4月20日,国家发改委明确了新型基础设施的范围:新基建是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。从新基建所包含的维度来看,无论是信息基础设施、融合基础设施还是创新基础设施,都无一例外地与产业数字化升级所必要的底层建设相契合。
新基建将加速产业互联网发展,而网络安全是新基建发展的基础。
在产业互联网时代,数据将成为产业互联网时代的全新生产要素。数据在产业链中的采集、挖掘和使用,关系到国家安全、企业商业利益和个人信息保护,一旦出现安全问题,将构成极大损失。同时,新基建推动新技术广泛的创新应用,也会带来全新的安全风险和安全问题。如5G和工业互联网带来“触网”终端数量与种类爆发式增长,现有的以用户为视角的安全观已无法满足需要;数据的无限流动,也会给安全防护带来巨大挑战。
面对全新的安全挑战,产业互联网时代的安全能力无疑需要进一步提升。尤其在政务数字化、制造业创新、银行数字化转型、城市智能化等产业趋势下,实现从网络安全到产业安全的快速升维,建立产业安全战略观,推动安全主体从以人为中心向以产业为中心转变、安全思维从被动防御向主动规划转变、安全形态从合规导向的集成安全向数字资产的原生安全转变、安全交付从以产品为中心向以服务为中心转变。
针对“新基建”与“新安全”的命题,本文特邀国家工业信息安全发展研究中心检查评估所所长张格与腾讯产业安全运营部总经理吕一平两位专家,共同探究“新基建”大潮下,产业安全的机遇与挑战。
一、安全是新基建能否成功的决定性要素
在产业互联网时代,现实世界和虚拟世界的边界随着新技术的应用而逐渐模糊,虚拟世界的风险将会直接对现实世界产生威胁;对于虚拟世界的安全防护,一定程度上等同于保护现实世界的人身和公共安全。安全产业必须转变防护思路、加强联动,并从根本上成为“新基建”中的基础性命题,才能够在“新基建”发展中发挥最大的价值。
Q:安全产业能够在“新基建”中发挥什么价值?
张格:
新基建会推动网络安全管理职责和定位的进一步加强,带来网络安全工作自上而下的强化,网络安全也会在信息化建设中参与更多的工作,新的安全可控的技术也将得到更广泛的应用。
总书记在网络安全和信息化领导小组第一次会上指出:网络安全和信息化是一体之两翼,驱动之双轮。也就是说,信息化和安全的结合越来越紧密,安全会达到和信息化平起平坐的高度。甚至于说信息化的应用能否成功推广,要取决于安全的能力建设。
通过新基建的全面推进,国家在未来也许会进入到万物互联的全新时代。无论是数据的集中管理、大规模的平台应用还是高速网络应用,安全都是决定性的因素,安全也将会与信息化承担同等重要的作用。
Q:“新基建”的发展给网络安全带来了哪些新的要求和挑战?
张格:
就政策层面来看,我认为新基建未来会给网络安全提出四个方面的总要求。
第一,进一步强化企业的网络安全管理。
第二,从以前单纯的重边界防护向纵深防御转变。
第三,网络安全保护核心将从设施设备的保护逐步转向对关键数据的保护。
第四,网络安全需要加强协同联动,从单一的个体防御向整体防护转变。
此外,新基建给网络安全带来的要求,还体现在管理和技术思路上的变化。传统观念认为,基础设施的网络安全问题只存在于网络和信息化的部分,而新基建之下,包括基础设施整体上的运转、生存、生产的运行等,都必须有安全的保障。
在这些要求的背后,是网络安全将要面对的三方面新的挑战。
第一,新基建必然会导致网络安全边界的模糊。
第二,网络攻击对实体设施的打击将会成为持续性状态。
第三,数据泄露后所造成的影响将会进一步扩大,甚至威胁整个产业。
二、新基建发展,要求网络安全
尽快“自我升维”
网络安全是国家安全的重要基础,也是经济安全、社会安全、民生安全的重要保障。新基建为安全提出了新的要求,安全产业也必须依托于新基建的宏观部署,尽快在安全思维、安全管理系统、安全技术储备、安全人员培养、安全生态建设等方面实现“自我升维”。
Q:安全产业当前是否具备匹配“新基建”基础的资质?
张格:
首先,我国作为一个全球的网络大国,网络安全产业规模实际上和网络安全大国的地位是不相匹配的。一来是很多投入没有真正纳入到网络安全产业,而是被其他产业所稀释;二来我国的网络安全产业以民营经济为主体,产业能力相对偏弱。
其次,从技术层面来看,安全产业许多核心技术还是以国外技术为主,这将导致安全与新基建发展的不匹配。
最后,当前的市场环境里安全还存在合规性为主,重产品、轻服务、重设备、轻配置的情况,大量优秀的网络安全解决方案难以推广,这也会限制未来网络安全在新基建发展里发挥的作用。
所以从整体上来讲,当前的网络安全还无法对新基建达到全面保护的状态,但随着上升的空间和动力越来越大,产业安全必然会跟上信息化建设的步伐,适应新基建的发展,未来可期。
Q:那么,安全产业应当做出哪些转变,来填补“新基建”中的安全空白?
