創(chuàng)新驅(qū)動新基建 網(wǎng)絡(luò)安全新挑戰(zhàn)

新基建是什么？實際上新基建它包括了新一代信息基礎(chǔ)設(shè)施，融合技術(shù)設(shè)施和創(chuàng)新基礎(chǔ)設(shè)施。其中新一代信息基礎(chǔ)設(shè)施又包含通訊網(wǎng)絡(luò)基礎(chǔ)設(shè)施，新技術(shù)基礎(chǔ)設(shè)施，還有算力基礎(chǔ)設(shè)施。那么其中通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施就是以5G作為首選，我們整個新一代信息基礎(chǔ)設(shè)施可以用云計算的各個層來描述它，最底層是網(wǎng)絡(luò)運營商提供的5G、4G、IPV6的互聯(lián)網(wǎng)、光纖傳輸系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)。作為基礎(chǔ)設(shè)施服務(wù)這一層，還有我們企業(yè)自建的數(shù)據(jù)中心以及第三方的互聯(lián)網(wǎng)數(shù)據(jù)中心，它提供虛擬化的網(wǎng)絡(luò)、計算、存儲的資源詞，當然還有很多支撐機房、安防、監(jiān)管、制冷、空調(diào)等等。那么作為云計算很重要的是PaaS層平臺之服務(wù)，這里面有大數(shù)據(jù)挖掘的工具軟件、人工智能的基礎(chǔ)算法軟件，提供一個開放環(huán)境。同時在數(shù)據(jù)基礎(chǔ)設(shè)施里頭，我們還準備了一個SaaS層，這里面收集了各種各樣的工控軟件，可以支撐我們企業(yè)的運用。作為工業(yè)互聯(lián)網(wǎng)還有工業(yè)互聯(lián)網(wǎng)的核心平臺，它利用了上層上面的云計算和數(shù)據(jù)中心的能力，同時它收集了大量的行業(yè)應(yīng)用的各種數(shù)據(jù)以及行業(yè)專用的APP，包括一些軟件分析工具，當然對大多數(shù)企業(yè)，不是工業(yè)互聯(lián)網(wǎng)核心平臺提供商，而是工業(yè)互聯(lián)網(wǎng)應(yīng)用平臺。那么它本身也具有各種網(wǎng)絡(luò)能力以及網(wǎng)絡(luò)安全與措施，包括企業(yè)專用的一些APP和開發(fā)工具軟件。我們可以看到，新一代信息基礎(chǔ)設(shè)施基本是整個數(shù)字新基建的重要支柱也是新基建的首選。而新一代的信息基礎(chǔ)設(shè)施融合了IT的新技術(shù)，體現(xiàn)了IT創(chuàng)新的成果。從安全看，新一代信息基礎(chǔ)設(shè)施包括了傳統(tǒng)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全、內(nèi)容安全和應(yīng)用安全，新基建推動了IT安全和OT安全的融合，并且擴展到經(jīng)濟安全以及社會安全。我們從企業(yè)的角度來看我工業(yè)互聯(lián)網(wǎng)，底層我們有很多聯(lián)網(wǎng)的數(shù)控機床、數(shù)控設(shè)備、儀器儀表、總線包括可編程的邏輯控制器、分布控制系統(tǒng)、傳感器，收集各種各樣的生產(chǎn)過程中的參數(shù)，通過工業(yè)防火墻連到企業(yè)內(nèi)部的總線，我們進入到工廠階級，有邊緣計算，有各種各樣的服務(wù)器以及數(shù)據(jù)監(jiān)控與采集系統(tǒng)，包括工程計算，服務(wù)人等等，這里面進一步收集和匯聚分類數(shù)據(jù)再送到企業(yè)集團這一層，在云計算的支持下，我們工業(yè)互聯(lián)網(wǎng)平臺具有各種各樣的數(shù)據(jù)庫和服務(wù)。企業(yè)除了跟內(nèi)部以外還需要跟外部發(fā)生聯(lián)系，我們會有企業(yè)外網(wǎng)，我們可以看到是基于5G和IPV6的軟件定義的廣域網(wǎng)。