全的机遇与挑战

随着中共中央政治局委员会在3月4日召开的会议中指出,要加快推进国家规划已明确的重大工程和基础设施,其中要加快5G网络、数据中心等新型基础设施建设进度,“新基建”骤然成为各界关注的新焦点。

3月26日,在360春耕行动第六期线上研讨会上,多位嘉宾围绕“新基建带给网络安全的机遇和挑战”进行了深入探讨。

“加速大数据、加深大融合、加快大安全。”360集团首席安全官杜跃进用三句话总结了新基建安全方面可能会出现的挑战和机遇。

在杜跃进看来,加速大数据即在互联互通的全球数字经济背景下,数据成为未来最大的能源。在抗击新冠肺炎疫情的过程中,数据不仅是平台建设的基础,经过建模、分析等流程,还为专家制定下一步防疫措施提供了依据。同时也反映出,如果数据未能得到充分的利用,在人类面临共同的公共危机或公共卫生事件时,防疫能力会受到巨大的影响。

“过去人们将数据安全和信息安全混在一起讨论,如当有些人提及数据安全时,会谈到数字产权保护、个人隐私保护、保密、生产安全或业务安全等。站在不同的视角最后得出的结论和方法都会有所不同,但其共性是,数据安全会成为新基建中基础的问题,传统仅靠管理的方式已然行不通,传统的技术和思想模式都需要更新。”杜跃进说。

加深大融合即新基建与传统基础设施建设相比,将5G、特高压、城际高速铁路和城际轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网列入其中,将带动更多的产业应用。

加快大安全即通过这次疫情,我们可看到线上线下融合到应急管理、城市安全、公共安全中的必要性。“此次新基建包括互联网、5G、新能源、充电桩等,这些也是会让线上线下融合,使得大安全业务+城市安全+社区安全速度加快。因此,不能再固守过去的网络安全,我们保护的对象从信息系统开始延伸到数据本身、生产系统,延伸到每一位老百姓。”

面对新基建内容发展的主要方向,杜跃进总结道,首先,整个安全行业需要升级;其次,需要大范围的协同;第三,需要知识化的智能时代。

在复旦大学教授、博士生导师杨珉看来,新基建实际上是一个国家数字化基础设施建设总体推进的路径,不是简单的刺激经济的行为。这一轮建设的核心内容围绕基础软硬件和网络基础设施。一是实施国家软件重大工程,集中力量去解决关键软硬件卡脖子问题,芯片、操作系统、关键设备和支撑软件等。二是要提升云平台的基础设施,推动服务上云。

“新基建对于网络安全行业将是一个非常好的机遇。研究表明,在新基建的实际落地过程中,开源代码和第三方代码库的使用实际引来了很多的安全隐患。安全厂商可以前瞻性地进行布局,进而在这种安全的对抗过程当中占领先机。其次是关于第三方代码对于隐私、敏感数据泄露所造成的挑战。如何认知更多新的安全威胁,在新的业务场景中研究出新的安全威胁,研发相应的技术评估手段,去保护系统和用户隐私数据,这将是具有很大增长空间的领域。”杨珉分析道。

在新基建下,多种新型网络需要开展创新性建设,包括工业互联网、物联网、新能源网络、未来的卫星网络等都将汇聚连入到5G的无线移动网络,也就是说基于5G的网络实现新基建下异构网络的互联与融合。

在崔宝江看来,5G的特点包括广连接、异构融合、核心网的虚拟化等。这些特性决定了5G网络比4G网络有更多的访问边界,有更多的访问界面,有更多的访问接口,这就导致5G面临的安全风险要远远大于4G网络。

崔宝江表示,在新基建时代,应针对5G开展安全防护体系的建设,并主要从三个方面来展开:一是5G接入网侧。就是异构网络接入层面,因为物联网,包括物联网终端,工业智能设备、5G手机和其他异构网络终端要接入网络都需要通过接入网侧接入的。这种情况下,就要保证接入网侧异构网络终端的安全接入。在5G情况下,我们要考虑统一的安全认证框架,统一身份识别机制,安全接入和安全传输,这样才能保证5G接入网的安全。这是源头。

二是核心网侧。要保证核心云的安全,在各种终端接入5G网络之后,具体相关的接入和移动管理、会话管理和统一数据管理都要通过核心云相关的信令协议来调度和实现。这些核心的信令协议都是在SDN和NFA虚拟化环境里实现的,通过切片技术来实现。所以,核心网侧安全就要包括切片安全、网源安全等核心整体安全性。

三是用户层安全。用户通过5G网络连入,这样就可以访问大量的网络服务,上传下载大量交互数据,这就是用户服务数据的安全,实际在这里面,用户很多和个人相关的数据,比如用户的隐私数据就是要用户层面需要重点考虑的安全防护。

当前,网络空间已成为海、陆、空、天以后的第五大主权空间,这也是过去国际战略在军事领域演进的结果。

研讨会上,沈昌祥院士提出,对于网络安全尤其是新基建这样新型领域,利用可信计算技术提高网络安全防护自身免疫能力是不可或缺的一个方式。

“安全的问题是避免不了的,我们设计IT系统,不能确定所有的逻辑组合,这是逻辑学所限定的。必定存在逻辑不全的缺陷,因此,攻击就要利用逻辑缺陷,挖掘漏洞,利用恶意代码进行攻击,这是网络安全的永远主题。”沈院士表示,我们要调整思路,要有主动免疫的网络安全计算,确保为完成计算任务的逻辑组合不被篡改,不被破坏,才能实现正确的计算,让可信的目标能达到。

沈院士认为,要反思以前就事论事的“老三样”:杀病毒、防火墙、入侵检测。因为现在攻击漏洞太多,逻辑缺陷太多,利用老的经验积累去封堵是解决不了问题的。我们要用可信计算,而且是主动免疫可信计算,计算运行的同时进行安全防护,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。

在沈院士看来,5G网络、云计算、大数据、工业控制、物联网等,关键是五个方面的可信:体系架构不能变、资源配置不能篡改、操作行为(可信)不能攻击、确保数据的可信和策略管理要可信,不能被篡改。

值得一提的是,中国可信计算的发展是走在世界前列的。在1992年就立项研究了可信计算综合安全保护系统,1995年2月就通过了测评鉴定,然后经过长期军民融合联合攻关,形成了自主创新安全可信的体系,开启了可信计算的3.0新时代。

据了解,本次研讨会由CCF计算机安全专业委员会、中关村可信计算产业联盟联合主办,360集团承办。