“新基建”下,網(wǎng)絡(luò)安全等級保護(hù)趨勢及應(yīng)對措施
“新基建”的技術(shù)新特點(diǎn)
就ICT領(lǐng)域而言,新型基礎(chǔ)設(shè)施更側(cè)重于以信息網(wǎng)絡(luò)為基礎(chǔ),綜合集成新一代信息技術(shù),是圍繞數(shù)據(jù)的感知、傳輸、存儲(chǔ)、計(jì)算、處理和安全等環(huán)節(jié)所形成的基礎(chǔ)設(shè)施體系,對于經(jīng)濟(jì)社會(huì)數(shù)字化發(fā)展至關(guān)重要,亦有利于加快構(gòu)建“以國內(nèi)大循環(huán)為主體,國內(nèi)國際雙循環(huán)互相促進(jìn)”的新發(fā)展格局。與傳統(tǒng)基建相比,可以看出“新基建”有以下幾方面特點(diǎn)。
一是“新基建”支撐更多領(lǐng)域?qū)崿F(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化?!靶禄ā辟x能產(chǎn)業(yè),通過數(shù)字化、網(wǎng)絡(luò)化、智能化改造,促進(jìn)產(chǎn)業(yè)的“數(shù)據(jù)驅(qū)動(dòng)發(fā)展”,進(jìn)一步推進(jìn)傳統(tǒng)產(chǎn)業(yè)全方位、全角度、全鏈條改造升級,并在5G、人工智能等前沿領(lǐng)域完善應(yīng)用環(huán)境,搶占發(fā)展先機(jī)。
二是“新基建”與天地一體化深度融合實(shí)現(xiàn)寬帶高速化服務(wù)?!靶禄ā币跃W(wǎng)絡(luò)切片方式在共享資源上按需提供虛擬專用網(wǎng)絡(luò)服務(wù),不僅可以智能化劃分網(wǎng)絡(luò)連接密度、流量容量等,為運(yùn)營商及用戶提供差異化服務(wù);還可以提供適配不同領(lǐng)域需求的網(wǎng)絡(luò)連接應(yīng)用場景,推動(dòng)行業(yè)轉(zhuǎn)型。
三是“新基建”利用泛在化實(shí)現(xiàn)數(shù)據(jù)資源網(wǎng)絡(luò)安全管理優(yōu)勢?!靶禄ā崩梅涸诰W(wǎng)絡(luò)解決了人與人、人與物、物與物的交流,同時(shí)圍繞大數(shù)據(jù)的采集、存儲(chǔ)、加工、分析和可視化,形成了適應(yīng)數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)融合發(fā)展需要的信息基礎(chǔ)設(shè)施體系。
“新基建”網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)分析
“新基建”的發(fā)展將促使接入網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)量的高速增長,這給漏洞安全防護(hù)及網(wǎng)絡(luò)安全保障體系建設(shè)提出了更高的要求,將面臨更復(fù)雜的網(wǎng)絡(luò)攻擊。同時(shí),針對“新基建”的安全防護(hù)措施也難以匹配其發(fā)展速度。因此,在以5G網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)等為代表的新一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施中,將出現(xiàn)新的安全隱患,具體有以下幾個(gè)方面。
