中國工程院院士鄔賀銓:新一代信息基礎設施亟須同步建設網絡安全能力
2018年12月在中央經濟工作會上就提出新基建概念,在2020年3月中央統籌推進新冠肺炎疫情防控和經濟社會發展中更是將新基建提到戰略高度。新基建指的是建設“集約高效、經濟適用、智能綠色、安全可靠的現代化基礎設施體系”,新一代信息基礎設施是其中的重點,還包括能源、交通等戰略性網絡型基礎設施。發展新基建也是為了更好地發揮傳統基建的作用,傳統和新型基礎設施將協同融合、統籌發展,為中國經濟長期高質量可持續發展打下扎實的基礎。
在新一代信息基礎設施中,突出的是5G、數據中心、人工智能(AI)、工業互聯網及物聯網、信息網絡等
5G提供無線數據的寬帶實時傳輸與分發,數據中心作為云計算的后臺承擔了數據存儲、計算與處理,AI平臺實現數據挖掘與分析決策,工業互聯網支撐數據在產業鏈的采集、應用與線上線下聯動。它們共同完成數據鏈從采集到分析決策和應用的全過程,發揮數據作為生產要素的作用。上述數據鏈的各環節還需要由作為底層網絡的IPv6下一代互聯網和光纖傳輸網承載,并且網絡安全能力將嵌入數據鏈的各環節中。新一代信息基礎設施既是基建項目,又是新型信息消費平臺,更是戰略性新興產業,還是傳統產業數字化的新引擎,同時也是其他領域新基建的通用支撐技術,賦能傳統基建領域提質增效。
新一代信息技術及其基礎設施,在疫情防控期間初露鋒芒
新一代信息技術有力支撐了對云課堂、云辦公、云復工、云簽約、云商貿等需求,培育了云經濟,激活了超高清視頻直播和VR/AR等應用,助力流行病學調查與密切接觸者的管理,提升了醫學影像數據分析與藥效評估的效率,促成了各類機器人在醫院送藥、護理、消毒和醫療廢物處理等場景的應用,優化了緊缺物資的組織調配與物流,保障了對社區的精細化管理。
新一代信息基礎設施在經濟領域的貢獻更為顯著,不僅表現在保駕復工復產,在生產組織、智能制造、智能質檢、供應鏈管理、市場營銷、客戶服務、財務管理、產業信貸和人員培訓等環節也都有成功的應用案例,今后還將加快推廣以取得更大的效益。
新一代信息基礎設施的建設將增加IT領域的投資,帶動勞動生產率提升,促進經濟增長
根據IHS Market咨詢公司的預測,2035年全球經濟會因5G使GDP提升7%,其中中國將因5G而增加GDP1.13萬億美元和新增就業1090萬人。中國信通院發布5G對中國經濟短期(2020—2025)影響的報告預測,5G直接和間接帶動GDP分別增加3.3萬億元和8.4萬億元,新增就業崗位300萬人。根據Gregory L.Richards等人在2012年發表的論文,云計算的投資加倍將使GDP增長約12.2%~13.5%。根據2010—2020年間對美國云計算投資增長的測算,可得出該期間美國GDP增速的1/3與云計算有關。據埃森哲公司對12個主要國家的研究,AI將使這些國家2035年平均GDP增速加倍,其中中國GDP將因AI增加1.6個百分點。麥肯錫公司則認為,到2030年AI可為全球額外貢獻13萬億美元的GDP增長,平均年增1.2%。埃森哲公司還對工業互聯網的經濟貢獻做出了預測,到2030年工業互聯網能夠為全球經濟帶來14.2萬億美元的經濟增長。中國信通院預計2020年我國工業互聯網產業占GDP比重約為2.9%,對經濟增長的貢獻將超過11%,并帶動超過255萬個新增就業崗位。從上述這些數據看,新一代信息基礎設施是當之無愧的數字經濟新動能。
數字經濟的價值釋放與長遠發展的前提是網絡安全保障
新一代信息基礎設施在設計上已考慮更靈活的安全機制并強化網絡安全技術與配置,例如5G基于軟件定義架構將安全能力以模塊方式封裝并通過相應接口方便調用。
5G與4G相比,在接入域、網絡域、用戶域、應用域之外還增加了服務域安全,采用完善的服務注冊、發現、授權安全機制與安全協議及統一認證框架來應對全新服務化架構帶來的安全風險;在數據傳輸方面,5G對用戶身份標識采用空口加密傳送,對用戶面數據不僅加密還增加了數據完整性保護,對網絡運營商網間信令傳送增加了端到端的保護措施。云數據中心的虛擬化和資源池化保證數據中心的可用性不受某一設備故障所影響。AI可實現對網絡流量異常檢測、關聯用戶行為信息、制定數據風險模型、偵測可疑文件、定位黑客入侵的位置等。工業互聯網建立設備、網絡、平臺和數據全方位的安全措施,實現對企業生產全流程的安全智能監控。