那么企業(yè)內(nèi)部現(xiàn)在比較多的是工業(yè)以太網(wǎng)和敏感網(wǎng)絡(luò)。作為底層車間一級我們物聯(lián)網(wǎng)會使用傳感網(wǎng)的協(xié)議，企業(yè)跟外部聯(lián)系，我們右圖顯示，一個企業(yè)總要跟它的分支機構(gòu)以及互聯(lián)網(wǎng)數(shù)據(jù)中心還有云服務(wù)，不論云是私有云還是公有云，基本上不一定會在企業(yè)總部同一個位置，需要外網(wǎng)加以聯(lián)系，通過外部的聯(lián)系可以常規(guī)走公眾互聯(lián)網(wǎng)，可以利用網(wǎng)絡(luò)切片有一定和其他企業(yè)的信道有隔離，當然可以通過上運營商專用的物理專線。可以通過軟件定義廣域網(wǎng)來控制，而且物理專線不會像過去那種固定向運營商用，那就要變化起來就比較麻煩?，F(xiàn)在用SDNV（音）軟件定義廣域網(wǎng)可以實時的變化。我今天介紹一下5G的網(wǎng)絡(luò)技術(shù)，從底層看，有各類終端，除了移動智能終端，還有各種各樣的可穿戴設(shè)備，我們包括機器傳感器、網(wǎng)連車等等。到了無線接入這部分，5G會使用大規(guī)模的天線，超密集組網(wǎng)，同時使用更多的其他的各種各樣的技術(shù)。從基站到核心網(wǎng)需要利用光纖傳輸，傳統(tǒng)的光纖傳輸是SDH十分服用（音）的技術(shù)。那么現(xiàn)在在5G會擴展到統(tǒng)計服用以及一些光傳感網(wǎng)。5G的特點更多表現(xiàn)在轉(zhuǎn)發(fā)面上，傳統(tǒng)的互聯(lián)網(wǎng)在第三層依靠路由器實現(xiàn)無連接的轉(zhuǎn)入，今后會繼續(xù)使用第三層，但是可能會用面上連接的技術(shù)包括基于IPV6原路。除了第三層在5G還會擴展到使用第二層的交換支撐一些像話音這樣的帶寬認為要求高一點的信號。這里面包括基于以太網(wǎng)的實驗敏感網(wǎng)絡(luò)，更進一步因為5G又支持大量的視頻，我們更希望降低到第一層半去以太網(wǎng)的交叉連接快速轉(zhuǎn)發(fā)大視頻的信號。另外5G的另外一個特點，是網(wǎng)絡(luò)虛擬化，使用網(wǎng)絡(luò)切片，這里邊包括軟件定義網(wǎng)網(wǎng)絡(luò)功能虛擬化，無定制的小區(qū)用戶中心網(wǎng)。5G另外一個特點是業(yè)務(wù)互聯(lián)網(wǎng)化，傳統(tǒng)過去的移動網(wǎng)使用專用協(xié)議，而5G要全部使用互聯(lián)網(wǎng)的協(xié)議，5G更強調(diào)云化的網(wǎng)絡(luò)，包括中心云，以及移動邊緣計算，以及集中的的無線接入網(wǎng)是云化的。從這里我們看到5G的新型網(wǎng)絡(luò)技術(shù)代表了網(wǎng)絡(luò)體系的演進方向，云化、虛擬化、開放化對Cyber安全提出了新的挑戰(zhàn)。而基于服務(wù)網(wǎng)絡(luò)的體系，它便于調(diào)動網(wǎng)絡(luò)服務(wù)，提升業(yè)務(wù)的生成能力，支持網(wǎng)絡(luò)切片。而網(wǎng)絡(luò)切片是能為業(yè)務(wù)流提供滿足服務(wù)需要的VPN的通道，SDN軟件定義網(wǎng)實現(xiàn)了控制層跟傳送層的分離，支持了基于IPV6面向連接的源選路提高了轉(zhuǎn)發(fā)效率，保障了低時延。但是這些網(wǎng)絡(luò)技術(shù)是反映了新基建的創(chuàng)新，但從另一個層面對網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。我們分別來說。第一個就是虛擬化的挑戰(zhàn)現(xiàn)在大家看到的是一個云數(shù)據(jù)中心，底層是一個綠色的機房，包括運維管理、供電、制冷、安防等等，重要的是第二層，有一個云平臺，這里實現(xiàn)了計算存儲網(wǎng)絡(luò)資源的虛擬化，上層有各種各樣的服務(wù)，這是云數(shù)據(jù)中心，在5G會使用網(wǎng)絡(luò)功能的虛擬化，傳統(tǒng)的網(wǎng)絡(luò)召喚機就是召喚機，路由器也如此，交叉軟件也如此?