新一代信息基础设施亟须同步建设网络安全能力
2020-05-29邬贺铨
邬贺铨
2018年12月在中央经济工作会上就提出新基建概念,在2020年3月中央统筹推进新冠肺炎疫情防控和经济社会发展中更是将新基建提到战略高度。新基建指的是建设“集约高效、经济适用、智能绿色、安全可靠的现代化基础设施体系”,新一代信息基础设施是其中的重点,还包括能源、交通等战略性网络型基础设施。发展新基建也是为了更好地发挥传统基建的作用,传统和新型基础设施将协同融合、统筹发展,为中国经济长期高质量可持续发展打下扎实的基础。
在新一代信息基础设施中,突出的是5G、数据中心、人工智能(AI)、工业互联网及物联网、信息网络等
5G提供无线数据的宽带实时传输与分发,数据中心作为云计算的后台承担了数据存储、计算与处理,AI平台实现数据挖掘与分析决策,工业互联网支撑数据在产业链的采集、应用与线上线下联动。它们共同完成数据链从采集到分析决策和应用的全过程,发挥数据作为生产要素的作用。上述数据链的各环节还需要由作为底层网络的IPv6下一代互联网和光纤传输网承载,并且网络安全能力将嵌人数据链的各环节中。新一代信息基础设施既是基建项目,又是新型信息消费平台,更是战略性新兴产业,还是传统产业数字化的新引擎,同时也是其他领域新基建的通用支撑技术,赋能传统基建领域提质增效。
新一代信息技术及其基础设施,在疫情防控期间初露锋芒
新一代信息技术有力支撑了对云课堂、云办公、云复工、云签约、云商贸等需求,培育了云经济,激活了超高清视频直播和VR/AR等应用,助力流行病学调查与密切接触者的管理,提升了医學影像数据分析与药效评估的效率,促成了各类机器人在医院送药、护理、消毒和医疗废物处理等场景的应用,优化了紧缺物资的组织调配与物流,保障了对社区的精细化管理。
新一代信息基础设施在经济领域的贡献更为显著,不仅表现在保驾复工复产,在生产组织、智能制造、智能质检、供应链管理、市场营销、客户服务、财务管理、产业信贷和人员培训等环节也都有成功的应用案例,今后还将加快推广以取得更大的效益。
新一代信息基础设施的建设将增加IT领域的投资,带动劳动生产率提升,促进经济增长
根据IHS Market咨询公司的预测,2035年全球经济会因SG使GDP提升7%其中中国将因SG而增加GDPl.13万亿美元和新增就业1090万人。中国信通院发布5G对中国经济短期(2020-2025)影响酌报告预测,SG直接和间接带动GDP分别增加3 3万亿元和8 4万亿元,新增就业岗位300万人。根据Gregory L.Rjchards等人在2012年发表的论文,云计算的投资加倍将使GDP增长约12.2% -13.5%。根据2010-2020年间对美国云计算投资增长的测算,可得出该期间美国CDP增速的1/3与云计算有关。据埃森哲公司对12个主要国家的研究,AI将使这些国家2035年平均GDP增速加倍,其中中国GDP将因AI增加1.6个百分点。麦肯锡公司则认为,到2030年AI可为全球额外贡献13万亿美元的GDP增长,平均年增1.2%。埃森哲公司还对工业互联网的经济贡献做出了预测,到2030年工业互联网能够为全球经济带来14.2万亿美元的经济增长。中国信通院预计2020年我国工业互联网产业占GDP比重约为2.9%,对经济增长的贡献将超过11%,并带动超过255万个新增就业岗位。从上述这些数据看,新一代信息基础设施是当之无愧的数字经济新动能。
数字经济的价值释放与长远发展的前提是网络安全保障
新一代信息基础设施在设计上已考虑更灵活的安全机制并强化网络安全技术与配置,例如SG基于软件定义架构将安全能力以模块方式封装并通过相应接口方便调用。
5G与4G相比,在接人域、网络域、用户域、应用域之外还增加了服务域安全,采用完善的服务注册、发现、授权安全机制与安全协议及统一认证框架来应对全新服务化架构带来的安全风险;在数据传输方面,SG对用户身份标识采用空口加密传送,对用户面数据不仅加密还增加了数据完整性保护,对网络运营商网间信令传送增加了端到端的保护措施。云数据中心的虚拟化和资源池化保证数据中心的可用性不受某一设备故障所影响。AI可实现对网络流量异常检测、关联用户行为信息、制定数据风险模型、侦测可疑文件、定位黑客人侵的位置等。工业互联网建立设备、网络、平台和数据全方位的安全措施,实现对企业生产全流程的安全智能监控。
