应高度重视新基建的网络安全风险防范作者:申涛林来源:《中国新通信》2020年第17期申涛林中国互联网协会【摘要】当前,伴随着数字化浪潮推进,数字经济已经成为经济高质量发展的核心要素。在此其中,以大数据、云计算、物联网、人工智能为依托的新型基础设施(以下简称“新基建”),作为数字经济的基础保障,和数字化转型升级的重要支撑,在经济发展过程中将发挥巨大作用。因此,新基建的安全性,直接影响着数字经济的健康发展,也关乎着经济社会的平稳有序。今年以来,我国新基建的建设步伐不断加快,由于其基础设施之间互联互通、联网上云的特点不断深化,因此面临的安全风险必须高度重视。【关键词】新基建数字经济网络安全数字经济是以数据作为关键要素,信息网络作为重要载体,技术融合与数字化转型作为重要推动力的新经济形态,已经成为驱动经济发展的重要推力。当前,我国高度重视数字经济的发展。特别是近年以来,多次强调发展新基建的重要性,加快5G网络、数据中心等新型基础设施建设进度,预示着数字经济顶层步伐进一步推进。据中国信通院测算,2017年我国数字经济规模达27.2亿元人民币,占当年GDP比重32.9%,仅次于美国。预计五年内,5G商用将直接带动中国10.6万亿元人民币的经济总产出,间接带动经济总产出为24.8亿元人民币。数据公司IDC预测,预计到2021年,我国数字经济规模将达到8.5万亿美元。在此背景下,新基建的安全性愈显重要。一、新基建的特点决定了要高度重视网络安全问题1.1新基建涉及国家重要基础行业,关系着经济社会发展的命脉关键信息基础设施是新基建的重要范畴。值得关注的是,当前新基建的外延进一步扩大,已超过原有关键信息基础设施的概念。根据国家发改委的介绍,新基建主要包括三个方面:一是信息基础设施,如以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等。二是融合基础设施,主要指运用新兴技术支撑传统基础设施转型升级而形成的融合基础设施。三是创新基础设施,主要指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施。这些设施涵盖一系列关系国计民生的基础性行业,因此,要高度关注其安全问题。1.2新基建高度依赖网络空间,与实体社会深度融合,具有牵一发而动全身的特点随着新技术新应用的快速迭代,以5G、物联网、大数据、人工智能等为代表的信息技术,将进一步推动空天一体、万物互联、人机交互。数字技术与实体产业融合、渗透、赋能的范围更广、程度更深、速度更快,特别是涉及电力、水利、金融、能源等国计民生的关键领域和重要行业,纷纷“联网”“上云”,产业数字化场景更加丰富,安全风险也变得更加交织叠加。在此背景下,网络空间与物理空间的边界逐渐模糊,新基建的安全将更加“牵一发而动全身”。一旦出现安全问题,甚至将发生“一失万无”的情形,对整个实体经济社会很可能造成连带负面影响。1.3新基建运行的内在特点使得风险潜在以工业互联网为例,其一般包括信息网络和控制网络两大部分。信息网络是指企业的业务网,大多可访问互联网。控制网络此前多称为工业控制系统,因其性质特殊,也面临着潜在的安全风险点。一是企业通常会通过逻辑隔离的方式,使工业控制系统和企业管理系统直接进行通信,但是企业管理系统一般可能会连接到互联网,这就导致出现了安全漏洞。二是设备厂商一般多采用远程维护方式,即通过公共网络等对工业控制设备进行远程操控和维修,客观上也为安全防范增加了不确定性。1.4世界主要国家高度重视基础设施安全防护长期以来,世界各国高度重视关键信息基础设施的安全防护。特朗普曾表示,安全的5G网络将成为21世纪美国繁荣和国家安全的重要纽带。以美国为例,2018年,美国出台《联邦采购供应链安全法案》,以保护联邦系统免受供应链风险。通过设立联邦采购安全委员会,并将制定供应链风险管理
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,方便执行机构评估和减轻供应链风险。2019年,美国发布《5G安全保障法》《美国5G安全国家战略》等,对5G等基础设施安全防护进一步细化完善,如评估5G基础设施网络威胁和漏洞所带来的风险,制定美国5G基础设施的安全原则,解决全球5G基础设施开发和部署过程中对美国经济和国家安全的风险。此外,2020年3月,印度通过“数字印度”倡议,加大数字经济发展力度。新加坡信息通信媒体发展局也发布了《物联网网络安全
指南
验证指南下载验证指南下载验证指南下载星度指南下载审查指南PDF
