王石　杜慶昊　楊寧

隨著黨中央提出并集中部署新基建工作，加快推進(jìn)新基建已成為發(fā)展共識。各地不斷加大新基建投入和建設(shè)力度，新基建對我國經(jīng)濟(jì)社會發(fā)展的戰(zhàn)略性支撐不斷凸顯。大力發(fā)展新基建趨勢下，面向通訊、電力和軌道交通等行業(yè)承載著數(shù)據(jù)和應(yīng)用的新型基礎(chǔ)設(shè)施將納入關(guān)鍵信息基礎(chǔ)設(shè)施范疇?；谛乱淮畔⒓夹g(shù)的基礎(chǔ)設(shè)施與社會各層面的深度融合，網(wǎng)絡(luò)安全風(fēng)險將從相對狹義的數(shù)字空間延伸到世界每一個角落，一旦網(wǎng)絡(luò)安全事件發(fā)生，將直接影響公眾生活、社會穩(wěn)定和國家安全。因此，新基建在助力產(chǎn)業(yè)和經(jīng)濟(jì)新發(fā)展的同時，也面臨著網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)，只有正視新的挑戰(zhàn)、遵循正確原則、采取合理舉措，才能有效防范新基建網(wǎng)絡(luò)安全風(fēng)險，提高新基建網(wǎng)絡(luò)安全防護(hù)水平。

一、新基建網(wǎng)絡(luò)安全面臨新挑戰(zhàn)

（一）新興信息技術(shù)帶來新的安全挑戰(zhàn)

新一代信息技術(shù)的革命性變革，是新基建的技術(shù)源泉，新技術(shù)和新應(yīng)用將帶來新的安全挑戰(zhàn)。一方面，新技術(shù)產(chǎn)生新威脅。比如，5G已成為數(shù)字社會建設(shè)的“新基石”，但5G新技術(shù)對安全防御的智能化程度提出更高要求，人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)在5G業(yè)務(wù)場景中的應(yīng)用，要求網(wǎng)絡(luò)安全提早形成“以技術(shù)對技術(shù)、以智能對智能”的安全能力，這給5G多元化場景帶來從“通用安全”向“按需安全”的挑戰(zhàn)，包括垂直行業(yè)安全需求差異、生產(chǎn)側(cè)和網(wǎng)絡(luò)側(cè)安全能力差異、集聚和分散的安全對象差異等。再比如，就人工智能來說，除了基礎(chǔ)的軟硬件和設(shè)施的安全之外，還面臨算法安全問題，以及由人工智能模型算法的不可解釋性所衍生出來的各種新型攻擊風(fēng)險，包括對抗攻擊、投毒攻擊和后門攻擊等。另一方面，供應(yīng)鏈安全風(fēng)險加劇。新基建內(nèi)容豐富，涉及的范圍廣泛、專業(yè)精細(xì)，勢必造成其產(chǎn)業(yè)鏈及供應(yīng)鏈的復(fù)雜，確保其安全特別是鏈條上核心的科技安全乃是重中之重。此外，新基建供應(yīng)鏈安全涉及網(wǎng)絡(luò)產(chǎn)品和服務(wù)的整個生命周期，防護(hù)較弱的環(huán)節(jié)會導(dǎo)致產(chǎn)品、服務(wù)及其所包含的組件等遭受惡意篡改、植入、替換、偽造等，從而使供應(yīng)鏈完整性遭受威脅。

（二）融合應(yīng)用場景帶來網(wǎng)絡(luò)安全挑戰(zhàn)

“新基建”涉及多領(lǐng)域、多范疇、多技術(shù)的協(xié)同、融合和交叉，這在一定程度上加大了安全復(fù)雜性。比如，智能交通基礎(chǔ)設(shè)施、智慧能源基礎(chǔ)設(shè)施等，其涉及多種新信息技術(shù)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等的融合發(fā)展，形成相互交叉，相互促進(jìn)又相互影響的態(tài)勢。融合基礎(chǔ)設(shè)施建設(shè)本身是一個系統(tǒng)工程，協(xié)同融合建設(shè)在促進(jìn)發(fā)展的同時，相互安全影響也將伴隨而生。傳統(tǒng)信息基礎(chǔ)設(shè)施相對獨立，構(gòu)成了自身發(fā)展安全生態(tài)，融合基礎(chǔ)設(shè)施的建設(shè)和發(fā)展將打破這種現(xiàn)有分離的安全平衡，安全將呈現(xiàn)“牽一發(fā)而動全身”的態(tài)勢，安全及風(fēng)險的影響將更加廣泛和深入。因此，如何規(guī)避、減少或降低融合基礎(chǔ)設(shè)施建設(shè)的安全風(fēng)險及其影響將是關(guān)鍵。與此同時，融合基礎(chǔ)設(shè)施建設(shè)對傳統(tǒng)的三同步，即“同步規(guī)劃、同步建設(shè)、同步運行”提出了更高的要求，增加了實踐難度。