一是網(wǎng)絡(luò)架構(gòu)服務(wù)化導(dǎo)致由物理環(huán)境和物理隔離提供安全保障的策略徹底失效。一方面,計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源虛擬化會(huì)導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界模糊,從而引發(fā)虛擬化軟件安全、虛擬機(jī)安全及虛擬機(jī)間的通信安全、數(shù)據(jù)安全等問題。另一方面,集中部署硬件會(huì)導(dǎo)致相關(guān)漏洞更容易被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)、病毒更易傳播。控制平面和數(shù)據(jù)平臺(tái)的分層解耦、用戶業(yè)務(wù)的開放性和多廠商設(shè)備集成也會(huì)給“新基建”網(wǎng)云化平臺(tái)的安全可信帶來前所未有的挑戰(zhàn)。
二是業(yè)務(wù)場景切片化需要較強(qiáng)的安全隔離能力,認(rèn)證和鑒權(quán)能力不足也可造成敏感信息和個(gè)人隱私數(shù)據(jù)泄露。海量數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸以及各個(gè)節(jié)點(diǎn)存儲(chǔ)、處理和調(diào)度等環(huán)節(jié),都將面臨被竊取、破壞、篡改的風(fēng)險(xiǎn)?!靶禄ā彼褂玫?G網(wǎng)絡(luò)切片通過統(tǒng)一基礎(chǔ)設(shè)施承載,為用戶提供不同業(yè)務(wù)的數(shù)據(jù)傳輸,同時(shí)也提供差異化安全服務(wù)。這就要求網(wǎng)絡(luò)切片需要具有安全隔離能力,因?yàn)椴煌木W(wǎng)絡(luò)切片共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施但承載不同的5G業(yè)務(wù),如果網(wǎng)絡(luò)切片的認(rèn)證和鑒權(quán)能力不足,則可能造成敏感信息和個(gè)人隱私數(shù)據(jù)泄露。
三是“新基建”供應(yīng)鏈安全涉及整個(gè)生命周期,海量終端異構(gòu)化可能被利用成為新攻擊源或者成為攻擊對象。一方面,“新基建”供應(yīng)鏈安全涉及網(wǎng)絡(luò)產(chǎn)品和服務(wù)的整個(gè)生命周期,防護(hù)較弱的環(huán)節(jié)會(huì)導(dǎo)致產(chǎn)品、服務(wù)及其所包含的組件等遭受惡意篡改、植入、替換、偽造等,從而使供應(yīng)鏈完整性遭受威脅。另一方面,網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在部分遠(yuǎn)程控制功能,但未告知遠(yuǎn)程控制目的、范圍和關(guān)閉方法。這些安全威脅可能導(dǎo)致被非法控制、遭受干擾或破壞等風(fēng)險(xiǎn),進(jìn)而影響國家安全。
四是決策下沉節(jié)點(diǎn)和邊緣計(jì)算的安全能力不夠完善,可抵御的單個(gè)攻擊和攻擊種類強(qiáng)度不夠。由于受到成本、性能、部署靈活性等多種因素制約,邊緣計(jì)算技術(shù)節(jié)點(diǎn)的安全能力不夠完善,將導(dǎo)致包括終端應(yīng)用、接入終端等都暴露在錯(cuò)綜復(fù)雜、管控能力缺失的環(huán)境中,使邊緣節(jié)點(diǎn)更容易遭到非授權(quán)訪問、惡意數(shù)據(jù)偽造、敏感數(shù)據(jù)泄露等威脅,且被攻擊后可能造成服務(wù)中斷、用戶隱私和數(shù)據(jù)泄露、物理設(shè)備毀壞等嚴(yán)重后果。同時(shí),當(dāng)邊緣計(jì)算服務(wù)由第三方提供時(shí),也面臨著認(rèn)證與鑒權(quán)等安全問題。
“新基建”下,基于等級保護(hù)2.0的趨勢分析
