9月13日,经合组织(OECD)数字经济安全工作组和通信基础设施和服务政策工作组发布了《提高通讯基础设施的安全性》(Enhancing the Security of Communication Infrastructure)。该报告旨在向政府部门的政策制定者介绍通讯网络(communication network)发展的四大潮流所带来的与通讯网络数字安全相关的益处与风险,并提供有关未来数字安全治理的建议。
通讯网络(communication network)是经济与社会实现数字转型(digital transformation)的重要基础。对政府决策者而言,确保数字安全性与可靠性已成为关键事项。在这样的背景下,本报告介绍了塑造并改变了通讯网络的四大潮流以及它们对数字安全的影响,并为相关政府决策者提供了三个重要的政策目标,以推动数字安全治理实践、提升数字安全保障水平。
数字转型促使经济社会对通讯网络的依赖程度日益提高,例如在2020年的第一个季度里,部分网络运营商经历了网络流量的增长,与疫情爆发前的水平相较,此次网络流量增长了60%;与此同时,各类运营商还见证了对视频会议工具(videoconferencing tools)、虚拟专用网络流量(virtual private network traffic)、信息传递与内容流量(messaging and content traffic)的使用量的增加。因此,通讯网络的重要指数逐步提升。
这一潮流促使以通讯网络为目标的网络攻击(cyberattack)所带来的潜在影响相较于数年前更高并且会持续增长。此外,报告还指出近年来针对重要设施的网络攻击变得更加普遍且成功率高、针对通讯网络的威胁行动所带来的利润在不断增长、由国家支持的个人以及军事级别组织对网络安全所造成的威胁性亦在显著提高。
网络虚拟化(visualization of networks)指网络由依赖硬件向依靠软件执行功能转变的过程,它将机器的资源从它的硬件中分离出来并使它们能为这些虚拟环境所用,或者将多个实体网络聚集到一个虚拟网络中去。通过这两种方式,网络虚拟化能够创造出一种虚拟仿真环境。
云服务(cloud services)指一种基于一系列能够以灵活、弹性、随需应变的方式以及较低的管理投入访问的计算机资源的服务模式,该模式具有较强的灵活性、能够通过资本开支向业务开支的转变而实现成本节约,同时,它还使各组织得以在无需拥有或维护基础设施的情况下根据自身的需求灵活地扩大或缩小计算机资源的规模。
报告指出,网络虚拟化有能力通过隔离与容器化的方式为数字安全提供附加保护;基于云的网络由于能够动态且灵活地调配资源,如过滤和流量整形,从而具备更强的弹性。
![OECD报告|提高通讯基础设施的安全性]( "OECD报告|提高通讯基础设施的安全性")
然而,网络虚拟化与云服务整合这一潮流也带来了许多数字安全风险。首先,总体而言,与大多数依赖硬件的“模拟”通讯设备相较,通讯网络越来越多地基于软件,这使通讯网络基础设施上所显示的代码行的数量显著增多,通讯网络的攻击面也随之显著扩大;其次,网络越来越多地由多重逻辑层与物理层构成并且包含了更加多样的用户目录,这使得网络架构的复杂性与日俱增,从而造成了网络运营商在管理数据安全风险方面的困难;最后,网络架构与日俱增的复杂性促使网络运营商需要与第三方供应商合作管理数字安全风险。
“开放化”(openness)这一概念深深地根植于通讯网络与互联网协议中,同时已经在业内广泛传播。互联网协议组件的开放化与互通性通过提供一种信息互换的标准化方式促使互联网扩展至现有的规模,在近几代移动网络中,它逐渐成为一项主要的通讯技术。网络开放化有两种用途:第一,信息与通讯技术要素及核心网络硬件设备开放化,即“开放式网络(open networking)”;第二,移动网络开放化,或“开放式接入无线网络(open radio access network)”。
网络开放化的益处体现为:第一,促进通讯网络供应链多样化,减少网络运营商对相对少数的供应商的依赖;第二,开放化架构(open architectures)有利于推动通讯网络供应链竞争,亦能刺激创新,例如开发新的数字安全风险管理工具;第三,网络开放化是一种以更加透明化为方向的积极演变。
网络开放化带来的风险则体现为:第一,供应商多样化及通讯网络中多种开放接口的发展提高了网络架构的复杂性;第二,开放化架构使数字安全风险评估与缓减变得更加困难,网络运营商需要通过更多的供应商群体及各种设备组合来评估数字安全风险,同时,由于供应商的风险情况在不断变化,运营商们还要时常进行复评;第三,由于开放化架构将更多的运营商引入移动网络供应链,它们可能导致网络运营商、设备制造商、软件供应商和服务提供商之间在数字安全风险管理方面出现责任差距。
人工智能(Artificial Intelligence,简称“AI”)系统指的是“一种基于机器的、能够为了达成人类定义的特定目标而对真实或虚拟环境做出预测、建议或会对真实或虚拟环境产生影响的决策的系统”。AI系统用途广泛,在许多领域都得到了大力的推广和应用。
在通讯网络安全领域,AI带来的益处主要体现在两个方面:第一,由AI支持的数字安全系统能够自动检测恶意软件并识别可疑行为与流量;第二,AI可以帮助通信基础设施供应商优化核心网络和RAN设备等关键产品的质量、提高云和网络管理等服务的数字安全水平。
然而,AI也给通讯网络安全领域带来了风险:首先,AI的不易理解性与不透明性给数字安全风险管理带来了重大挑战;其次,恶意行为者会利用AI技术研发出攻击技术、发现新型漏洞并绕过传统安全措施;最后,由于AI的发展广泛依赖于数据收集与整理,因此AI的发展会催生出基于数据中毒的新型网络攻击,包括插入或篡改数据与逻辑破坏。
基于对四大潮流给数字安全治理带来的利弊的分析,本报告为政府决策者提供了三点建议,为其有效管理通讯网络安全引领方向。
第一,采用整体性及策略性方法加强通讯基础设施的数字安全,充分考虑相关产品与服务的整个生命周期、汇聚所有利益相关方并在所有通信基础设施中进行协调;
第二,激励网络运营者提高数字安全性,采用全面的风险管理框架(即风险评估和风险处理),鼓励网络运营者使用更为先进的安全保障方法,如“零信任”模式;
![OECD报告|提高通讯基础设施的安全性]( "OECD报告|提高通讯基础设施的安全性")
第三,通过督促供应商提高供应链透明度、支持信息和通信技术及服务供应链的多样化发展来解决供应链数字安全风险。
原文始发于微信公众号(赛博研究院):OECD报告|提高通讯基础设施的安全性
评论