“我們應(yīng)對(duì)的不是小黑客,,應(yīng)對(duì)的不光是貿(mào)易戰(zhàn),、核武戰(zhàn),更多的應(yīng)該是網(wǎng)絡(luò)戰(zhàn)爭,。我們必須筑牢網(wǎng)絡(luò)安全的堅(jiān)實(shí)防線,。” 中國工程院院士,、中央網(wǎng)信辦專家咨詢委員會(huì)顧問沈昌祥先生在CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)上表示,。
沈昌祥院士
沈昌祥是中國工程院院士、國家集成電路產(chǎn)業(yè)發(fā)展咨詢委員會(huì)委員,、中央網(wǎng)信辦專家咨詢委員會(huì)顧問,、國家三網(wǎng)融合專家組成員,在網(wǎng)絡(luò)安全和科技創(chuàng)新等方面做出了杰出貢獻(xiàn),。4月10日,,沈昌祥院士出席CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì),并以“以自主創(chuàng)新,、安全可信打造工業(yè)互聯(lián)網(wǎng)新生態(tài)”為題發(fā)表了主旨演講,。沈昌祥院士表示,中國的可信計(jì)算是世界領(lǐng)先,,要堅(jiān)持走安全可信的道路,,促進(jìn)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)健康、可信,、穩(wěn)定地發(fā)展,!
安全可信—科學(xué)的網(wǎng)絡(luò)安全觀
2017年5月12日爆發(fā)的“WannaCry”的勒索病毒,通過將系統(tǒng)中數(shù)據(jù)信息加密,,使數(shù)據(jù)變得不可用,,借機(jī)勒索錢財(cái)。病毒席卷近150個(gè)國家,,教育,、交通、醫(yī)療,、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū),。一時(shí)間,,網(wǎng)絡(luò)安全得到了社會(huì)各界空前的關(guān)注,。
事實(shí)上,,我國一批具有遠(yuǎn)見卓識(shí)的科研人員早已關(guān)注到網(wǎng)絡(luò)安全的重要性,國家也已經(jīng)作出了有力的部署,。沈昌祥院士分享了一段難忘的經(jīng)歷:
2013年初,,微軟公司宣布將停止XP系統(tǒng)的服務(wù),多名院士經(jīng)過調(diào)研,,起草了一封建議信遞交給習(xí)近平總書記,,建議很短,不到1000字,??倳浐芸炀妥隽酥匾荆倳浽u(píng)論說:“計(jì)算機(jī)操作系統(tǒng)等信息化核心技術(shù)和信息基礎(chǔ)設(shè)施的重要性顯而易見,,我們?cè)谝恍╆P(guān)鍵技術(shù)和設(shè)備上受制于人的問題必須及早解決,。要著眼國家安全和長遠(yuǎn)發(fā)展,抓緊謀劃制定核心技術(shù)設(shè)備發(fā)展戰(zhàn)略并明確時(shí)間表,,大力發(fā)揚(yáng)‘兩彈一星’和載人航天精神,,加大自主創(chuàng)新力度,經(jīng)過科學(xué)評(píng)估后選準(zhǔn)突破點(diǎn),,在政策,、資源等各方面予以大力扶持,集中優(yōu)勢(shì)力量協(xié)同攻關(guān)實(shí)現(xiàn)突破,,從而以點(diǎn)帶面,,整體推進(jìn),為確保信息安全和國家安全提供有力保障,?!?/span>
網(wǎng)絡(luò)安全要做什么?怎么做?國家法規(guī),、戰(zhàn)略,、制度給出了明確的指示?!毒W(wǎng)絡(luò)安全法》第十六條 國務(wù)院和省,、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃,,加大投入,,扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目,支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用,,推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),,保護(hù)網(wǎng)絡(luò)技術(shù)知識(shí)產(chǎn)權(quán),,支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目,。
