《建設指南》（征求意見(jiàn)稿）指出，到2021年，初步建立網(wǎng)絡(luò )數據安全標準體系，有效落實(shí)網(wǎng)絡(luò )數據安全管理要求，基本滿(mǎn)足行業(yè)網(wǎng)絡(luò )數據安全保護需要，推進(jìn)標準在重點(diǎn)企業(yè)、重點(diǎn)領(lǐng)域中的應用，研制網(wǎng)絡(luò )數據安全行業(yè)標準20項以上。

到2023年，健全完善網(wǎng)絡(luò )數據安全標準體系，標準技術(shù)水平、應用水平和國際化水平顯著(zhù)提高，有力促進(jìn)行業(yè)網(wǎng)絡(luò )數據安全保護能力提升，研制網(wǎng)絡(luò )數據安全行業(yè)標準50項以上。網(wǎng)絡(luò )數據安全標準體系包括基礎共性、關(guān)鍵技術(shù)、安全管理、重點(diǎn)領(lǐng)域四大類(lèi)標準。

在國家政策推動(dòng)下，5G網(wǎng)絡(luò )、數據中心、工業(yè)互聯(lián)網(wǎng)等新型基礎設施建設加快推進(jìn)，可以預見(jiàn)，“新基建”將成為我國經(jīng)濟增長(cháng)的新引擎。

不過(guò)，“新基建”在助力產(chǎn)業(yè)新秩序重新建立的同時(shí)，也將面臨網(wǎng)絡(luò )安全帶來(lái)的新挑戰。當下人們已經(jīng)通過(guò)物聯(lián)網(wǎng)、人工智能、大數據解決很多問(wèn)題，隨著(zhù)接入網(wǎng)絡(luò )設備的快速增長(cháng)，每天產(chǎn)生海量的數據，對關(guān)鍵信息基礎設施進(jìn)行安全保障至關(guān)重要。

其實(shí)網(wǎng)絡(luò )安全無(wú)處不在，無(wú)論是普通的網(wǎng)絡(luò )平臺的賬號、隱私和數據安全，還是基于人工智能技術(shù)下無(wú)人駕駛和機器人技術(shù)都離不開(kāi)安全。

近日，就有多位院士專(zhuān)家在網(wǎng)絡(luò )安全線(xiàn)上研討會(huì )上表示，在新基建為中國經(jīng)濟發(fā)展鋪路的同時(shí)，網(wǎng)絡(luò )安全可為新基建保駕護航。

院士沈昌祥

當前，網(wǎng)絡(luò )空間已成為海、陸、空、天以后的第五大主權空間，這也是過(guò)去國際戰略在軍事領(lǐng)域演進(jìn)的結果。沈昌祥沈院士指出，現在“網(wǎng)絡(luò )戰”已經(jīng)常態(tài)化，習近平總書(shū)記指示我們，“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全”。因此，我們必須要按照國家的法律戰略制度來(lái)推廣安全可信產(chǎn)品，筑牢新基建的網(wǎng)絡(luò )安全底線(xiàn)。

“安全的問(wèn)題是避免不了的，我們設計IT系統，必定存在邏輯不全的缺陷，攻擊就會(huì )利用邏輯缺陷，這是網(wǎng)絡(luò )安全的永遠主題?！?沈院士表示，我們要調整思路，要有主動(dòng)免疫的網(wǎng)絡(luò )安全計算，確保為完成計算任務(wù)的邏輯組合不被篡改，不被破壞，能實(shí)現正確的計算，讓可信的目標能達到。

沈院士認為，我們的對策是主動(dòng)免疫，要反思以前就事論事的“老三樣”：殺病毒、防火墻、入侵檢測。因為現在攻擊漏洞太多，邏輯缺陷太多，利用老的經(jīng)驗積累去封堵是解決不了問(wèn)題的。怎么辦呢？我們要用可信計算，而且是主動(dòng)免疫可信計算，計算運行的同時(shí)進(jìn)行安全防護，以密碼為基因實(shí)施身份識別、狀態(tài)度量、保密存儲等功能，及時(shí)識別“自己”和“非己”成分，從而破壞與排斥進(jìn)入機體的有害物質(zhì)，相當于為網(wǎng)絡(luò )信息系統培育了免疫能力。

沈院士指出，5G網(wǎng)絡(luò )、云計算、大數據、工業(yè)控制、物聯(lián)網(wǎng)等，關(guān)鍵是五個(gè)方面的可信：

體系架構不能變。

資源配置不能篡改，可信。

操作行為（可信）不能攻擊。

確保數據的可信。

策略管理要可信，不能被篡改。

值得一提的是，中國可信計算的發(fā)展是走在世界前列的。在1992年就立項研究了可信計算綜合安全保護系統，1995年2月就通過(guò)了測評鑒定，然后經(jīng)過(guò)長(cháng)期軍民融合聯(lián)合攻關(guān)，形成了自主創(chuàng )新安全可信的體系，開(kāi)啟了可信計算的3.0新時(shí)代。