（三）智慧城市發(fā)展帶來智慧安全挑戰(zhàn)

新基建意味著將帶來萬物互聯(lián)的智能世界，云計算是智能計算、5G是智能通信、人工智能體現(xiàn)為智能決策、物聯(lián)網(wǎng)推動智能互聯(lián)，由此智能及智慧安全將成為新基建需要特別關(guān)注的安全問題。比如，隨著智能交通、智慧電網(wǎng)、智能家居的建設(shè)、發(fā)展和成熟，智慧城市等將面臨新形勢下的智能安全挑戰(zhàn)。當(dāng)前對智能及智慧的基本要求是盡量減少或降低人為參與度，按照決策者預(yù)想的程序和流程持續(xù)執(zhí)行并完成特定工作。在智能信息世界中，智能的正確性、可持續(xù)性、可復(fù)現(xiàn)性等是非常重要的特性，破壞了它們即是破壞了智能安全，使其比傳統(tǒng)安全面臨更多的威脅。試想，如果智能交通因網(wǎng)絡(luò)安全問題致使交通指示系統(tǒng)癱瘓、甚至出現(xiàn)錯亂，其所造成的后果不僅僅是交通秩序的混亂，更可能給人民群眾生命財產(chǎn)安全帶來巨大隱患。

（四）數(shù)據(jù)持續(xù)聚集帶來數(shù)據(jù)安全挑戰(zhàn)

安全是發(fā)展的前提，發(fā)展是安全的保障，在新基建的環(huán)境下，網(wǎng)絡(luò)安全與發(fā)展的核心是數(shù)據(jù)的安全與發(fā)展。數(shù)據(jù)安全是在網(wǎng)絡(luò)安全提供的有效邊界防御基礎(chǔ)上，以數(shù)據(jù)安全使用為目標(biāo)，有效地實現(xiàn)對核心數(shù)據(jù)的安全管控。新基建的建設(shè)和應(yīng)用會產(chǎn)生大量數(shù)據(jù)，來自政府、企業(yè)及生產(chǎn)生活各個環(huán)節(jié)的數(shù)據(jù)，猶如大江大河匯入海洋，變成一個個大數(shù)據(jù)中心。這些數(shù)據(jù)的重要性不言而喻，要保護(hù)好大數(shù)據(jù)安全，既要積極應(yīng)對網(wǎng)絡(luò)攻擊，還要充分考慮大數(shù)據(jù)被濫用、泄露、失竊等問題，這是新基建背景下網(wǎng)絡(luò)安全必須著手解決的核心問題。

二、加強新基建網(wǎng)絡(luò)安全的基本原則

（一）堅持安全可控和開放發(fā)展

一方面，自主可控是新基建的前提，沒有網(wǎng)絡(luò)安全就沒有新基建的安全。只有進(jìn)一步加大網(wǎng)絡(luò)安全基礎(chǔ)理論、前沿技術(shù)研發(fā)和關(guān)鍵技術(shù)的攻關(guān)支持力度，建立我國自主可控的網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)的軟硬件生態(tài)體系，才能更加安全、更加有效的支撐國家新型基礎(chǔ)設(shè)施建設(shè)。另一方面，新基建所依賴的新技術(shù)是人類文明發(fā)展的成果，只要有利于提高我國社會生產(chǎn)力水平、有利于改善人民生活、有利于提高城市建設(shè)管理水平，我們都不應(yīng)拒絕?！靶禄ā本劢谷斯ぶ悄?、5G、工業(yè)互聯(lián)網(wǎng)等面向未來的科技支撐，內(nèi)涵及應(yīng)用領(lǐng)域豐富廣泛，對科技水平總體要求較高，較以往相比，更加強調(diào)生態(tài)體系建設(shè)，非一家之力能夠完成，也非一個國家能夠單獨完成。我們既要支持國內(nèi)企業(yè)開展核心技術(shù)攻關(guān)，又要支持外資機構(gòu)在中國設(shè)立技術(shù)研發(fā)機構(gòu)，實現(xiàn)引資、引技、引智相結(jié)合。