隨著《中華人民共和國網(wǎng)絡(luò)安全法》的深入貫徹和實(shí)施,等級保護(hù)制度已成為新時(shí)期國家網(wǎng)絡(luò)安全的基本制度。隨著等級保護(hù)2.0標(biāo)準(zhǔn)的出臺(tái),網(wǎng)絡(luò)安全保護(hù)對象實(shí)現(xiàn)了對云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新一代信息基礎(chǔ)設(shè)施的全覆蓋。當(dāng)前,新型基礎(chǔ)設(shè)施以數(shù)據(jù)和網(wǎng)絡(luò)為核心,因此新型信息基礎(chǔ)設(shè)施安全防護(hù)應(yīng)深入到設(shè)備結(jié)構(gòu)、流程、功能、機(jī)制等每個(gè)環(huán)節(jié),并按等級保護(hù)2.0標(biāo)準(zhǔn)、可信計(jì)算3.0設(shè)計(jì)主動(dòng)防御總體安全框架,搭建安全可信、主動(dòng)免疫的防御體系。當(dāng)前基于“新基建”安全風(fēng)險(xiǎn)需求可以進(jìn)行以下幾方面保護(hù)。
構(gòu)建安全可信體系確保安全計(jì)算環(huán)境
云計(jì)算、大數(shù)據(jù)等技術(shù)手段會(huì)對分布于網(wǎng)絡(luò)中的異構(gòu)海量數(shù)據(jù)進(jìn)行梳理映射、歸納處理。所涉及的存儲(chǔ)、計(jì)算平臺(tái)及網(wǎng)絡(luò)環(huán)境等載體,分屬不同的信息系統(tǒng),處理全過程覆蓋網(wǎng)絡(luò)空間資源安全,因而加劇了網(wǎng)絡(luò)空間中攻擊與防御的不對稱性。面對新形勢下的安全問題,主要集中在“封、堵、查、殺”層面的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施,難以應(yīng)對大數(shù)據(jù)時(shí)代的安全挑戰(zhàn)。因此,保障安全的計(jì)算環(huán)境便成了信息系統(tǒng)安全的核心和基礎(chǔ)。目前,大數(shù)據(jù)處理系統(tǒng)大多是基于云計(jì)算平臺(tái)實(shí)現(xiàn)各環(huán)節(jié)數(shù)據(jù)的梳理計(jì)算,主要憑借業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來確定安全等級,因此可按等級保護(hù)2.0標(biāo)準(zhǔn)構(gòu)建安全管理中心支撐下的三重防護(hù)架構(gòu)。
搭建態(tài)勢感知框架對安全風(fēng)險(xiǎn)進(jìn)行防御
隨著《中華人民共和國網(wǎng)絡(luò)安全法》和等級保護(hù)2.0等政策標(biāo)準(zhǔn)的出臺(tái),對未來安全態(tài)勢的感知被提升到了戰(zhàn)略高度,“新基建”下安全態(tài)勢感知技術(shù)迅速崛起。態(tài)勢感知的最終目的是能夠基于環(huán)境,動(dòng)態(tài)地、整體地識別安全風(fēng)險(xiǎn),并依靠大數(shù)據(jù)的支撐,從整體系統(tǒng)視角識別安全威脅,進(jìn)而分析、理解、預(yù)警,最后響應(yīng)、處置落地。目前,態(tài)勢感知需要采集多個(gè)維度信息源的數(shù)據(jù),采用數(shù)據(jù)分析技術(shù)識別海量數(shù)據(jù)中有用的信息,通過機(jī)器學(xué)習(xí)、威脅情報(bào)分析等自動(dòng)生成分析模型,由已知威脅推演未知威脅,對未來安全趨勢進(jìn)行風(fēng)險(xiǎn)預(yù)警和協(xié)同防御,如圖1所示。
圖1 態(tài)勢感知框架
組建安全管理團(tuán)隊(duì)提高網(wǎng)絡(luò)安全保障
