2020年,網絡安全產業出現了影響深遠的新動向、新挑戰與新契機。一方面,肆虐全球的新冠病毒疫情帶來了企業生產與協作方式的巨大改變;另一方面,國家對“新基建”給予高度關注,相關政策的出臺將產業發展帶入新疆界,企業安全防護的內涵和外延在不斷擴大,網絡安全環境變得前所未有的複雜。
2018年底中央經濟工作會議指出,“加快5G商用步伐,加強人工智能、工業互聯網、物聯網等新型基礎設施建設”,“新基建”的提法由此產生。2020年3月4日中共中央政治局常務委員會會議指出,加快推進國家規劃已明確的重大工程和基礎設施建設。要加大公共衛生服務,應急物資保障領域投入,加快5G網絡、數據中心等新型基礎設施建設進度,將“新基建”提升到戰略高度。
4月20日,國家發展改革委例行在線新聞發佈會上,創新和高技術發展司司長伍浩表示,關於新型基礎設施的概念,初步研究認為是以新發展理念為引領,以技術創新為驅動,以信息網絡為基礎,面向高質量發展需要,提供數字轉型、智能升級、融合創新等服務的基礎設施體系。目前來看,新型基礎設施主要包括3個方面內容:
一是信息基礎設施。主要是指基於新一代信息技術演化生成的基礎設施,比如,以5G、物聯網、工業互聯網、衛星互聯網為代表的通信網絡基礎設施,以人工智能、雲計算、區塊鏈等為代表的新技術基礎設施,以數據中心、智能計算中心為代表的算力基礎設施等。
二是融合基礎設施。主要是指深度應用互聯網、大數據、人工智能等技術,支撐傳統基礎設施轉型升級,進而形成的融合基礎設施,比如,智能交通基礎設施、智慧能源基礎設施等。
三是創新基礎設施。主要是指支撐科學研究、技術開發、產品研製的具有公益屬性的基礎設施,比如,重大科技基礎設施、科教基礎設施、產業技術創新基礎設施等。
在新一代信息基礎設施中,突出的是5G、數據中心、人工智能(AI)、工業互聯網及物聯網、信息網絡等。5G提供無線數據的寬帶實時傳輸與分發,數據中心作為雲計算的後臺承擔了數據存儲、計算與處理,AI平臺實現數據挖掘與分析決策,工業互聯網支撐數據在產業鏈的採集、應用與線上線下聯動。它們共同完成數據鏈從採集到分析決策和應用的全過程,發揮數據作為生產要素的作用。上述數據鏈的各環節還需要由作為底層網絡的IPv6下一代互聯網和光纖傳輸網承載,並且網絡安全能力將嵌入數據鏈的各環節中。新一代信息基礎設施既是基建項目,又是新型信息消費平臺,更是戰略性新興產業,還是傳統產業數字化的新引擎,同時也是其他領域新基建的通用支撐技術,賦能傳統基建領域提質增效。新一代信息技術有力支撐了對雲課堂、雲辦公、雲復工、雲簽約、雲商貿等需求,培育了雲經濟,激活了超高清視頻直播和VR/AR等應用,助力流行病學調查與密切接觸者的管理,提升了醫學影像數據分析與藥效評估的效率,促成了各類機器人在醫院送藥、護理、消毒和醫療廢物處理等場景的應用,優化了緊缺物資的組織調配與物流,保障了對社區的精細化管理。新一代信息基礎設施在經濟領域的貢獻更為顯著,不僅表現在保駕復工復產,在生產組織、智能製造、智能質檢、供應鏈管理、市場營銷、客戶服務、財務管理、產業信貸和人員培訓等環節也都有成功的應用案例,今後還將加快推廣以取得更大的效益。新一代信息基礎設施的建設將增加IT領域的投資,帶動勞動生產率提升,促進經濟增長,是當之無愧的數字經濟新動能。
4月15日是第5個全民國家安全教育日,“國家安全始於心,網絡安全踐於行”。近年來中國網絡安全市場快速發展,增長速度在全球領先,但是對比美國,中國網絡安全的產業規模還比較小,在經濟總量尤其是數字經濟中的佔比很低,網絡安全投入在IT整體預算中的佔比遠低於美國,IDC的數據顯示,中國網絡安全在IT投入中的佔比只有1.84%,而美國已經達到了4.78%。