（二）堅持技術(shù)防控和制度防控

一方面，要構(gòu)筑網(wǎng)絡(luò)安全技術(shù)防護(hù)體系，及時封堵網(wǎng)絡(luò)安全技術(shù)漏洞。同步建設(shè)新基建安全基礎(chǔ)設(shè)施，聚焦安全防護(hù)能力構(gòu)建，同時強化大數(shù)據(jù)平臺安全，實現(xiàn)安全的大數(shù)據(jù)協(xié)同計算。此外，要開展常態(tài)化網(wǎng)絡(luò)安全演習(xí)，持續(xù)檢驗和提升新基建安全防護(hù)能力，及時修補網(wǎng)絡(luò)安全漏洞，確保新基建安全穩(wěn)定運行。另一方面，依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等文件和標(biāo)準(zhǔn)，加強新基建網(wǎng)絡(luò)安全制度建設(shè)，全面保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。根據(jù)新基建的要求建立并不斷完善國家關(guān)鍵信息基礎(chǔ)設(shè)施清單，加強國家關(guān)鍵數(shù)據(jù)資源管理制度，加快推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系建設(shè)，建設(shè)國家網(wǎng)絡(luò)安全信息共享平臺和應(yīng)急指揮平臺。

（三）堅持總體安全和動態(tài)安全

一方面，要落實總體國家安全觀，制定新的網(wǎng)絡(luò)安全戰(zhàn)略，增強網(wǎng)絡(luò)安全防護(hù)能力。充分認(rèn)識新基建帶來的網(wǎng)絡(luò)安全的復(fù)雜性，堅持安全可信、自主可控、開放創(chuàng)新并重，重視“交互”帶來的安全問題，系統(tǒng)化地研究安全問題，把增強人民群眾獲得感、幸福感、安全感放到突出位置。另一方面，動態(tài)評估并建立網(wǎng)絡(luò)風(fēng)險管理措施，持續(xù)構(gòu)建新基建網(wǎng)絡(luò)安全體系。根據(jù)智能制造、工業(yè)互聯(lián)網(wǎng)在軟件開發(fā)、設(shè)備制造、實驗室測試、合格評定等方面的發(fā)展水平和應(yīng)用程度，及時評估5G網(wǎng)絡(luò)在工業(yè)領(lǐng)域的安全風(fēng)險，建立一個適當(dāng)?shù)?、有效的、有針對性的通用風(fēng)險管理措施工具箱，不斷調(diào)整網(wǎng)絡(luò)安全策略，確保新基建隨時處于安全可控范圍內(nèi)。

三、夯實新基建網(wǎng)絡(luò)安全的主要舉措

（一）加強新基建網(wǎng)絡(luò)安全政策協(xié)同

夯實新基建網(wǎng)絡(luò)安全必須加強政策協(xié)同，提高全數(shù)據(jù)、全能力、全行業(yè)、全社會的網(wǎng)絡(luò)安全水平。一是在新基建的規(guī)劃和實施過程中，要確保信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè)同步規(guī)劃、同步建設(shè)和同步運行。從政策層面，加強監(jiān)測監(jiān)管和應(yīng)急響應(yīng)，監(jiān)督指導(dǎo)新基建建設(shè)和運行主體提高網(wǎng)絡(luò)安全意識和能力，完善政策制度管理體系，做好網(wǎng)絡(luò)安全審查和監(jiān)督工作。二是在新基建的投資上，要重點關(guān)注新一代信息技術(shù)安全投資。重點關(guān)注以特高壓及新能源為代表的能源領(lǐng)域的網(wǎng)絡(luò)安全，以城市軌道為代表的交通領(lǐng)域的網(wǎng)絡(luò)安全，以及5G、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心、人工智能為代表的新一代信息技術(shù)的網(wǎng)絡(luò)安全。三是按照《網(wǎng)絡(luò)安全法》等要求，加快建設(shè)網(wǎng)絡(luò)安全防護(hù)體系，特別是加快完善面向新基建的安全測評、安全審計、保密審查、日常監(jiān)測等制度。

