近日,,由聊城市人民政府等指導(dǎo),,東昌府區(qū)人民政府、河姆渡主辦,北京物聯(lián)網(wǎng)智能技術(shù)應(yīng)用協(xié)會等協(xié)辦的第六屆(2021)中國智能建筑節(jié)在聊城圓滿落幕,,來自政府及相關(guān)管理機(jī)構(gòu),、行業(yè)協(xié)會,、研究部門,、頭部企業(yè)等各領(lǐng)域的近2000位行業(yè)精英蒞臨現(xiàn)場,共話智建未來,。峰會上,,中國工程院院士沈昌祥發(fā)表了題為《開創(chuàng)安全可信數(shù)字經(jīng)濟(jì)新生態(tài)》的演講。
以下文字根據(jù)沈昌祥院士演講內(nèi)容整理而成,。
各位領(lǐng)導(dǎo),、各位來賓:
大家好!很高興來到第六屆中國智能建筑節(jié),。
安全保障是發(fā)展數(shù)字經(jīng)濟(jì)的首要前提,,所以今天我想以“開創(chuàng)安全可信數(shù)字經(jīng)濟(jì)新生態(tài)”為主題,,跟大家交流一下,,關(guān)于數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的安全保障問題。
數(shù)字經(jīng)濟(jì)時(shí)代的機(jī)遇與挑戰(zhàn)
新基建下萬物互聯(lián),,網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間,,這也對網(wǎng)絡(luò)安全提出嚴(yán)峻挑戰(zhàn)。
國家十四五規(guī)劃提出加快形成以國內(nèi)大循環(huán)為主體,、國內(nèi)國際雙循環(huán)相互促進(jìn)的發(fā)展格局,,這既是統(tǒng)籌推進(jìn)疫情防控和社會經(jīng)濟(jì)發(fā)展的關(guān)鍵措施,也是推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的有效途徑。
新基建將加速推動(dòng)我國數(shù)字化轉(zhuǎn)型,、網(wǎng)絡(luò)化重構(gòu),、智能化提升、產(chǎn)業(yè)化升級,。但是新基建下萬物互聯(lián),,網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間,這也對網(wǎng)絡(luò)安全提出嚴(yán)峻挑戰(zhàn),。因此,,我們必須筑牢網(wǎng)絡(luò)安全防線,有效應(yīng)對壟斷網(wǎng)絡(luò)空間霸權(quán)威懾,。
數(shù)據(jù)“科學(xué)”的發(fā)展過程
做好數(shù)字安全保障,,首先要弄清什么是數(shù)字化、什么是數(shù)字經(jīng)濟(jì),。我們先來看一下數(shù)據(jù)“科學(xué)”的發(fā)展過程,。
自人類文明誕生以來,就有了數(shù)字,。最開始是用符號記錄,,這是人工處理的數(shù)據(jù);到后來發(fā)明電視,、計(jì)算機(jī),,實(shí)現(xiàn)了數(shù)據(jù)的自動(dòng)化處理。隨著數(shù)據(jù)進(jìn)一步發(fā)展,,數(shù)據(jù)已經(jīng)不僅僅是簡單的文字和圖形符號,,而是多媒體的,這就產(chǎn)生了關(guān)系數(shù)據(jù)庫,、數(shù)據(jù)倉庫,。