新一代信息基礎設施是“雙刃劍”,在應對原有網絡安全問題之外,還將面對新的安全挑戰
第一,虛擬化的挑戰。5G網絡和云數據中心的虛擬化模糊了網絡的物理邊界,基于邏輯拓撲定義的虛擬安全域需要根據虛擬機的遷移狀況動態變化,傳統依賴物理邊界防護的安全機制難以奏效。另外,軟件定義網絡與網絡功能虛擬化的上層控制系統高度集中,容易成為網絡安全攻擊的對象,而底層計算、存儲及網絡資源共享將考驗安全隔離手段。
第二,開放性的挑戰。5G采用基于服務的網絡體系,開放業務生成和調用,網絡切片也可以開放給客戶自定義與調配,這與傳統移動網絡封閉的業務管理相比,惡意第三方容易獲得對網絡的操控能力。5G采用通用互聯網協議代替傳統移動網絡專用協議,擴展了業務能力,但更易受到外部攻擊。
第三,切片化的挑戰。5G、數據中心和工業互聯網都會面對大量有不同業務要求的租戶,以網絡切片方式在共享資源上按需提供VPN服務,切片間需要有效的安全隔離機制,以免某個低防護能力的網絡切片受攻擊后成為跳板而波及其他切片。
第四,大連接的挑戰。工業互聯網使用大量傳感器和PLC,量大且永遠在線而易成為DDoS攻擊的跳板,防入侵能力又受限于低功耗的輕量級安全算法。5G要支持每平方公里上百萬傳感器聯網,復雜的認證會引發信令風暴還會影響低時延的性能,車聯網還要求支持點到多點的V2V快速認證。
第五,開源化的挑戰。5G、數據中心和工業互聯網領域大量采用開源軟件,AI領域對第三方開源基礎庫過度依賴,加大了引入安全漏洞的風險。
第六,大數據的挑戰。新一代信息基礎設施依賴大數據挖掘,但難以保證數據不被污染,以失真的數據來訓練神經網絡,會使決策錯誤且因AI的結果具有不可解釋性而難以發現。通過將數據分布存儲和加密,可以防備數據被盜竊或篡改,但對于以勒索為目的的外部攻擊,會強行將數據再加密,使原有數據的擁有方也無法讀取數據。
新一代信息基礎設施更廣泛和深入服務于社會經濟,其安全問題帶來的后果更為嚴峻,需要有新的戰略思路來增強安全能力
第一,需要建立軟件定義的網絡安全機制。過去網絡安全依靠“老三件”(防火墻、入侵檢測和防病毒),基于硬件為主的外掛設備的被動和固化的防御方式。今后仍需邊界防護,但入口的安全能力應實現軟件定義并與網絡內部安全機制聯動。
第二,要以強化免疫能力為本。新一代信息基礎設施基本都是網絡化、云化、虛擬化和智能化,很多安全挑戰是內生的,需要增強免疫能力,從基礎設施技術開發與網絡設計開始就要有內生的安全理念,網絡安全能力與基礎設施是一個整體,網絡安全能力需與基礎設施同步建設并融入其中。
第三,從以產品為中心到服務為中心。過去我國的網絡安全企業主要收入來自硬件銷售,而國外同行則以服務收入為主。網絡安全永遠是魔高一尺道高一丈,網絡安全企業需要建立專業的服務隊伍,熟悉被服務企業的生產流程和信息技術產品,要將客戶從銷售對象轉為合作對象,為企業提供個性化安全服務。需要明確網絡安全企業與被服務企業間安全責任的邊界,保護被服務企業的數據安全與商業秘密。
第四,完善網絡安全的生態系統。網絡安全能力與基礎設施有同樣的生命周期,覆蓋從系統開發設計到項目上線檢測及運行應急處置,全過程需要有可依據的標準體系、制度規范和法律法規,需要建立第三方的應用服務安全檢測環境和生命周期的安全風險評估平臺,建設國家工業互聯網平臺安全監測預警系統,開展風險信息通報與應急處置工作。網絡安全生態的另一個維度覆蓋工業企業、設備供應商、基礎電信運營商、云服務商、工業互聯網平臺運營商、工業應用提供商、網絡安全企業、第三方檢測機構和用戶等,上下游都有維護網絡安全的責任,需要緊密合作實現威脅與處置情報共享。
網絡安全不是一個單純的技術問題,是涉及業務、管理、流程、團隊等各方面的系統工程。網絡安全需要國際合作,但基礎是需要建立我國自主可控的網絡安全技術、產品和服務的完整體系。
