夯實新基建網絡安全的基本原則和舉措

王石　杜慶昊　楊寧

隨著黨中央提出并集中部署新基建工作，加快推進新基建已成為發展共識。各地不斷加大新基建投入和建設力度，新基建對我國經濟社會發展的戰略性支撐不斷凸顯。大力發展新基建趨勢下，面向通訊、電力和軌道交通等行業承載著數據和應用的新型基礎設施將納入關鍵信息基礎設施范疇。基于新一代信息技術的基礎設施與社會各層面的深度融合，網絡安全風險將從相對狹義的數字空間延伸到世界每一個角落，一旦網絡安全事件發生，將直接影響公眾生活、社會穩定和國家安全。因此，新基建在助力產業和經濟新發展的同時，也面臨著網絡安全帶來的新挑戰，只有正視新的挑戰、遵循正確原則、采取合理舉措，才能有效防范新基建網絡安全風險，提高新基建網絡安全防護水平。

一、新基建網絡安全面臨新挑戰

（一）新興信息技術帶來新的安全挑戰

新一代信息技術的革命性變革，是新基建的技術源泉，新技術和新應用將帶來新的安全挑戰。一方面，新技術產生新威脅。比如，5G已成為數字社會建設的“新基石”，但5G新技術對安全防御的智能化程度提出更高要求，人工智能、大數據、區塊鏈等新技術在5G業務場景中的應用，要求網絡安全提早形成“以技術對技術、以智能對智能”的安全能力，這給5G多元化場景帶來從“通用安全”向“按需安全”的挑戰，包括垂直行業安全需求差異、生產側和網絡側安全能力差異、集聚和分散的安全對象差異等。再比如，就人工智能來說，除了基礎的軟硬件和設施的安全之外，還面臨算法安全問題，以及由人工智能模型算法的不可解釋性所衍生出來的各種新型攻擊風險，包括對抗攻擊、投毒攻擊和后門攻擊等。另一方面，供應鏈安全風險加劇。新基建內容豐富，涉及的范圍廣泛、專業精細，勢必造成其產業鏈及供應鏈的復雜，確保其安全特別是鏈條上核心的科技安全乃是重中之重。此外，新基建供應鏈安全涉及網絡產品和服務的整個生命周期，防護較弱的環節會導致產品、服務及其所包含的組件等遭受惡意篡改、植入、替換、偽造等，從而使供應鏈完整性遭受威脅。

（二）融合應用場景帶來網絡安全挑戰

“新基建”涉及多領域、多范疇、多技術的協同、融合和交叉，這在一定程度上加大了安全復雜性。比如，智能交通基礎設施、智慧能源基礎設施等，其涉及多種新信息技術、工業互聯網、物聯網等的融合發展，形成相互交叉，相互促進又相互影響的態勢。融合基礎設施建設本身是一個系統工程，協同融合建設在促進發展的同時，相互安全影響也將伴隨而生。傳統信息基礎設施相對獨立，構成了自身發展安全生態，融合基礎設施的建設和發展將打破這種現有分離的安全平衡，安全將呈現“牽一發而動全身”的態勢，安全及風險的影響將更加廣泛和深入。因此，如何規避、減少或降低融合基礎設施建設的安全風險及其影響將是關鍵。與此同時，融合基礎設施建設對傳統的三同步，即“同步規劃、同步建設、同步運行”提出了更高的要求，增加了實踐難度。

（三）智慧城市發展帶來智慧安全挑戰

新基建意味著將帶來萬物互聯的智能世界，云計算是智能計算、5G是智能通信、人工智能體現為智能決策、物聯網推動智能互聯，由此智能及智慧安全將成為新基建需要特別關注的安全問題。比如，隨著智能交通、智慧電網、智能家居的建設、發展和成熟，智慧城市等將面臨新形勢下的智能安全挑戰。當前對智能及智慧的基本要求是盡量減少或降低人為參與度，按照決策者預想的程序和流程持續執行并完成特定工作。在智能信息世界中，智能的正確性、可持續性、可復現性等是非常重要的特性，破壞了它們即是破壞了智能安全，使其比傳統安全面臨更多的威脅。試想，如果智能交通因網絡安全問題致使交通指示系統癱瘓、甚至出現錯亂，其所造成的后果不僅僅是交通秩序的混亂，更可能給人民群眾生命財產安全帶來巨大隱患。

