邬贺铨：新一代信息基础设施须同步建设网络安全能力

本篇文章3528字，读完约9分钟

2018年12月，在中央经济工作会议上提出了新基础设施的概念，2020年3月，中央政府制定了总体规划，以促进COVID-19的肺炎疫情防控和经济社会发展。新基础设施是指建设“集约、高效、经济、智能、绿色、安全、可靠的现代基础设施体系”，其中新一代信息基础设施是关键，包括能源、交通等战略性网络基础设施。发展新的基础设施也是为了充分发挥传统基础设施的作用。传统基础设施和新基础设施将得到整合和协调发展，为中国经济长期高质量可持续发展奠定坚实基础。

在新一代的信息基础设施中，5g、数据中心、人工智能、工业互联网和物联网、信息网络等最为突出

5g提供无线数据的宽带实时传输和分发，以云计算为背景的数据中心承担数据存储、计算和处理，ai平台实现数据挖掘和分析决策，工业互联网支持数据采集、应用和产业链中的线上线下联动。它们共同完成了从数据收集到分析、决策和应用的全过程，并发挥了数据作为生产要素的作用。上述数据链路的每一条链路都需要由作为底层网络的ipv6下一代互联网和光纤传输网络承载，网络安全能力将嵌入数据链路的每一条链路中。新一代信息基础设施不仅是一个基础设施项目，也是一个新的信息消费平台，是战略性新兴产业，是传统产业数字化的新引擎，是其他领域新基础设施的通用支撑技术，使传统基础设施领域提高质量和效率。

新一代的信息技术及其基础设施已经开始在流行病预防和控制时期显示其优势

新一代信息技术有力地支持了对云教室、云办公室、云复工、云签约、云商务等的需求。培育云经济，激活超高清视频直播和vr/ar应用，帮助开展流行病学调查和密切接触管理，提高医学图像数据分析和疗效评估的效率，促进各种机器人在医院药品配送、护理、消毒和医疗废物处理场景中的应用，优化稀缺物资的组织和物流，确保

新一代信息基础设施在经济领域的贡献更加显著，不仅体现在生产的保护和恢复上，而且在生产组织、智能制造、智能质量检测、供应链管理、营销、客户服务、财务管理、工业信用和人员培训等方面都有成功的应用案例。，并将在未来加速实现更大的效益。

新一代信息基础设施的建设将增加信息技术领域的投资，提高劳动生产率，促进经济增长

据ihs市场咨询公司预测，2035年全球经济将因5g而增长7%，其中中国将因5g而增长1.13万亿美元，创造1090万个新就业岗位。根据中国信息通信技术研究院发布的短期(2020-2025)影响报告，5g将直接和间接分别增加国内生产总值3.3万亿元和8.4万亿元，并创造300万个新的就业机会。根据gregory l.richards等人在2012年发表的一篇论文，云计算投资翻一番将使gdp增长约12.2%~13.5%。根据对2010年至2020年美国云计算投资增长的计算，可以得出美国这一时期gdp增长的三分之一与云计算有关。根据埃森哲对12个主要国家的研究，人工智能将使这些国家的平均国内生产总值增长率在2035年翻一番，中国的国内生产总值将因人工智能而增长1.6个百分点。麦肯锡公司认为，到2030年，人工智能可以为全球gdp增长贡献额外的13万亿美元，平均每年增长1.2%。埃森哲还预测了工业互联网的经济贡献，到2030年，工业互联网将为全球经济带来14.2万亿美元的经济增长。中国信息通信技术研究院预测，到2020年，中国的工业互联网产业将占国内生产总值的2.9%左右，对经济增长的贡献将超过11%，并带动超过255万个新就业岗位。从以上数据来看，新一代信息基础设施是值得数字经济的新动能。

数字经济价值释放和长远发展的前提是网络安全

新一代信息基础设施设计了更加灵活的安全机制，并加强了网络安全技术和配置。例如，5g基于软件定义的体系结构，以模块化的方式打包安全功能，并使通过相应的接口调用它们变得容易。

与4g相比，5g在接入域、网络域、用户域和应用域之外增加了服务域安全，并采用完善的服务注册、发现和授权安全机制、安全协议和统一认证框架来应对新服务架构带来的安全风险；在数据传输方面，5g使用空端口对用户身份进行加密传输，不仅对用户平面数据进行加密，还增加了数据完整性保护，并对网络运营商之间的信令传输增加了端到端的保护措施。云数据中心的虚拟化和资源池化确保数据中心的可用性不受特定设备故障的影响。人工智能可以检测异常网络流量，关联用户行为信息，建立数据风险模型，检测可疑文件，定位黑客入侵位置。工业互联网为设备、网络、平台和数据建立了全方位的安全措施，实现了对企业生产全过程的安全智能监控。