》,加强对物联网的安全防护。二、新基建在网络安全领域面临的风险不容小觑2.1核心技术与产品的自主掌控程度还比较薄弱目前,我国工业互联网当中的工控系统,面临着核心硬件多为外商巨头制造、自主可控水平较低、安全防护能力严重不足、网络接入控制不严格、网络维护依赖国外厂商等问题,且在一定程度上还比较突出。据《2014年中国工业控制系统信息安全蓝皮书》显示,国内工控HMI组态软件市场上,国外产品市场份额约为74%,居主导地位。在国内PLC市场,95%以上产品来自国外公司。以我国工业PLC市场为例,2015年,西门子、三菱、欧姆龙、罗克韦尔、施耐德等5家国外厂商占据了超过80%的市场份额。2.2在重要基础设施中还存在着安全漏洞风险根据国家信息安全漏洞共享平台(CNVD)发布的工控漏洞数据显示,目前公开漏洞所涉及的工控系统厂商依然以国际厂商为主,如西门子、施耐德、研华科技、通用电气及罗克韦尔,分别占据了漏洞数量排行榜的前五位。根据安全咨询机构MIR睿工业的数据显示,作为最早进入中国的工控企业之一,西门子工控组件的市场占有率达到24%,通用电气的工控组件占14%。这些工控系统涉及石油、石化、天然气、电力、水利、轨道交通等十几个行业。因此,一旦系统漏洞被普遍利用,后果不堪设想。以智能电表为例,2014年在荷兰阿姆斯特丹举行的黑帽技术大会上,研究人员公布了西班牙所使用的智能电表中存在的安全漏洞,该漏洞可以导致电费欺诈,甚至进入电路系统导致大面积停电。2.3基础设施运营单位安全防护能力有待提升一是在思想认识上,国内企业用户对网络安全整体还缺乏专业知识、认识不足、培训不够。近年来,在国家的整体推动下,虽然有所提高,但是仍不足以防范与日俱增的安全风险。部分运营单位管理人员认为只有“震网”之类的病毒才会影响工业控制系统,而忽视了其他的系统漏洞被利用可能造成的工业控制系统安全事件。还有部分运维人员认为自己单位的控制系统与网络隔离,不存在信息安全隐患,从而导致重视程度、资金投入、宣传培训等严重不足。二是在流程
机制
综治信访维稳工作机制反恐怖工作机制企业员工晋升机制公司员工晋升机制员工晋升机制图
上,大部分基础设施运营单位,虽然有专门的部门负责网络信息安全,但是缺少完善有效的应急预案和协调机制。新基建特别是工业控制系统信息安全事件一旦发生,将影响整个工业控制系统的运行,牵涉的部门众多,因此必须要健全内部防范机制。三是在防护能力上,当前攻击技术门槛大大降低,攻防本身就具有不对称性,现有的安全防护能力还有待加强,必须要加强关键技术储备,及时研究新技术新应用,做好跟踪研究和风险评估。2.4基础设施面临的网络安全环境不容乐观2019年,国家信息安全漏洞共享平台(CNVD)新收录通用软硬件漏洞数量达1.6万余个,创历史新高。事件型漏洞数量达14.1万条,同比增长227%。高危零日漏洞占总收录漏洞数量35.2%,同比增长6%。据国家互联网应急中心公开发布的数据显示,2019年,我国暴露在互联网上的工业设备达7325台,同比增加21.7%。涉及电力等重点行业的联网监控系统达2249套同比增加21.9%。我国发生攻击流量峰值超过10Gbps的大流量攻击事件,每日约220起,同比增加40%。党政机关遭受钓鱼邮件攻击数量达50余万次,月均4.6万封。全年遭受多个APT组织攻击,且向能源、金融等多领域拓展。三、对策建议3.1健全新基建领域的安全法规及标准制定加强顶层设计,将新基建安全保护纳入国家战略层面,完善相关法律法规。加快制定安全
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
,提高对新基建安全防范的认识水平和重视程度。加大对新基建安全防护特别是网络安全产业的支持力度。结合我国新基建安全保障工作的标准化需求,开展新基建安全标准体系框架研究,实施新基建的安全分级、安全管理、风险评估、安全监测、安全审计等工作。加强测评技术研究、测评工具开发、测评环境建设等能力提升,逐步形成我国独特的安全测评体系和新基建网络安全审查体系。建立并完善新基建安全标准体系,制定新基建安全测评标准、服务标准等国家标准,积极主导或参与制定相关国际标准,为国家主管部门开展新基建安全管理、检查工作提供技术支撑,为产业构建新基建安全管理和技术防护综合保障提供保障。3.2加强关键技术自主攻关和创新研发进一步实现我国网络空间关键技术自主创新,打造独立自主安全防护核心技术,提高我国新基建当中的国产化产品比例。开展针对新基建的新型网络威胁的跟踪研究,分析网络威胁的主要特征和关键技术。有针对性地开展网络态势感知、漏洞挖掘等技术研究,研发搭建相关技术平台。建立一套完整的新基建安全信息共享机制,将相关漏洞、风险、政策、知识等信息在相关行业内实现最大程度的共享,提高国家对新基建安全风险隐患发现监测预警等能力。3.3提升新基建安全防护能力加强网络信息安全检测系统部署,持续做好网络安全监测,及时发现木马和病毒,并采取针对性措施。加强新基建的日常巡检、运行监测、安全审计、漏洞挖掘和整改加固,做好安全风险和漏洞预警。全面贯彻网络信息安全要求,切实保障信息安全防线。建立健全联合通报、整改的信息共享和联合应急协调处置机制,制定完善的应急处置预案,组织开展防范网络安全事件处置模拟演练,着力提升网络安全应急处置能力。3.4健全新基建安全防护体系加强安全教育和管理培训,督促企业落实安全管理
制度
关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载
,定期组织工控系统安全检查。通过检查和评估发现安全防护中的薄弱环节,针对性地提出风险消减和改进防范措施。加强专业技术人员的培养与引进,培养高精尖技术人才,加强人才队伍建设,提高专业人员业务能力,加强专业工程人员培训力度。加强应急管理,提高预防及处置能力。增强相关员工网络安全防范意识,提升安全防范能力。探索建立国家级新基建网络安全监测预警处置防护平台,定期开展网络脆弱性评估。国家社科基金重大项目“总体国家安全观视野下的网络治理体系研究”(编号:17ZDA107)
浙公网安备 33021202002483