大咖論“數” 沈昌祥:打造網絡空間安全可信主動免疫新生態

沈昌祥

“沒有網絡安全就沒有國家安全,安全是發展的前提。”網絡空間已經成爲國家的主權空間。國家互聯網信息辦公室發佈的《國家網絡空間安全戰略》,其中有一條“夯實網絡安全基礎”,強調“儘快在覈心技術上取得突破,加快安全可信的產品推廣應用”。由此,網絡安全等級保護,以及關鍵技術保護制度要求所有標準都是以安全可信爲基礎,構建主動防護體系。

以安全可信構築網絡主動免疫保障體系。2017年5月暴發的“WannaCry”勒索病毒,通過將系統中數據信息加密,使數據變得不可用,藉機勒索錢財。病毒席捲近150個國家,主要攻擊教育、交通、醫療、能源等網絡。美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊,被迫關閉其美國東部沿海各州供油網絡。因此,我們必須用安全可信的產品服務來築起網絡安全的長城。

安全可信就是主動免疫、全方位、動態地進行防護,使得我們設計的系統邏輯組合不被篡改,能夠達到原來計算的目標。這不是打個補丁、刪個病毒,我們要的是一個安全保障體系。

中國可信計算源於1992年立項研製免疫的綜合安全防護系統(智能安全卡),於1995年2月底通過測評和鑑定。經過長期軍民融合攻關應用,形成了自主創新安全可信體系,開啓了可信計算3.0時代。

現在統治世界的操作系統win8、win10,它們沒有改變計算機原理,還是主程序調子程序,安全部件TPM的檢查模塊,沒有改變結構,構不成免疫系統,會出現重大安全漏洞。3.0既有win8、win10的創新功能,又有提高可靠性的功能。完備的可信計算3.0產品鏈,將形成巨大的新型產業空間。

搶佔核心技術制高點擺脫受制於人。《國家中長期科學和技術發展規劃綱要(2006-2020年)》明確提出,以發展高可信網絡爲重點,開發網絡安全技術及相關產品,建立網絡安全技術保障體系。可信計算廣泛應用於國家重要信息系統,如:增值稅防僞、彩票防僞、二代居民身份證安全系統、國家電網電力數字化調度系統安全防護建設,已成爲國家法律、戰略、等級保護制度要求進行推廣應用。

近期宣揚的零信任架構,缺少科學原理支撐,網絡無邊界不符合網絡空間主權原則,基於身份認證的動態訪問控制早就在國標17859規定,傳統的調用功能模塊組合難成爲安全保障科學架構,也不符合我國法律、戰略和制度要求推廣安全可信的網絡產品和服務的規定。我們要科學嚴謹分析研究,堅持自主創新,不能盲目跟班。

落實關鍵基礎設施等級保護標準,案例很多,標準很明確。一級基礎軟硬件、固件不能被篡改,二級應用程序不能假冒篡改,三級動態並行,四級不間斷檢查,進行動態關聯感知,形成實時的態勢。

現在電力可信計算密碼平臺已覆蓋幾十個省級以上調度控制中心、上千套地級以上電網調度控制系統,確保了長期穩定供電,抵禦了一切病毒的攻擊。

我們要抓住安全、可信的發展機遇,推動整個產業體系形成保障,爲安全可信的網絡架構作出應有的貢獻。

(沈昌祥 作者爲中國工程院院士)