《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出的戰(zhàn)略任務(wù)“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”,,強(qiáng)調(diào)“盡快在核心技術(shù)上取得突破,加快安全可信的產(chǎn)品推廣應(yīng)用”,。
網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)要求全面使用安全可信的產(chǎn)品和服務(wù)來保障關(guān)鍵基礎(chǔ)設(shè)施安全,。
沈昌祥院士指出,網(wǎng)絡(luò)安全的挑戰(zhàn)是重大的,。新基建將加速推動(dòng)我國數(shù)字化轉(zhuǎn)型,、網(wǎng)絡(luò)化重構(gòu)、智能化提升,、產(chǎn)業(yè)化升級(jí),。但是新基建下萬物互聯(lián)網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間,對(duì)網(wǎng)絡(luò)安全提出嚴(yán)峻挑戰(zhàn),,必須有效應(yīng)對(duì)壟斷網(wǎng)絡(luò)空間霸權(quán)威懾,,筑牢網(wǎng)絡(luò)安全防線。
網(wǎng)絡(luò)安全的本質(zhì)是什么呢,?沈昌祥院士解釋,,從科學(xué)技術(shù)上看,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)源于圖靈機(jī)原理少攻防理念,、馮.諾依曼結(jié)構(gòu)缺防護(hù)部件和工程應(yīng)用無安全服務(wù)的先天性脆弱缺陷,。“由于計(jì)算機(jī)工具沒有人去共建,,體系結(jié)構(gòu)缺防護(hù)部件?,F(xiàn)在的計(jì)算機(jī)都是機(jī)器人,相當(dāng)于一個(gè)生下來就不帶免疫系統(tǒng)的殘疾人,,這個(gè)比喻一點(diǎn)不過分,。”沈昌祥院士如是說道,。
IT系統(tǒng)是邏輯的設(shè)計(jì),,設(shè)計(jì)IT系統(tǒng)不能窮盡所有邏輯組合,必定存在邏輯不全的缺陷,,這就是系統(tǒng)的漏洞,。利用缺陷挖掘漏洞進(jìn)行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的命題。傳統(tǒng)“封堵查殺”難以應(yīng)對(duì)未知惡意攻擊,。安全可信計(jì)算實(shí)施運(yùn)算同時(shí)進(jìn)行免疫的安全防護(hù),,使得存在缺陷不被攻擊者所利用,達(dá)到預(yù)期的計(jì)算目標(biāo),。按國家網(wǎng)絡(luò)安全法律,、戰(zhàn)略及等保制度必須要構(gòu)建主動(dòng)免疫防護(hù)的新體系,。
殺病毒、防火墻,、入侵檢測(cè)的傳統(tǒng)“老三樣”難以應(yīng)對(duì)人為攻擊,,且容易被攻擊者利用,找漏洞,、打補(bǔ)丁的傳統(tǒng)思路不利于整體安全,。主動(dòng)免疫可信計(jì)算是一種運(yùn)算同時(shí)進(jìn)行安全防護(hù)的新計(jì)算模式,以密碼為基因抗體實(shí)施身份識(shí)別,、狀態(tài)度量、保密存儲(chǔ)等功能,,及時(shí)識(shí)別“自己”和“非己”成分,,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì),相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力,。
二重體系結(jié)構(gòu)的可信計(jì)算節(jié)點(diǎn)
二重體系結(jié)構(gòu)有助于建立免疫,、反腐敗子系統(tǒng),如上圖,,左邊計(jì)算,,右邊防護(hù)。
沈昌祥院士介紹了可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架,。
可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架
系統(tǒng)建成以后怎么用,?人作為訪問主體是第一要素。沈昌祥院士指出,,人不僅要守規(guī)矩(即訪問控制),,而且要?jiǎng)?chuàng)新。在沒有訪問控制的情況下,,系統(tǒng)會(huì)面臨被篡改破壞的風(fēng)險(xiǎn),,必須對(duì)人的操作訪問策略四要素(主體、客體,、操作,、環(huán)境)進(jìn)行動(dòng)態(tài)可信度量、識(shí)別和控制,。
