鄔賀銓：新一代信息基礎(chǔ)設(shè)施須同步建設(shè)網(wǎng)絡(luò)安全能力

2018年12月在中央經(jīng)濟(jì)工作會(huì)上就提出新基建概念，在2020年3月中央統(tǒng)籌推進(jìn)新冠肺炎疫情防控和經(jīng)濟(jì)社會(huì)發(fā)展中更是將新基建提到戰(zhàn)略高度。新基建指的是建設(shè)“集約高效、經(jīng)濟(jì)適用、智能綠色、安全可靠的現(xiàn)代化基礎(chǔ)設(shè)施體系”，新一代信息基礎(chǔ)設(shè)施是其中的重點(diǎn)，還包括能源、交通等戰(zhàn)略性網(wǎng)絡(luò)型基礎(chǔ)設(shè)施。發(fā)展新基建也是為了更好地發(fā)揮傳統(tǒng)基建的作用，傳統(tǒng)和新型基礎(chǔ)設(shè)施將協(xié)同融合、統(tǒng)籌發(fā)展，為中國(guó)經(jīng)濟(jì)長(zhǎng)期高質(zhì)量可持續(xù)發(fā)展打下扎實(shí)的基礎(chǔ)。

在新一代信息基礎(chǔ)設(shè)施中，突出的是5G、數(shù)據(jù)中心、人工智能（AI）、工業(yè)互聯(lián)網(wǎng)及物聯(lián)網(wǎng)、信息網(wǎng)絡(luò)等

5G提供無(wú)線數(shù)據(jù)的寬帶實(shí)時(shí)傳輸與分發(fā)，數(shù)據(jù)中心作為云計(jì)算的后臺(tái)承擔(dān)了數(shù)據(jù)存儲(chǔ)、計(jì)算與處理，AI平臺(tái)實(shí)現(xiàn)數(shù)據(jù)挖掘與分析決策，工業(yè)互聯(lián)網(wǎng)支撐數(shù)據(jù)在產(chǎn)業(yè)鏈的采集、應(yīng)用與線上線下聯(lián)動(dòng)。它們共同完成數(shù)據(jù)鏈從采集到分析決策和應(yīng)用的全過(guò)程，發(fā)揮數(shù)據(jù)作為生產(chǎn)要素的作用。上述數(shù)據(jù)鏈的各環(huán)節(jié)還需要由作為底層網(wǎng)絡(luò)的IPv6下一代互聯(lián)網(wǎng)和光纖傳輸網(wǎng)承載，并且網(wǎng)絡(luò)安全能力將嵌入數(shù)據(jù)鏈的各環(huán)節(jié)中。新一代信息基礎(chǔ)設(shè)施既是基建項(xiàng)目，又是新型信息消費(fèi)平臺(tái)，更是戰(zhàn)略性新興產(chǎn)業(yè)，還是傳統(tǒng)產(chǎn)業(yè)數(shù)字化的新引擎，同時(shí)也是其他領(lǐng)域新基建的通用支撐技術(shù)，賦能傳統(tǒng)基建領(lǐng)域提質(zhì)增效。

新一代信息技術(shù)及其基礎(chǔ)設(shè)施，在疫情防控期間初露鋒芒

新一代信息技術(shù)有力支撐了對(duì)云課堂、云辦公、云復(fù)工、云簽約、云商貿(mào)等需求，培育了云經(jīng)濟(jì)，激活了超高清視頻直播和VR/AR等應(yīng)用，助力流行病學(xué)調(diào)查與密切接觸者的管理，提升了醫(yī)學(xué)影像數(shù)據(jù)分析與藥效評(píng)估的效率，促成了各類機(jī)器人在醫(yī)院送藥、護(hù)理、消毒和醫(yī)療廢物處理等場(chǎng)景的應(yīng)用，優(yōu)化了緊缺物資的組織調(diào)配與物流，保障了對(duì)社區(qū)的精細(xì)化管理。

新一代信息基礎(chǔ)設(shè)施在經(jīng)濟(jì)領(lǐng)域的貢獻(xiàn)更為顯著，不僅表現(xiàn)在保駕復(fù)工復(fù)產(chǎn)，在生產(chǎn)組織、智能制造、智能質(zhì)檢、供應(yīng)鏈管理、市場(chǎng)營(yíng)銷(xiāo)、客戶服務(wù)、財(cái)務(wù)管理、產(chǎn)業(yè)信貸和人員培訓(xùn)等環(huán)節(jié)也都有成功的應(yīng)用案例，今后還將加快推廣以取得更大的效益。