與此同時(shí),在數(shù)字應(yīng)用方面也有了極大的飛躍,,數(shù)字成為我們相互鏈接,、對話的工具,數(shù)據(jù)工程也由此產(chǎn)生,,對傳統(tǒng)產(chǎn)業(yè)帶來了革命性變革,。用數(shù)字來處理傳統(tǒng)產(chǎn)業(yè)、提升產(chǎn)業(yè)效率的過程,,就叫做產(chǎn)業(yè)數(shù)字化,。無處不在數(shù)據(jù)蘊(yùn)含了巨大的價(jià)值,已經(jīng)成為重要生產(chǎn)要素,。將這些數(shù)據(jù)生產(chǎn)要素收集起來,,再處理再加工,,創(chuàng)造新的產(chǎn)品,就是數(shù)字產(chǎn)業(yè)化,。
大數(shù)據(jù)是鉆石礦
國務(wù)院總理李克強(qiáng)將大數(shù)據(jù)稱為“鉆石礦”,,大數(shù)據(jù)是指無法用現(xiàn)有的軟件工具(如數(shù)據(jù)模型、數(shù)據(jù)庫還有各種網(wǎng)絡(luò)協(xié)議等)進(jìn)行處理的海量復(fù)雜的數(shù)據(jù)集合,,具有多源異構(gòu),、非結(jié)構(gòu)化、低價(jià)值度,、快速處理等特點(diǎn),。
大數(shù)據(jù)處理需要像采礦一樣重新挖掘、開采和提煉,,才能變成擁有巨大價(jià)值的珍貴產(chǎn)品,。隨著海量數(shù)據(jù)的進(jìn)一步集中和信息技術(shù)的進(jìn)一步發(fā)展,信息安全成為大數(shù)據(jù)快速發(fā)展的瓶頸,。
典型案例:網(wǎng)絡(luò)空間面臨嚴(yán)重威脅
2017年5月12日爆發(fā)的“WannaCry”的勒索病毒,,通過將系統(tǒng)中數(shù)據(jù)信息加密,使數(shù)據(jù)變得不可用,,借機(jī)勒索錢財(cái),。病毒席卷近150個(gè)國家,教育,、交通,、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū),。
2018年8月3日,,臺積電遭到勒索病毒入侵,幾個(gè)小時(shí)之內(nèi),,臺積電在中國臺灣地區(qū)的北,、中、南三個(gè)重要生產(chǎn)基地全部停擺,,造成約十幾億美元的營業(yè)損失,。
2021年5月7日,美國最大的成品油管道運(yùn)營商Colonial Pipeline受到勒索軟件攻擊,,被迫關(guān)閉其美國東部沿海各州供油網(wǎng)絡(luò),,美國政府宣布美國17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。
構(gòu)建網(wǎng)絡(luò)安全主動(dòng)免疫保障體系
網(wǎng)絡(luò)空間已經(jīng)成為繼陸,、海,、空,、天之后的第五大主權(quán)領(lǐng)域空間,,“沒有網(wǎng)絡(luò)安全就沒有國家安全”,。
面對網(wǎng)絡(luò)安全面臨的威脅和挑戰(zhàn),所以我們必須構(gòu)建新型的保障體系,。
1,、“一種”新模式,計(jì)算同時(shí)進(jìn)行安全防護(hù)
殺病毒,、防火墻,、入侵檢測的傳統(tǒng)“老三樣”難以應(yīng)對人為攻擊,且容易被攻擊者利用,,找漏洞,、打補(bǔ)丁的傳統(tǒng)思路不利于整體安全。所以我們必須構(gòu)建新型的保障體系,。
主動(dòng)免疫可信計(jì)算是一種運(yùn)算同時(shí)進(jìn)行安全防護(hù)的新計(jì)算模式,,以密碼為基因抗體實(shí)施身份識別、狀態(tài)度量,、保密存儲等功能,,及時(shí)識別“自己”和“非己”成分,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì),,相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力,。
