院士專家解讀新基建下的網(wǎng)絡安全

網(wǎng)絡安全已成為新基建的最大挑戰(zhàn)。

近年來，在國家政策的推動下，5G網(wǎng)絡、數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)等新型基礎設施建設加快推進，可以預見，新基建將成為我國經(jīng)濟增長的新引擎。不過，新基建在助力產(chǎn)業(yè)新秩序重新建立的同時，也將面臨網(wǎng)絡安全帶來的新挑戰(zhàn)。隨著接入網(wǎng)絡設備的快速增長，每天產(chǎn)生海量的數(shù)據(jù)，對關鍵信息基礎設施進行安全保障至關重要。

其實網(wǎng)絡安全無處不在，無論是普通的網(wǎng)絡平臺的賬號、隱私和數(shù)據(jù)安全，還是基于人工智能技術下無人駕駛和機器人技術都離不開安全。近日，在一次網(wǎng)絡安全線上研討會上，多位院士專家表示，在新基建為中國經(jīng)濟發(fā)展鋪路的同時，網(wǎng)絡安全可為新基建保駕護航。

中國工程院院士沈昌祥：要主動免疫，實現(xiàn)五個方面的可信

習近平總書記指示我們，“沒有網(wǎng)絡安全就沒有國家安全”。因此，我們必須要按照國家的法律戰(zhàn)略制度來推廣安全可信產(chǎn)品，筑牢新基建的網(wǎng)絡安全底線。

網(wǎng)絡安全的問題是避免不了的，因為我們設計的IT系統(tǒng)，必定存在邏輯不全的缺陷，攻擊就是通過利用這些邏輯缺陷進行的，這是網(wǎng)絡安全的永遠主題。

我們的對策是主動免疫，要反思以前就事論事的“老三樣”：殺病毒、防火墻、入侵檢測。因為現(xiàn)在攻擊漏洞太多，邏輯缺陷太多，利用老的經(jīng)驗積累去封堵是解決不了問題的。我們要用可信計算，而且是主動免疫的可信計算，計算運行的同時進行安全防護，以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質(zhì)，相當于為網(wǎng)絡信息系統(tǒng)培育了免疫能力。

對于5G網(wǎng)絡、云計算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等新基建來說，關鍵是實現(xiàn)五個方面的可信：體系架構(gòu)不能變;資源配置不能篡改，要可信;操作行為（可信）不能攻擊;確保數(shù)據(jù)的可信;策略管理要可信，不能被篡改。

值得一提的是，中國可信計算的發(fā)展是走在世界前列的。在1992年就立項研究了可信計算綜合安全保護系統(tǒng)，1995年2月就通過了測評鑒定，然后經(jīng)過長期軍民融合聯(lián)合攻關，形成了自主創(chuàng)新安全可信的體系，開啟了可信計算的3.0新時代。

中國工程院院士鄔賀銓：新基建將面對六大新的網(wǎng)絡安全挑戰(zhàn)

新基建將是一把“雙刃劍”，在應對原有網(wǎng)絡安全問題之外，還將面對新的安全挑戰(zhàn)。

第一是虛擬化的挑戰(zhàn)。5G網(wǎng)絡和云數(shù)據(jù)中心的虛擬化模糊了網(wǎng)絡的物理邊界，基于邏輯拓撲定義的虛擬安全域需要根據(jù)虛擬機的遷移狀況動態(tài)變化，讓傳統(tǒng)依賴物理邊界防護的安全機制難以奏效。另外，軟件定義網(wǎng)絡與網(wǎng)絡功能虛擬化的上層控制系統(tǒng)高度集中，容易成為網(wǎng)絡安全攻擊的對象，而底層計算、存儲及網(wǎng)絡資源共享將考驗安全隔離手段。