新一代信息基础设施是“双刃剑”,在应对原有网络安全问题之外,还将面对新的安全挑战
第一,虚拟化的挑战。5G网络和云数据中心的虚拟化模糊了网络的物理边界,基于逻辑拓扑定义的虚拟安全域需要根据虚拟机的迁移状况动态变化,传统依赖物理边界防护的安全机制难以奏效。另外,软件定义网络与网络功能虚拟化的上层控制系统高度集中,容易成为网络安全攻击的对象,而底层计算、存储及网络资源共享将考验安全隔离手段。
第二,开放性的挑战。5G采用基于服务的网络体系,开放业务生成和调用,网络切片也可以开放给客户自定义与调配,这与传统移动网络封闭的业务管理相比,恶意第三方容易获得对网络的操控能力。5G采用通用互联网协议代替传统移动网络专用协议,扩展了业务能力,但更易受到外部攻击。
第三,切片化的挑战。5G、数据中心和工业互联网都会面对大量有不同业务要求的租户,以网络切片方式在共享资源上按需提供VPN服务,切片间需要有效的安全隔离机制,以免某个低防护能力的网络切片受攻击后成为跳板而波及其他切片。
第四,大连接的挑战。工业互联网使用大量传感器和PLC,量大且永远在线而易成为DDoS攻击的跳板,防入侵能力又受限于低功耗的轻量级安全算法。5G要支持每平方公里上百万传感器联网,复杂的认证会引发信令风暴还会影响低时延的性能,车联网还要求支持点到多点的V2V快速认证。
第五,开源化的挑战。5G、数据中心和工业互联网领域大量采用开源软件,AI领域对第三方开源基础库过度依赖,加大了引入安全漏洞的风险。
第六,大数据的挑战。新一代信息基础设施依赖大数据挖掘,但难以保证数据不被污染,以失真的数据来训练神经网络,会使决策错误且因AI的结果具有不可解释性而难以发现。通过将数据分布存储和加密,可以防备数据被盗窃或篡改,但对于以勒索为目的的外部攻击,会强行将数据再加密,使原有数据的拥有方也无法读取数据。
新一代信息基础设施更广泛和深入服务于社会经济,其安全问题带来的后果更为严峻,需要有新的战略思路来增强安全能力
第一,需要建立软件定义的网络安全机制。过去网络安全依靠“老三件”(防火墙、入侵检测和防病毒),基于硬件为主的外挂设备的被动和固化的防御方式。今后仍需边界防护,但入口的安全能力应实现软件定义并与网络内部安全机制联动。
第二,要以强化免疫能力为本。新一代信息基础设施基本都是网络化、云化、虚拟化和智能化,很多安全挑战是内生的,需要增强免疫能力,从基础设施技术开发与网络设计开始就要有内生的安全理念,网络安全能力与基础设施是一个整体,网络安全能力需与基础设施同步建设并融人其中。
第三,从以产品为中心到服务为中心。过去我国的网络安全企业主要收入来自硬件销售,而国外同行则以服务收入为主。网络安全永远是魔高一尺道高一丈,网络安全企业需要建立专业的服务队伍,熟悉被服务企业的生产流程和信息技术产品,要将客户从销售对象转为合作对象,为企业提供个性化安全服务。需要明确网络安全企业与被服务企业间安全责任的边界,保护被服务企业的数据安全与商业秘密。
第四,完善网络安全的生态系统。网络安全能力与基础设施有同样的生命周期,覆盖从系统开发设计到项目上线检测及运行应急处置,全过程需要有可依据的标准体系、制度规范和法律法规,需要建立第三方的应用服务安全检测环境和生命周期的安全风险评估平台,建设国家工业互联网平台安全监测预警系统,开展风险信息通报与应急处置工作。网络安全生态的另一个维度覆盖工业企业、设备供应商、基础电信运营商、云服务商、工业互联网平台运营商、工业应用提供商、网络安全企业、第三方检测机构和用户等,上下游都有维护网络安全的责任,需要紧密合作实现威胁与处置情报共享。
網络安全不是一个单纯的技术问题,是涉及业务、管理、流程、团队等各方面的系统工程。网络安全需要国际合作,但基础是需要建立我国自主可控的网络安全技术、产品和服务的完整体系。