院士專(zhuān)家解讀新基建下的網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全已成為新基建的最大挑戰(zhàn)。

近年來(lái)，在國(guó)家政策的推動(dòng)下，5G網(wǎng)絡(luò)、數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)加快推進(jìn)，可以預(yù)見(jiàn)，新基建將成為我國(guó)經(jīng)濟(jì)增長(zhǎng)的新引擎。不過(guò)，新基建在助力產(chǎn)業(yè)新秩序重新建立的同時(shí)，也將面臨網(wǎng)絡(luò)安全帶來(lái)的新挑戰(zhàn)。隨著接入網(wǎng)絡(luò)設(shè)備的快速增長(zhǎng)，每天產(chǎn)生海量的數(shù)據(jù)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行安全保障至關(guān)重要。

其實(shí)網(wǎng)絡(luò)安全無(wú)處不在，無(wú)論是普通的網(wǎng)絡(luò)平臺(tái)的賬號(hào)、隱私和數(shù)據(jù)安全，還是基于人工智能技術(shù)下無(wú)人駕駛和機(jī)器人技術(shù)都離不開(kāi)安全。近日，在一次網(wǎng)絡(luò)安全線(xiàn)上研討會(huì)上，多位院士專(zhuān)家表示，在新基建為中國(guó)經(jīng)濟(jì)發(fā)展鋪路的同時(shí)，網(wǎng)絡(luò)安全可為新基建保駕護(hù)航。

中國(guó)工程院院士沈昌祥：要主動(dòng)免疫，實(shí)現(xiàn)五個(gè)方面的可信

習(xí)近平總書(shū)記指示我們，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。因此，我們必須要按照國(guó)家的法律戰(zhàn)略制度來(lái)推廣安全可信產(chǎn)品，筑牢新基建的網(wǎng)絡(luò)安全底線(xiàn)。

網(wǎng)絡(luò)安全的問(wèn)題是避免不了的，因?yàn)槲覀冊(cè)O(shè)計(jì)的IT系統(tǒng)，必定存在邏輯不全的缺陷，攻擊就是通過(guò)利用這些邏輯缺陷進(jìn)行的，這是網(wǎng)絡(luò)安全的永遠(yuǎn)主題。

我們的對(duì)策是主動(dòng)免疫，要反思以前就事論事的“老三樣”：殺病毒、防火墻、入侵檢測(cè)。因?yàn)楝F(xiàn)在攻擊漏洞太多，邏輯缺陷太多，利用老的經(jīng)驗(yàn)積累去封堵是解決不了問(wèn)題的。我們要用可信計(jì)算，而且是主動(dòng)免疫的可信計(jì)算，計(jì)算運(yùn)行的同時(shí)進(jìn)行安全防護(hù)，以密碼為基因?qū)嵤┥矸葑R(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能，及時(shí)識(shí)別“自己”和“非己”成分，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。

對(duì)于5G網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等新基建來(lái)說(shuō)，關(guān)鍵是實(shí)現(xiàn)五個(gè)方面的可信：體系架構(gòu)不能變;資源配置不能篡改，要可信;操作行為（可信）不能攻擊;確保數(shù)據(jù)的可信;策略管理要可信，不能被篡改。

值得一提的是，中國(guó)可信計(jì)算的發(fā)展是走在世界前列的。在1992年就立項(xiàng)研究了可信計(jì)算綜合安全保護(hù)系統(tǒng)，1995年2月就通過(guò)了測(cè)評(píng)鑒定，然后經(jīng)過(guò)長(zhǎng)期軍民融合聯(lián)合攻關(guān)，形成了自主創(chuàng)新安全可信的體系，開(kāi)啟了可信計(jì)算的3.0新時(shí)代。

中國(guó)工程院院士鄔賀銓?zhuān)盒禄▽⒚鎸?duì)六大新的網(wǎng)絡(luò)安全挑戰(zhàn)

新基建將是一把“雙刃劍”，在應(yīng)對(duì)原有網(wǎng)絡(luò)安全問(wèn)題之外，還將面對(duì)新的安全挑戰(zhàn)。

第一是虛擬化的挑戰(zhàn)。5G網(wǎng)絡(luò)和云數(shù)據(jù)中心的虛擬化模糊了網(wǎng)絡(luò)的物理邊界，基于邏輯拓?fù)涠x的虛擬安全域需要根據(jù)虛擬機(jī)的遷移狀況動(dòng)態(tài)變化，讓傳統(tǒng)依賴(lài)物理邊界防護(hù)的安全機(jī)制難以奏效。另外，軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)功能虛擬化的上層控制系統(tǒng)高度集中，容易成為網(wǎng)絡(luò)安全攻擊的對(duì)象，而底層計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源共享將考驗(yàn)安全隔離手段。

