NEWS.ALL
Ruizhao's News Reader

中科院信工所所长孟丹:从源头构建安全基建方法

FreeBuf /2020-05-22

今年3月,中共中央政治局常务委员会召开会议提出,要加快5G网络、数据中心等新型基础设施建设进度。随后,国家发改委首次明确“新基建”范围。

“新基建”带来了新的发展机遇,也对网络空间安全带来了全新的挑战。

新技术应用带来新的安全压力。据国家互联网应急中心2019年的调查统计,国家信息安全漏洞共享平台新收录通用软硬件漏洞数量创下历史新高,广泛影响我国基础软硬件安全及其上的应用安全。随着数字经济和各个产业深度融合,许多行业高度依赖数字网络体系,势必会加重网络安全压力。

国际网络安全形势严峻。过去一年针对党政机关、关键信息基础设施等重要单位的DDoS攻击呈现高发频发态势,境外黑客组织的攻击进一步向军民融合、“一带一路”、基础行业、物联网和供应链等领域扩展延伸,通信、外交、能源、商务、金融、军工、海洋等领域成为境外黑客组织重点攻击对象,新技术应用带来的新型安全威胁的增加,势必会加重我国遭受网络安全攻击的态势,威胁国家安全。

网络安全问题影响数字基建全局。由于一些单位安全意识不强、安全建设经验不足,没有建设有效的安全屏障,攻击者利用“网络+APP”漏洞窃取公民个人信息的安全事件频发,给公民个人造成严重的财产、信息甚至生命损失的境况屡见不鲜。

网络安全是发展好“新基建”的前提条件,只有安全基建才能保障数字经济的健康有序发展,而疫后全球局势变化,加速我国数字经济进程迫在眉睫,为此建议:

一、完善新基建安全体系建设

新基建的提出为我国的数字化转型按下了加速键。网络安全正在由过去的“辅助性”功能变成数字基础设施的重要一环。建议数字基建在建设伊始就要考虑安全体系的同步构建,从被动防控向主动防御转变,由国家互联网信息办公室牵头,联合工业和信息化部、公安部等有关部门,联动数字化程度较高的上游企业以及对安全体系、技术有深度研究的国立科研院所参与,整合已有的网络威胁监测、全局态势感知等各类网络安全防护能力,加强软件供应链安全、隐私与内容风险检测、应用可信等领域的“安全基建”能力,产学研用全面结合,构建完整的安全基础设施。

二、加快网络安全产业的升级

新基建所拓展的创新发展空间,是数字基建在与不同产业化应用协调推进的过程中,助推创新和拓展的新消费、新制造、新服务。绝大多数的安全问题都出现在新应用场景上,而传统的网络安全产业关注的重点依然是技术、产品和网络攻防,难以满足当下复杂场景下的具体安全新需求。建议国家有关部门在支持网络安全企业升级转型适应数字基建需求的同时,扶持各行业数字化程度较高、安全防护能力强的企业将安全能力输出,推广他们在不同应用场景中沉淀的网络空间安全基建能力和方法在更广泛的范围内适用。用来自不同行业、不同场景下的网络安全实战经验,补足当下网络安全产业在应对个性化安全服务需求方面的短板。同时,加强与国立科研机构的联合“作战”,发挥国立科研机构在安全上的创新作用,在成熟企业中不断打磨高精尖的安全技术,达到真正落地、实用、好用,最后向数字基建输出,不断循环“造血”。

三、制定安全基建的国家标准

网络安全威胁在泛应用领域表现得尤其明显,而被动应对、事后修补的传统安全方案已经无法应对当前网络安全的严峻形势。在数字基建的过程中,除了大数据中心、5G网络等数字基础设施要提前部署安全能力建设,建议探索政府牵头、企业参与、国立科研机构攻关的共建模式,尽快制定国家标准,为各类APP和网络平台的建立标准化的安全搭建流程和操作规范。重新构建数字经济的新一代安全架构和安全基建的标准,提高各类社会主体在数字化进程中的风险免疫能力,从源头上降低网络安全威胁。