技術(shù)是安全防護(hù)的必要手段,人是安全防護(hù)的核心和尺度。當(dāng)前,“新基建”下相關(guān)系統(tǒng)運(yùn)營人員普遍存在安全意識不高、安全知識缺乏、安全能力不足等問題。面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢,需要組建專業(yè)的安全管理團(tuán)隊(duì)來提供網(wǎng)絡(luò)安全保障服務(wù)。安全管理團(tuán)隊(duì)可由“新基建”相關(guān)系統(tǒng)運(yùn)營單位自己組建,也可通過專業(yè)的第三方安全團(tuán)隊(duì)提供安全管理。安全管理團(tuán)隊(duì)在做好基本安全管理工作的同時(shí),還需加強(qiáng)以下管理:一是做好系統(tǒng)風(fēng)險(xiǎn)監(jiān)測、預(yù)警通報(bào),及時(shí)向有關(guān)部門通報(bào)可能影響系統(tǒng)的重大漏洞和風(fēng)險(xiǎn);二是定期開展應(yīng)急演練、做好應(yīng)急預(yù)案,通過演練找到安全防護(hù)體系的短板,及時(shí)彌補(bǔ)持續(xù)優(yōu)化,切實(shí)提升安全防護(hù)、應(yīng)急響應(yīng)和處置能力;三是負(fù)責(zé)對突發(fā)安全事件的攻擊過程進(jìn)行分析和處理,以及事件的調(diào)查與溯源,做好事后總結(jié)工作。
新戰(zhàn)略思路增強(qiáng)安全防護(hù)能力
“新基建”將更廣泛和深入地服務(wù)于社會(huì)經(jīng)濟(jì),因此與之相伴的安全問題將更為嚴(yán)峻,為保障“新基建”推動(dòng)中國數(shù)字經(jīng)濟(jì)轉(zhuǎn)型升級,確保其安全有序發(fā)展和持續(xù)安全運(yùn)行,需要有新的戰(zhàn)略思路來增強(qiáng)安全防護(hù)能力。
一是在等級保護(hù)2.0時(shí)代,“新基建”要在傳統(tǒng)安全防護(hù)的基礎(chǔ)上,結(jié)合等級保護(hù)新增要求,以“一個(gè)中心、三重防御”為核心思想,按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī),從國家、地方政府以及企業(yè)層面加強(qiáng)統(tǒng)籌協(xié)調(diào),有效協(xié)同推進(jìn)“新基建”發(fā)展,嚴(yán)格落實(shí)相關(guān)法律法規(guī)要求,做好頂層設(shè)計(jì)和規(guī)劃,強(qiáng)化制度供給,進(jìn)一步向企業(yè)開放應(yīng)用場景。
二是在切實(shí)提升“新基建”網(wǎng)絡(luò)安全水平的同時(shí),需進(jìn)一步加強(qiáng)“新基建”核心產(chǎn)業(yè)鏈和供應(yīng)鏈自主可控,切實(shí)提升全網(wǎng)范圍的安全監(jiān)管能力。對“新基建”涉及的核心產(chǎn)業(yè)鏈和供應(yīng)鏈通過分析嚴(yán)格把關(guān),以自主可控為主線,從維護(hù)國家安全角度統(tǒng)籌考慮“新基建”及其安全建設(shè),在“新基建”發(fā)展過程中,強(qiáng)化安全技術(shù)措施的“三同步”要求,即“同步規(guī)劃、同步建設(shè)、同步使用”,深入確?!靶禄ā本W(wǎng)絡(luò)安全,將安全貫穿于規(guī)劃、建設(shè)和使用的全階段,切實(shí)增強(qiáng)關(guān)鍵安全技術(shù)攻關(guān),確?!靶禄ā庇行蛴辛ν七M(jìn)。
三是將安全測評及風(fēng)險(xiǎn)評估納入新型基礎(chǔ)設(shè)施建設(shè)安全風(fēng)險(xiǎn)管理過程,定期開展相關(guān)安全活動(dòng),通過安全聯(lián)動(dòng)的方式,平臺(tái)化整合安全防御力量,構(gòu)建一個(gè)事前態(tài)勢感知、事中響應(yīng)防護(hù)、事后追蹤溯源的主動(dòng)安全防御體系,以確?!靶禄ā钡陌踩ㄔO(shè)和運(yùn)行。同時(shí),推動(dòng)相關(guān)測評標(biāo)準(zhǔn)、技術(shù)等的發(fā)展和進(jìn)步,提升發(fā)現(xiàn)“新基建”安全風(fēng)險(xiǎn)的能力,全面提升“新基建”網(wǎng)絡(luò)安全感知能力和防護(hù)能力。