中國信息協會戰略合作伙伴奇安信集團總裁吳雲坤認為,中國網絡安全落後於信息化發展,過去多年“局部整改”、“碎片化”的建設模式造成的網絡安全零散發展,與我國過去二十多年信息化的高速發展完全不匹配;另外網絡安全市場缺少領頭羊公司來帶動產業規模的擴大,也缺少諮詢角色和運行角色,造成網絡安全缺少規劃、缺少運行,難以形成體系化能力來支撐數字化、智能化時代的信息化安全保障。新冠肺炎疫情爆發後,國家大力度推動新型基礎設施建設、政企機構的數字化轉型和以遠程辦公、遠程醫療、遠程教育為代表的“宅經濟”發展,信息化投資和建設將加速,這對於網絡安全產業是機會,更是極大挑戰。“網絡安全行業需要考慮建立新的網絡安全體系框架,來滿足‘新基建’帶來的數字化、智能化時代的信息化安全保障需求,來提升產業發展。”
在收穫機遇的同時,“新基建”必然面臨挑戰。中國信息協會理事單位360城市安全集團系統設計部總監李曉明認為,第一個挑戰是國際格局日趨複雜,中國與國際的技術交流、技術合作及技術供應鏈有被阻斷風險。第二個挑戰是隨著大數據與人工智能技術的發展與廣泛應用,如何保障隱私和數據安全。第三個挑戰是能否找到行之有效的商業模式,在產業互聯網的大背景下,要求5G、大數據、人工智能等高科技產業找到與傳統產業的有效結合點,即:高價值、可落地與可複製。“如果在‘新基建’過程中沒有考慮到網絡安全,簡直就是在裸奔”,如果真正發生網絡攻擊,將不會僅僅是傳統的網絡攻擊,它的破壞力將不同,“新基建”下的網絡攻擊將從數字空間延伸到物理空間,會造成非常嚴重的後果。這種攻擊不僅僅是針對一輛車,而是會因為一輛車被攻擊導致大面積的交通事故。“新基建”有很多智慧醫療的場景,如果通過網絡入侵CT機,哪怕通過一種方法欺騙體溫槍繞過門口的疫情檢測卡,這就有可能造成大規模的感染或者醫療事故。
中國信息協會信息安全專業委員會副會長李京春認為,“新基建”正在為中國經濟發展鋪路,可以用五個字來形容“新基建”的硬核——“快、融、新、基、智”,也就是說:線上線下都體現了一個“快”,相互融合度高,催生新的模式,具有領域基礎性特點,緊密圍繞人工智能。針對網絡安全方面的硬核科技,同樣有五個字——“內、外、保、管、智”,“內”即內生安全,系統、平臺、產品要有更多的自限性安全機制,在新基建當中發揮作用;“外”是針對威脅情報要共享,外部的要聯防聯動,加強不同層級的,不同層面的保障;“保”指:保障信息化建設和網絡安全建設的“三同步”——同步的規劃,同步的建設,同步的運行;“管”要管好系統運行的連續性,管好核心人員,管好數據,管好應急;“治”就要針對網絡安全亂象進行治理,要打擊網絡的犯罪,加強網上的監督等等,做到網絡安全的內核。總而言之,網絡安全要升級到更高的層面,和硬核的新基建相配套。
中國信息協會專家委員會主任委員鄔賀銓院士指出,新一代信息基礎設施是“雙刃劍”,在應對原有網絡安全問題之外,還將面對新的安全挑戰。第一是虛擬化的挑戰,5G網絡和雲數據中心的虛擬化模糊了網絡的物理邊界,基於邏輯拓撲定義的虛擬安全域需要根據虛擬機的遷移狀況動態變化,傳統依賴物理邊界防護的安全機制難以奏效。另外,軟件定義網絡與網絡功能虛擬化的上層控制系統高度集中,容易成為網絡安全攻擊的對象,而底層計算、存儲及網絡資源共享將考驗安全隔離手段。第二是開放性的挑戰,5G採用基於服務的網絡體系,開放業務生成和調用,網絡切片也可以開放給客戶自定義與調配,這與傳統移動網絡封閉的業務管理相比,惡意第三方容易獲得對網絡的操控能力。5G採用通用互聯網協議代替傳統移動網絡專用協議,擴展了業務能力,但更易受到外部攻擊。第三是切片化的挑戰,5G、數據中心和工業互聯網都會面對大量有不同業務要求的租戶,以網絡切片方式在共享資源上按需提供VPN服務,切片間需要有效的安全隔離機制,以免某個低防護能力的網絡切片受攻擊後成為跳板而波及其他切片。第四是大連接的挑戰,工業互聯網使用大量傳感器和PLC,量大且永遠在線而易成為DDoS攻擊的跳板,防入侵能力又受限於低功耗的輕量級安全算法。