发改委明确新基建范围,产业安全如何做好这道“必答题”?| 产业安全观智库访谈

2020-05-08 17:06:01 浏览数 (1)

4月20日,国家发改委明确了新型基础设施的范围:新基建是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。从新基建所包含的维度来看,无论是信息基础设施、融合基础设施还是创新基础设施,都无一例外地与产业数字化升级所必要的底层建设相契合。

新基建将加速产业互联网发展,而网络安全是新基建发展的基础。

在产业互联网时代,数据将成为产业互联网时代的全新生产要素。数据在产业链中的采集、挖掘和使用,关系到国家安全、企业商业利益和个人信息保护,一旦出现安全问题,将构成极大损失。同时,新基建推动新技术广泛的创新应用,也会带来全新的安全风险和安全问题。如5G和工业互联网带来“触网”终端数量与种类爆发式增长,现有的以用户为视角的安全观已无法满足需要;数据的无限流动,也会给安全防护带来巨大挑战。

面对全新的安全挑战,产业互联网时代的安全能力无疑需要进一步提升。尤其在政务数字化、制造业创新、银行数字化转型、城市智能化等产业趋势下,实现从网络安全到产业安全的快速升维,建立产业安全战略观,推动安全主体从以人为中心向以产业为中心转变、安全思维从被动防御向主动规划转变、安全形态从合规导向的集成安全向数字资产的原生安全转变、安全交付从以产品为中心向以服务为中心转变。

针对“新基建”与“新安全”的命题,本文特邀国家工业信息安全发展研究中心检查评估所所长张格与腾讯产业安全运营部总经理吕一平两位专家,共同探究“新基建”大潮下,产业安全的机遇与挑战。

一、安全是新基建能否成功的决定要素

在产业互联网时代,现实世界和虚拟世界的边界随着新技术的应用而逐渐模糊,虚拟世界的风险将会直接对现实世界产生威胁;对于虚拟世界的安全防护,一定程度上等同于保护现实世界的人身和公共安全。安全产业必须转变防护思路、加强联动,并从根本上成为“新基建”中的基础性命题,才能够在“新基建”发展中发挥最大的价值。

Q:安全产业能够在“新基建”中发挥什么价值?

张格:新基建会推动网络安全管理职责和定位的进一步加强,带来网络安全工作自上而下的强化,网络安全也会在信息化建设中参与更多的工作,新的安全可控的技术也将得到更广泛的应用。

总书记在网络安全和信息化领导小组第一次会上指出:网络安全和信息化是一体之两翼,驱动之双轮。也就是说,信息化和安全的结合越来越紧密,安全会达到和信息化平起平坐的高度。甚至于说信息化的应用能否成功推广,要取决于安全的能力建设。

通过新基建的全面推进,国家在未来也许会进入到万物互联的全新时代。无论是数据的集中管理、大规模的平台应用还是高速网络应用,安全都是决定性的因素,安全也将会与信息化承担同等重要的作用。

Q:“新基建”的发展给网络安全带来了哪些新的要求和挑战?

张格:就政策层面来看,我认为新基建未来会给网络安全提出四个方面的总要求。

  • 第一,进一步强化企业的网络安全管理。
  • 第二,从以前单纯的重边界防护向纵深防御转变。
  • 第三,网络安全保护核心将从设施设备的保护逐步转向对关键数据的保护。
  • 第四,网络安全需要加强协同联动,从单一的个体防御向整体防护转变。

此外,新基建给网络安全带来的要求,还体现在管理和技术思路上的变化。传统观念认为,基础设施的网络安全问题只存在于网络和信息化的部分,而新基建之下,包括基础设施整体上的运转、生存、生产的运行等,都必须有安全的保障。

在这些要求的背后,是网络安全将要面对的三方面新的挑战。

  • 第一,新基建必然会导致网络安全边界的模糊。
  • 第二,网络攻击对实体设施的打击将会成为持续性状态。
  • 第三,数据泄露后所造成的影响将会进一步扩大,甚至威胁整个产业。

二、新基建发展,要求网络安全尽快“自我升维”

网络安全是国家安全的重要基础,也是经济安全、社会安全、民生安全的重要保障。新基建为安全提出了新的要求,安全产业也必须依托于新基建的宏观部署,尽快在安全思维、安全管理系统、安全技术储备、安全人员培养、安全生态建设等方面实现“自我升维”。

Q:安全产业当前是否具备匹配“新基建”基础的资质?

张格:首先,我国作为一个全球的网络大国,网络安全产业规模实际上和网络安全大国的地位是不相匹配的。一来是很多投入没有真正纳入到网络安全产业,而是被其他产业所稀释;二来我国的网络安全产业以民营经济为主体,产业能力相对偏弱。

其次,从技术层面来看,安全产业许多核心技术还是以国外技术为主,这将导致安全与新基建发展的不匹配。

最后,当前的市场环境里安全还存在合规性为主,重产品、轻服务、重设备、轻配置的情况,大量优秀的网络安全解决方案难以推广,这也会限制未来网络安全在新基建发展里发挥的作用。

所以从整体上来讲,当前的网络安全还无法对新基建达到全面保护的状态,但随着上升的空间和动力越来越大,产业安全必然会跟上信息化建设的步伐,适应新基建的发展,未来可期。

Q:那么,安全产业应当做出哪些转变,来填补“新基建”中的安全空白?

