热点要闻专家观点合作交流研究动态数字产业观察

委员声音 | 院士观点：用主动免疫可信计算筑牢“新基建”网络安全防线

2020-04-21

本文转自微信公众号：网信军民融合（公众号ID：wxjmrh）

沈昌祥

清华大学互联网产业研究院产业转型顾问委员会委员、中国工程院院士

当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，也是国际战略在网络社会领域的演进，我国的网络安全正面临着严峻挑战。“没有网络安全就没有国家安全”，按照国家网络安全法律、战略和等级保护制度要求，推广安全可信产品和服务，筑牢网络安全底线是历史的使命。新型基础设施以数据和网络为核心，其发展前提是用主动免疫的可信计算筑牢安全防线。

树立科学的网络安全观

构建新基建主动免疫安全保障体系

1、认清网络安全本质，主动抵御安全风险

著名科学家图灵创建了现代电子计算机，当时是为了解决科学计算问题，只考虑能完成计算任务的逻辑组合即可，也不可能想到还有人利用逻辑缺陷进行攻击问题，少了攻防原理。由此冯·诺依曼体系结构缺少防护部，再加上工程应用无安全服务，于是利用逻辑缺陷对计算机系统进行攻击获取利益成为永远命题，这就是网络安全的本质，相当于人的身体没有免疫系统不能防御病毒入侵一样。主动免疫可信计算采用运算和防护并存，以防利用逻辑缺陷进行攻击的新计算模式，以密码基因产生抗体实施身份识别、状态度量、保密存储等主动免疫机制，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为计算机信息系统培育了免疫能力。

新基建采用新的计算模式必须建立新体系框架，实施安全管理支撑下的计算环境、区域边界和通信网络三重主动免疫防御框架，实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、计算资源改不了、系统工作瘫不成和攻击行为赖不掉的安全防护效果。这与最近防新冠状病毒相似，首先要对社会环境进行管控，要使人体保持自身机体免疫力，需要带口罩隔离，也要检控来往的联络人员，这样才能控制疫情。

主动免疫框架内的节点必须有独立的可信检测的软硬件，并与计算资源的软硬件并行形成双体系结构，实施计算运算同时进行安全检测，并不是简单的在串行结构上加上安全功能的防护，就像人体的免疫功能一样，抗体每时每刻对机体进行监控，也是双并行结构。2017 年 5 月 12 日，一款名为 “WannaCry” 的勒索病毒，攻击网络席卷全球，一天时间有近 150 个国家受害，仅当天我国就有数十万例感染报告。病毒经多次变种，勒索了包括工控等所有网络系统。可喜的是我国装备主动免疫可信计算产品的系统，如中央电视台制播环境系统和国网电力调度系统等关键设施免受勒索，确保了我国第一次一带一路世界峰会顺利召开。事实说明，我们只有构建主动免疫的网络空间安全保障体系，才能筑牢基础设施网络安全防线。

2、离开“封堵查杀"，带动自主创新产业发展

当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等组成，称为“老三样”。可是“封堵查杀”难以应对利用逻辑缺陷的攻击并且自身也存在安全隐患。首先，“老三样”是被动的防护，根据已发生过的特征库内容进行比对查杀，面对层出不穷的新漏洞与攻击方法，这是消极被动的事后处理，不顶用；其次，“老三样”属于超级用户，权限越规，违背了最小特权安全原则；第三，“老三样”可以被攻击者利用，恶意查杀，成为网络攻击的平台。新基建应离开“封堵查杀老三样”，驱动新产业发展。

新基建以网络数据为核心，应该做到全程可测可控，不被干扰，消除安全隐患，确保计算结果与预期一致。 这要求工程建设必须与主动免疫安全保障建设同步进行，做到同步规划、同步设计、同步实施、同步运维，以确保 5G 网络、数据中心等新基建数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。目前国外没有能满足上述要求的技术产品，我国应抓住机遇，加强国产化产品中主动免疫创新完善，实现机理、策略和架构的可信度量和监控，带动国产安全可信产业快速发展。

主动免疫可信计算创新发展

为新基建安全保障打下扎实基础

1、坚持自主创新安全可信，抢占技术制高点

新基建采购什么网络信息产品和设备必须科学决策。国家网络安全法第十六条规定，国务院、省、自治区、直辖市人民政府应当统筹规划加大投入，扶持重点网络安全产品和项目，支持网络安全技术研究开发和应用，推广安全可信的网络产品和服务。国家颁布的网络空间安全战略，在夯实网络安全基础的战略任务中强调尽快突破核心技术，加快推广安全可信的网络产品。坚持自主创新安全可信才能确保网络安全。面对复杂的国际市场环境，必须积极应对。2014 年 4 月 8 日，微软停止对 Windows XP 的服务支持，强推可信的 Windows8，我国决定不采购。2014 年 10 月，微软推出了 Windows10，强制与硬件 TPM 芯片配置，全面覆盖各类系统，并在网上一体化管控。推广 Windows10 将直接威胁网络空间国家主权。我国按照网络安全审查制度成立安全审查组，按照 WTO 规则，开展对 Windows10 的安全审查。审查中坚持按国家法律和标准要求，数字证书、可信计算、密码设备必须是国产自主的，通过审查后才能采购，目前未见审查结论。