2、“二重”體系結(jié)構(gòu),,計(jì)算部件+防護(hù)部件
人體通過各個(gè)免疫器官組成免疫系統(tǒng)來實(shí)現(xiàn)防護(hù),,機(jī)器也需要構(gòu)建自身免疫系統(tǒng)。通過構(gòu)建二重體系結(jié)構(gòu),,由計(jì)算部件和防護(hù)部件協(xié)調(diào)工作,,為網(wǎng)絡(luò)信息系統(tǒng)增強(qiáng)免疫能力。
3,、“三重”防護(hù)框架
在“三重”防護(hù)框架中,,可信計(jì)算環(huán)境就相當(dāng)于“安全辦公室”,保障內(nèi)部環(huán)境的安全,;可信邊界就相當(dāng)于“警衛(wèi)室”,,對進(jìn)入內(nèi)部環(huán)境的人員進(jìn)行檢查,就像疫情期間需要出示健康碼等,;可信的網(wǎng)絡(luò)通信就相當(dāng)于“安全快遞”,,確保外部送進(jìn)來的東西沒有破損、沒有炸彈等危險(xiǎn)物品,。通過“三重”防護(hù)框架對人的操作訪問進(jìn)行動(dòng)態(tài)可信度量,、識別和控制,確保體系結(jié)構(gòu),、資源配置,、操作行為,、數(shù)據(jù)存儲、存儲管理可信,。
4,、“四要素”可信動(dòng)態(tài)訪問控制
那么系統(tǒng)建成以后該怎么用了,我們提出了“四要素”可信動(dòng)態(tài)訪問控制,。人機(jī)交互可信是發(fā)揮5G,、數(shù)據(jù)中心等新基建動(dòng)能作用的源頭和前提,必須對人的操作訪問策略四要素(主體,、客體,、操作、環(huán)境)進(jìn)行動(dòng)態(tài)可信度量,、識別和控制,,這也糾正了傳統(tǒng)不計(jì)算環(huán)境要素的訪問控制策略模型只基于授權(quán)標(biāo)識屬性進(jìn)行操作而不作可信驗(yàn)證,難防篡改的安全缺陷,。
5,、“五環(huán)節(jié)”全程管控、技管并重
在網(wǎng)絡(luò)條件下,,系統(tǒng)是動(dòng)態(tài)的,。因此需要通過準(zhǔn)確定級、規(guī)范建設(shè),、嚴(yán)格測評,、監(jiān)督檢查、感知預(yù)警構(gòu)建全程管控,、技管并重的完整體系來實(shí)現(xiàn),。
6、“六不”防護(hù)效果
通過以上“五環(huán)節(jié)”構(gòu)建安全可信管控體系,,最終可以實(shí)現(xiàn)“攻擊者進(jìn)不去,、非授權(quán)者重要信息拿不到、竊取保密信息看不懂,、系統(tǒng)和信息改不了,、系統(tǒng)工作癱不成、攻擊行為賴不掉”的“六不”防護(hù)效果,。
落實(shí)等級保護(hù)要求保障數(shù)字經(jīng)濟(jì)健康發(fā)展
美國近期宣揚(yáng)的零信任架構(gòu),,缺少科學(xué)原理支撐,也不符合我國法律,、戰(zhàn)略和制度要求推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的規(guī)定,。一定要科學(xué)嚴(yán)謹(jǐn)分析研究,堅(jiān)持自主創(chuàng)新,,不能盲目跟風(fēng),。
那么我們該如何落實(shí)等級保護(hù),,構(gòu)建以上保障體系呢?