张格:
从网络安全企业来说,现阶段首要关注的是人才和技术的积累。我们需要从网络大国真正转型成为网络强国,在安全产业上最需要的就是人才和技术的沉淀。
从产业角度来看,网络安全还受制于信息技术的整体发展。包括芯片技术在内,我国信息技术的发展与第一梯队国家相比还存在较大的差距,接下来我们还需要继续加强信息技术的提升。
此外,网络安全产业的市场能力和其他行业相比有些偏弱,完全开放市场化竞争的网络安全市场环境还没有得到全面的形成。因此,安全产业需要共同培养促进市场的开放程度,形成良好的生态环境,提升市场能力。
三、新基建背景下,网络安全迫切需要
向产业安全换挡升级
“新基建”涉及的细分技术应用和业务场景众多,且每一项都离不开网络安全的保障。而现阶段网络安全市场碎片化突出,细分环节精细繁杂,一定程度上导致了整体解决方案的缺失。新基建的产业链特征要求安全产业也要立足于整体,从产业视角和业务的视角出发,提出整体性的解决方案,尽快完成向产业安全升级,才能匹配“新基建”的布局。
Q:“新基建”数量众多的细分领域是否给安全产业的布局增加了难度?
吕一平:
如果我们从技术层面来看新基建的布局,它的确是很散的。但如果我们换一个视角,从行业应用场景角度去看新基建,每一个技术之间其实是相互串联的。
以汽车行业为例,自动驾驶体系首先需要应用5G网络;其次,随着新能源汽车的普及,国家会在未来加大充电桩的部署,这还需要特高压的支持;再者,对于车联网场景下海量数据的存储和使用,离不开大数据平台的建立,而在配套服务等场景,还需要人工智能的应用。
此外,未来的汽车生产还将完全走向定制化,客户根据自己喜好在线下单进行定制化生产,从而满足个性化的需求。这些都离不开工业互联网的支持。
因此仅以汽车行业为例,就串联了5G、特高压、充电桩、大数据、人工智能和工业互联网等“新基建”技术。因此站在行业的视角上,新基建的所有能力和场景围绕某一个行业其实都可以有所展开。
作为网络安全,就必须要关注行业的应用场景和核心业务,只有更好地理解客户的业务场景,我们才能够做好新时代的安全工作。
四、“新基建”需建立产业安全生态圈
面对“新基建”提出的新要求,已经没有任何一家安全厂商可以独立完成,能力互补、合作共建,已经成为行业大势所趋。以生态协同为整体的模式逐渐成为安全行业发展的共识,在“新基建”当前成为了安全产业布局的重要基础。在2017年的CSS互联网安全领袖峰会(Cyber Security Summit) 上,腾讯联合天融信、卫士通、启明星辰、绿盟科技等国内13家上市安全企业发起成立安全领袖俱乐部,旨在共同探索产业合作与发展,就很好地体现了安全生态的价值,这一组织也于2019年扩大到了17家。
Q:产业安全生态圈的建立对于“新基建”的发展是否具有重要意义?
吕一平:
未来的生态应该包含两个方面,一是安全的能力生态,二是行业的生态。
新基建所涉及的每一个行业规模都非常大,这也就决定了应对新基建所提出的网络安全要求,光靠某一家企业是很难独自实现的。因此通过生态形成合力,集成各自的专业,共同对外输出保护新基建的网络安全,就显得更有价值。
我们需要充分理解客户的业务场景和应用,客户和行业也需要更好地理解安全的价值,形成双向价值的理解。这个过程需要大量的生态伙伴协同配合,更好地理解客户,同时引导客户和行业来理解我们对它们的价值,这就是生态的作用,也是腾讯当前在重点布局的事情。
张格:
新基建的网络安全需要生态圈的支持,生态圈的建立,离不开政府、行业组织、科研机构以及安全企业共同的合作和联动,最终促成生态的形成。这个过程中我们需要避免技术壁垒、政策壁垒和市场壁垒的出现。
随着近两年包括腾讯安全、360、奇安信、启明这些大型安全企业,不断推进以自己安全为核心的生态体系建设,这种以安全为核心的生态虽然还远远没有形成,但已经逐渐得到了建立。
栏目简介:
在中国产业互联网发展联盟的指导下,安在新媒体联合腾讯共同启动了「产业安全观智库访谈」。围绕产业安全的发展趋势,结合当前实事热点,诚邀业界专家、学者及意见领袖倾情分享。希望借此启发思考、引导讨论、催生行动,为中国产业互联网及产业安全在新形势下的应变和发展寻求思路。