，F(xiàn)在通過網(wǎng)絡(luò)功能虛擬化，我們硬件可以走通用的，利用通用處理器做成通用的硬件，依靠軟件的不同定義這個網(wǎng)源的功能，實現(xiàn)了軟硬件的結(jié)果。那么這種虛擬化帶來的挑戰(zhàn)，數(shù)據(jù)中心和網(wǎng)絡(luò)以及計算存儲資源的虛擬化，5G網(wǎng)絡(luò)功能的虛擬化，模糊了網(wǎng)絡(luò)安全的物理邊界，虛擬的安全域還會動態(tài)變化，傳統(tǒng)依賴物理邊界防護的安全機制難以奏效。很多安全挑戰(zhàn)是內(nèi)生的，以網(wǎng)絡(luò)安全硬件外掛的方式很難進入到內(nèi)生的安全體系，我們需要增加免疫力，網(wǎng)絡(luò)安全需要跟信息基礎(chǔ)設(shè)施同步建設(shè)。第二個挑戰(zhàn)是切片化的挑戰(zhàn)5G要支持各種各樣的業(yè)務(wù)，但是物理設(shè)施都是公用的，不是為某一個業(yè)務(wù)單建一個網(wǎng)絡(luò)，但是它會從邏輯上通過網(wǎng)絡(luò)資源的調(diào)用，專門為支撐網(wǎng)絡(luò)某一種業(yè)務(wù)生成網(wǎng)絡(luò)切片，我們叫專用的VPN信道。比如說對高帶寬的信道，對高可靠的信道，對低時延的信道等等，這是切片化。切片化我們基本上是靠SDN的方式支撐。比如說傳統(tǒng)的互聯(lián)網(wǎng)、路由器，既有網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能，也有控制功能，原來是一體的。收到的IP包按照最短路徑的優(yōu)先選出旁邊路由器的轉(zhuǎn)發(fā)，是走一步看一步，不考慮全網(wǎng)的優(yōu)化，為了全網(wǎng)的優(yōu)化和降低時延，我們把控制面抽出來，組成網(wǎng)絡(luò)操作系統(tǒng)，把業(yè)務(wù)功能抽出來，依靠對網(wǎng)絡(luò)業(yè)務(wù)大數(shù)據(jù)的分析和網(wǎng)絡(luò)資源大數(shù)據(jù)的收集，我們可以為每一個物理業(yè)務(wù)需求提供一個端到端的路徑?jīng)Q定，那么這樣我們可以實現(xiàn)高效率、低時延。那么通過軟件定義可以實現(xiàn)調(diào)動網(wǎng)源組成網(wǎng)絡(luò)切片提供VPN的信道。但是我們現(xiàn)在在網(wǎng)絡(luò)安全的背景下，我們要假定我們底下的網(wǎng)源都是不可信的，也要在基于網(wǎng)源不可信的情況下來設(shè)計一個網(wǎng)絡(luò)架構(gòu)，實現(xiàn)一個可信網(wǎng)絡(luò)。另外網(wǎng)絡(luò)基礎(chǔ)的結(jié)構(gòu)將來還需要有不斷動態(tài)變化的能力，以便使攻擊和信息的獲取變得更困難。但是這種變化也需要能保證我們自身的通信安全。網(wǎng)絡(luò)切片也好SDN也好都需要有集中控制系統(tǒng)，集中控制系統(tǒng)很容易成為網(wǎng)絡(luò)攻擊對象。并且底層網(wǎng)絡(luò)資源的共享也會挑戰(zhàn)不同信道我們希望的業(yè)務(wù)的隔離。第三個挑戰(zhàn)是開放化的挑戰(zhàn)前面我說了4G的協(xié)議是專用的，我們很少聽說運營商的網(wǎng)絡(luò)遭遇安全攻擊被搞癱瘓了。在5G使用了通用的互聯(lián)網(wǎng)協(xié)議，好處是能夠直接在互聯(lián)網(wǎng)上面已經(jīng)有的各種業(yè)務(wù)運用很好的直接移植到5G上面來，但是同時也為互聯(lián)網(wǎng)上的病毒打開了方便之門。