第一是虛擬化的挑戰

5G網(wǎng)絡(luò )和云數據中心的虛擬化模糊了網(wǎng)絡(luò )的物理邊界，基于邏輯拓撲定義的虛擬安全域需要根據虛擬機的遷移狀況動(dòng)態(tài)變化，傳統依賴(lài)物理邊界防護的安全機制難以奏效。另外，軟件定義網(wǎng)絡(luò )與網(wǎng)絡(luò )功能虛擬化的上層控制系統高度集中，容易成為網(wǎng)絡(luò )安全攻擊的對象，而底層計算、存儲及網(wǎng)絡(luò )資源共享將考驗安全隔離手段。

第二是開(kāi)放性的挑戰

5G采用基于服務(wù)的網(wǎng)絡(luò )體系，開(kāi)放業(yè)務(wù)生成和調用，網(wǎng)絡(luò )切片也可以開(kāi)放給客戶(hù)自定義與調配，這與傳統移動(dòng)網(wǎng)絡(luò )封閉的業(yè)務(wù)管理相比，惡意第三方容易獲得對網(wǎng)絡(luò )的操控能力。5G采用通用互聯(lián)網(wǎng)協(xié)議代替傳統移動(dòng)網(wǎng)絡(luò )專(zhuān)用協(xié)議，擴展了業(yè)務(wù)能力，但更易受到外部攻擊。

第三是切片化的挑戰

5G、數據中心和工業(yè)互聯(lián)網(wǎng)都會(huì )面對大量有不同業(yè)務(wù)要求的租戶(hù)，以網(wǎng)絡(luò )切片方式在共享資源上按需提供VPN服務(wù)，切片間需要有效的安全隔離機制，以免某個(gè)低防護能力的網(wǎng)絡(luò )切片受攻擊后成為跳板而波及其他切片。

第四是大連接的挑戰

工業(yè)互聯(lián)網(wǎng)使用大量傳感器和PLC，量大且永遠在線(xiàn)而易成為DDoS攻擊的跳板，防入侵能力又受限于低功耗的輕量級安全算法。5G要支持每平方公里上百萬(wàn)傳感器聯(lián)網(wǎng)，復雜的認證會(huì )引發(fā)信令風(fēng)暴還會(huì )影響低時(shí)延的性能，車(chē)聯(lián)網(wǎng)還要求支持點(diǎn)到多點(diǎn)的V2V快速認證。

第五是開(kāi)源化的挑戰

5G、數據中心和工業(yè)互聯(lián)網(wǎng)領(lǐng)域大量采用開(kāi)源軟件，AI領(lǐng)域對第三方開(kāi)源基礎庫過(guò)度依賴(lài)，加大了引入安全漏洞的風(fēng)險。

第六是大數據的挑戰

新一代信息基礎設施依賴(lài)大數據挖掘，但難以保證數據不被污染，以失真的數據來(lái)訓練神經(jīng)網(wǎng)絡(luò )，會(huì )使決策錯誤且因AI的結果具有不可解釋性而難以發(fā)現。通過(guò)將數據分布存儲和加密，可以防備數據被盜竊或篡改，但對于以勒索為目的的外部攻擊，會(huì )強行將數據再加密，使原有數據的擁有方也無(wú)法讀取數據。

4月17日，在數字基礎設施建設推進(jìn)專(zhuān)家研討會(huì )上，工業(yè)和信息化部副部長(cháng)陳肇雄指出，與數字基礎設施同步規劃、建設、運行網(wǎng)絡(luò )安全保障系統，推進(jìn)關(guān)鍵信息基礎設施安全保護，健全網(wǎng)絡(luò )安全技術(shù)監測體系、應急處置機制，加強5G、工業(yè)互聯(lián)網(wǎng)、數據中心、云平臺等設施的安全保障，確保數字基礎設施安全平穩可靠運行。

中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心首席專(zhuān)家李京春認為，針對新基建中的“硬核科技”，在網(wǎng)絡(luò )安全方面可歸為“內外保管治”。

“內”即內生安全，系統、平臺、產(chǎn)品要有更多的自限性安全機制，在新基建當中發(fā)揮作用；“外”即在網(wǎng)絡(luò )安全方面，針對威脅情報大家要共享起來(lái)，外部的要聯(lián)防聯(lián)動(dòng)，加強不同層級的，不同層面的保障；“?！奔幢Ｕ闲畔⒒ㄔO和網(wǎng)絡(luò )安全建設的“三同步”——同步的規劃，同步的建設，同步的運行；“管”即管好系統運行的連續性，管好核心人員，管好數據，管好應急?！爸巍奔瘁槍W(wǎng)絡(luò )安全亂象進(jìn)行治理，要打擊網(wǎng)絡(luò )的犯罪，加強網(wǎng)上的監督等，做到網(wǎng)絡(luò )安全的內核。