新一代信息基礎(chǔ)設(shè)施的建設(shè)將增加IT領(lǐng)域的投資，帶動(dòng)勞動(dòng)生產(chǎn)率提升，促進(jìn)經(jīng)濟(jì)增長(zhǎng)

根據(jù)IHS Market咨詢公司的預(yù)測(cè)，2035年全球經(jīng)濟(jì)會(huì)因5G使GDP提升7%，其中中國(guó)將因5G而增加GDP1.13萬(wàn)億美元和新增就業(yè)1090萬(wàn)人。中國(guó)信通院發(fā)布5G對(duì)中國(guó)經(jīng)濟(jì)短期（2020—2025）影響的報(bào)告預(yù)測(cè)，5G直接和間接帶動(dòng)GDP分別增加3.3萬(wàn)億元和8.4萬(wàn)億元，新增就業(yè)崗位300萬(wàn)人。根據(jù)Gregory L.Richards等人在2012年發(fā)表的論文，云計(jì)算的投資加倍將使GDP增長(zhǎng)約12.2%~13.5%。根據(jù)2010—2020年間對(duì)美國(guó)云計(jì)算投資增長(zhǎng)的測(cè)算，可得出該期間美國(guó)GDP增速的1/3與云計(jì)算有關(guān)。據(jù)埃森哲公司對(duì)12個(gè)主要國(guó)家的研究，AI將使這些國(guó)家2035年平均GDP增速加倍，其中中國(guó)GDP將因AI增加1.6個(gè)百分點(diǎn)。麥肯錫公司則認(rèn)為，到2030年AI可為全球額外貢獻(xiàn)13萬(wàn)億美元的GDP增長(zhǎng)，平均年增1.2%。埃森哲公司還對(duì)工業(yè)互聯(lián)網(wǎng)的經(jīng)濟(jì)貢獻(xiàn)做出了預(yù)測(cè)，到2030年工業(yè)互聯(lián)網(wǎng)能夠?yàn)槿�球�?jīng)濟(jì)帶來(lái)14.2萬(wàn)億美元的經(jīng)濟(jì)增長(zhǎng)。中國(guó)信通院預(yù)計(jì)2020年我國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)占GDP比重約為2.9%，對(duì)經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)將超過(guò)11%，并帶動(dòng)超過(guò)255萬(wàn)個(gè)新增就業(yè)崗位。從上述這些數(shù)據(jù)看，新一代信息基礎(chǔ)設(shè)施是當(dāng)之無(wú)愧的數(shù)字經(jīng)濟(jì)新動(dòng)能。

數(shù)字經(jīng)濟(jì)的價(jià)值釋放與長(zhǎng)遠(yuǎn)發(fā)展的前提是網(wǎng)絡(luò)安全保障

新一代信息基礎(chǔ)設(shè)施在設(shè)計(jì)上已考慮更靈活的安全機(jī)制并強(qiáng)化網(wǎng)絡(luò)安全技術(shù)與配置，例如5G基于軟件定義架構(gòu)將安全能力以模塊方式封裝并通過(guò)相應(yīng)接口方便調(diào)用。

5G與4G相比，在接入域、網(wǎng)絡(luò)域、用戶域、應(yīng)用域之外還增加了服務(wù)域安全，采用完善的服務(wù)注冊(cè)、發(fā)現(xiàn)、授權(quán)安全機(jī)制與安全協(xié)議及統(tǒng)一認(rèn)證框架來(lái)應(yīng)對(duì)全新服務(wù)化架構(gòu)帶來(lái)的安全風(fēng)險(xiǎn)；在數(shù)據(jù)傳輸方面，5G對(duì)用戶身份標(biāo)識(shí)采用空口加密傳送，對(duì)用戶面數(shù)據(jù)不僅加密還增加了數(shù)據(jù)完整性保護(hù)，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)間信令傳送增加了端到端的保護(hù)措施。云數(shù)據(jù)中心的虛擬化和資源池化保證數(shù)據(jù)中心的可用性不受某一設(shè)備故障所影響。AI可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量異常檢測(cè)、關(guān)聯(lián)用戶行為信息、制定數(shù)據(jù)風(fēng)險(xiǎn)模型、偵測(cè)可疑文件、定位黑客入侵的位置等。工業(yè)互聯(lián)網(wǎng)建立設(shè)備、網(wǎng)絡(luò)、平臺(tái)和數(shù)據(jù)全方位的安全措施，實(shí)現(xiàn)對(duì)企業(yè)生產(chǎn)全流程的安全智能監(jiān)控。

