熱點要聞專家觀點合作交流研究動態數字產業觀察

委員聲音 | 院士觀點：用主動免疫可信計算筑牢“新基建”網絡安全防線

2020-04-21

本文轉自微信公眾號：網信軍民融合（公眾號ID：wxjmrh）

沈昌祥

清華大學互聯網產業研究院產業轉型顧問委員會委員、中國工程院院士

當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間，也是國際戰略在網絡社會領域的演進，我國的網絡安全正面臨著嚴峻挑戰?！皼]有網絡安全就沒有國家安全”，按照國家網絡安全法律、戰略和等級保護制度要求，推廣安全可信產品和服務，筑牢網絡安全底線是歷史的使命。新型基礎設施以數據和網絡為核心，其發展前提是用主動免疫的可信計算筑牢安全防線。

樹立科學的網絡安全觀

構建新基建主動免疫安全保障體系

1、認清網絡安全本質，主動抵御安全風險

著名科學家圖靈創建了現代電子計算機，當時是為了解決科學計算問題，只考慮能完成計算任務的邏輯組合即可，也不可能想到還有人利用邏輯缺陷進行攻擊問題，少了攻防原理。由此馮·諾依曼體系結構缺少防護部，再加上工程應用無安全服務，于是利用邏輯缺陷對計算機系統進行攻擊獲取利益成為永遠命題，這就是網絡安全的本質，相當于人的身體沒有免疫系統不能防御病毒入侵一樣。主動免疫可信計算采用運算和防護并存，以防利用邏輯缺陷進行攻擊的新計算模式，以密碼基因產生抗體實施身份識別、狀態度量、保密存儲等主動免疫機制，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為計算機信息系統培育了免疫能力。

新基建采用新的計算模式必須建立新體系框架，實施安全管理支撐下的計算環境、區域邊界和通信網絡三重主動免疫防御框架，實現攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、計算資源改不了、系統工作癱不成和攻擊行為賴不掉的安全防護效果。這與最近防新冠狀病毒相似，首先要對社會環境進行管控，要使人體保持自身機體免疫力，需要帶口罩隔離，也要檢控來往的聯絡人員，這樣才能控制疫情。

主動免疫框架內的節點必須有獨立的可信檢測的軟硬件，并與計算資源的軟硬件并行形成雙體系結構，實施計算運算同時進行安全檢測，并不是簡單的在串行結構上加上安全功能的防護，就像人體的免疫功能一樣，抗體每時每刻對機體進行監控，也是雙并行結構。2017 年 5 月 12 日，一款名為 “WannaCry” 的勒索病毒，攻擊網絡席卷全球，一天時間有近 150 個國家受害，僅當天我國就有數十萬例感染報告。病毒經多次變種，勒索了包括工控等所有網絡系統?？上驳氖俏覈b備主動免疫可信計算產品的系統，如中央電視臺制播環境系統和國網電力調度系統等關鍵設施免受勒索，確保了我國第一次一帶一路世界峰會順利召開。事實說明，我們只有構建主動免疫的網絡空間安全保障體系，才能筑牢基礎設施網絡安全防線。

2、離開“封堵查殺"，帶動自主創新產業發展

當前大部分網絡安全系統主要是由防火墻、入侵監測和病毒查殺等組成，稱為“老三樣”。可是“封堵查殺”難以應對利用邏輯缺陷的攻擊并且自身也存在安全隱患。首先，“老三樣”是被動的防護，根據已發生過的特征庫內容進行比對查殺，面對層出不窮的新漏洞與攻擊方法，這是消極被動的事后處理，不頂用；其次，“老三樣”屬于超級用戶，權限越規，違背了最小特權安全原則；第三，“老三樣”可以被攻擊者利用，惡意查殺，成為網絡攻擊的平臺。新基建應離開“封堵查殺老三樣”，驅動新產業發展。

新基建以網絡數據為核心，應該做到全程可測可控，不被干擾，消除安全隱患，確保計算結果與預期一致。 這要求工程建設必須與主動免疫安全保障建設同步進行，做到同步規劃、同步設計、同步實施、同步運維，以確保 5G 網絡、數據中心等新基建數據存儲可信、操作行為可信、體系結構可信、資源配置可信和策略管理可信。目前國外沒有能滿足上述要求的技術產品，我國應抓住機遇，加強國產化產品中主動免疫創新完善，實現機理、策略和架構的可信度量和監控，帶動國產安全可信產業快速發展。

主動免疫可信計算創新發展

為新基建安全保障打下扎實基礎

1、堅持自主創新安全可信，搶占技術制高點

新基建采購什么網絡信息產品和設備必須科學決策。國家網絡安全法第十六條規定，國務院、省、自治區、直轄市人民政府應當統籌規劃加大投入，扶持重點網絡安全產品和項目，支持網絡安全技術研究開發和應用，推廣安全可信的網絡產品和服務。國家頒布的網絡空間安全戰略，在夯實網絡安全基礎的戰略任務中強調盡快突破核心技術，加快推廣安全可信的網絡產品。堅持自主創新安全可信才能確保網絡安全。面對復雜的國際市場環境，必須積極應對。2014 年 4 月 8 日，微軟停止對 Windows XP 的服務支持，強推可信的 Windows8，我國決定不采購。2014 年 10 月，微軟推出了 Windows10，強制與硬件 TPM 芯片配置，全面覆蓋各類系統，并在網上一體化管控。推廣 Windows10 將直接威脅網絡空間國家主權。我國按照網絡安全審查制度成立安全審查組，按照 WTO 規則，開展對 Windows10 的安全審查。審查中堅持按國家法律和標準要求，數字證書、可信計算、密碼設備必須是國產自主的，通過審查后才能采購，目前未見審查結論。