第二是開放性的挑戰(zhàn)。5G采用基于服務的網(wǎng)絡體系，開放業(yè)務生成和調(diào)用，網(wǎng)絡切片也可以開放給客戶自定義與調(diào)配，這與傳統(tǒng)移動網(wǎng)絡封閉的業(yè)務管理相比，惡意第三方容易獲得對網(wǎng)絡的操控能力。5G采用通用互聯(lián)網(wǎng)協(xié)議代替?zhèn)鹘y(tǒng)移動網(wǎng)絡專用協(xié)議，擴展了業(yè)務能力，但更易受到外部攻擊。

第三是切片化的挑戰(zhàn)。5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)都會面對大量有不同業(yè)務要求的租戶，以網(wǎng)絡切片方式在共享資源上按需提供VPN服務，切片間需要有效的安全隔離機制，以免某個低防護能力的網(wǎng)絡切片受攻擊后成為跳板而波及其他切片。

第四是大連接的挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)使用大量傳感器和PLC，量大且永遠在線而易成為DDoS攻擊的跳板，防入侵能力又受限于低功耗的輕量級安全算法。5G要支持每平方公里上百萬傳感器聯(lián)網(wǎng)，復雜的認證會引發(fā)信令風暴還會影響低時延的性能，車聯(lián)網(wǎng)還要求支持點到多點的V2V快速認證。

第五是開源化的挑戰(zhàn)。5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)領域大量采用開源軟件，AI領域?qū)Φ谌介_源基礎庫過度依賴，加大了引入安全漏洞的風險。

第六是大數(shù)據(jù)的挑戰(zhàn)。新一代信息基礎設施依賴大數(shù)據(jù)挖掘，但難以保證數(shù)據(jù)不被污染，以失真的數(shù)據(jù)來訓練神經(jīng)網(wǎng)絡，會使決策錯誤且因AI的結(jié)果具有不可解釋性而難以發(fā)現(xiàn)。通過將數(shù)據(jù)分布存儲和加密，可以防備數(shù)據(jù)被盜竊或篡改，但對于以勒索為目的的外部攻擊，會強行將數(shù)據(jù)再加密，使原有數(shù)據(jù)的擁有方也無法讀取數(shù)據(jù)。

中國網(wǎng)絡安全審查技術與認證中心首席專家李京春：新基建下的網(wǎng)絡安全可歸納為“內(nèi)外保管治”

針對新基建中的“硬核科技”，在網(wǎng)絡安全方面的策略可歸納為“內(nèi)外保管治”。

“內(nèi)”即內(nèi)生安全，系統(tǒng)、平臺、產(chǎn)品要有更多的自限性安全機制，在新基建當中發(fā)揮作用;“外”即在網(wǎng)絡安全方面，針對威脅情報要共享起來，從外部加強聯(lián)防聯(lián)動，加強不同層級、不同層面的保障;“保”即保障信息化建設和網(wǎng)絡安全建設的“三同步”——同步規(guī)劃、同步建設、同步運行;“管”即管好系統(tǒng)運行的連續(xù)性，管好核心人員，管好數(shù)據(jù)，管好應急;“治”即針對網(wǎng)絡安全亂象進行治理，要打擊網(wǎng)絡犯罪，加強網(wǎng)上的監(jiān)督等，做好網(wǎng)絡安全的內(nèi)核。

北京郵電大學教授崔寶江：新基建中的5G網(wǎng)絡安全是重中之重

5G是大匯聚、融合、互聯(lián)的基礎設施，更是新基建的重中之重。

在5G接入網(wǎng)側(cè)，抑或稱為異構(gòu)網(wǎng)絡接入層面，由于物聯(lián)網(wǎng)終端，工業(yè)智能設備、5G手機和其他異構(gòu)網(wǎng)絡終端接入網(wǎng)絡皆需通過接入網(wǎng)側(cè)接入，在5G網(wǎng)絡部署中，為保證其安全接入，需考慮統(tǒng)一的安全認證框架、統(tǒng)一身份識別機制、安全接入和安全傳輸。