新一代信息基礎(chǔ)設(shè)施是“雙刃劍”，在應(yīng)對(duì)原有網(wǎng)絡(luò)安全問(wèn)題之外，還將面對(duì)新的安全挑戰(zhàn)

第一，虛擬化的挑戰(zhàn)。5G網(wǎng)絡(luò)和云數(shù)據(jù)中心的虛擬化模糊了網(wǎng)絡(luò)的物理邊界，基于邏輯拓?fù)涠�義的虛擬安全域需要根據(jù)虛擬機(jī)的遷移狀況動(dòng)態(tài)變化，傳統(tǒng)依賴物理邊界防護(hù)的安全機(jī)制難以奏效。另外，軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)功能虛擬化的上層控制系統(tǒng)高度集中，容易成為網(wǎng)絡(luò)安全攻擊的對(duì)象，而底層計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源共享將考驗(yàn)安全隔離手段。

第二，開(kāi)放性的挑戰(zhàn)。5G采用基于服務(wù)的網(wǎng)絡(luò)體系，開(kāi)放業(yè)務(wù)生成和調(diào)用，網(wǎng)絡(luò)切片也可以開(kāi)放給客戶自定義與調(diào)配，這與傳統(tǒng)移動(dòng)網(wǎng)絡(luò)封閉的業(yè)務(wù)管理相比，惡意第三方容易獲得對(duì)網(wǎng)絡(luò)的操控能力。5G采用通用互聯(lián)網(wǎng)協(xié)議代替?zhèn)鹘y(tǒng)移動(dòng)網(wǎng)絡(luò)專用協(xié)議，擴(kuò)展了業(yè)務(wù)能力，但更易受到外部攻擊。

第三，切片化的挑戰(zhàn)。5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)都會(huì)面對(duì)大量有不同業(yè)務(wù)要求的租戶，以網(wǎng)絡(luò)切片方式在共享資源上按需提供VPN服務(wù)，切片間需要有效的安全隔離機(jī)制，以免某個(gè)低防護(hù)能力的網(wǎng)絡(luò)切片受攻擊后成為跳板而波及其他切片。

第四，大連接的挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)使用大量傳感器和PLC，量大且永遠(yuǎn)在線而易成為DDoS攻擊的跳板，防入侵能力又受限于低功耗的輕量級(jí)安全算法。5G要支持每平方公里上百萬(wàn)傳感器聯(lián)網(wǎng)，復(fù)雜的認(rèn)證會(huì)引發(fā)信令風(fēng)暴還會(huì)影響低時(shí)延的性能，車(chē)聯(lián)網(wǎng)還要求支持點(diǎn)到多點(diǎn)的V2V快速認(rèn)證。

第五，開(kāi)源化的挑戰(zhàn)。5G、數(shù)據(jù)中心和工業(yè)互聯(lián)網(wǎng)領(lǐng)域大量采用開(kāi)源軟件，AI領(lǐng)域?qū)Φ谌�方開(kāi)源基礎(chǔ)庫(kù)過(guò)度依賴，加大了引入安全漏洞的風(fēng)險(xiǎn)。

第六，大數(shù)據(jù)的挑戰(zhàn)。新一代信息基礎(chǔ)設(shè)施依賴大數(shù)據(jù)挖掘，但難以保證數(shù)據(jù)不被污染，以失真的數(shù)據(jù)來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，會(huì)使決策錯(cuò)誤且因AI的結(jié)果具有不可解釋性而難以發(fā)現(xiàn)。通過(guò)將數(shù)據(jù)分布存儲(chǔ)和加密，可以防備數(shù)據(jù)被盜竊或篡改，但對(duì)于以勒索為目的的外部攻擊，會(huì)強(qiáng)行將數(shù)據(jù)再加密，使原有數(shù)據(jù)的擁有方也無(wú)法讀取數(shù)據(jù)。

