前言:
新基建从一开始就要考虑采用我国安全可控的信息技术体系,形成新一代安全架构,以保证基础设施的安全。随着新基建的持续推进,网络安全的影响也会越来越深入,网络安全是发展好新基建的前提。
新基建需要新安全
不管是智慧城市发展还是现代化治理,以及当前的数字经济新模式新业态发展,都需要数字安全来保证。
在数据平台层面,要求数据运营平台建立数据备份和防攻击体系,防止人为破坏和意外事故造成数据丢失与泄露,健全网络安全风险评估和管理制度等。在技术研究层面,要加快研究密码学、可信计算、加密数据的通信系统,以及基于区块链的新型数据加密技术等。
在市场应用层面,形成市场与政府协同管理机制,确保数据从采集到应用再到交易等环节的安全可控。
新基建重中之重是要构建安全防护体系建设, 5G网络、云计算、大数据、工业控制、物联网等,关键是要在五个方面的可信:体系架构不能变;资源配置不能篡改;操作行为(可信)不能攻击;确保数据的可信;策略管理要可信,不能被篡改。
归根结底,网络安全取决于新技术带来的新的安全问题。新形势下,网络安全不再是事后应对的问题,仅靠原来防火墙等方法论,显然无法解决新基建带来的新挑战。
阿里发布安全基建大图
今年3月,阿里发布数字基建新一代安全架构。从实战出发进行安全基建,让安全能力和业务数字化建设实现同步,是新一代安全架构的核心理念。
近日,阿里安全新一代安全架构,正式对外发布了全新的安全基建大图及应用安全企业标准,为整个产业的安全能力建设,提供了可快速复制的参考样板。
阿里发布的新一代安全架构主要包括安全技术、安全基建和安全运营三层核心。安全技术层是安全底层能力的集合,向上支持安全基建层,安全基建层将能力沉淀为标准体系及配套的流程、产品,形成安全中台,通过中台建立可信的应用体系,达到风险预防免疫的效果。
作为三层核心架构中的重心,安全基建层的作用是在数字经济实体搭建过程中,建立标准化流程、引入关键技术,解决数字经济实体搭建的“安全施工标准”问题。
在安全基建大图中,应用安全企业标准主要定义了应用安全从能力到产品、产品到流程、流程触达用户的要求与建设方案。
其主要包括完备应用安全流程、构建相应管理机制、建设度量体系和为规范确认执行细节等四个部分。
应用安全与人的安全意识紧密相关。参与安全基建大图设计的阿里安全高级产品运营专家岑汐认为,归根结底还是安全教育的问题,应该加强打造以安全技术和安全意识为中心的基建能力。
安全基建在新零售事业部的实践中,共计发现并完成整改282项风险,在企标、红线及配套体系产品落地后,万行代码引入漏洞数断崖式下降56%。