5G是大匯聚、融合、互聯(lián)的基礎設施，更是新基建的重中之重。

在5G接入網(wǎng)側，亦或稱(chēng)為異構網(wǎng)絡(luò )接入層面，由于物聯(lián)網(wǎng)終端，工業(yè)智能設備、5G手機和其他異構網(wǎng)絡(luò )終端接入網(wǎng)絡(luò )皆需通過(guò)接入網(wǎng)側接入，在5G網(wǎng)絡(luò )部署中，為保證其安全接入，需考慮統一的安全認證框架、統一身份識別機制、安全接入和安全傳輸。

在核心網(wǎng)側，要保證核心云的安全，在各種終端接入5G網(wǎng)絡(luò )之后，具體相關(guān)的接入和移動(dòng)管理、回話(huà)管理和統一數據管理都要通過(guò)核心云相關(guān)的信令協(xié)議來(lái)調度和實(shí)現，核心的信令協(xié)議都是在SDN和NFA虛擬化環(huán)境里通過(guò)切片技術(shù)來(lái)實(shí)現。因此，核心網(wǎng)側安全包括切片安全、網(wǎng)源安全等核心整體安全性。

在用戶(hù)層安全，用戶(hù)通過(guò)5G網(wǎng)絡(luò )連入訪(fǎng)問(wèn)大量的網(wǎng)絡(luò )服務(wù)，實(shí)現上傳下載大量交互數據。在該環(huán)節，如用戶(hù)的隱私數據便需要重點(diǎn)考慮安全防護。

齊向東認為，網(wǎng)絡(luò )安全是新基建的基礎。以前，網(wǎng)絡(luò )安全是輔助性工程，但在新基建里是基礎工程。新基建會(huì )進(jìn)一步加快網(wǎng)絡(luò )世界和物理世界的融合。這意味著(zhù)兩者的邊界將基本消失，對網(wǎng)絡(luò )的攻擊就等于對物理世界的攻擊，直接影響人民生活、社會(huì )穩定和國家安全。比如，5G遠程手術(shù)遭遇網(wǎng)絡(luò )攻擊，可能會(huì )威脅到人們的生命安全；車(chē)聯(lián)網(wǎng)遭受攻擊，可能會(huì )直接造成車(chē)毀人亡。

在他看來(lái)，未來(lái)絕大部分的安全問(wèn)題都集中在應用場(chǎng)景上，因此需要把安全升級，作為基礎設施來(lái)建設。以新能源汽車(chē)充電樁為例，未來(lái)每個(gè)充電樁都會(huì )聯(lián)網(wǎng)，當協(xié)議出現漏洞，就出現了新的攻擊方法，安全問(wèn)題瞬息萬(wàn)變。傳統的解決方法是給每個(gè)充電樁部署安全設施，但未來(lái)充電樁會(huì )遍布城鄉各地，一個(gè)個(gè)分布式解決是行不通的。只有通過(guò)分層解耦、異構兼容，把安全能力資源化、目錄化、云化，用網(wǎng)絡(luò )調度來(lái)增減安全措施，才能保障系統的正常運轉。

360城市安全集團系統設計部總監李曉明認為，第一個(gè)挑戰是國際格局日趨復雜，中國與國際的技術(shù)交流、技術(shù)合作及技術(shù)供應鏈有被阻斷風(fēng)險。第二個(gè)挑戰是隨著(zhù)大數據與人工智能技術(shù)的發(fā)展與廣泛應用，如何保障隱私和數據安全。第三個(gè)挑戰是能否找到行之有效的商業(yè)模式，在產(chǎn)業(yè)互聯(lián)網(wǎng)的大背景下，要求5G、大數據、人工智能等高科技產(chǎn)業(yè)找到與傳統產(chǎn)業(yè)的有效結合點(diǎn)，即：高價(jià)值、可落地與可復制?！叭绻凇禄ā^(guò)程中沒(méi)有考慮到網(wǎng)絡(luò )安全，簡(jiǎn)直就是在裸奔”，如果真正發(fā)生網(wǎng)絡(luò )攻擊，將不會(huì )僅僅是傳統的網(wǎng)絡(luò )攻擊，它的破壞力將不同，“新基建”下的網(wǎng)絡(luò )攻擊將從數字空間延伸到物理空間，會(huì )造成非常嚴重的后果。這種攻擊不僅僅是針對一輛車(chē)，而是會(huì )因為一輛車(chē)被攻擊導致大面積的交通事故?！靶禄ā庇泻芏嘀腔坩t療的場(chǎng)景，如果通過(guò)網(wǎng)絡(luò )入侵CT機，哪怕通過(guò)一種方法欺騙體溫槍繞過(guò)門(mén)口的疫情檢測卡，這就有可能造成大規模的感染或者醫療事故。

來(lái)源： 信息安全與通信保密雜志社