新一代信息基礎(chǔ)設(shè)施更廣泛和深入服務(wù)于社會(huì)經(jīng)濟(jì)，其安全問(wèn)題帶來(lái)的后果更為嚴(yán)峻，需要有新的戰(zhàn)略思路來(lái)增強(qiáng)安全能力

第一，需要建立軟件定義的網(wǎng)絡(luò)安全機(jī)制。過(guò)去網(wǎng)絡(luò)安全依靠“老三件”（防火墻、入侵檢測(cè)和防病毒），基于硬件為主的外掛設(shè)備的被動(dòng)和固化的防御方式。今后仍需邊界防護(hù)，但入口的安全能力應(yīng)實(shí)現(xiàn)軟件定義并與網(wǎng)絡(luò)內(nèi)部安全機(jī)制聯(lián)動(dòng)。

第二，要以強(qiáng)化免疫能力為本。新一代信息基礎(chǔ)設(shè)施基本都是網(wǎng)絡(luò)化、云化、虛擬化和智能化，很多安全挑戰(zhàn)是內(nèi)生的，需要增強(qiáng)免疫能力，從基礎(chǔ)設(shè)施技術(shù)開(kāi)發(fā)與網(wǎng)絡(luò)設(shè)計(jì)開(kāi)始就要有內(nèi)生的安全理念，網(wǎng)絡(luò)安全能力與基礎(chǔ)設(shè)施是一個(gè)整體，網(wǎng)絡(luò)安全能力需與基礎(chǔ)設(shè)施同步建設(shè)并融入其中。

第三，從以產(chǎn)品為中心到服務(wù)為中心。過(guò)去我國(guó)的網(wǎng)絡(luò)安全企業(yè)主要收入來(lái)自硬件銷(xiāo)售，而國(guó)外同行則以服務(wù)收入為主。網(wǎng)絡(luò)安全永遠(yuǎn)是魔高一尺道高一丈，網(wǎng)絡(luò)安全企業(yè)需要建立專業(yè)的服務(wù)隊(duì)伍，熟悉被服務(wù)企業(yè)的生產(chǎn)流程和信息技術(shù)產(chǎn)品，要將客戶從銷(xiāo)售對(duì)象轉(zhuǎn)為合作對(duì)象，為企業(yè)提供個(gè)性化安全服務(wù)。需要明確網(wǎng)絡(luò)安全企業(yè)與被服務(wù)企業(yè)間安全責(zé)任的邊界，保護(hù)被服務(wù)企業(yè)的數(shù)據(jù)安全與商業(yè)秘密。

第四，完善網(wǎng)絡(luò)安全的生態(tài)系統(tǒng)。網(wǎng)絡(luò)安全能力與基礎(chǔ)設(shè)施有同樣的生命周期，覆蓋從系統(tǒng)開(kāi)發(fā)設(shè)計(jì)到項(xiàng)目上線檢測(cè)及運(yùn)行應(yīng)急處置，全過(guò)程需要有可依據(jù)的標(biāo)準(zhǔn)體系、制度規(guī)范和法律法規(guī)，需要建立第三方的應(yīng)用服務(wù)安全檢測(cè)環(huán)境和生命周期的安全風(fēng)險(xiǎn)評(píng)估平臺(tái)，建設(shè)國(guó)家工業(yè)互聯(lián)網(wǎng)平臺(tái)安全監(jiān)測(cè)預(yù)警系統(tǒng)，開(kāi)展風(fēng)險(xiǎn)信息通報(bào)與應(yīng)急處置工作。網(wǎng)絡(luò)安全生態(tài)的另一個(gè)維度覆蓋工業(yè)企業(yè)、設(shè)備供應(yīng)商、基礎(chǔ)電信運(yùn)營(yíng)商、云服務(wù)商、工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商、工業(yè)應(yīng)用提供商、網(wǎng)絡(luò)安全企業(yè)、第三方檢測(cè)機(jī)構(gòu)和用戶等，上下游都有維護(hù)網(wǎng)絡(luò)安全的責(zé)任，需要緊密合作實(shí)現(xiàn)威脅與處置情報(bào)共享。

網(wǎng)絡(luò)安全不是一個(gè)單純的技術(shù)問(wèn)題，是涉及業(yè)務(wù)、管理、流程、團(tuán)隊(duì)等各方面的系統(tǒng)工程。網(wǎng)絡(luò)安全需要國(guó)際合作，但基礎(chǔ)是需要建立我國(guó)自主可控的網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)的完整體系。