（四）數據持續聚集帶來數據安全挑戰

安全是發展的前提，發展是安全的保障，在新基建的環境下，網絡安全與發展的核心是數據的安全與發展。數據安全是在網絡安全提供的有效邊界防御基礎上，以數據安全使用為目標，有效地實現對核心數據的安全管控。新基建的建設和應用會產生大量數據，來自政府、企業及生產生活各個環節的數據，猶如大江大河匯入海洋，變成一個個大數據中心。這些數據的重要性不言而喻，要保護好大數據安全，既要積極應對網絡攻擊，還要充分考慮大數據被濫用、泄露、失竊等問題，這是新基建背景下網絡安全必須著手解決的核心問題。

二、加強新基建網絡安全的基本原則

（一）堅持安全可控和開放發展

一方面，自主可控是新基建的前提，沒有網絡安全就沒有新基建的安全。只有進一步加大網絡安全基礎理論、前沿技術研發和關鍵技術的攻關支持力度，建立我國自主可控的網絡安全技術、產品和服務的軟硬件生態體系，才能更加安全、更加有效的支撐國家新型基礎設施建設。另一方面，新基建所依賴的新技術是人類文明發展的成果，只要有利于提高我國社會生產力水平、有利于改善人民生活、有利于提高城市建設管理水平，我們都不應拒絕。“新基建”聚焦人工智能、5G、工業互聯網等面向未來的科技支撐，內涵及應用領域豐富廣泛，對科技水平總體要求較高，較以往相比，更加強調生態體系建設，非一家之力能夠完成，也非一個國家能夠單獨完成。我們既要支持國內企業開展核心技術攻關，又要支持外資機構在中國設立技術研發機構，實現引資、引技、引智相結合。

（二）堅持技術防控和制度防控

一方面，要構筑網絡安全技術防護體系，及時封堵網絡安全技術漏洞。同步建設新基建安全基礎設施，聚焦安全防護能力構建，同時強化大數據平臺安全，實現安全的大數據協同計算。此外，要開展常態化網絡安全演習，持續檢驗和提升新基建安全防護能力，及時修補網絡安全漏洞，確保新基建安全穩定運行。另一方面，依據《關鍵信息基礎設施安全保護條例》《信息安全技術 網絡安全等級保護基本要求》等文件和標準，加強新基建網絡安全制度建設，全面保護關鍵信息基礎設施。根據新基建的要求建立并不斷完善國家關鍵信息基礎設施清單，加強國家關鍵數據資源管理制度，加快推進關鍵信息基礎設施安全標準體系建設，建設國家網絡安全信息共享平臺和應急指揮平臺。

（三）堅持總體安全和動態安全

一方面，要落實總體國家安全觀，制定新的網絡安全戰略，增強網絡安全防護能力。充分認識新基建帶來的網絡安全的復雜性，堅持安全可信、自主可控、開放創新并重，重視“交互”帶來的安全問題，系統化地研究安全問題，把增強人民群眾獲得感、幸福感、安全感放到突出位置。另一方面，動態評估并建立網絡風險管理措施，持續構建新基建網絡安全體系。根據智能制造、工業互聯網在軟件開發、設備制造、實驗室測試、合格評定等方面的發展水平和應用程度，及時評估5G網絡在工業領域的安全風險，建立一個適當的、有效的、有針對性的通用風險管理措施工具箱，不斷調整網絡安全策略，確保新基建隨時處于安全可控范圍內。

