沈昌祥院士的网络“安全梦”

　中国正在阔步走近世界舞台中央，网络安全的重要性与迫切性也愈加凸显出来。“当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间。网络安全是国际战略在军事领域的演进，我国的网络安全正在面临着严峻挑战。”近日，中国工程院院士沈昌祥在接受《经济参考报》记者采访时如此表示。他说，解决信息安全核心技术设备受制于人的问题，需要创新发展主动免疫的可信防护体系。

　　沈昌祥院士强调，发展可信计算技术与实施网络安全等级保护制度是构建国家关键信息基础设施、确保整个网络空间安全的基本保障。推广发展中国主动免疫的可信计算技术可以筑牢我国的网络安全防线。

　　科学的网络安全观

　　“从科学的视角认识网络安全，应包括三个方面的内容，即利用逻辑缺陷攻击的网络安全是永远的主题、可信免疫的计算模式与结构和安全可信系统架构。”沈昌祥院士说。

　　网络空间安全具有丰厚的基础理论，它不仅是计算科学少攻防理念的问题，也是体系结构缺防护部件的问题，还是计算模式无安全服务的问题。同时，网络空间内含是资源财富，是基础设施，是国家主权。因此，为了利益，不法分子、敌对势力集团和霸权国家对他方网络攻击也是永远的主题。

　　然而，由于人们对IT认知逻辑的局限性，不能穷尽所有组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而难以应对人为利用缺陷进行攻击。因此，为了安全必须从逻辑正确验证、计算体系结构和计算模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者所利用的问题，形成攻防矛盾的统一体。确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算，这就是主动免疫防御，防火墙、入侵监测和病毒查杀等“老三样”封堵查杀被动防御已经过时。

　　主动免疫可信计算，是指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，只有这样方能使计算结果总是与预期一样。也改变了只讲求计算效率，而不讲安全防护的片面计算模式。在可信支持的双体系结构中，采用了一种运算和防护并存的主动免疫的新计算模式，以密码为基因实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

　　网络基础设施、云计算、大数据、工业控制、物联网等新型计算环境，必须进行可信度量、识别和控制，以确保数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。结合主动免疫的主动防御思想和等级保护的防御体系，构建可信安全管理中心支持下的主动免疫三重防护框架。该框架围绕安全管理中心实现系统管理、安全管理和审计管理，形成积极防御体系。

　　通过实施三重防护主动防御框架，能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。首先，在可信计算的主动免疫防护下，攻击者很难入侵，即便攻进去了，由于强制访问控制，非授权者也拿不到重要信息；即使窃取了重要数据，因为有加密保护，窃取者也看不懂。其次，攻击者很难篡改系统和信息，系统工作不会瘫痪。较后，利用可信计算的审计功能，能发现并保护证据，使攻击者无处可逃。

　　中国可信计算革命性创新

　　据沈昌祥院士介绍，我国为确保核心机密安全，于1992年正式立项研究主动免疫的综合防护系统，经过长期攻关，军民融合，形成了自主创新的可信体系（不少已被国际可信计算组织（TCG）采纳），已经成为夯实我国网络安全防线的基础。

　　中国可信计算取得了革命性创新发展，主要包括：

　　其一，创新可信计算标准体系。2010年以前，我国完成了核心的9部国家标准和5部国军标的研究起草工作。截至目前，已发布国家标准3部、国军标3部，即将发布国家标准2部，已发布团体标准（中关村可信计算产业联盟标准）4部。同时，授权专利百余项。

　　其二，创新可信密码体系。以密码为基因，构建创新可信密码体系，科学地解决了可信密码的问题，纠正了TCG密码体制的缺失，已成为ISO国际标准。可信密码体系创新包括密码算法创新、密码机制创新和证书结构创新三个方面。其中，密码算法的创新在于全部采用国家自主设计的算法，定义了可信计算密码模块（TCM）；密码机制的创新在于采用对称密码与公钥密码相结合，提高了安全性和效率；证书结构的创新在于采用双证书结构，简化证书管理，提高了可用性和可管性。