抓住机遇发展自主创新国产化信息网络产业。过去二十多年来国家不少核心基础设施坚持自主创新，如国家电网调度系统全面实现安全可信，为推广安全可信国产化做出典范。另外，我国的彩票从未发生过假冒事件，增值税发票防伪系统确保其所有发票真实可信；我国的第二代居民身份证的体系结构保证其不可窜改和伪造，这些都是用了主动免疫安全可信的支持系统，也为后来的信息基础设施安全保障提供了宝贵经验。

新基建要坚持自主创新安全可信的国产化，按“五三一”原则实施。

“五个可做到”： 可知，即对合作方开放全部源代码，要心里有数，不能盲从；可编，即要基于对源代码的理解，能自主改写代码；可重构，即面向具体的应用场景和安全需求，对核心技术要素进行重构，形成定制化的新的体系结构；可信，即通过可信计算技术增强自主系统免疫性，防范未知漏洞攻击影响系统安全性，为国产化真正落地保驾护航；可用，即做好应用程序与操作系统的适配工作，确保自主系统能够替代国外产品。

“三条控制底线”： 必须使用我国的可信计算；必须使用我国的数字证书；必须使用我国的密码设备

“一定要有自主知识产权”： 要对最终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全。坚持核心技术创新专利化，专利标准化，标准推进市场化。要走出国门，成为世界品牌。

2、开创可信计算 3.0 新时代，彻底摆脱核心技术受制于人

八十年代世界上提出可信计算概念，但是只局限于操作系统、数据库等产品的可信计算基（安全功能集合），未涉及计算机原理和体系结构等核心科学技术问题。2000 年国际上成立了可信计算组织（TCG），其架构是主机通过外设接口挂接可信计算模块（TPM），以主机调用外部设备功能（软件栈）实现可信等功能，存在单公钥密码体制和串行被动调用等缺陷。我国 1992 年立项研究综合安全防护系统（智能安全卡），1995 年 2 月底通过测评鉴定，肯定了具有公钥与对称密码双体制、免疫抗病毒、计算和防护并行双结构等重大创新，居世界先进水平，经军民融合大规模推广应用，制订发布了国家和军队的可信计算系列标准及专利，跨入了主动免疫可信计算新时代（简称可信计算3.0）。《国家中长期科学技术发展纲要（2006一2020年）》明确要求发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全保障体系。在纲要的指导下经过长期攻关突破，形成了完整的产业链，为构建关键信息基础设施安全保障体系取得了重大效益。《求是》等核心刊物高度赞评：主动免疫方能有效防护；新华社《中国名牌》封面赞称：中国可信计算主动防御时代。可信计算 3.0 的不少核心技术被国外重要企业和机构采用，如著名的俄罗斯卡巴斯基去年宣布不做杀病毒软件而要建免疫网络，TCG 双体制密码标准，AMD 的多核 CPU 内双结构，以及最近美国的零可信等热门安全架构都与我们主动免疫可信计算是同工异曲之举。

3、按网络安全等保 2.0 用可信计算 3.0 构筑新基建安全防线

《中华人民共和国网络安全法》第二十一条，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改。三十一条规定，国家对关键信息基础设施在网络安全等级保护制度基础上实行重点保护。新基建应当加强网络安全建设，要应该按照新的网络安全等级标准（简称等保2.0标准）高等级要求重点实施保护，确保网络安全。 等级保护共分五级，其中高等级指的三级以上，即标记强制访问级、结构化保护级以及最高五级实时监控。

新的等保 2.0 标准是在二十多年等保工作中创新发展逐步形成的，把主动免疫可信计算 3.0 的核心技术产品和服务逐步升级构建各级主动免疫可信架构。可信计算 3.0 己形成了完整的产业链，完全可满足新基建高等级保护的构建需求。 新基建是关键信息基础设施中以 5G 网络和数据中心等为代表新型基础设施，完全可按等保 2.0 标准步骤进行安全保障体系建设。可分五个步骤进行：第一，风险分析准确定级。 按业务信息和系统服务两方面受攻击造成损害程度进行评估，公众利益、社会秩序或国家安全造成损害、严重损害、特别严重损害的，分别定为三、四、五级； 第二，按级要求确定方案。 确定等级经专家评审备案后，根据等保2.0技术设计要求标准进行建设方案设计，经评审报批后确定； 第三，规范施工严密管理。 从技术和管理两个层面按照确定方案进行实施，做到可信可控可管； 第四，严格测评整改完善。 测评机构按照测试要求和基本要求国家标准完成测评任务，承建者对发现问题修改完善后投入运营； 第五，监督检查应急恢复。 国家主管部门对基础设施运营定期进行监督检查，并有完善的应急恢复措施，确保系统安全可靠运营。

新基建按照等保 2.0 标准建成后，再按国家《关键信息基础设施保护条例》（即将发布）进一步加强防护，使其具有主动免疫、技管并重、内外兼防、纵深防御的牢不可破网络安全防线。

委员声音 | 院士观点：用主动免疫可信计算 筑牢“新基建”网络安全防线

委员声音 | 院士观点：用主动免疫可信计算筑牢“新基建”网络安全防线