张格:从网络安全企业来说,现阶段首要关注的是人才和技术的积累。我们需要从网络大国真正转型成为网络强国,在安全产业上最需要的就是人才和技术的沉淀。

从产业角度来看,网络安全还受制于信息技术的整体发展。包括芯片技术在内,我国信息技术的发展与第一梯队国家相比还存在较大的差距,接下来我们还需要继续加强信息技术的提升。

此外,网络安全产业的市场能力和其他行业相比有些偏弱,完全开放市场化竞争的网络安全市场环境还没有得到全面的形成。因此,安全产业需要共同培养促进市场的开放程度,形成良好的生态环境,提升市场能力。

三、新基建背景下,网络安全迫切需要向产业安全换挡升级

“新基建”涉及的细分技术应用和业务场景众多,且每一项都离不开网络安全的保障。而现阶段网络安全市场碎片化突出,细分环节精细繁杂,一定程度上导致了整体解决方案的缺失。新基建的产业链特征要求安全产业也要立足于整体,从产业视角和业务的视角出发,提出整体性的解决方案,尽快完成向产业安全升级,才能匹配“新基建”的布局。

Q:“新基建”数量众多的细分领域是否给安全产业的布局增加了难度?

吕一平:如果我们从技术层面来看新基建的布局,它的确是很散的。但如果我们换一个视角,从行业应用场景角度去看新基建,每一个技术之间其实是相互串联的。

以汽车行业为例,自动驾驶体系首先需要应用5G网络;其次,随着新能源汽车的普及,国家会在未来加大充电桩的部署,这还需要特高压的支持;再者,对于车联网场景下海量数据的存储和使用,离不开大数据平台的建立,而在配套服务等场景,还需要人工智能的应用。

此外,未来的汽车生产还将完全走向定制化,客户根据自己喜好在线下单进行定制化生产,从而满足个性化的需求。这些都离不开工业互联网的支持。

因此仅以汽车行业为例,就串联了5G、特高压、充电桩、大数据、人工智能和工业互联网等“新基建”技术。因此站在行业的视角上,新基建的所有能力和场景围绕某一个行业其实都可以有所展开。

作为网络安全,就必须要关注行业的应用场景和核心业务,只有更好地理解客户的业务场景,我们才能够做好新时代的安全工作。

四、“新基建”需建立产业安全生态圈

面对“新基建”提出的新要求,已经没有任何一家安全厂商可以独立完成,能力互补、合作共建,已经成为行业大势所趋。以生态协同为整体的模式逐渐成为安全行业发展的共识,在“新基建”当前成为了安全产业布局的重要基础。在2017年的CSS互联网安全领袖峰会(Cyber Security Summit) 上,腾讯联合天融信、卫士通、启明星辰、绿盟科技等国内13家上市安全企业发起成立安全领袖俱乐部,旨在共同探索产业合作与发展,就很好地体现了安全生态的价值,这一组织也于2019年扩大到了17家。

Q:产业安全生态圈的建立对于“新基建”的发展是否具有重要意义?

吕一平:未来的生态应该包含两个方面,一是安全的能力生态,二是行业的生态。

新基建所涉及的每一个行业规模都非常大,这也就决定了应对新基建所提出的网络安全要求,光靠某一家企业是很难独自实现的。因此通过生态形成合力,集成各自的专业,共同对外输出保护新基建的网络安全,就显得更有价值。

我们需要充分理解客户的业务场景和应用,客户和行业也需要更好地理解安全的价值,形成双向价值的理解。这个过程需要大量的生态伙伴协同配合,更好地理解客户,同时引导客户和行业来理解我们对它们的价值,这就是生态的作用,也是腾讯当前在重点布局的事情。

张格:新基建的网络安全需要生态圈的支持,生态圈的建立,离不开政府、行业组织、科研机构以及安全企业共同的合作和联动,最终促成生态的形成。这个过程中我们需要避免技术壁垒、政策壁垒和市场壁垒的出现。

随着近两年包括腾讯安全、360、奇安信、启明这些大型安全企业,不断推进以自己安全为核心的生态体系建设,这种以安全为核心的生态虽然还远远没有形成,但已经逐渐得到了建立。

