到2023年，健全完善網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系，標(biāo)準(zhǔn)技術(shù)水平、應(yīng)用水平和國(guó)際化水平顯著提高，有力促進(jìn)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力提升，研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標(biāo)準(zhǔn)50項(xiàng)以上。網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系包括基礎(chǔ)共性、關(guān)鍵技術(shù)、安全管理、重點(diǎn)領(lǐng)域四大類標(biāo)準(zhǔn)。

網(wǎng)絡(luò)安全成“新基建”最大挑戰(zhàn)

不過(guò)，“新基建”在助力產(chǎn)業(yè)新秩序重新建立的同時(shí)，也將面臨網(wǎng)絡(luò)安全帶來(lái)的新挑戰(zhàn)。當(dāng)下人們已經(jīng)通過(guò)物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)解決很多問(wèn)題，隨著接入網(wǎng)絡(luò)設(shè)備的快速增長(zhǎng)，每天產(chǎn)生海量的數(shù)據(jù)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行安全保障至關(guān)重要。

其實(shí)網(wǎng)絡(luò)安全無(wú)處不在，無(wú)論是普通的網(wǎng)絡(luò)平臺(tái)的賬號(hào)、隱私和數(shù)據(jù)安全，還是基于人工智能技術(shù)下無(wú)人駕駛和機(jī)器人技術(shù)都離不開(kāi)安全。

近日，就有多位院士專家在網(wǎng)絡(luò)安全線上研討會(huì)上表示，在新基建為中國(guó)經(jīng)濟(jì)發(fā)展鋪路的同時(shí)，網(wǎng)絡(luò)安全可為新基建保駕護(hù)航。

院士沈昌祥

“安全的問(wèn)題是避免不了的，我們?cè)O(shè)計(jì)IT系統(tǒng)，必定存在邏輯不全的缺陷，攻擊就會(huì)利用邏輯缺陷，這是網(wǎng)絡(luò)安全的永遠(yuǎn)主題?！?沈院士表示，我們要調(diào)整思路，要有主動(dòng)免疫的網(wǎng)絡(luò)安全計(jì)算，確保為完成計(jì)算任務(wù)的邏輯組合不被篡改，不被破壞，能實(shí)現(xiàn)正確的計(jì)算，讓可信的目標(biāo)能達(dá)到。

沈院士認(rèn)為，我們的對(duì)策是主動(dòng)免疫，要反思以前就事論事的“老三樣”：殺病毒、防火墻、入侵檢測(cè)。因?yàn)楝F(xiàn)在攻擊漏洞太多，邏輯缺陷太多，利用老的經(jīng)驗(yàn)積累去封堵是解決不了問(wèn)題的。怎么辦呢？我們要用可信計(jì)算，而且是主動(dòng)免疫可信計(jì)算，計(jì)算運(yùn)行的同時(shí)進(jìn)行安全防護(hù)，以密碼為基因?qū)嵤┥矸葑R(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能，及時(shí)識(shí)別“自己”和“非己”成分，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。

沈院士指出，5G網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等，關(guān)鍵是五個(gè)方面的可信：

體系架構(gòu)不能變。

資源配置不能篡改，可信。

操作行為（可信）不能攻擊。

確保數(shù)據(jù)的可信。

策略管理要可信，不能被篡改。

值得一提的是，中國(guó)可信計(jì)算的發(fā)展是走在世界前列的。在1992年就立項(xiàng)研究了可信計(jì)算綜合安全保護(hù)系統(tǒng)，1995年2月就通過(guò)了測(cè)評(píng)鑒定，然后經(jīng)過(guò)長(zhǎng)期軍民融合聯(lián)合攻關(guān)，形成了自主創(chuàng)新安全可信的體系，開(kāi)啟了可信計(jì)算的3.0新時(shí)代。

第一是虛擬化的挑戰(zhàn)

5G網(wǎng)絡(luò)和云數(shù)據(jù)中心的虛擬化模糊了網(wǎng)絡(luò)的物理邊界，基于邏輯拓?fù)涠x的虛擬安全域需要根據(jù)虛擬機(jī)的遷移狀況動(dòng)態(tài)變化，傳統(tǒng)依賴物理邊界防護(hù)的安全機(jī)制難以奏效。另外，軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)功能虛擬化的上層控制系統(tǒng)高度集中，容易成為網(wǎng)絡(luò)安全攻擊的對(duì)象，而底層計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源共享將考驗(yàn)安全隔離手段。

第二是開(kāi)放性的挑戰(zhàn)

5G采用基于服務(wù)的網(wǎng)絡(luò)體系，開(kāi)放業(yè)務(wù)生成和調(diào)用，網(wǎng)絡(luò)切片也可以開(kāi)放給客戶自定義與調(diào)配，這與傳統(tǒng)移動(dòng)網(wǎng)絡(luò)封閉的業(yè)務(wù)管理相比，惡意第三方容易獲得對(duì)網(wǎng)絡(luò)的操控能力。5G采用通用互聯(lián)網(wǎng)協(xié)議代替?zhèn)鹘y(tǒng)移動(dòng)網(wǎng)絡(luò)專用協(xié)議，擴(kuò)展了業(yè)務(wù)能力，但更易受到外部攻擊。

第三是切片化的挑戰(zhàn)

5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)都會(huì)面對(duì)大量有不同業(yè)務(wù)要求的租戶，以網(wǎng)絡(luò)切片方式在共享資源上按需提供VPN服務(wù)，切片間需要有效的安全隔離機(jī)制，以免某個(gè)低防護(hù)能力的網(wǎng)絡(luò)切片受攻擊后成為跳板而波及其他切片。

