“新基建”下,網絡安全等級保護趨勢及應對措施
伴隨著ICT產業與社會各層面的深度融合,“新基建”下的網絡攻擊將從數字空間延伸到物理空間,一旦遭受攻擊將直接影響公眾生活、社會穩定和國家安全,“新基建”在助力產業新秩序建立的同時,也將面臨網絡安全帶來的新挑戰。當前,進一步完善網絡安全等級防護體系、加速網絡安全產品升級、推進網絡安全企業服務化轉型,對于促進數字經濟創新發展具有重要意義。
“新基建”的技術新特點
就ICT領域而言,新型基礎設施更側重于以信息網絡為基礎,綜合集成新一代信息技術,是圍繞數據的感知、傳輸、存儲、計算、處理和安全等環節所形成的基礎設施體系,對于經濟社會數字化發展至關重要,亦有利于加快構建“以國內大循環為主體,國內國際雙循環互相促進”的新發展格局。與傳統基建相比,可以看出“新基建”有以下幾方面特點。
一是“新基建”支撐更多領域實現數字化、網絡化、智能化。“新基建”賦能產業,通過數字化、網絡化、智能化改造,促進產業的“數據驅動發展”,進一步推進傳統產業全方位、全角度、全鏈條改造升級,并在5G、人工智能等前沿領域完善應用環境,搶占發展先機。
二是“新基建”與天地一體化深度融合實現寬帶高速化服務。“新基建”以網絡切片方式在共享資源上按需提供虛擬專用網絡服務,不僅可以智能化劃分網絡連接密度、流量容量等,為運營商及用戶提供差異化服務;還可以提供適配不同領域需求的網絡連接應用場景,推動行業轉型。
三是“新基建”利用泛在化實現數據資源網絡安全管理優勢。“新基建”利用泛在網絡解決了人與人、人與物、物與物的交流,同時圍繞大數據的采集、存儲、加工、分析和可視化,形成了適應數字經濟與實體經濟融合發展需要的信息基礎設施體系。
“新基建”網絡安全防護風險分析
“新基建”的發展將促使接入網絡設備和數據量的高速增長,這給漏洞安全防護及網絡安全保障體系建設提出了更高的要求,將面臨更復雜的網絡攻擊。同時,針對“新基建”的安全防護措施也難以匹配其發展速度。因此,在以5G網絡、工業互聯網、物聯網、衛星互聯網等為代表的新一代網絡基礎設施中,將出現新的安全隱患,具體有以下幾個方面。
一是網絡架構服務化導致由物理環境和物理隔離提供安全保障的策略徹底失效。一方面,計算、存儲及網絡資源虛擬化會導致傳統網絡邊界模糊,從而引發虛擬化軟件安全、虛擬機安全及虛擬機間的通信安全、數據安全等問題。另一方面,集中部署硬件會導致相關漏洞更容易被網絡攻擊者發現、病毒更易傳播。控制平面和數據平臺的分層解耦、用戶業務的開放性和多廠商設備集成也會給“新基建”網云化平臺的安全可信帶來前所未有的挑戰。
二是業務場景切片化需要較強的安全隔離能力,認證和鑒權能力不足也可造成敏感信息和個人隱私數據泄露。海量數據在網絡中的傳輸以及各個節點存儲、處理和調度等環節,都將面臨被竊取、破壞、篡改的風險。“新基建”所使用的5G網絡切片通過統一基礎設施承載,為用戶提供不同業務的數據傳輸,同時也提供差異化安全服務。這就要求網絡切片需要具有安全隔離能力,因為不同的網絡切片共享網絡基礎設施但承載不同的5G業務,如果網絡切片的認證和鑒權能力不足,則可能造成敏感信息和個人隱私數據泄露。
三是“新基建”供應鏈安全涉及整個生命周期,海量終端異構化可能被利用成為新攻擊源或者成為攻擊對象。一方面,“新基建”供應鏈安全涉及網絡產品和服務的整個生命周期,防護較弱的環節會導致產品、服務及其所包含的組件等遭受惡意篡改、植入、替換、偽造等,從而使供應鏈完整性遭受威脅。另一方面,網絡產品和服務存在部分遠程控制功能,但未告知遠程控制目的、范圍和關閉方法。這些安全威脅可能導致被非法控制、遭受干擾或破壞等風險,進而影響國家安全。
四是決策下沉節點和邊緣計算的安全能力不夠完善,可抵御的單個攻擊和攻擊種類強度不夠。由于受到成本、性能、部署靈活性等多種因素制約,邊緣計算技術節點的安全能力不夠完善,將導致包括終端應用、接入終端等都暴露在錯綜復雜、管控能力缺失的環境中,使邊緣節點更容易遭到非授權訪問、惡意數據偽造、敏感數據泄露等威脅,且被攻擊后可能造成服務中斷、用戶隱私和數據泄露、物理設備毀壞等嚴重后果。同時,當邊緣計算服務由第三方提供時,也面臨著認證與鑒權等安全問題。
“新基建”下,基于等級保護2.0的趨勢分析