另外我們可以看到右圖，5G的業(yè)務(wù)生成采用類似我們手機上APP的方式，在網(wǎng)絡(luò)上的業(yè)務(wù)以APP的組合支持，這樣的好處是提供了業(yè)務(wù)的可擴展性和靈活性，也便于網(wǎng)絡(luò)切片的組織。但是帶來了安全的風險，首先提供網(wǎng)絡(luò)業(yè)務(wù)APP的平臺，是開放的，以便這些APP既可以運營商生成，也可以社會上第三方的公司甚至網(wǎng)民生成，像手機上的APP一樣開放了平臺，豐富了APP的來源，但是也增加了惡意的APP進入的風險。其次，5G同時網(wǎng)絡(luò)業(yè)務(wù)的開放也把這個業(yè)務(wù)的組織生成的能力賦予了大客戶，我們很多客戶可以利用5G網(wǎng)絡(luò)運營商開放的這些能力自定義和調(diào)配自組織自己的業(yè)務(wù)，跟傳統(tǒng)的移動網(wǎng)絡(luò)業(yè)務(wù)的封閉商比，這種開發(fā)會給惡意的第三方來操控這個網(wǎng)絡(luò)，實現(xiàn)對網(wǎng)絡(luò)的攻擊。另外網(wǎng)絡(luò)的APP同時面對多個客戶的需求，這種業(yè)務(wù)的組織調(diào)度會不會在網(wǎng)絡(luò)資源有限的情況下產(chǎn)生沖突而不會收斂。第四個挑戰(zhàn)是開源化的挑戰(zhàn)右邊圖例是大數(shù)據(jù)分析軟件的例子，我們可以看到在超算平臺、公有云平臺、私有云平臺之上，是個開源大數(shù)據(jù)的軟件框架，這里列了一些開源大數(shù)據(jù)，像storm、hadoop、tensorflow、spark等等，那么這些開源數(shù)據(jù)都是社會上也可以用的到的，當然此外大數(shù)據(jù)分析還有一些專用的核心軟件。那么我這里目前只是想討論一下開源大數(shù)據(jù)。云計算的PaaS軟件平臺，大數(shù)據(jù)挖掘的軟件框架，網(wǎng)絡(luò)功能的虛擬化NFV里面的軟件還有5G使用深度學習的軟件等等，很多都來自開源軟件，這樣很方便很豐富，但是第三方開源的基礎(chǔ)庫漏洞比較多，如果從代碼助行分析工作量很大。屬于我們能開發(fā)出機器的編程方法，從軟件的意圖直接生成代碼，反過來這種從代碼反推意圖，到時候分析網(wǎng)絡(luò)軟件的安全性，不見得代碼一行行的分析，可以從軟件意圖去分析，進行軟件的自動測試和協(xié)議執(zhí)行完整性的檢查。當然不要說從意圖從代碼反推意圖難，即便從意圖機器辦法的生成代碼仍然有很多難度，對網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。第五個挑戰(zhàn)是大連接的挑戰(zhàn)5G在物聯(lián)網(wǎng)從窄帶物聯(lián)網(wǎng)擴展到寬帶IOT以及MOT大連接，我們這個表可以看到，傳統(tǒng)的2G、3G、4G，我們是窄帶物聯(lián)網(wǎng)，那么到5G我們是寬帶的IOT數(shù)據(jù)率可以做多100Mbps，原來的NBLOT只有20還是250Mbps。另外5G也支持大連接，它的連接數(shù)可以說一平方公里100萬個傳感器聯(lián)網(wǎng)，所以說我們5G面對的一個大連接的環(huán)境，我們可以看到。工業(yè)互聯(lián)網(wǎng)是需要大連接的，而且工業(yè)互聯(lián)網(wǎng)大量的傳感器永遠在線，因為功耗的限制，這些傳感器很強安全的防御能力，很容易成為木馬入侵，成為DDOS的跳板。5G面對的設(shè)備種類很多，傳統(tǒng)的我們手機終端是以USIM卡為基礎(chǔ)的單一身份管理方式，而5G很多傳感器不屑于用信用卡這種方式來作為身份標志的，所以也需要設(shè)計多種多樣的身份管理方式。對海量的IOT連接我們一個一個來認證的話，一百萬個要印證到什么時間？所以我們要用群體的認證、分組的認證，這里面要分組要有分幾級會增加時延，一百萬個進行認證會產(chǎn)生心靈風暴。另外有一些認證對時間不敏感，但是在5G的運用車聯(lián)網(wǎng)、車到車、工業(yè)互聯(lián)網(wǎng)很多傳感器上網(wǎng)認證是要求既要快又要好。