新一代信息基础设施是一把“双刃剑”，除了原有的网络安全问题外，还将面临新的安全挑战

首先，虚拟化的挑战。5g网络和云数据中心的虚拟化模糊了网络的物理边界，基于逻辑拓扑定义的虚拟安全域需要根据虚拟机的迁移状态动态变化，传统的依靠物理边界保护的安全机制已经失效。此外，软件定义网络和网络功能虚拟化的上层控制系统高度集中，容易成为网络安全攻击的目标，而底层计算、存储和网络资源共享将考验安全隔离手段。

第二，开放的挑战。5g采用基于服务的网络架构，对服务生成和呼叫开放，网络片也可以对客户开放，以进行定制和部署。与传统的移动网络封闭服务管理相比，恶意第三方可以轻松获得控制网络的能力。5g采用通用互联网协议代替传统的移动网络专用协议，扩展了其服务能力，但更容易受到外部攻击。

第三，切片的挑战。5g、数据中心和工业互联网将面对大量具有不同业务需求的租户，并以网络分片的方式按需在共享资源上提供vpn服务。片与片之间需要有效的安全隔离机制，以防止保护能力低的网络片成为攻击的跳板，并在受到攻击后扩散到其他片。

第四，大连接的挑战。工业互联网使用大量的传感器和可编程逻辑控制器，这些传感器和可编程逻辑控制器总是在线的，容易成为ddos攻击的跳板。低功耗的轻量级安全算法限制了反入侵能力。5g需要支持每平方公里数百万个传感器的联网。复杂的身份认证会导致信令风暴，影响低延迟性能。车辆联网还需要支持点对多点v2v快速认证。

第五，开源的挑战。开源软件广泛应用于5g、数据中心和工业互联网，人工智能过于依赖第三方开源基础库，这增加了引入安全漏洞的风险。

第六，大数据的挑战。新一代信息基础设施依赖于大数据挖掘，但很难确保数据不受污染。用失真的数据训练神经网络会在决策时出错，而且很难找到人工智能的结果，因为它们是无法解释的。分布式存储和加密可以防止数据被窃取或篡改。但是，对于旨在勒索的外部攻击，数据将被强制重新加密，因此原始数据所有者无法读取数据。

新一代信息基础设施更广泛、更深入地服务于社会经济，其安全问题的后果更加严重，因此需要新的战略思想来增强安全能力

首先，有必要建立一个软件定义的网络安全机制。过去，网络安全依赖于“老三件套”(防火墙、入侵检测和反病毒)，这是基于基于硬件的外部设备的被动固化防御模式。未来仍需要边界保护，但入口的安全能力应由软件定义，并与网络的内部安全机制相联系。

第二，我们应该把重点放在增强免疫力上。新一代信息基础架构基本上是网络化、基于云、虚拟化和智能化的。许多安全挑战都是内生的，因此有必要提高免疫力。从基础设施技术开发和网络设计开始，就必须有内生的安全概念。网络安全能力和基础设施是一个整体，网络安全能力需要与基础设施同时构建并集成到基础设施中。

第三，从以产品为中心转向以服务为中心。过去，中国网络安全企业的主要收入来自硬件销售，而国外同行主要集中在服务收入。网络安全永远是一个神奇的高度。网络安全企业需要建立专业的服务团队，熟悉所服务企业的生产流程和信息技术产品，将客户从销售对象转变为合作对象，为企业提供个性化的安全服务。有必要明确网络安全企业与被服务企业之间的安全责任界限，保护被服务企业的数据安全和商业秘密。

第四，完善网络安全生态系统。网络安全能力与基础设施具有相同的生命周期，涵盖从系统开发和设计到项目的在线检测和运营应急处置。整个过程需要有一个可依赖的标准体系、体系规范和法律法规。建立第三方应用服务安全检测环境和生命周期安全风险评估平台，构建全国工业互联网平台安全监控预警系统，开展风险信息通报和应急处置。网络安全生态的另一个维度涵盖工业企业、设备供应商、基础电信运营商、云服务提供商、工业互联网平台运营商、工业应用提供商、网络安全企业、第三方测试机构和用户等。上下游都有维护网络安全的责任，需要紧密合作，实现威胁和处置情报的共享。

网络安全不是一个简单的技术问题，而是一个涉及业务、管理、流程、团队等多方面的系统工程。网络安全需要国际合作，但基础是在中国建立一个独立可控的网络安全技术、产品和服务的完整体系。