第四是大連接的挑戰(zhàn)

工業(yè)互聯(lián)網(wǎng)使用大量傳感器和PLC，量大且永遠(yuǎn)在線而易成為DDoS攻擊的跳板，防入侵能力又受限于低功耗的輕量級(jí)安全算法。5G要支持每平方公里上百萬(wàn)傳感器聯(lián)網(wǎng)，復(fù)雜的認(rèn)證會(huì)引發(fā)信令風(fēng)暴還會(huì)影響低時(shí)延的性能，車(chē)聯(lián)網(wǎng)還要求支持點(diǎn)到多點(diǎn)的V2V快速認(rèn)證。

第五是開(kāi)源化的挑戰(zhàn)

5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)領(lǐng)域大量采用開(kāi)源軟件，AI領(lǐng)域?qū)Φ谌介_(kāi)源基礎(chǔ)庫(kù)過(guò)度依賴，加大了引入安全漏洞的風(fēng)險(xiǎn)。

第六是大數(shù)據(jù)的挑戰(zhàn)

新一代信息基礎(chǔ)設(shè)施依賴大數(shù)據(jù)挖掘，但難以保證數(shù)據(jù)不被污染，以失真的數(shù)據(jù)來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，會(huì)使決策錯(cuò)誤且因AI的結(jié)果具有不可解釋性而難以發(fā)現(xiàn)。通過(guò)將數(shù)據(jù)分布存儲(chǔ)和加密，可以防備數(shù)據(jù)被盜竊或篡改，但對(duì)于以勒索為目的的外部攻擊，會(huì)強(qiáng)行將數(shù)據(jù)再加密，使原有數(shù)據(jù)的擁有方也無(wú)法讀取數(shù)據(jù)。

“內(nèi)”即內(nèi)生安全，系統(tǒng)、平臺(tái)、產(chǎn)品要有更多的自限性安全機(jī)制，在新基建當(dāng)中發(fā)揮作用；“外”即在網(wǎng)絡(luò)安全方面，針對(duì)威脅情報(bào)大家要共享起來(lái)，外部的要聯(lián)防聯(lián)動(dòng)，加強(qiáng)不同層級(jí)的，不同層面的保障；“?！奔幢Ｕ闲畔⒒ㄔO(shè)和網(wǎng)絡(luò)安全建設(shè)的“三同步”——同步的規(guī)劃，同步的建設(shè)，同步的運(yùn)行；“管”即管好系統(tǒng)運(yùn)行的連續(xù)性，管好核心人員，管好數(shù)據(jù)，管好應(yīng)急?！爸巍奔瘁槍?duì)網(wǎng)絡(luò)安全亂象進(jìn)行治理，要打擊網(wǎng)絡(luò)的犯罪，加強(qiáng)網(wǎng)上的監(jiān)督等，做到網(wǎng)絡(luò)安全的內(nèi)核。

在5G接入網(wǎng)側(cè)，亦或稱為異構(gòu)網(wǎng)絡(luò)接入層面，由于物聯(lián)網(wǎng)終端，工業(yè)智能設(shè)備、5G手機(jī)和其他異構(gòu)網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)皆需通過(guò)接入網(wǎng)側(cè)接入，在5G網(wǎng)絡(luò)部署中，為保證其安全接入，需考慮統(tǒng)一的安全認(rèn)證框架、統(tǒng)一身份識(shí)別機(jī)制、安全接入和安全傳輸。

在核心網(wǎng)側(cè)，要保證核心云的安全，在各種終端接入5G網(wǎng)絡(luò)之后，具體相關(guān)的接入和移動(dòng)管理、回話管理和統(tǒng)一數(shù)據(jù)管理都要通過(guò)核心云相關(guān)的信令協(xié)議來(lái)調(diào)度和實(shí)現(xiàn)，核心的信令協(xié)議都是在SDN和NFA虛擬化環(huán)境里通過(guò)切片技術(shù)來(lái)實(shí)現(xiàn)。因此，核心網(wǎng)側(cè)安全包括切片安全、網(wǎng)源安全等核心整體安全性。

在用戶層安全，用戶通過(guò)5G網(wǎng)絡(luò)連入訪問(wèn)大量的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)上傳下載大量交互數(shù)據(jù)。在該環(huán)節(jié)，如用戶的隱私數(shù)據(jù)便需要重點(diǎn)考慮安全防護(hù)。

在他看來(lái)，未來(lái)絕大部分的安全問(wèn)題都集中在應(yīng)用場(chǎng)景上，因此需要把安全升級(jí)，作為基礎(chǔ)設(shè)施來(lái)建設(shè)。以新能源汽車(chē)充電樁為例，未來(lái)每個(gè)充電樁都會(huì)聯(lián)網(wǎng)，當(dāng)協(xié)議出現(xiàn)漏洞，就出現(xiàn)了新的攻擊方法，安全問(wèn)題瞬息萬(wàn)變。傳統(tǒng)的解決方法是給每個(gè)充電樁部署安全設(shè)施，但未來(lái)充電樁會(huì)遍布城鄉(xiāng)各地，一個(gè)個(gè)分布式解決是行不通的。只有通過(guò)分層解耦、異構(gòu)兼容，把安全能力資源化、目錄化、云化，用網(wǎng)絡(luò)調(diào)度來(lái)增減安全措施，才能保障系統(tǒng)的正常運(yùn)轉(zhuǎn)。