在核心網(wǎng)側(cè)，要保證核心云的安全，在各種終端接入5G網(wǎng)絡之后，具體相關的接入和移動管理、回話管理和統(tǒng)一數(shù)據(jù)管理都要通過核心云相關的信令協(xié)議來調(diào)度和實現(xiàn)，核心的信令協(xié)議都是在SDN和NFA虛擬化環(huán)境里通過切片技術來實現(xiàn)。因此，核心網(wǎng)側(cè)安全包括切片安全、網(wǎng)源安全等核心整體安全性。

在用戶層，用戶通過5G網(wǎng)絡連入訪問大量的網(wǎng)絡服務，實現(xiàn)上傳下載大量交互數(shù)據(jù)。在該環(huán)節(jié)，如用戶的隱私數(shù)據(jù)便需要重點考慮安全防護。

奇安信科技集團董事長齊向東：網(wǎng)絡安全是新基建的基礎工程

以前，網(wǎng)絡安全是輔助性工程，但在新基建里是基礎工程。新基建會進一步加快網(wǎng)絡世界和物理世界的融合，這意味著兩者的邊界將基本消失，對網(wǎng)絡的攻擊就等于對物理世界的攻擊，將直接影響人民生活、社會穩(wěn)定和國家安全。比如，5G遠程手術遭遇網(wǎng)絡攻擊，可能會威脅到人們的生命安全;車聯(lián)網(wǎng)遭受攻擊，可能會直接造成車毀人亡。

未來，絕大部分的網(wǎng)絡安全問題都將集中在應用場景上，因此需要把安全升級，作為基礎設施來建設。以新能源汽車充電樁為例，未來每個充電樁都會聯(lián)網(wǎng)，當協(xié)議出現(xiàn)漏洞，就出現(xiàn)了新的攻擊方法，可見安全問題瞬息萬變。傳統(tǒng)的解決方法是給每個充電樁部署安全設施，但未來充電樁會遍布城鄉(xiāng)各地，一個個分布式去解決是行不通的。只有通過分層解耦、異構(gòu)兼容，把安全能力資源化、目錄化、云化，用網(wǎng)絡調(diào)度來增減安全措施，才能保障系統(tǒng)的正常運轉(zhuǎn)。

360城市安全集團系統(tǒng)設計部總監(jiān)李曉明：新基建下的網(wǎng)絡攻擊將從數(shù)字空間延伸到物理空間

新基建下的網(wǎng)絡安全面臨三大挑戰(zhàn)。第一個挑戰(zhàn)是國際格局日趨復雜，中國與國際的技術交流、技術合作及技術供應鏈有被阻斷的風險。第二個挑戰(zhàn)是隨著大數(shù)據(jù)與人工智能技術的發(fā)展與廣泛應用，如何保障隱私和數(shù)據(jù)安全。第三個挑戰(zhàn)是能否找到行之有效的商業(yè)模式，在產(chǎn)業(yè)互聯(lián)網(wǎng)的大背景下，為5G、大數(shù)據(jù)、人工智能等高科技產(chǎn)業(yè)找到與傳統(tǒng)產(chǎn)業(yè)的有效結(jié)合點。這個結(jié)合點要具有高價值、可落地與可復制的特征。

此外，如果在新基建的過程中沒有考慮到網(wǎng)絡安全，簡直就像是在“裸奔”。因為如果發(fā)生網(wǎng)絡攻擊，將不會僅僅是傳統(tǒng)的網(wǎng)絡攻擊，它的破壞力不同。新基建下的網(wǎng)絡攻擊將從數(shù)字空間延伸到物理空間，會造成非常嚴重的后果。這種攻擊不僅僅是針對一輛車，而是會因為一輛車被攻擊導致大面積的交通事故。新基建下還有很多智慧醫(yī)療的場景，如果通過網(wǎng)絡入侵CT機，哪怕通過一種方法欺騙體溫槍，使患者繞過門口的疫情檢測卡，就有可能造成大規(guī)模的感染或者醫(yī)療事故。

（來源：《信息安全與通信保密》）