今年政府工作报告提出,加强新型基础设施建设,这是自2018年底“新基建”概念提出以来,首次被写入政府工作报告,“新基建”发展按下政策快进键。
不过,“新基建”在迎来风口的同时,也面临网络安全的挑战。今年全国两会期间,多位全国政协委员、院士和安全行业的专家在多个场合提出,数字基建就是“新基建”,安全是发展“新基建”的重中之重,应加强“安全基建”建设,让数字基建的每一块砖,从建立之初都安全可溯源。
网络安全是发展“新基建”重中之重
今年,受新冠肺炎疫情影响,线上交易、远程办公、在线教育等数字化转型进程加快,发展5G、数据中心等“新基建”成为社会共识。就在不久前,国家发改委还明确“新基建”的范畴,包括信息基础设施、融合基础设施、创新基础设施等三大领域。
“新基建”在迎来发展机遇的同时,网络安全可能面临新一轮挑战。
国家计算机网络应急技术处理协调中心发布的报告显示,2019年DDoS攻击高发频发且攻击组织性与目的性更加凸显,仅某黑客组织对我国300余家政府网站就发起1000多次攻击;APT攻击在重大活动和敏感时期更加猖獗;移动恶意应用程序大量出现等。
在“新基建”风口下,新技术应用带来新安全隐患将更加严峻。中国工程院院士方滨兴认为,网络安全取决于新技术带来的新的安全问题,“新基建”带来新技术,就必然伴生新的安全问题。
数字基建下的的网络安全问题影响范围将更加广泛。全国政协常委、民建中央副主席、上海市政协副主席周汉民在今年全国两会上提交的提案中说,随着“数字基建”的推进,更多业务会以“网络+APP”形式来服务大众,网络安全的影响也就从原来的物理实体走向网络虚拟体,一旦出现网络安全问题,将给数字经济带来显著影响。
全国政协常委、民建中央副主席、上海市政协副主席周汉民
中国工程院院士倪光南也表达了安全对“新基建”的重要性。他在接受采访时说,要把“新基建”做好,特别重要的一个关键词就是网络安全,因为“新基建”大量是属于信息领域的基础设施建设,如果网络安全方面做得不够,一定是达不到要求,网络安全是重中之重。
“安全基建”理念已成为安全行业的共识
“新基建”背景下,如何解决网络安全风险问题?
全国政协委员、中国科学院信息工程研究所所长孟丹指出,未来的网络安全公司也不能仅从攻防的视角来考虑网络安全问题,需要从甲方视角出发,重新构建新一代安全架构和安全基建标准。
周汉民、彭静等全国政协委员认为,像阿里巴巴这样的大型互联网企业,在发展数字经济和数字基建过程中,沉淀了丰富的安全能力和安全应用场景,可以就如何建设“安全基建”标准,提供实践参考。
今年3月底,阿里巴巴发布数字基建新一代安全架构,率先提出“安全基建”概念,关注各类App和网站等数字经济实体在搭建过程中建立标准化流程、引入关键技术,构建 “安全施工标准”,确保数字经济实体在建设之初就运行在较高安全基线上。
阿里巴巴数字基建新一代安全架构
阿里安全首席架构师钱磊认为,传统网络安全关注的重心大多在安全技术和产品方面,解决单点的问题,而真正的安全能力是在具体业务的场景中千锤百炼成长出来的,会运用多种技术的组合去解决业务问题。不同业态和数字技术结合所带来的全新化学反应,也要求新一代的安全架构要立足甲方视角,以解决不同场景下的实际问题为目标。
钱磊举例说,过去的网络安全关注的是造城墙本身,但是买来的砖头出现了问题和漏洞,城墙盖的再好也没用。另外,城门被攻破后是否就一马平川,有没有瓮城做安全区隔也是设计者必须考虑的问题。
“‘安全基建’概念的提出,关注在数字经济实体的搭建过程中建立标准化流程、引入关键技术,解决的就是数字经济实体搭建的‘安全施工标准’问题。”钱磊介绍说,这一标准涵盖软件供应链安全、技术和业务漏洞检测、隐私与内容风险检测、应用可信等多个维度。要从建设之初就要开始打造免疫力,真正让每一块砖头都安全可溯源。
中国工程院院士邬贺铨在接受采访时说,网络安全不再是事后应对的问题,仅靠原来的卖盒子、防火墙的方法论,显然无法解决新基建带来的新挑战,要将网络安全措施与新基建同步部署,而不是出了问题再打补丁。
倪光南认为,“新基建”一开始就要采用我国安全可控的信息技术体系,保证基础设施的安全。
多位委员建议出台“安全基建”国家标准
只有安全的基础设施建设,才能确保数字经济持续健康发展。今年全国两会上,多位全国政协委员就如何构建“安全基建”建言献策。
全国政协委员彭静建议重视从源头构建安全能力的安全建设理念。她认为,网络安全不是事后应对的问题,而是事前提高“免疫力”的问题,要在广大企事业单位加强网络安全的教育和宣传,设定安全研发生产的红线。在数字基建的初始,就同步构建安全基础设施、提升风险免疫能力。
孟丹就完善新基建安全体系建设提出了建议。他认为,网络安全正在由过去的“辅助性”功能变成数字基础设施的重要一环,数字基建在建设伊始就要考虑安全体系的同步构建,从被动防控向主动防御转变。
因此,他建议,由国家互联网信息办公室牵头,联合工业和信息化部、公安部等有关部门,联动数字化程度较高的上游企业以及对安全体系、技术有深度研究的国立科研院所参与,产学研用全面结合,构建完整的安全基础设施。
周汉民也提出要加强“安全基建”能力建设。他建议在壮大网络安全产业的过程中,让更多有技术能力、有应用场景的企业和科研院所等参与到数字经济的网络安全建设中。把在不同领域、不同行业领先的安全能力变成国家网络安全能力体系的重要组成部分。
出台数字经济“安全基建”标准也成为三位政协委员关注的话题。周汉民建议,有关部门应尽快组织关于“安全基建”标准的调研,广泛了解企业在实践中积累且行之有效的做法,结合新一代信息通信技术发展情况,为构建完整的安全基础设施提供参考。
孟丹则建议探索政府牵头、企业参与、国立科研机构攻关的共建模式,尽快制定国家标准,为各类APP和网络平台的建立标准化的安全搭建流程和操作规范。