　　其三，创新主动免疫体系结构。可信计算以密码技术为基础，通过自主密码方案、控制芯片的主动控制、主板层面的运算防护双能、核心软件的双系统体系结构及三元三层可信连接等多方面创新，组成了创新的主动免疫体系结构。该体系结构克服了TCG部件TPM被动挂接调用的局限性。

　　其四，开创可信计算3.0新时代。随着计算科学、体系结构的发展，可信计算经历了几个阶段。目前，我国已经开创了可信计算3.0新时代。较初的可信1.0是基于容错方法的安全防护措施，以世界容错组织为代表；可信2.0是以可信计算组织（TCG）出台的TPM1.0为标志，是被动挂接调用；可信3.0形成了自主创新的体系，具有主动免疫的可信安全架构，更科学、更合理、更有效，并在军民融合领域得到了应用验证。

　　其五，创新适用的工程技术路线。自主可信计算平台产品设备有三种形态：系统重构可信主机、主板配插PCI可信控制卡和配接USB可信控制模块。它可以方便地通过可信网络支撑平台把现有设备升级为可信计算机系统，而应用系统不用改动，便于新老设备融为一体，实现全系统安全可信。

　　可信计算构建了主动免疫体系，确定可信状态后，即使有BUG也不会变成漏洞，使攻击无效，确保安全系统运行。部署可信计算平台后，在原有信息系统建立主动免疫的积极防御可信安全防护体系，实现高安全等级结构化保护，改变原被动防护局面。

　　用可信计算3.0构筑网络安全

　　沈昌祥院士指出，用可信计算3.0构筑网络安全应该包含几个层面的内容，首先要坚持自主可控、安全可信。

　　《国家中长期科学技术发展纲要（2006-2020年）》明确提出，以发展高可信网络为重点开展网络安全技术及相关产品研发，建立网络安全技术保障体系。“十二五”规划有关重大工程项目都把可信计算列为发展重点，军方演示验证成果用于党政部门。国家重要信息系统，如增值税防伪、彩票防伪、二代居民身份证安全系统都采用可信计算3.0作基础支撑。

　　中国可信计算已经成为保卫国家网络空间主权的战略核心技术，在国家核心系统和关键信息基础设施得到规模化成功应用，并被列为国家战略和法律要求。同时，也是世界网络空间斗争的焦点。美国第三次“抵消战略”（对抗“下一代敌人”的“下一代技术”）把“高可信网络军事系统”等列为重点，围绕安全可信展开新的较量。

　　其次，抢占网络空间安全核心技术战略至高点。据沈昌祥院士介绍，我国按照网络安全审查制度成立安全审查组，按照WTO“尊重销售国有关法律法规和有关标准”的规则，开展对WINDOWS10的安全审查。其本人坚持要遵守我国《电子签名法》和《商用密码管理条例》，必须进行本土化改造，其中数字证书、可信计算、密码设备必须是国产自主的，这是底线。而且我国有完整的技术、产品和服务，完全具备国产化替代条件。

　　“引进必须安全可控”。要做到“五可一有”：可知，即对合作方开放全部源代码，要心里有数，不能盲从；可编，要基于对开源代码的理解，能自主编写代码；可重构，面向具体的应用场景和安全需求，对核心技术要素进行重构，形成定制化的新的体系架构；可信，通过自主的可信计算技术增强操作系统免疫性，防范漏洞影响系统安全性，使国产化替代真正落地；可用，做好应用程序与操作系统的适配工作，确保自主系统能够替代国外产品；有自主知识产权，要对较终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全，坚持核心技术创新专利化、专利标准化、标准推进市场化。要走出国门，成为世界品牌。