抓住機遇發展自主創新國產化信息網絡產業。過去二十多年來國家不少核心基礎設施堅持自主創新，如國家電網調度系統全面實現安全可信，為推廣安全可信國產化做出典范。另外，我國的彩票從未發生過假冒事件，增值稅發票防偽系統確保其所有發票真實可信；我國的第二代居民身份證的體系結構保證其不可竄改和偽造，這些都是用了主動免疫安全可信的支持系統，也為后來的信息基礎設施安全保障提供了寶貴經驗。

新基建要堅持自主創新安全可信的國產化，按“五三一”原則實施。

“五個可做到”： 可知，即對合作方開放全部源代碼，要心里有數，不能盲從；可編，即要基于對源代碼的理解，能自主改寫代碼；可重構，即面向具體的應用場景和安全需求，對核心技術要素進行重構，形成定制化的新的體系結構；可信，即通過可信計算技術增強自主系統免疫性，防范未知漏洞攻擊影響系統安全性，為國產化真正落地保駕護航；可用，即做好應用程序與操作系統的適配工作，確保自主系統能夠替代國外產品。

“三條控制底線”： 必須使用我國的可信計算；必須使用我國的數字證書；必須使用我國的密碼設備

“一定要有自主知識產權”： 要對最終的系統擁有自主知識產權，保護好自主創新的知識產權及其安全。堅持核心技術創新專利化，專利標準化，標準推進市場化。要走出國門，成為世界品牌。

2、開創可信計算 3.0 新時代，徹底擺脫核心技術受制于人

八十年代世界上提出可信計算概念，但是只局限于操作系統、數據庫等產品的可信計算基（安全功能集合），未涉及計算機原理和體系結構等核心科學技術問題。2000 年國際上成立了可信計算組織（TCG），其架構是主機通過外設接口掛接可信計算模塊（TPM），以主機調用外部設備功能（軟件棧）實現可信等功能，存在單公鑰密碼體制和串行被動調用等缺陷。我國 1992 年立項研究綜合安全防護系統（智能安全卡），1995 年 2 月底通過測評鑒定，肯定了具有公鑰與對稱密碼雙體制、免疫抗病毒、計算和防護并行雙結構等重大創新，居世界先進水平，經軍民融合大規模推廣應用，制訂發布了國家和軍隊的可信計算系列標準及專利，跨入了主動免疫可信計算新時代（簡稱可信計算3.0）?！秶抑虚L期科學技術發展綱要（2006一2020年）》明確要求發展高可信網絡為重點，開發網絡安全技術及相關產品，建立網絡安全保障體系。在綱要的指導下經過長期攻關突破，形成了完整的產業鏈，為構建關鍵信息基礎設施安全保障體系取得了重大效益?！肚笫恰返群诵目锔叨荣澰u：主動免疫方能有效防護；新華社《中國名牌》封面贊稱：中國可信計算主動防御時代?？尚庞嬎?3.0 的不少核心技術被國外重要企業和機構采用，如著名的俄羅斯卡巴斯基去年宣布不做殺病毒軟件而要建免疫網絡，TCG 雙體制密碼標準，AMD 的多核 CPU 內雙結構，以及最近美國的零可信等熱門安全架構都與我們主動免疫可信計算是同工異曲之舉。

3、按網絡安全等保 2.0 用可信計算 3.0 構筑新基建安全防線

《中華人民共和國網絡安全法》第二十一條，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免干擾、破壞或者未經授權的訪問，防止網絡數據泄漏或者被竊取、篡改。三十一條規定，國家對關鍵信息基礎設施在網絡安全等級保護制度基礎上實行重點保護。新基建應當加強網絡安全建設，要應該按照新的網絡安全等級標準（簡稱等保2.0標準）高等級要求重點實施保護，確保網絡安全。 等級保護共分五級，其中高等級指的三級以上，即標記強制訪問級、結構化保護級以及最高五級實時監控。

新的等保 2.0 標準是在二十多年等保工作中創新發展逐步形成的，把主動免疫可信計算 3.0 的核心技術產品和服務逐步升級構建各級主動免疫可信架構?？尚庞嬎?3.0 己形成了完整的產業鏈，完全可滿足新基建高等級保護的構建需求。新基建是關鍵信息基礎設施中以 5G 網絡和數據中心等為代表新型基礎設施，完全可按等保 2.0 標準步驟進行安全保障體系建設。可分五個步驟進行：第一，風險分析準確定級。 按業務信息和系統服務兩方面受攻擊造成損害程度進行評估，公眾利益、社會秩序或國家安全造成損害、嚴重損害、特別嚴重損害的，分別定為三、四、五級； 第二，按級要求確定方案。 確定等級經專家評審備案后，根據等保2.0技術設計要求標準進行建設方案設計，經評審報批后確定； 第三，規范施工嚴密管理。 從技術和管理兩個層面按照確定方案進行實施，做到可信可控可管； 第四，嚴格測評整改完善。 測評機構按照測試要求和基本要求國家標準完成測評任務，承建者對發現問題修改完善后投入運營； 第五，監督檢查應急恢復。 國家主管部門對基礎設施運營定期進行監督檢查，并有完善的應急恢復措施，確保系統安全可靠運營。

新基建按照等保 2.0 標準建成后，再按國家《關鍵信息基礎設施保護條例》（即將發布）進一步加強防護，使其具有主動免疫、技管并重、內外兼防、縱深防御的牢不可破網絡安全防線。

委員聲音 | 院士觀點：用主動免疫可信計算 筑牢“新基建”網絡安全防線

委員聲音 | 院士觀點：用主動免疫可信計算筑牢“新基建”網絡安全防線