建完以后怎么運(yùn)行呢,?沈昌祥院士提出“五環(huán)節(jié)”全程管控,技管并重,。新型基礎(chǔ)設(shè)施安全可信管控體系應(yīng)該是風(fēng)險(xiǎn)分析,、準(zhǔn)確定級(jí);評(píng)審備案,、規(guī)范建設(shè),;嚴(yán)格測(cè)評(píng),、整改完善;監(jiān)督檢查,、消除隱患,;感知預(yù)警、應(yīng)急反制五步閉環(huán)管控的,。
這樣使得具備“六不”的防護(hù)效果,,即:(1)攻擊者進(jìn)不去;(2)非授權(quán)者重要信息拿不到,;(3)竊取保密信息看不懂,;(4)系統(tǒng)和信息改不了;(5)系統(tǒng)工作癱不成,;(6)攻擊行為賴不掉,。
用中國可信計(jì)算3.0解決受制于人
中國可信計(jì)算源于1992年立項(xiàng)研制的可信計(jì)算綜合安全防護(hù)系統(tǒng)(智能安全卡),于1995年2月底通過測(cè)評(píng)和鑒定,。經(jīng)過長期軍民融合攻關(guān)應(yīng)用,,形成了自主創(chuàng)新安全可信體系,開啟了可信計(jì)算3.0時(shí)代,。
世界可信計(jì)算演進(jìn)
回顧可信計(jì)算的發(fā)展路徑,,可以分為三個(gè)階段:(1)可信計(jì)算1.0以世界容錯(cuò)組織為代表,主要特征是主機(jī)可靠性,;(2)可信計(jì)算2.0以TCG為代表,,是目前世界上常用的系統(tǒng),主要特征是PC節(jié)點(diǎn)安全性,,因結(jié)構(gòu)沒有改變而存在巨大的創(chuàng)新功能的漏洞,;(3)以中國為代表的可信計(jì)算3.0,其主要特征是系統(tǒng)免疫性,,采用“宿主+可信”雙節(jié)點(diǎn)可信免疫架構(gòu),,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的主動(dòng)免疫防護(hù)。
可信計(jì)算現(xiàn)已廣泛應(yīng)用于國家重要信息系統(tǒng),,如票據(jù)防偽,、數(shù)字化電視臺(tái)、國家電網(wǎng)電力調(diào)度系統(tǒng)等,。具備可信計(jì)算功能的國產(chǎn)CPU,、嵌入式可信芯片及可信根、具備可信計(jì)算3.0技術(shù)的設(shè)備……我國完備的可信計(jì)算3.0產(chǎn)品鏈將形成巨大的新型產(chǎn)業(yè)空間,。
沈昌祥院士介紹,,國家電網(wǎng)電力調(diào)度系統(tǒng)安全架構(gòu)已實(shí)現(xiàn)軟硬件全國產(chǎn)化。
國家電網(wǎng)電力調(diào)度系統(tǒng)安全架構(gòu)
“第一,高效處理:實(shí)時(shí)調(diào)度,;第二,,不打補(bǔ)丁:免疫抗毒,;第三,,不改代碼:方便實(shí)施;第四,,精煉消腫:降低成本,。”這是沈昌祥院士對(duì)我國安全可信系統(tǒng)的總結(jié),,他表示,,“中國的可信計(jì)算是世界領(lǐng)先,希望大家堅(jiān)持走安全可信的道路,,保障工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)健康,、可信、穩(wěn)定地發(fā)展,!”
CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)由中國電子信息產(chǎn)業(yè)集團(tuán)有限公司主辦,中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,、工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室,、中國網(wǎng)絡(luò)空間安全人才教育論壇、PK體系生態(tài)聯(lián)盟,、中電會(huì)展與信息傳播有限公司,、《電子技術(shù)應(yīng)用》雜志社、《信息技術(shù)與網(wǎng)絡(luò)安全》雜志社承辦,。作為第九屆中國電子信息博覽會(huì)重點(diǎn)打造的高峰論壇之一,,工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)將每年持續(xù)舉辦下去,向世界展示中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的全新面貌,。