　　较后，用可信计算3.0产品和服务构筑了国家重要信息系统高安全等级防护体系。根据长期攻关、滚动发展，形成了安全可信的系列产品和服务。对于增量设备可采购可信控制芯片直接嵌入主板的方式的可信整机；对于存量设备可采用主板配插可信控制卡的方式构建免疫系统；对于不便于插卡的设备可配接USB可信控制模块实现可信增强。以上三种方式可以方便地把现有设备构成可信计算环境、可信边界、可信通信网络三重防护架构。

　　通过可信安全管理平台实现系统资源、安全策略和审计追踪三权分立。科学管理再加上可信计算控制平台提供资源可信度量、数据可信存储、行为可信鉴别、主客体的可信认证，能及时发现异常行为和环境的非法改变，以及主要信息破坏，并立即采取措施，使攻击无效，实现主动免疫。

　　我国要建设成为世界网络安全强国

　　近一两年，网络攻击频发再度为网络安全敲响了警钟。2016年10月21日，美国东海岸（世界较发达地区）发生世界上瘫痪面积较大（大半个美国）、时间较长（6个多小时）的分布式拒绝服务（DDOS）攻击。2017年5月12日，一款名为“WannaCry”的勒索病毒网络攻击席卷全球，有近150个国家受害，仅当天我国就有数十万例感染报告。

　　针对近期这些典型案例，沈昌祥院士呼吁，面临日益严峻的国际网络空间形势，我们要立足国情，创新驱动，解决受制于人的问题。坚持纵深防御，用可信计算3.0构建网络空间安全主动免疫保障体系，筑牢网络安全防线，为把我国建设成为世界网络安全强国而努力奋斗。

　　为了解决网络空间安全问题，我国《网络安全法》中第十六条指出，“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”近期发布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。

　　据沈昌祥院士介绍，可信计算在重要核心系统规模化建设方面有两个典型应用案例。一个是国家电网电力调度系统安全防护建设。国家发改委14号令决定以可信计算架构实现等级保护四级。用可信计算构建的国家电网电力调度系统采用PCI可信卡的方式进行部署实施，实现了对已知、未知恶意代码的免疫，实现了可信保障机制。基于D5000平台的安全标签，不许改动源代码。该系统通过逐级认证实现系统的主动免疫，达到等级保护四级技术要求。目前，电力可信计算密码平台已在34个省级以上调度控制中心和59个地级调度控制中心上线运行，覆盖了上万台服务器，确保了运行安全。

　　另一个是中央电视台可信制播环境建设。中央电视台播出42个频道节目，面向全球提供中、英、西、法、俄、阿等语言电视节目，在没有与互联网物理隔离的计算机网络环境下，构建了网络制播的可信计算安全技术体系，建立了可信、可控、可管的网络制播环境，达到四级安全要求，确保节目安全播出。以2017年5月14日我国举办的“一带一路”国际合作高峰论坛为例，该会议是在5月12日勒索病毒网络攻击席卷全球的严峻情势下召开的，中央电视台可信制播环境建设经受住了极为严峻的考验和严格的考核，保证了会议的胜利召开。

　　2016年，在中央网信办、教育部的指导下，中国互联网发展基金会网络安全专项基金举行了“网络安全人才奖”“网络安全优秀教师奖”等评选活动。其中，沈昌祥院士获评“网络安全杰出人才”。

　　评奖材料是这样对其描述的：沈昌祥，中国工程院院士，从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全、网络安全等方面的研究工作。先后完成了重大科研项目二十多项，取得了一系列重要成果，曾获国家科技进步一等奖2项、二等奖2项、三等奖3项，军队科技进步奖十多项。这些成果在信息处理和安全技术上有重大创造性，多项达到世界先进水平，在全国全军广泛应用，取得十分显著效益，使我国信息安全保密方面取得突破性进展。在网络安全和科技创新、咨询论证和学科专业建设、人才培养等方面做出了杰出贡献。

　　沈昌祥院士说，没有网络安全我们将生活在黑暗中。希望今后加强安全可信的保障体系建设，加快构成我们国家的网络安全体系，为实现网络强国的“中国梦”而努力。