1,、搶占核心技術(shù)制高點(diǎn),擺脫受制于人
等級保護(hù)是科學(xué)合理的,、經(jīng)過實(shí)際科學(xué)驗(yàn)證的,。早在十幾年前《國家中長期科學(xué)技術(shù)發(fā)展(2006-2020年)》就明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn),開發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品,,建立網(wǎng)絡(luò)安全技術(shù)保障體系”,。
可信計(jì)算已經(jīng)廣泛應(yīng)用于國家重要信息系統(tǒng),如:增值稅防偽,、彩票防偽,、二代居民身份證安全系統(tǒng)、中央電視臺全數(shù)字化可信制播環(huán)境建設(shè),、國家電網(wǎng)電力數(shù)字化調(diào)度系統(tǒng)安全防護(hù)建設(shè),。
美國近期宣揚(yáng)的零信任架構(gòu),缺少科學(xué)原理支撐,,網(wǎng)絡(luò)無邊界不符合網(wǎng)絡(luò)空間主權(quán)原則,,基于身份認(rèn)證的動(dòng)態(tài)訪問控制在國標(biāo)17859早就規(guī)定,傳統(tǒng)的調(diào)用功能模塊組合難成為安全保障科學(xué)架構(gòu),,也不符合我國法律,、戰(zhàn)略和制度要求推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的規(guī)定。一定要科學(xué)嚴(yán)謹(jǐn)分析研究,,堅(jiān)持自主創(chuàng)新,,不能盲目跟風(fēng)。
2020年10月28日,,國家等級保護(hù)2.0與可信計(jì)算3.0攻關(guān)示范基地成立揭牌,。經(jīng)過20多年的發(fā)展,我國可信計(jì)算已形成完整的產(chǎn)業(yè)體系,。我們通過將可信免疫系統(tǒng)植入CPU或者增加免疫系統(tǒng)模塊來構(gòu)建免疫系統(tǒng),;其他老式機(jī)器則可以通過嵌入式可信芯片及可信根來實(shí)現(xiàn)。
2,、等級保護(hù)標(biāo)準(zhǔn)可信計(jì)算要求
等級保護(hù)2.0新標(biāo)準(zhǔn)把云計(jì)算,、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工控等采用可信計(jì)算3.0作為核心要求,,筑牢網(wǎng)絡(luò)安全防線,。這能夠解決,目前預(yù)警預(yù)報(bào)被認(rèn)為是“馬后炮”的問題,。等級保護(hù)標(biāo)準(zhǔn)可信計(jì)算要求主要分四個(gè)等級:
一級:所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng)的可信驗(yàn)證,。
二級:所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng),,再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證,并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄,。
三級:所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng),,再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)對其執(zhí)行環(huán)境進(jìn)行可信驗(yàn)證,,主動(dòng)抵御入侵行為,。并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄,送到管理中心,。
四級:所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信計(jì)算技術(shù)實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng),,再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)對其執(zhí)行環(huán)境進(jìn)行可信驗(yàn)證,,主動(dòng)抵御入侵行為,。并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄,送到管理中心,,進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知,,形成實(shí)時(shí)的態(tài)勢。
典型示范:中央電視臺可信制播環(huán)境建設(shè)
中央電視臺播出42個(gè)頻道節(jié)目,,面向全球提供中,、英、西,、法,、俄、阿等語言電視節(jié)目,,在不能與互聯(lián)網(wǎng)物理隔離的環(huán)境下,,建立了可信、可控,、可管的網(wǎng)絡(luò)制播環(huán)境,,達(dá)到四級安全要求,確保節(jié)目安全播出,。經(jīng)受住了永恒之藍(lán)勒索病毒攻擊的考驗(yàn),,勝利完成了“一帶一路”世界峰會的保障任務(wù)。
3,、大數(shù)據(jù)主動(dòng)免疫三重防護(hù)安全框架
大數(shù)據(jù)處理系統(tǒng)大多是基于云計(jì)算平臺實(shí)現(xiàn)數(shù)據(jù)各種環(huán)節(jié)的梳理計(jì)算,,也可分為業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來定安全等級,應(yīng)該按(GB/T 25070-2019)進(jìn)行設(shè)計(jì)安全框架,。
這就是國家等級保護(hù)2.0安全管理支撐下的三重防護(hù)體系,,從采集、傳輸、保障,、到清洗,、提煉,最終成為高品質(zhì),、高價(jià)值的數(shù)字產(chǎn)品,。這樣,我們大數(shù)據(jù)的產(chǎn)業(yè)化,、我們的大數(shù)據(jù)產(chǎn)品才是安全的,。
我們一定要按照國家的法律戰(zhàn)略制度,通過計(jì)算環(huán)境,、區(qū)域邊界,、網(wǎng)絡(luò)傳輸三重防護(hù),,安全可信地保障我們數(shù)據(jù)經(jīng)濟(jì)的轉(zhuǎn)型,,保障我們信息社會的發(fā)展。
謝謝大家,!