隨著《中華人民共和國網絡安全法》的深入貫徹和實施,等級保護制度已成為新時期國家網絡安全的基本制度。隨著等級保護2.0標準的出臺,網絡安全保護對象實現了對云計算、大數據、物聯網、工業控制系統等新一代信息基礎設施的全覆蓋。當前,新型基礎設施以數據和網絡為核心,因此新型信息基礎設施安全防護應深入到設備結構、流程、功能、機制等每個環節,并按等級保護2.0標準、可信計算3.0設計主動防御總體安全框架,搭建安全可信、主動免疫的防御體系。當前基于“新基建”安全風險需求可以進行以下幾方面保護。
構建安全可信體系確保安全計算環境
云計算、大數據等技術手段會對分布于網絡中的異構海量數據進行梳理映射、歸納處理。所涉及的存儲、計算平臺及網絡環境等載體,分屬不同的信息系統,處理全過程覆蓋網絡空間資源安全,因而加劇了網絡空間中攻擊與防御的不對稱性。面對新形勢下的安全問題,主要集中在“封、堵、查、殺”層面的傳統網絡安全防護措施,難以應對大數據時代的安全挑戰。因此,保障安全的計算環境便成了信息系統安全的核心和基礎。目前,大數據處理系統大多是基于云計算平臺實現各環節數據的梳理計算,主要憑借業務信息處理和系統服務保障來確定安全等級,因此可按等級保護2.0標準構建安全管理中心支撐下的三重防護架構。
搭建態勢感知框架對安全風險進行防御
隨著《中華人民共和國網絡安全法》和等級保護2.0等政策標準的出臺,對未來安全態勢的感知被提升到了戰略高度,“新基建”下安全態勢感知技術迅速崛起。態勢感知的最終目的是能夠基于環境,動態地、整體地識別安全風險,并依靠大數據的支撐,從整體系統視角識別安全威脅,進而分析、理解、預警,最后響應、處置落地。目前,態勢感知需要采集多個維度信息源的數據,采用數據分析技術識別海量數據中有用的信息,通過機器學習、威脅情報分析等自動生成分析模型,由已知威脅推演未知威脅,對未來安全趨勢進行風險預警和協同防御,如圖1所示。
圖1 態勢感知框架
組建安全管理團隊提高網絡安全保障
技術是安全防護的必要手段,人是安全防護的核心和尺度。當前,“新基建”下相關系統運營人員普遍存在安全意識不高、安全知識缺乏、安全能力不足等問題。面對日益嚴峻的網絡安全形勢,需要組建專業的安全管理團隊來提供網絡安全保障服務。安全管理團隊可由“新基建”相關系統運營單位自己組建,也可通過專業的第三方安全團隊提供安全管理。安全管理團隊在做好基本安全管理工作的同時,還需加強以下管理:一是做好系統風險監測、預警通報,及時向有關部門通報可能影響系統的重大漏洞和風險;二是定期開展應急演練、做好應急預案,通過演練找到安全防護體系的短板,及時彌補持續優化,切實提升安全防護、應急響應和處置能力;三是負責對突發安全事件的攻擊過程進行分析和處理,以及事件的調查與溯源,做好事后總結工作。
新戰略思路增強安全防護能力
“新基建”將更廣泛和深入地服務于社會經濟,因此與之相伴的安全問題將更為嚴峻,為保障“新基建”推動中國數字經濟轉型升級,確保其安全有序發展和持續安全運行,需要有新的戰略思路來增強安全防護能力。
一是在等級保護2.0時代,“新基建”要在傳統安全防護的基礎上,結合等級保護新增要求,以“一個中心、三重防御”為核心思想,按照《中華人民共和國網絡安全法》《中華人民共和國密碼法》《網絡安全審查辦法》等法律法規,從國家、地方政府以及企業層面加強統籌協調,有效協同推進“新基建”發展,嚴格落實相關法律法規要求,做好頂層設計和規劃,強化制度供給,進一步向企業開放應用場景。
二是在切實提升“新基建”網絡安全水平的同時,需進一步加強“新基建”核心產業鏈和供應鏈自主可控,切實提升全網范圍的安全監管能力。對“新基建”涉及的核心產業鏈和供應鏈通過分析嚴格把關,以自主可控為主線,從維護國家安全角度統籌考慮“新基建”及其安全建設,在“新基建”發展過程中,強化安全技術措施的“三同步”要求,即“同步規劃、同步建設、同步使用”,深入確保“新基建”網絡安全,將安全貫穿于規劃、建設和使用的全階段,切實增強關鍵安全技術攻關,確保“新基建”有序有力推進。
三是將安全測評及風險評估納入新型基礎設施建設安全風險管理過程,定期開展相關安全活動,通過安全聯動的方式,平臺化整合安全防御力量,構建一個事前態勢感知、事中響應防護、事后追蹤溯源的主動安全防御體系,以確保“新基建”的安全建設和運行。同時,推動相關測評標準、技術等的發展和進步,提升發現“新基建”安全風險的能力,全面提升“新基建”網絡安全感知能力和防護能力。
