沈昌祥院士:用主动免疫可信计算构筑新基建网络安全保障体系


新基建的提出,是党中央高瞻远瞩、审时度势作出的重大战略部署,将大力推动数字化转型、网络化重构、智能化提升、产业化升级,为高质量发展提供有力支撑。新基建下的网络攻击将从数字空间延伸到物理空间,严重影响国家安全,网络安全成为新基建领域的重要挑战。

“没有网络安全就没有国家安全”,按照国家网络安全法律、战略和等级保护制度要求,推广安全可信产品和服务,筑牢网络安全防线,是历史赋予的使命。新型基础设施以数据和网络为核心,发展前提是用主动免疫的可信计算筑牢安全防线

著名科学家图灵创建现代电子计算机,当时是为了解决科学计算问题,并未考虑有人会利用逻辑缺陷进行攻击的情况,缺少攻防理念。正因为冯·诺依曼体系结构缺少防护部件,再加上工程应用无安全服务,所以利用逻辑缺陷对计算机系统进行攻击获取利益成为永恒命题,这就是网络安全的本质,相当于人的身体没有免疫系统就不能防御病毒入侵。

采用运算和防护并存,以防利用逻辑缺陷进行攻击的新计算模式,以密码基因产生抗体实施身份识别、状态度量、保密存储等主动免疫机制,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为计算机信息系统培育免疫能力。新基建采用新的计算模式必须建立新体系框架,实施安全管理支撑下的计算环境、区域边界和通信网络三重主动免疫防御框架,实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、计算资源改不了、系统工作瘫不成和攻击行为赖不掉的安全防护效果。这与防控新冠病毒相似,既要对社会环境进行管控,也要使人保持自身机体免疫力,戴口罩隔离,同时还要严控来往的联络人员,这样才能有效控制疫情。

主动免疫框架内的节点必须有独立的可信检测软硬件,并与计算资源的软硬件并行形成双体系结构,实施计算运算的同时进行安全检测,而不是简单地在串行结构上加安全功能的防护。就像人体的免疫功能一样,抗体每时每刻对机体进行监控,也是双并行结构。

摒弃“封堵查杀”,用主动免疫引领自主创新产业发展。当前大部分网络安全系统主要是由防火墙、入侵检测和病毒查杀等组成,这三者也被称为“封堵查杀老三样”。新基建应摒弃“封堵查杀老三样”模式,驱动新产业发展。

新基建以网络数据为核心,应该做到全程可测可控,不扰,消除安全隐患,确保计算结果与预期一致。这要求工程建设必须与主动免疫安全保障建设同步进行,做到同步规划、同步设计、同步实施、同步运维,以确保 5G 网络、数据中心等新基建数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。目前,国外没有能满足上述要求的技术产品,我国应抓住机遇,加强国产化产品中主动免疫创新完善,实现机理、策略和架构的可信度量和监控,带动国产安全可信产业快速发展。

2018年8月,沈昌祥参加《中国经济大讲堂》节目时指出,建立网络安全免疫系统“时不我待”。

新基建采购网络信息产品和设备必须科学决策。《中华人民共和国网络安全法》(简称《网络安全法》)第十六条规定,国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务。《国家网络空间安全战略》指出,重视软件安全,加快安全可信产品推广应用。

面对复杂的国际市场环境,我们必须积极应对。2014年4月8日,微软停止对Windows XP的服务支持,强推“可信”的 Windows8,我国决定不采购。2014年10月,微软推出 Windows10,强制与硬件 TPM 芯片配置,全面覆盖各类系统,并在网上一体化管控。推广Windows10 将直接威胁网络空间国家主权。我国按照网络安全审查制度成立安全审查组,按照 WTO 规则,对 Windows10 开展安全审查。坚持按国家法律和标准要求,数字证书、可信计算、密码设备必须是国产自主的,通过审查后才能采购。

抓住机遇发展自主创新国产化信息网络产业。过去二十多年来,我国不少核心基础设施坚持自主创新,如国家电网调度系统全面实现安全可信,为推广安全可信国产化作出典范;增值税发票防伪系统确保所有发票真实可信;我国的第二代居民身份证的体系结构可保证其不可被篡改和伪造,这些都是用了主动免疫安全可信的支持系统,为以后的信息基础设施安全保障提供了宝贵经验。

总的来说,新基建要坚持自主创新安全可信的国产化,可按“五三一”原则实施。

可重构,即面向具体的应用场景和安全需求,对核心技术要素进行重构,形成定制化的新的体系结构;

可信,即通过可信计算技术增强自主系统免疫性,防范未知漏洞攻击影响系统安全性,为国产化真正落地保驾护航;

可用,即做好应用程序与操作系统的适配工作,确保自主系统能够替代国外产品。

要对最终的系统拥有自主知识产权,保护好自主创新的知识产权及其安全。坚持核心技术创新专利化、专利标准化、标准推进市场化。要走出国门,成为世界品牌。

20世纪80年代,可信计算概念被提出,但是当时只局限于操作系统、数据库等产品的可信计算基(安全功能集合),未涉及计算机原理和体系结构等核心科学技术问题。2000 年,国际上可信计算组织(TCG)成立,其架构是主机通过外设接口挂接可信计算模块(TPM),以主机调用外部设备功能(软件栈)实现可信等功能,存在单公钥密码体制和串行被动调用等缺陷。

1992 年,我国立项研究综合安全防护系统(智能安全卡),1995 年 2 月该系统通过测评鉴定,肯定具有公钥与对称密码双体制、免疫抗病毒、计算和防护并行双结构等重大创新成果,居世界先进水平,此后被大规模推广应用,制定发布国家和军队的可信计算系列标准及申请专利,我国跨入主动免疫可信计算时代(简称可信计算 3.0)。

2006年,国务院发布《国家中长期科学和技术发展规划纲要(2006-2020年)》(以下简称《纲要》)。在《纲要》的指导下,经过长期攻关突破,形成了完整的产业链,为构建关键信息基础设施安全保障体系提供了巨大保障。可信计算 3.0 的不少核心技术被国外企业和机构采用,如俄罗斯卡巴斯基公司 2019年宣布不做杀病毒软件而要建免疫网络,TCG的双体制密码标准,AMD 的多核 CPU 内双结构,以及美国的零可信等热门安全架构,都与我国的主动免疫可信计算有异曲同工之举。

《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第三十一条规定,国家对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

加强新基建网络安全建设,应该按照新的网络安全等级标准(简称等保 2.0 标准)高等级要求重点实施保护。新的等保 2.0 标准是在二十多年等保工作的创新发展中逐步形成的,把主动免疫可信计算 3.0 的核心技术产品和服务逐步升级,构建各级主动免疫可信架构。

可信计算 3.0 已形成完整的产业链,可满足新基建高等级保护的构建需求。新基建按等保 2.0 标准步骤进行安全保障体系建设,具体来说,可分为五个步骤进行:

按业务信息和系统服务两方面受攻击造成损害程度进行评估,公众利益、社会秩序或国家安全造成损害、严重损害、特别严重损害的,分别定为三、四、五级。

确定等级经专家评审备案后,根据等保 2.0 技术设计要求标准进行建设方案设计,经评审报批后确定。

测评机构按照测试要求和国家标准完成测评任务,承建者对发现的问题修改完善后投入运营。

国家主管部门对基础设施运营定期进行监督检查,并设置完善的应急恢复措施,确保系统安全可靠运营。

新基建按照等保 2.0 标准建成后,再按国家有关法律法规进一步加强防护,使其具有主动免疫、技管并重、内外兼防、纵深防御的网络安全防线。


发表回复

您的电子邮箱地址不会被公开。