5G要支持每平方公里上百萬傳感器聯網,複雜的認證會引發信令風暴還會影響低時延的性能,車聯網還要求支持點到多點的V2V快速認證。第五是開源化的挑戰,5G、數據中心和工業互聯網領域大量採用開源軟件,AI領域對第三方開源基礎庫過度依賴,加大了引入安全漏洞的風險。第六是大數據的挑戰,新一代信息基礎設施依賴大數據挖掘,但難以保證數據不被汙染,以失真的數據來訓練神經網絡,會使決策錯誤且因AI的結果具有不可解釋性而難以發現。通過將數據分佈存儲和加密,可以防備數據被盜竊或篡改,但對於以勒索為目的的外部攻擊,會強行將數據再加密,使原有數據的擁有方也無法讀取數據。
“新基建”本質實際上是一個國家數字化基礎設施建設總體推進的路徑,不是簡單的刺激經濟的行為。短期將發揮投資對經濟的拉動,緩解經濟下行的壓力。長期來看,實際是一個國家戰略的舉措,目標是著眼於培育和壯大數字經濟的動能,提高政府治理現代化的水平,實現經濟社會高質量發展,這是一個社會和技術發展的必然趨勢。隨著新一代信息基礎設施更廣泛和深入服務於社會經濟,其安全問題帶來的後果更為嚴峻,需要有新的戰略思路來增強安全能力。
第一、需要建立軟件定義的網絡安全機制。過去網絡安全依靠“老三件”(防火牆、入侵檢測和防病毒),基於硬件為主的外掛設備的被動和固化的防禦方式。今後仍需邊界防護,但入口的安全能力應實現軟件定義並與網絡內部安全機制聯動。
第二、要以強化免疫能力為本。新一代信息基礎設施基本都是網絡化、雲化、虛擬化和智能化,很多安全挑戰是內生的,需要增強免疫能力,從基礎設施技術開發與網絡設計開始就要有內生的安全理念,網絡安全能力與基礎設施是一個整體,網絡安全能力需與基礎設施同步建設並融入其中。
第三、從以產品為中心到服務為中心。過去我國的網絡安全企業主要收入來自硬件銷售,而國外同行則以服務收入為主。網絡安全永遠是魔高一尺道高一丈,網絡安全企業需要建立專業的服務隊伍,熟悉被服務企業的生產流程和信息技術產品,要將客戶從銷售對象轉為合作對象,為企業提供個性化安全服務。需要明確網絡安全企業與被服務企業間安全責任的邊界,保護被服務企業的數據安全與商業秘密。
第四、完善網絡安全的生態系統。網絡安全能力與基礎設施有同樣的生命週期,覆蓋從系統開發設計到項目上線檢測及運行應急處置,全過程需要有可依據的標準體系、制度規範和法律法規,需要建立第三方的應用服務安全檢測環境和生命週期的安全風險評估平臺,建設國家工業互聯網平臺安全監測預警系統,開展風險信息通報與應急處置工作。網絡安全生態的另一個維度覆蓋工業企業、設備供應商、基礎電信運營商、雲服務商、工業互聯網平臺運營商、工業應用提供商、網絡安全企業、第三方檢測機構和用戶等,上下游都有維護網絡安全的責任,需要緊密合作實現威脅與處置情報共享。
數字經濟的價值釋放與長遠發展的前提是網絡安全保障,在疫情對宏觀經濟產生巨大沖擊的背景下,各界都對“新基建”能否帶來新的經濟增長趨勢倍加關注。而對網絡安全行業來說,促生了更多著眼於數字化為核心的新基礎設施的網絡安全問題,例如5G安全、城市安全、硬核科技應用等。然而挑戰伴隨機遇,無論是對巨頭還是小型創新企業而言,大家同時站在了新的起點,將迎來很好的機遇。4月17日,在數字基礎設施建設推進專家研討會上,工業和信息化部副部長陳肇雄指出,與數字基礎設施同步規劃、建設、運行網絡安全保障系統,推進關鍵信息基礎設施安全保護,健全網絡安全技術監測體系、應急處置機制,加強5G、工業互聯網、數據中心、雲平臺等設施的安全保障,確保數字基礎設施安全平穩可靠運行。
中國信息協會將通過科普網絡安全知識、傳遞安全價值觀、提升安全技術能力、推廣安全生態理念等形式,發揮行業組織和行業企業的聯合力量,凝聚行業力量,合力聚勢,共謀新時代下網絡安全產業的發展,共築網絡安全保障體系。