三、夯實新基建網絡安全的主要舉措

（一）加強新基建網絡安全政策協同

夯實新基建網絡安全必須加強政策協同，提高全數據、全能力、全行業、全社會的網絡安全水平。一是在新基建的規劃和實施過程中，要確保信息化建設和網絡安全建設同步規劃、同步建設和同步運行。從政策層面，加強監測監管和應急響應，監督指導新基建建設和運行主體提高網絡安全意識和能力，完善政策制度管理體系，做好網絡安全審查和監督工作。二是在新基建的投資上，要重點關注新一代信息技術安全投資。重點關注以特高壓及新能源為代表的能源領域的網絡安全，以城市軌道為代表的交通領域的網絡安全，以及5G、工業互聯網、大數據中心、人工智能為代表的新一代信息技術的網絡安全。三是按照《網絡安全法》等要求，加快建設網絡安全防護體系，特別是加快完善面向新基建的安全測評、安全審計、保密審查、日常監測等制度。

（二）構建新基建網絡安全創新體系

加強“政產學研用”融合創新，構建新基建融合創新體系，推動新基建實現高水平安全可控。從建設目標看，實現信息企業從底層數據中心架構到上層軟件應用系統的自主安全可控，不斷提升技術產品質量，建立適配廣泛行業的技術標準，提高技術服務能力。從應用層面來，各軟件開發商、系統集成商、互聯網應用服務商、政府、行業等應用單位要聯合行動，實現信息領域應用成果的廣泛落地，共筑應用生態。從區域發展需求看，新基建能夠有力促進區域經濟結構優化，驅動地方經濟發展。但新基建不會延續傳統基建動輒大體量、簡單化的投入，也不能千城一面、千篇一律，必須跳出傳統的“基建思維”或“產業思維”，通過與區域需求相結合，因地制宜，實現協同發展。

（三）打造新基建網絡安全產業生態

推動網絡安全企業在信息技術安全監測能力、網絡攻擊追溯能力等方面加強研發，引導企業協同創新，建立我國信息技術產品自主可控生態鏈，鼓勵網絡安全企業由提供安全產品向提供安全服務和解決方案轉變。支持網絡安全企業升級轉型適應數字基建需求的同時，扶持各個行業數字化程度較高、安全防護能力強的企業進行安全能力輸出，使他們在不同應用場景中沉淀的網絡空間安全基建能力和方法在更廣泛的范圍內適用。引導網絡安全企業把握新基建重大機遇，發揮自身在數字新技術、安全能力建設和安全運營方面的優勢，積極投身于各地新基建熱潮中。一方面，注重構建網絡安全產業生態，發揮領軍企業在安全產品研發方面的優勢，帶動網絡安全各細分產業不斷發展;另一方面，鼓勵有實力的網絡安全企業成長為新一代信息基礎設施的運營者，服務數字城市、數字社會的管理，保障數字經濟的安全平穩運行。

（四）加強新基建數據安全保護和共享

一方面，保障新基建用戶隱私和數據安全，成為數字經濟建設過程中的基礎性問題，數據安全的防護思路和技術體系也需要轉變和升級。未來，數據安全將是各行各業的關注重點，數據安全相關產品及服務將會有很大的需求。健全新基建催生的典型應用場景的數據安全管理制度與標準規范，建立典型場景數據安全風險動態評估評測機制。明確新基建環境下數據安全基線要求，數據有序流通和安全保障并重，加大對數據跨境的監管力度。另一方面，城市智能化是新基建的目標和方向，這一切都依賴于數據的開放和共享，以及數據的高效利用。要進一步健全數據治理相關規則，推動公共數據資源跨部門按需共享和向社會開放，加快數據要素發揮作用的步伐。

〔基金項目：國家重點研發項目（2018YFB0805005）〕

（王石，中國信息安全研究院有限公司。杜慶昊，中共中央黨校國家行政學院。楊寧，中國信息安全研究院有限公司）