您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
院士沈昌祥:網絡安全如何應對新挑戰(zhàn)?
作為國家經濟發(fā)展戰(zhàn)略,新基建正在顯示出強大的動能,但對網絡安全也提出了更嚴峻的挑戰(zhàn)。我們必須積極應對壟斷網絡空間的霸權威脅,筑牢網絡安全防線。
01 樹立安全可信的網絡安全觀
網絡空間已經成為繼陸??仗熘蟮牡谖宕笾鳈嗫臻g?!皼]有網絡安全就沒有國家安全”,筑牢網絡安全防線是我們的歷史使命。
2017年5月12日,永恒之藍勒索病毒用一天時間,使全球150多個國家的教育衛(wèi)生系統(tǒng)癱瘓。
2018年,全球最大集成電路制造廠商臺積電的臺北、臺東、臺南三個基地被勒索病毒入侵至停擺,一天損失十幾億美元。
我們必須要推廣安全可信的網絡產品和服務,按照國家網絡安全空間的戰(zhàn)略,加快安全可信產品的推廣應用。根據網絡安全等級保護制度2.0標準,全面推廣安全可信的產品來保障關鍵基礎設施的安全。
02 認清網絡安全實質 化解網絡安全風險
現在一些敵對勢力通過網絡暴恐擾亂社會,破壞國家穩(wěn)定,同時,美國霸權要制造網絡“核武器”,實行網絡“核訛詐”。在這些方面,我們有一些脆弱性。我們要降低網絡空間的威脅性,才能提高安全性。
世界上所有的安全系統(tǒng)都不可能把所有邏輯都包含在內,因此還存在邏輯不全的缺陷。攻擊者利用邏輯缺陷抓住漏洞獲取利益,所以安全是永遠的命題。
我們要構建主動免疫的防護新體系,完成主動領域的計算目標,確保完成計算任務的邏輯組合不被篡改,不被破壞,實現正確計算。
主動免疫的防護新體系有以下特性:
計算同時進行安全防護的新模式
主動免疫可信計算是一種在運算的同時進行安全防護的新計算模式。以密碼為基因抗體實現身份識別、狀態(tài)度量、保密存儲等功能,及時識別“自己”和“非己”成分,相當于為網絡信息系統(tǒng)培育了免疫能力。
計算部件+防護部件組成的二重體系結構
這一結構打破了馮·諾依曼的單體系結構,增加了可信密碼模塊、可信控制平臺TPCM等,形成典型的免疫系統(tǒng)。
可信安全管理中心支持下的主動免疫三重防護體系結構
三重防護體系結構,和防范新冠肺炎病毒是一樣的。首先要保證人體安全、辦公室安全,辦公室安全就相當于是計算環(huán)境安全。其次要保證邊界安全,這就相當于進大樓和小區(qū)都要接受檢查,以控制人們的來往安全,不能讓病毒到處擴散。
此外,一個單位的保衛(wèi)部門相當于系統(tǒng)的資源管理中心,用來保證信息不被泄露。因此,在可信的網絡通訊中,安全管理中心非常重要,要構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網絡三重防護體系結構。
四要素的人機可信交互
在網絡安全環(huán)境中,人機交互可信作為發(fā)揮5G、數據中心等新基建動能作用的源頭和前提,必須對主體、客體、操作、環(huán)境這四個要素進行可信度量、識別和控制,以糾正傳統(tǒng)訪問控制策略模型中只基于授權標識屬性進行操作。
五環(huán)節(jié)組成的可信設施
加強基礎設施全程安全管控,需要用可信密碼等技術,檢測、預警、恢復等措施確保設施中的體系結構、操作行為、數據存儲、策略管理、資源配置等五大環(huán)節(jié)安全可信。
基于對以上五環(huán)節(jié)的可信管控,最終可以達到非授權者重要信息拿不到、系統(tǒng)和信息改不了、攻擊行為毀不掉、攻擊者進不去、竊取保密信息看不懂、系統(tǒng)工作癱不成的“六個不”的防護效果。
03 落實等級保護制度 筑牢網絡安全防線
等級保護的新標準就是把云計算、移動互聯網、物聯網、公共系統(tǒng)全部加入在里面,用可信計算為核心技術來做安全防護。
一級防護是基礎軟件操作系統(tǒng)BUS固件不能篡改;
二級防護是應用程序不能篡改;
三級防護是實時度量、實時監(jiān)控,在執(zhí)行過程中,重要點要可信驗證,不能篡改,不能有異常的情況發(fā)生,而且要及時警報,及時傳到管理中心;
四級防護是智能化控制,主要計算節(jié)點全部要進行驗證,進行動態(tài)關聯感知,形成實時的態(tài)勢,解決現在態(tài)勢感知都是事后諸葛亮的問題,這一點很重要。
當前,全球很關心5G發(fā)展。美國以5G安全為由,遏制華為發(fā)展。
我們確實要注意5G安全,并一定要與等級保護2.0的標準相關聯。網絡功能的云化、虛擬化、軟件化涉及的切片、邊緣計算都是新型計算的技術應用,將使網絡變得更加靈活和安全。
我們要按照等級保護2.0標準對5G進行可信建設。我們要用“可信”的方法去解決基站的問題,這樣才能解決5G發(fā)展的安全問題。此外,我們還要埋頭苦干,頂住來自國際的封鎖壓力,健康發(fā)展5G,構建網絡空間安全保障體系。