安全产业想要在新基建时代从整体上改变信息化主导的现状,还需要多方的引导和促进。

首先,要有政策的引导。我们需要逐步形成自下而上的工作模式,让企业自发地提出安全的诉求,离不开安全,安全的机会才会更多,话语权也会完全不同。

其次,资本需要进一步引导。想要改变市场的供需关系,让安全能够先期地进入到与用户沟通接洽的环节,离不开市场的引导。

最后,还需要全民安全意识的引导。新基建各行业的从业者需要熟悉安全,知道安全能够在每个环节帮助自己解决什么问题,从而在工作的开展过程中主动融入安全的理念。只有这样,安全才能够更多地贴近到我们的企业,真正为新基建的运营者,新基建行业的建设者服务,从根本上解决新基建当中的安全问题。

五、“内生安全”对“新基建”至关重要

2019年7月举行的第五届互联网安全领袖峰会(CSS 2019)上,腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生表示,解决数字化的安全问题,需要站在战略的高度上部署安全,将安全真正变成CEO的一把手工程。邬贺铨院士表示,要解决新基建所面临的安全挑战,就需要转变网络安全防护思维,更需要构建内生安全体系,增强“新基建”设施的自身免疫力。从战略和内生安全两个角度出发,安全服务商必须以建设者的身份参与到“新基建”顶层设计中,真正将安全变成“新基建”所自有的内生能力和体系,才可以从根本上解决“新基建”面临的安全问题。

Q:布局“新基建”,产业安全的战略重心主要是哪几个方面?

吕一平:以腾讯为例,我们现在在从两个角度开展工作。一是帮助行业客户在数字化转型和新基建基础设施建设的初期做好安全的保障工作。我们倡导中台的概念,并且通过安全中台对客户提供托管服务,帮助客户满足新基建当中的一些安全需求。

二是和行业客户一起探索业务场景下的安全,形成合力,提出解决方案。我们希望充分发挥各自的优势形成能力的互补,将我们专业的技术能力、优秀的解决方案和较为先进的安全理念,与客户对行业的理解和战略布局相结合,总结出面向新基建新场景的新的安全能力和工作重点。

除此以外,我们还在着重关注几个方面的内容。一是IoT安全,二是数据安全。

包括此次疫情在内,许多新的业务模式都会随新基建的发展而产生,大量的数据也将成为企业所需要关注的核心资产,数据安全的重要性也会持续提升。

而随着核心业务的在线化,新基建技术应用场景的越来越多,“内生安全”的概念也需要引起重视。未来安全的能力应当是云计算和大数据体系的一部分,属于内生的范畴,强化内生安全的属性,也是我认为安全产业接下来需要重点布局的方向。

总的来说,如果产业安全不能够了解行业和客户的具体业务,很难在新基建的场景下做好安全。

Q:从政策层面来看,产业安全应重点关注什么方向?

张格:从宏观政策层面来看,以网络安全法为引导的政策体系基本已经建立,缺少的实际上是行业细化落地的一些配套法律法规制度。从技术层面来看,配套网络安全法肯定还会出台一些系列的法律法规和规章条例。

我个人认为,围绕关键信息基础设施保护、工业信息安全、数据保护、个人隐私保护这几个方面的法律法规,尤其是新基建相关,一定是后续政策的重点,可能会在这几个方面优先出台政策法规。除此以外,5G网络的安全问题还有云计算技术和平台的安全问题,也会是未来相关法律法规关注的重点。

作为从业者,应当积极参与各项法律条款的研究和讨论,从大环境上形成法律规范的氛围。而围绕技术,从业者也可以进一步关注5G、工业互联网、大数据、云计算平台、数据中心、技术软件等未来新基建里必不可少的几个重点方向,针对这些方向的安全技术和生态建设,以及相关供应链的安全问题,积极参与,提早布局。

写在最后:

“新基建”的发展离不开网络安全的全面守护。腾讯副总裁丁珂在前不久接受《经济参考报》采访时曾表示,“新基建”当前,企业需要打破安全的“底线思维”,转而建立以产业为中心的、原生的、主动规划的安全能力体系,这就是腾讯提出的“产业安全战略观”。

现代战略管理学家迈克尔·波特在《什么是战略》一文中写到:战略是定位、是适配、是取舍。因此,有多少用于赚钱的技术,就应该适配多少用于守护的安全建设和能力,这是基本的战略管理要求。

就像文中不断强调的那样,“新基建”时代,安全既是产业发展的底线,也是真正决定产业上限的天花板。因此,身处“新基建”的快车道中,安全问题对于每一个人都不再是选择题,而是生存必答题。

唯有从战略的高度认识产业安全对于企业经营乃至企业生存的重要性,由内而外自上至下地让安全参与到产业的设计和建设,才能够让安全这份原生能力更好地为“新基建”和产业的发展带来更多的“安全感”。

「产业安全观智库访谈」栏目简介:

在中国产业互联网发展联盟的指导下,腾讯安全联合安在新媒体共同启动了「产业安全观智库访谈」。围绕产业安全的发展趋势,结合当前实事热点,诚邀业界专家、学者及意见领袖倾情分享。希望借此启发思考、引导讨论、催生行动,为中国产业互联网及产业安全在新形势下的应变和发展寻求思路。

0 人点赞