第二是開(kāi)放性的挑戰(zhàn)。5G采用基于服務(wù)的網(wǎng)絡(luò)體系，開(kāi)放業(yè)務(wù)生成和調(diào)用，網(wǎng)絡(luò)切片也可以開(kāi)放給客戶(hù)自定義與調(diào)配，這與傳統(tǒng)移動(dòng)網(wǎng)絡(luò)封閉的業(yè)務(wù)管理相比，惡意第三方容易獲得對(duì)網(wǎng)絡(luò)的操控能力。5G采用通用互聯(lián)網(wǎng)協(xié)議代替?zhèn)鹘y(tǒng)移動(dòng)網(wǎng)絡(luò)專(zhuān)用協(xié)議，擴(kuò)展了業(yè)務(wù)能力，但更易受到外部攻擊。

第三是切片化的挑戰(zhàn)。5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)都會(huì)面對(duì)大量有不同業(yè)務(wù)要求的租戶(hù)，以網(wǎng)絡(luò)切片方式在共享資源上按需提供VPN服務(wù)，切片間需要有效的安全隔離機(jī)制，以免某個(gè)低防護(hù)能力的網(wǎng)絡(luò)切片受攻擊后成為跳板而波及其他切片。

第四是大連接的挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)使用大量傳感器和PLC，量大且永遠(yuǎn)在線(xiàn)而易成為DDoS攻擊的跳板，防入侵能力又受限于低功耗的輕量級(jí)安全算法。5G要支持每平方公里上百萬(wàn)傳感器聯(lián)網(wǎng)，復(fù)雜的認(rèn)證會(huì)引發(fā)信令風(fēng)暴還會(huì)影響低時(shí)延的性能，車(chē)聯(lián)網(wǎng)還要求支持點(diǎn)到多點(diǎn)的V2V快速認(rèn)證。

第五是開(kāi)源化的挑戰(zhàn)。5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)領(lǐng)域大量采用開(kāi)源軟件，AI領(lǐng)域?qū)Φ谌介_(kāi)源基礎(chǔ)庫(kù)過(guò)度依賴(lài)，加大了引入安全漏洞的風(fēng)險(xiǎn)。

第六是大數(shù)據(jù)的挑戰(zhàn)。新一代信息基礎(chǔ)設(shè)施依賴(lài)大數(shù)據(jù)挖掘，但難以保證數(shù)據(jù)不被污染，以失真的數(shù)據(jù)來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，會(huì)使決策錯(cuò)誤且因AI的結(jié)果具有不可解釋性而難以發(fā)現(xiàn)。通過(guò)將數(shù)據(jù)分布存儲(chǔ)和加密，可以防備數(shù)據(jù)被盜竊或篡改，但對(duì)于以勒索為目的的外部攻擊，會(huì)強(qiáng)行將數(shù)據(jù)再加密，使原有數(shù)據(jù)的擁有方也無(wú)法讀取數(shù)據(jù)。

中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心首席專(zhuān)家李京春：新基建下的網(wǎng)絡(luò)安全可歸納為“內(nèi)外保管治”

針對(duì)新基建中的“硬核科技”，在網(wǎng)絡(luò)安全方面的策略可歸納為“內(nèi)外保管治”。

“內(nèi)”即內(nèi)生安全，系統(tǒng)、平臺(tái)、產(chǎn)品要有更多的自限性安全機(jī)制，在新基建當(dāng)中發(fā)揮作用;“外”即在網(wǎng)絡(luò)安全方面，針對(duì)威脅情報(bào)要共享起來(lái)，從外部加強(qiáng)聯(lián)防聯(lián)動(dòng)，加強(qiáng)不同層級(jí)、不同層面的保障;“?！奔幢Ｕ闲畔⒒ㄔO(shè)和網(wǎng)絡(luò)安全建設(shè)的“三同步”——同步規(guī)劃、同步建設(shè)、同步運(yùn)行;“管”即管好系統(tǒng)運(yùn)行的連續(xù)性，管好核心人員，管好數(shù)據(jù)，管好應(yīng)急;“治”即針對(duì)網(wǎng)絡(luò)安全亂象進(jìn)行治理，要打擊網(wǎng)絡(luò)犯罪，加強(qiáng)網(wǎng)上的監(jiān)督等，做好網(wǎng)絡(luò)安全的內(nèi)核。

北京郵電大學(xué)教授崔寶江：新基建中的5G網(wǎng)絡(luò)安全是重中之重

5G是大匯聚、融合、互聯(lián)的基礎(chǔ)設(shè)施，更是新基建的重中之重。

在5G接入網(wǎng)側(cè)，抑或稱(chēng)為異構(gòu)網(wǎng)絡(luò)接入層面，由于物聯(lián)網(wǎng)終端，工業(yè)智能設(shè)備、5G手機(jī)和其他異構(gòu)網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)皆需通過(guò)接入網(wǎng)側(cè)接入，在5G網(wǎng)絡(luò)部署中，為保證其安全接入，需考慮統(tǒng)一的安全認(rèn)證框架、統(tǒng)一身份識(shí)別機(jī)制、安全接入和安全傳輸。

