国测专家：“新基建” 新安全 新思考

文│ 中国信息安全测评中心 任望 王永涛 程岩

一、新型基础设施安全保护至关重要

从新型基础设施所涉及的行业和领域来看，如通信、能源、交通等，其对我国国家安全和经济社会发展均具有非常重要的地位，因此新型基础设施安全保护至关重要。“新基建”中与网信、信息基础设施等相关领域的网络安全将是重中之重。安全自主可控、安全可靠、安全可信、安全保障和安全风险管理势必构成“新基建”的发展方针和策略。

“新基建”能否有效发挥作用离不开网络安全。“新基建”浪潮下，网络信息安全将变得更加错综复杂，其面临的安全形势将异常严峻。随着“新基建”的发展，应充分贯彻落实我国《网络安全法》、《密码法》等相关法律法规的要求，确保“新基建”核心技术、产品和服务的网络安全，形成我国安全自主可控的“新基建”安全体系，为经济社会发展保驾护航。

二、“新基建”面临的安全挑战

新型基础设施建设重点突出了信息化、数字化、智能化在未来社会基础设施中的重要作用。可以预见，“新基建”中的绝大部分建设内容将是我国关键信息基础设施的重要组成部分或是与关键信息基础设施密切关联。由此可见，应像重视关键信息基础设施安全一样重视新型基础设施的安全。以下将从几个角度来分析新型基础设施面临的新安全挑战。

（一）“新基建”产业链及供应链安全

为确保“新基建”能顺利为国家经济和社会发展安全发挥重要作用，势必保障“新基建”产业链和供应链的安全。构建“新基建”安全产业链、加强“新基建”供应链安全管理是当前发展“新基建”至关重要的内容。新型基础设施的核心技术和能力必须自主可控，建设永不被卡脖子的新型基础设施方是二十一世纪中华民族伟大复兴的必由之路。

中兴、华为事件再一次证明核心技术必须走自主可控的路线，核心产业及其供应链必须自力更生。新型基础设施建设涉及的范围广泛、专业精细，势必造成其产业链及供应链的复杂，确保其安全特别是链条上核心的科技安全乃是重中之重。因此“新基建”产业链及供应链特别是核心产业及其供应链必须掌握在自己手中，降低对外依赖度，强调自身创新发展。

随着我国《网络安全法》、《密码法》等网络安全相关法律法规的出台，特别是最近《网络安全审查办法》的发布，进一步为涉及我国国家安全和国计民生等重要领域的安全发展奠定了法律基础。“新基建”应在充分确保满足这些法律法规要求的条件下开展相关建设和运行，确保“新基建”及相关领域能够安全、有效地发挥作用。

（二）“新基建”融合安全

“新基建”涉及多领域、多范畴的协同、融合建设以及交叉发展，这无疑加大了安全复杂性，可以预见协同融合安全是“新基建”面临的安全新形势。“新基建”内容中的融合基础设施突显了融合特性，可以预见其涉及新技术融合、多领域融合、多行业融合等的发展和建设，在融合发展的过程中，安全问题将始终贯穿其中。比如，智能交通基础设施、智慧能源基础设施等，其涉及多种新信息技术、工业互联网物联网等的融合发展，形成相互交叉，相互促进又相互影响的态势。

融合基础设施建设本身是一个系统工程，协同融合建设在促进发展的同时，相互安全影响也将伴随而生。传统基础设施相对独立，构成了自身发展安全生态，融合基础设施的建设和发展将打破这种现有分离的安全平衡，安全将呈现“牵一发而动全身”的态势，安全及风险的影响将更加广泛和深入。因此，如何规避、减少或降低融合基础设施建设的安全风险及其影响将是关键。

与此同时，融合基础设施建设对传统的三同步，即“同步规划、同步建设、同步使用”提出了更高的要求，增加了实践难度。因此，协同融合安全在“新基建”浪潮下将变得极为重要，应引起关注和重视。

（三）“新基建”智能及智慧安全

“新基建”意味着将带来万物互联的智能世界，云计算是智能计算、5G是智能通信、AI提供丰富智慧、IoT提供智能互联，与此同时，智能及智慧安全呼之欲出，在“新基建”潮流下将凸显其重要性。随着人工智能等技术的发展和进步，“新基建”的推进，势必面临智能安全的威胁。例如，人工智能、智能交通、智慧电网乃至智慧城市等均将面临新形势下的智能安全挑战。

当前对智能及智慧的基本要求是尽量减少或降低人为参与度，按照人们预想的程序和流程持续执行并完成特定工作。在智能的信息世界中，智能的正确性、可持续性、可复现性等是非常重要的特性，破坏了它们即是破坏了智能安全，使其比传统安全面临更多的威胁。因此，如何确保“新基建”智能安全将是未来安全领域需要重点关注的内容。为确保“新基建”智能或智慧的安全，采取智能或智慧安全保护措施将是关键，智能监测发现、智能应急与恢复等将是应对智能安全的有效防护措施。

传统安全技术及措施应对智能安全威胁将显得捉襟见肘，力不从心。在“新基建”带来的智能时代，势必需要大力发展安全智能保护技术，以应对智能安全挑战。

三、“新基建”网络安全保护建议

为保障“新基建”推动中国经济转型升级的重要作用，确保其安全有序发展和持续安全运行至关重要。对“新基建”的网络安全保护有以下建议。

一是按照我国《网络安全法》、《密码法》、《网络安全审查办法》等法律法规，有效协同推进“新基建”发展，严格落实安全相关法律法规要求，提升“新基建”网络安全水平。对“新基建”涉及的核心产业链和供应链通过分析严格把关，以自主可控为主线，从维护国家安全角度统筹考虑“新基建”及其安全建设，有序推进并确保“新基建”的网络安全，避免留下后患。在“新基建”发展过程中，强化安全技术措施的三同步要求，即“同步规划、同步建设、同步使用”，深入确保“新基建”网络安全，将安全贯穿于规划、建设和使用的全阶段。

二是加强“新基建”网络安全技术研发和投入，提升网络安全能力，应对智能安全、融合安全等新安全威胁带来的安全挑战。以智能防护对抗智能安全为路线，大力推动智能防护技术的发展和进步，以应对未来智能基础设施的面临安全问题。针对融合安全，从设计和研发的着手，创新适用于“新基建”的新的安全体系框架和架构，降低安全威胁在多个领域、多个平台等之间的交叉影响及风险。

三是将安全测评及风险评估纳入新型基础设施建设安全风险管理过程，定期开展相关安全活动，对安全问题和风险做到“早发现、早应对”，以确保“新基建”的安全建设和运行。同时，推动相关测评标准、技术等的发展和进步，提升发现和揭示“新基建”安全风险的能力。

（本文刊登于《中国信息安全》杂志2020年第5期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。