三院士三委員共話“安全基建”：讓數字基建的每塊磚都安全可溯源

今年政府工作報告提出，加強新型基礎設施建設，這是自2018年底“新基建”概念提出以來，首次被寫入政府工作報告，“新基建”發展按下政策快進鍵。

不過，“新基建”在迎來風口的同時，也面臨網路安全的挑戰。今年全國兩會期間，多位全國政協委員、院士和安全行業的專家在多個場合提出，數字基建就是“新基建”，安全是發展“新基建”的重中之重，應加強“安全基建”建設，讓數字基建的每一塊磚，從建立之初都安全可溯源。

網路安全是發展“新基建”重中之重

今年，受新冠肺炎疫情影響，線上交易、遠端辦公、線上教育等數字化轉型程式加快，發展5G、資料中心等“新基建”成為社會共識。就在不久前，國家發改委還明確“新基建”的範疇，包括資訊基礎設施、融合基礎設施、創新基礎設施等三大領域。

“新基建”在迎來發展機遇的同時，網路安全可能面臨新一輪挑戰。

國家計算機網路應急技術處理協調中心釋出的報告顯示，2019年DDoS攻擊高發頻發且攻擊組織性與目的性更加凸顯，僅某駭客組織對我國300餘家政府網站就發起1000多次攻擊；APT攻擊在重大活動和敏感時期更加猖獗；移動惡意應用程式大量出現等。

在“新基建”風口下，新技術應用帶來新安全隱患將更加嚴峻。中國工程院院士方濱興認為，網路安全取決於新技術帶來的新的安全問題，“新基建”帶來新技術，就必然伴生新的安全問題。

數字基建下的的網路安全問題影響範圍將更加廣泛。全國政協常委、民建中央副主席、上海市政協副主席周漢民在今年全國兩會上提交的提案中說，隨著“數字基建”的推進，更多業務會以“網路+APP”形式來服務大眾，網路安全的影響也就從原來的物理實體走向網路虛擬體，一旦出現網路安全問題，將給數字經濟帶來顯著影響。

全國政協常委、民建中央副主席、上海市政協副主席周漢民

中國工程院院士倪光南也表達了安全對“新基建”的重要性。他在接受採訪時說，要把“新基建”做好，特別重要的一個關鍵詞就是網路安全，因為“新基建”大量是屬於資訊領域的基礎設施建設，如果網路安全方面做得不夠，一定是達不到要求，網路安全是重中之重。

 “安全基建”理念已成為安全行業的共識

“新基建”背景下，如何解決網路安全風險問題？

全國政協委員、中國科學院資訊工程研究所所長孟丹指出，未來的網路安全公司也不能僅從攻防的視角來考慮網路安全問題，需要從甲方視角出發，重新構建新一代安全架構和安全基建標準。

周漢民、彭靜等全國政協委員認為，像阿里巴巴這樣的大型網際網路企業，在發展數字經濟和數字基建過程中，沉澱了豐富的安全能力和安全應用場景，可以就如何建設“安全基建”標準，提供實踐參考。

企業界對建立新基建的安全體系是高度認同的。啟明星辰集團助理總裁、首席研究員朱錢杭表示：“現在社會發展飛速，無論是人們生活消費還是企業運算已經無法離開數字結算，因此數字經濟安全便成為發展歷程中極其重要的一環，必須擁有一個完善的體系標準才能確保整個社會經濟的平穩發展。” 

微步線上合夥人李秋石也十分認同從源頭構築安全的理念。他表示，網路安全建設應融入整個數字基建的完整生命週期，“對於數字基建專案，要有能力檢測攻擊源頭和攻擊目的，及時發現重要的攻擊行為和目的，並在第一時間進行有效的安全響應，實現安全態勢的知彼知己。”

今年3月底，阿里巴巴釋出數字基建新一代安全架構，率先提出“安全基建”概念，關注各類App和網站等數字經濟實體在搭建過程中建立標準化流程、引入關鍵技術，構建 “安全施工標準”，確保數字經濟實體在建設之初就執行在較高安全基線上。

阿里巴巴數字基建新一代安全架構

阿里安全首席架構師錢磊認為，傳統網路安全關注的重心大多在安全技術和產品方面，解決單點的問題，而真正的安全能力是在具體業務的場景中千錘百煉成長出來的，會運用多種技術的組合去解決業務問題。不同業態和數字技術結合所帶來的全新化學反應，也要求新一代的安全架構要立足甲方視角，以解決不同場景下的實際問題為目標。

錢磊舉例說，過去的網路安全關注的是造城牆本身，但是買來的磚頭出現了問題和漏洞，城牆蓋的再好也沒用。另外，城門被攻破後是否就一馬平川，有沒有甕城做安全區隔也是設計者必須考慮的問題。

“‘安全基建’概念的提出，關注在數字經濟實體的搭建過程中建立標準化流程、引入關鍵技術，解決的就是數字經濟實體搭建的‘安全施工標準’問題。”錢磊介紹說，這一標準涵蓋軟體供應鏈安全、技術和業務漏洞檢測、隱私與內容風險檢測、應用可信等多個維度。要從建設之初就要開始打造免疫力，真正讓每一塊磚頭都安全可溯源。

中國工程院院士鄔賀銓在接受採訪時說，網路安全不再是事後應對的問題，僅靠原來的賣盒子、防火牆的方法論，顯然無法解決新基建帶來的新挑戰，要將網路安全措施與新基建同步部署，而不是出了問題再打補丁。

倪光南認為，“新基建”一開始就要採用我國安全可控的資訊科技體系，保證基礎設施的安全。

多位委員建議出臺“安全基建”國家標準

只有安全的基礎設施建設，才能確保數字經濟持續健康發展。今年全國兩會上，多位全國政協委員就如何構建“安全基建”建言獻策。

全國政協委員彭靜建議重視從源頭構建安全能力的安全建設理念。她認為，網路安全不是事後應對的問題，而是事前提高“免疫力”的問題，要在廣大企事業單位加強網路安全的教育和宣傳，設定安全研發生產的紅線。在數字基建的初始，就同步構建安全基礎設施、提升風險免疫能力。

孟丹就完善新基建安全體系建設提出了建議。他認為，網路安全正在由過去的“輔助性”功能變成數字基礎設施的重要一環，數字基建在建設伊始就要考慮安全體系的同步構建，從被動防控向主動防禦轉變。

因此，他建議，由國家網際網路資訊辦公室牽頭，聯合工業和資訊化部、公安部等有關部門，聯動數字化程度較高的上游企業以及對安全體系、技術有深度研究的國立科研院所參與，產學研用全面結合，構建完整的安全基礎設施。

周漢民也提出要加強“安全基建”能力建設。他建議在壯大網路安全產業的過程中，讓更多有技術能力、有應用場景的企業和科研院所等參與到數字經濟的網路安全建設中。把在不同領域、不同行業領先的安全能力變成國家網路安全能力體系的重要組成部分。

出臺數字經濟“安全基建”標準也成為三位政協委員關注的話題。周漢民建議，有關部門應儘快組織關於“安全基建”標準的調研，廣泛瞭解企業在實踐中積累且行之有效的做法，結合新一代資訊通訊技術發展情況，為構建完整的安全基礎設施提供參考。

孟丹則建議探索政府牽頭、企業參與、國立科研機構攻關的共建模式，儘快制定國家標準，為各類APP和網路平臺的建立標準化的安全搭建流程和操作規範。