在核心網(wǎng)側(cè)，要保證核心云的安全，在各種終端接入5G網(wǎng)絡(luò)之后，具體相關(guān)的接入和移動(dòng)管理、回話(huà)管理和統(tǒng)一數(shù)據(jù)管理都要通過(guò)核心云相關(guān)的信令協(xié)議來(lái)調(diào)度和實(shí)現(xiàn)，核心的信令協(xié)議都是在SDN和NFA虛擬化環(huán)境里通過(guò)切片技術(shù)來(lái)實(shí)現(xiàn)。因此，核心網(wǎng)側(cè)安全包括切片安全、網(wǎng)源安全等核心整體安全性。

在用戶(hù)層，用戶(hù)通過(guò)5G網(wǎng)絡(luò)連入訪(fǎng)問(wèn)大量的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)上傳下載大量交互數(shù)據(jù)。在該環(huán)節(jié)，如用戶(hù)的隱私數(shù)據(jù)便需要重點(diǎn)考慮安全防護(hù)。

奇安信科技集團(tuán)董事長(zhǎng)齊向東：網(wǎng)絡(luò)安全是新基建的基礎(chǔ)工程

以前，網(wǎng)絡(luò)安全是輔助性工程，但在新基建里是基礎(chǔ)工程。新基建會(huì)進(jìn)一步加快網(wǎng)絡(luò)世界和物理世界的融合，這意味著兩者的邊界將基本消失，對(duì)網(wǎng)絡(luò)的攻擊就等于對(duì)物理世界的攻擊，將直接影響人民生活、社會(huì)穩(wěn)定和國(guó)家安全。比如，5G遠(yuǎn)程手術(shù)遭遇網(wǎng)絡(luò)攻擊，可能會(huì)威脅到人們的生命安全;車(chē)聯(lián)網(wǎng)遭受攻擊，可能會(huì)直接造成車(chē)毀人亡。

未來(lái)，絕大部分的網(wǎng)絡(luò)安全問(wèn)題都將集中在應(yīng)用場(chǎng)景上，因此需要把安全升級(jí)，作為基礎(chǔ)設(shè)施來(lái)建設(shè)。以新能源汽車(chē)充電樁為例，未來(lái)每個(gè)充電樁都會(huì)聯(lián)網(wǎng)，當(dāng)協(xié)議出現(xiàn)漏洞，就出現(xiàn)了新的攻擊方法，可見(jiàn)安全問(wèn)題瞬息萬(wàn)變。傳統(tǒng)的解決方法是給每個(gè)充電樁部署安全設(shè)施，但未來(lái)充電樁會(huì)遍布城鄉(xiāng)各地，一個(gè)個(gè)分布式去解決是行不通的。只有通過(guò)分層解耦、異構(gòu)兼容，把安全能力資源化、目錄化、云化，用網(wǎng)絡(luò)調(diào)度來(lái)增減安全措施，才能保障系統(tǒng)的正常運(yùn)轉(zhuǎn)。

360城市安全集團(tuán)系統(tǒng)設(shè)計(jì)部總監(jiān)李曉明：新基建下的網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間

新基建下的網(wǎng)絡(luò)安全面臨三大挑戰(zhàn)。第一個(gè)挑戰(zhàn)是國(guó)際格局日趨復(fù)雜，中國(guó)與國(guó)際的技術(shù)交流、技術(shù)合作及技術(shù)供應(yīng)鏈有被阻斷的風(fēng)險(xiǎn)。第二個(gè)挑戰(zhàn)是隨著大數(shù)據(jù)與人工智能技術(shù)的發(fā)展與廣泛應(yīng)用，如何保障隱私和數(shù)據(jù)安全。第三個(gè)挑戰(zhàn)是能否找到行之有效的商業(yè)模式，在產(chǎn)業(yè)互聯(lián)網(wǎng)的大背景下，為5G、大數(shù)據(jù)、人工智能等高科技產(chǎn)業(yè)找到與傳統(tǒng)產(chǎn)業(yè)的有效結(jié)合點(diǎn)。這個(gè)結(jié)合點(diǎn)要具有高價(jià)值、可落地與可復(fù)制的特征。

此外，如果在新基建的過(guò)程中沒(méi)有考慮到網(wǎng)絡(luò)安全，簡(jiǎn)直就像是在“裸奔”。因?yàn)槿绻l(fā)生網(wǎng)絡(luò)攻擊，將不會(huì)僅僅是傳統(tǒng)的網(wǎng)絡(luò)攻擊，它的破壞力不同。新基建下的網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間，會(huì)造成非常嚴(yán)重的后果。這種攻擊不僅僅是針對(duì)一輛車(chē)，而是會(huì)因?yàn)橐惠v車(chē)被攻擊導(dǎo)致大面積的交通事故。新基建下還有很多智慧醫(yī)療的場(chǎng)景，如果通過(guò)網(wǎng)絡(luò)入侵CT機(jī)，哪怕通過(guò)一種方法欺騙體溫槍?zhuān)够颊呃@過(guò)門(mén)口的疫情檢測(cè)卡，就有可能造成大規(guī)模的感染或者醫(yī)療事故。

（來(lái)源：《信息安全與通信保密》）