另外通常的物聯(lián)網(wǎng)終端我們?yōu)榱斯?jié)省功耗，即便要使用加密密鑰的話也要盡量簡單，但是簡單并不意味著降低安全的要求，有一些敏感的應(yīng)用又要高可靠又要低時延，密鑰又不能太復(fù)雜，又要有足夠的安全強度，這是一個很嚴峻的挑戰(zhàn)。第六個是智能化的挑戰(zhàn)我們這里大家看見這個圖，左邊是一個熊貓，在熊貓照片上加入一些干擾，那么右邊的圖當然還是熊貓，可是會被人工智能錯認為是個長臂猿。因為神經(jīng)網(wǎng)絡(luò)導入的數(shù)據(jù)只要有一個很小的改動分類會產(chǎn)生很大的變化，加拿大的多倫多大學曾經(jīng)做過一個實驗，本來人臉識別的準確率能到接近百分之百，加了一點干擾識別準確率只能變成0.5%。所以我們說新一代信息基礎(chǔ)設(shè)施將大量用AI技術(shù)的，當然現(xiàn)在深度學習目前的水平只是把一個曲線離合到成為數(shù)據(jù)，另外依據(jù)數(shù)據(jù)的微小差別實現(xiàn)分類。這里面需要依賴大量正確標注過的數(shù)據(jù)，而且不確定性的一些概率會影響我們模型的準確性，所以人工智能目前在因果關(guān)系上無能為力。我們基本上人工智能目前是知其所以然，不知其所以然。所以人工智能目前的水平是大數(shù)據(jù)大算力小任務(wù)，做一點比較簡單單一的業(yè)務(wù)，但是花大了大量的數(shù)據(jù)和很大的計算能力。未來我們希望什么呢？小數(shù)據(jù)、小算力、大任務(wù)，這還有很長的距離。人工智能不但我們會用，攻擊者也會利用人工智能的技術(shù)來發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的漏洞。像一些高級威脅攻擊，會隨著人工智能的發(fā)展會越來越多的出現(xiàn)。第七個挑戰(zhàn)是私密性的挑戰(zhàn)我們傳統(tǒng)基于外購的防火墻、防病毒和入侵檢測的網(wǎng)絡(luò)安全措施，很簡單，而且也不需要對被保護系統(tǒng)有過多的了解，不涉及被保護系統(tǒng)內(nèi)部的數(shù)據(jù)。但是物理邊界防御方式和頁面網(wǎng)絡(luò)算力設(shè)施的虛擬化很難發(fā)揮作用。以提升免疫能力為主的內(nèi)生防御方式，甚至用零信任的方式會成為發(fā)展趨勢。也就是說我對所有的設(shè)備都信不過，希望用內(nèi)生安全的免疫來解決它。就像我們雖然戴了口罩，可以在外面防御病毒的入侵，當然更重要是提升自身的免疫力。不過內(nèi)生的防御方式也并不是沒有挑戰(zhàn)的，因為它要了解內(nèi)部的系統(tǒng)的被保護系統(tǒng)的狀況，是要跟蹤系統(tǒng)的數(shù)據(jù)，而且所謂內(nèi)生并不意味著跟外部的網(wǎng)絡(luò)安全沒有發(fā)生關(guān)系，仍然需要跟外部網(wǎng)絡(luò)安全威脅情報共享，所以被保護系統(tǒng)會認為內(nèi)生安全防御存在數(shù)據(jù)外泄風險。所以將來我們需要考慮數(shù)據(jù)用后即焚，也就是說在網(wǎng)絡(luò)安全緊急狀態(tài)下，我們首先要考慮保護生產(chǎn)設(shè)施，所以一個稍微企業(yè)的心理性放在第二位，但是在這個網(wǎng)絡(luò)安全事件處理完了以后，那么從獲得的網(wǎng)絡(luò)被保護單位的一些內(nèi)部數(shù)據(jù)，必須不再保留。這就像我們在疫情期間，我們健康碼實際上獲取了每個人很多的隱私，包括你14天內(nèi)的行程，這是為了生命安全我們把個人的隱私做了一個樣度，但是在疫情過后我們不能夠再保留通過健康碼所收集很多用戶的數(shù)據(jù)。怎么實現(xiàn)既要讓數(shù)據(jù)共享利用，又保障數(shù)據(jù)不泄密？現(xiàn)在有人提出聯(lián)邦數(shù)據(jù)的機制，原始數(shù)據(jù)不離開原來存儲的地方，同時原始數(shù)據(jù)只被使用，而不被存儲，不被修改，可以利用