火热新基建下的“冷思考”
即将开播:5月14日,Jenkins在K8S下的三种部署流程和实战演示
网络安全是新基建的基础,而新基建的提出,又进一步推动了网络世界和物理世界的交融。随着国家发改委对新型基础设施的范围的明确,“新基建”一词可预见地会成为2020年的核心关键词之一。
3月,已有 25 个省市的政府工作报告提及新型基建,其中 8 个地区明确规划了年内计划新建 5G 基站的数量,合计超过 30 万个。
4月20日,国家发改委首次明确了中国“新基建”的范围、当前的工作重点。当天,A股的卫星互联网板块集体飙升。
5月,广州73个重大数字新基建项目签约及揭牌,总投资约1800亿元。
……
在盛夏来临之前,新基建已经让所有人都感受到了火热。
“新”在哪里
相比过去认知的基础设施,“新型”基础设施指的是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,提供数字转型、智能升级、融合创新等服务的基础设施体系。
简单来说,3类设施7大领域。
3类设施可以理解为:
7大领域则包括了5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能和工业互联网。
从3类和7大来看,新基建更像是一个新旧融合的必然进程。一方面,不管是7大里面的城际高速铁路和城市轨道交通,还是3类里面基于大数据、人工智能等技术而转型升级的传统基础设施,都是不完全“新”的事物,它们一般关乎国计民生,是真正的发展已久的“基础”。另一方面,5G基站、大数据中心、人工智能等更新鲜的东西也融入到基础设施范畴中来,是支撑数字经济、智慧社会发展的新兴力量。
在简单介绍、明确新基建的范围后,我们要做的不仅仅是新基建的推进和落地,如何让新型基础设施运营者理解、重视过去基础设施所面临的安全威胁,又如何从过去基础设施面临的安全状态中抽离,去探索、正视新基建环境下新的安全挑战,这一定是所有基础设施运营者及相关安全人员必须思考的问题。
基础设施面临的安全威胁
“传统”认知里的基础设施是什么样呢?是为社会生产和居民生活提供公共服务的工程设施,用于保证国家或地区社会经济活动正常进行的公共服务系统。比如电网、供水站、公路运输等,而在网络战中,这些(关键)基础设施也往往成为攻击者的靶子。
不管是经典的乌克兰二次断电事件,还是前几天委内瑞拉电网干线遭攻击,全国大面积停电,都是非常典型的前车之鉴。
因为重要,所以更危险。也由此基础设施的安全问题一直以来是各国都在反复思考并急于寻求解决方案的,我国也早在2017年就发布《关键信息基础设施安全保护条例(征求意见稿)》,公开征求意见。但总体来说,针对关键基础设施的攻击从来没有停止过。主要的现实原因在于:
- 攻击效果明显:相比针对个体/企业的攻击行为,对基础设施的成功攻击让恶意分子有很大机会可以给目标地区甚至国家带来巨大的经济损失和名誉损害,攻击危害更大。这也导致一些专业的黑客组织或者是国家级APT将目标瞄准基础设施。
- 遗留设备问题:遗留设备仍继续在关键基础设施的持续性和稳定性方面起到重要作用。很多基础设施由于建设年代久远,存在系统老旧、设备漏洞未更新、运行操作系统或软件已经过时(制造商不再支持)的情况,安全隐患重重,给恶意分子留下机会。
这些问题同样会映射到新基建中,甚至在以5G基站、工业互联网、物联网、卫星互联网等为代表的网络基础设施中,出现了新的安全隐患。
新基建下的多重安全挑战
首先,可以预想到的是,随着新基建的不断深化,需要重点保护的基础设施将大规模增加,需要更多的资金投入于安全系统/设备/服务及安全团队的建设。同时,数字化逐渐成为这些基础设施的核心,数据安全问题、生产安全问题和底层芯片将持续成为国家和相关运营者必须关注的重点,新基建过程中相关的软硬件产品安全、数字化基础设施之间的网络互连都需要有效而安全的审核。
其次,新型基础设施建设的安全标准是否准备好。5G基站和卫星互联网都被纳入新基建范畴,但在标准规范上仍然需要更多明确的划分。同时,在这个时间点发布并将于6月1日起实施的《网络安全审查办法》,也让关键基础设施运营者有了更多冷静的思考。对于关键基础设施运营者来说,尤其是新被纳入”基建“范畴的基础设施运营者来说, 需要更充分地去理解《办法》的审查立意和措施,从而进行安全合规规划。而最核心的就是要从更加侧重技术性规则到更加侧重核心供应链“自主可控”。
5月1日,特朗普签署了一项行政命令,禁止在美国电网中使用一些外国制造的供电部件。紧随其后,美国商务部于5月4日表示,将启动所谓的“232调查”(Section 232 inquiry),审查美国变压器、变压器铁芯、变压器调节器等零部件的进口量是否威胁了国家安全。众所周知,变压器是能源基础设施的关键部件,而电工钢制造的变压器铁芯是全国配电的必要装置。对这些产品提供有保障的国内供应,将使国家有能力应对大型电力中断,减少突发电力中断(有时候是来自外部势力攻击)对人民、关键基础设施和国家工业生产能力的影响。
尽管美国这一做法可能会带来针对电网零部件加征新关税的结果,但从本质来看,也是美国在关键基础设施供应链安全上的重要防范举措。而在我国落地《网络安全审查办法》和建设新型基础设施过程中,基础设施运营者也需要树立相应的新的网络安全观,从点到面,高度重视核心供应链的自主可控。
最后,新基建的推行,再度推动物理世界和网络世界的交融,而在带来便民和经济增加的利好的同时,也带来了更多攻击面。未来,在利益的驱动下,更激烈的网络空间对抗会发生在数字化的基础设施领域,一次网络攻击,不仅仅影响系统、数据的安全,还能直接影响到人们的办公环境、居家环境、出行环境以及通信和日常生活(水电)。针对新基建带来的新的安全问题,需要相关运营者和安全人员在新型基础设施建设之初就融入安全,从产业生态角度加强防护体系建设,并根据基础设施安全相关的法律法规进行合规操作,定期进行联动的规模化演练,守好新基建的安全阵地。