（二）構(gòu)建新基建網(wǎng)絡(luò)安全創(chuàng)新體系

加強“政產(chǎn)學(xué)研用”融合創(chuàng)新，構(gòu)建新基建融合創(chuàng)新體系，推動新基建實現(xiàn)高水平安全可控。從建設(shè)目標(biāo)看，實現(xiàn)信息企業(yè)從底層數(shù)據(jù)中心架構(gòu)到上層軟件應(yīng)用系統(tǒng)的自主安全可控，不斷提升技術(shù)產(chǎn)品質(zhì)量，建立適配廣泛行業(yè)的技術(shù)標(biāo)準(zhǔn)，提高技術(shù)服務(wù)能力。從應(yīng)用層面來，各軟件開發(fā)商、系統(tǒng)集成商、互聯(lián)網(wǎng)應(yīng)用服務(wù)商、政府、行業(yè)等應(yīng)用單位要聯(lián)合行動，實現(xiàn)信息領(lǐng)域應(yīng)用成果的廣泛落地，共筑應(yīng)用生態(tài)。從區(qū)域發(fā)展需求看，新基建能夠有力促進(jìn)區(qū)域經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化，驅(qū)動地方經(jīng)濟(jì)發(fā)展。但新基建不會延續(xù)傳統(tǒng)基建動輒大體量、簡單化的投入，也不能千城一面、千篇一律，必須跳出傳統(tǒng)的“基建思維”或“產(chǎn)業(yè)思維”，通過與區(qū)域需求相結(jié)合，因地制宜，實現(xiàn)協(xié)同發(fā)展。

（三）打造新基建網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)

推動網(wǎng)絡(luò)安全企業(yè)在信息技術(shù)安全監(jiān)測能力、網(wǎng)絡(luò)攻擊追溯能力等方面加強研發(fā)，引導(dǎo)企業(yè)協(xié)同創(chuàng)新，建立我國信息技術(shù)產(chǎn)品自主可控生態(tài)鏈，鼓勵網(wǎng)絡(luò)安全企業(yè)由提供安全產(chǎn)品向提供安全服務(wù)和解決方案轉(zhuǎn)變。支持網(wǎng)絡(luò)安全企業(yè)升級轉(zhuǎn)型適應(yīng)數(shù)字基建需求的同時，扶持各個行業(yè)數(shù)字化程度較高、安全防護(hù)能力強的企業(yè)進(jìn)行安全能力輸出，使他們在不同應(yīng)用場景中沉淀的網(wǎng)絡(luò)空間安全基建能力和方法在更廣泛的范圍內(nèi)適用。引導(dǎo)網(wǎng)絡(luò)安全企業(yè)把握新基建重大機遇，發(fā)揮自身在數(shù)字新技術(shù)、安全能力建設(shè)和安全運營方面的優(yōu)勢，積極投身于各地新基建熱潮中。一方面，注重構(gòu)建網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)，發(fā)揮領(lǐng)軍企業(yè)在安全產(chǎn)品研發(fā)方面的優(yōu)勢，帶動網(wǎng)絡(luò)安全各細(xì)分產(chǎn)業(yè)不斷發(fā)展;另一方面，鼓勵有實力的網(wǎng)絡(luò)安全企業(yè)成長為新一代信息基礎(chǔ)設(shè)施的運營者，服務(wù)數(shù)字城市、數(shù)字社會的管理，保障數(shù)字經(jīng)濟(jì)的安全平穩(wěn)運行。

（四）加強新基建數(shù)據(jù)安全保護(hù)和共享

一方面，保障新基建用戶隱私和數(shù)據(jù)安全，成為數(shù)字經(jīng)濟(jì)建設(shè)過程中的基礎(chǔ)性問題，數(shù)據(jù)安全的防護(hù)思路和技術(shù)體系也需要轉(zhuǎn)變和升級。未來，數(shù)據(jù)安全將是各行各業(yè)的關(guān)注重點，數(shù)據(jù)安全相關(guān)產(chǎn)品及服務(wù)將會有很大的需求。健全新基建催生的典型應(yīng)用場景的數(shù)據(jù)安全管理制度與標(biāo)準(zhǔn)規(guī)范，建立典型場景數(shù)據(jù)安全風(fēng)險動態(tài)評估評測機制。明確新基建環(huán)境下數(shù)據(jù)安全基線要求，數(shù)據(jù)有序流通和安全保障并重，加大對數(shù)據(jù)跨境的監(jiān)管力度。另一方面，城市智能化是新基建的目標(biāo)和方向，這一切都依賴于數(shù)據(jù)的開放和共享，以及數(shù)據(jù)的高效利用。要進(jìn)一步健全數(shù)據(jù)治理相關(guān)規(guī)則，推動公共數(shù)據(jù)資源跨部門按需共享和向社會開放，加快數(shù)據(jù)要素發(fā)揮作用的步伐。

〔基金項目：國家重點研發(fā)項目（2018YFB0805005）〕

（王石，中國信息安全研究院有限公司。杜慶昊，中共中央黨校國家行政學(xué)院。楊寧，中國信息安全研究院有限公司）