您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
【專家觀點(diǎn)】中國工程院院士沈昌祥:可信計算筑牢網(wǎng)絡(luò)強(qiáng)國底座
導(dǎo)讀:《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中提出的要“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”,我們要盡快在核心技術(shù)上取得突破,加快安全可信的產(chǎn)品推廣應(yīng)用。安全可信主動免疫網(wǎng)絡(luò)保障體系是建設(shè)網(wǎng)絡(luò)強(qiáng)國的基礎(chǔ),要按照國家網(wǎng)絡(luò)安全法律、戰(zhàn)略及等保制度要求,以基礎(chǔ)原理、核心技術(shù)和工程應(yīng)用創(chuàng)新,用安全可信網(wǎng)絡(luò)產(chǎn)品和服務(wù)構(gòu)建主動免疫防護(hù)的保障體系,通過打造安全可信產(chǎn)業(yè)體系筑牢網(wǎng)絡(luò)強(qiáng)國底座。
▲沈昌祥 中國工程院院士
本文已在本刊“學(xué)習(xí)強(qiáng)國”平臺首發(fā)
黨的二十大提出了“加快建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國”的戰(zhàn)略任務(wù),沒有網(wǎng)絡(luò)安全就沒有國家安全 安全是發(fā)展的前提。因此,在《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》及相關(guān)制度中都有非常明確的要求。
《網(wǎng)絡(luò)安全法》第十六條國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃,加大投入,扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目,支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用,推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán),支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項目。
《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出的戰(zhàn)略任務(wù)“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”,強(qiáng)調(diào)“盡快在核心技術(shù)上取得突破,加快安全可信的產(chǎn)品推廣應(yīng)用”。
網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)及“關(guān)基”保護(hù)條例要求應(yīng)當(dāng)優(yōu)先采購全面使用安全可信的產(chǎn)品和服務(wù)來構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施安全保障體系。
安全可信主動免疫網(wǎng)絡(luò)保障體系是建設(shè)網(wǎng)絡(luò)強(qiáng)國的基礎(chǔ)
網(wǎng)絡(luò)空間面臨嚴(yán)重威脅:
2017年5月12日爆發(fā)的“WannaCry”的勒索病毒,通過將系統(tǒng)中數(shù)據(jù)信息加密,使數(shù)據(jù)變得不可用,借機(jī)勒索錢財。病毒席卷近150個國家,教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)。
2018年8月3日,臺積電遭到勒索病毒入侵,幾個小時之內(nèi),臺積電在中國臺灣地區(qū)的北、中、南三個重要生產(chǎn)基地全部停擺,造成約十幾億美元的營業(yè)損失。
2021年5月7日,美國最大的成品油管道運(yùn)營商Colonial Pipeline受到勒索軟件攻擊,被迫關(guān)閉其美國東部沿海各州供油網(wǎng)絡(luò),美國政府宣布美國17個州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。
需要從科學(xué)技術(shù)上認(rèn)清安全風(fēng)險本質(zhì):網(wǎng)絡(luò)安全風(fēng)險源于圖靈機(jī)原理少攻防理念、馮·諾依曼結(jié)構(gòu)缺防護(hù)部件和工程應(yīng)用無安全服務(wù)的先天性脆弱缺陷。再加上認(rèn)知科學(xué)的局限性,設(shè)計IT系統(tǒng)不能窮盡所有邏輯組合,必定存在大量未經(jīng)處理的邏輯缺陷。因此,利用缺陷脆弱點(diǎn)挖掘漏洞進(jìn)行威脅攻擊是網(wǎng)絡(luò)安全風(fēng)險的永遠(yuǎn)命題。
傳統(tǒng)“封堵查殺”補(bǔ)丁難以應(yīng)對未知惡意攻擊。安全可信產(chǎn)品和服務(wù)是實(shí)施計算運(yùn)算同時并行進(jìn)行動態(tài)的全方位整體防護(hù),使得能完成計算任務(wù)的邏輯組合不被篡改和破壞,達(dá)到預(yù)期的計算目標(biāo)。相當(dāng)于人體具有免疫力確保健康。
由此,按國家網(wǎng)絡(luò)安全戰(zhàn)略、法律及等保制度要求以基礎(chǔ)原理、核心技術(shù)和工程應(yīng)用創(chuàng)新,用安全可信網(wǎng)絡(luò)產(chǎn)品和服務(wù)構(gòu)建主動免疫防護(hù)的保障體系。
1)“一種”新模式,計算同時進(jìn)行安全防護(hù)
殺病毒、防火墻、入侵檢測的傳統(tǒng)“老三樣”難以應(yīng)對人為攻擊,且容易被攻擊者利用,找漏洞、打補(bǔ)丁的傳統(tǒng)思路不利于整體安全。主動免疫可信計算是一種運(yùn)算同時進(jìn)行安全防護(hù)的新計算模式,以密碼為基因抗體實(shí)施身份識別、狀態(tài)度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì),相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。
2)“二重”體系結(jié)構(gòu),計算部件+防護(hù)部件
對防護(hù)結(jié)構(gòu)必須進(jìn)行改進(jìn),采用“計算部件+防護(hù)部件”二重體系結(jié)構(gòu)。實(shí)施計算運(yùn)算同時進(jìn)行安全檢測防護(hù),改變串行結(jié)構(gòu)上加上安全功能部件被動局面,構(gòu)成主動免疫可信計算雙體系結(jié)構(gòu)。安全可信的網(wǎng)絡(luò)產(chǎn)品必須是雙體系并行結(jié)構(gòu),就像人體的免疫功能一樣,免疫抗體必須每時每刻對機(jī)體進(jìn)行監(jiān)控才能保障健康生活和工作。
3)“三重”防護(hù)框架
按國家網(wǎng)絡(luò)安全法律框架及等保制度要求,采用可信安全管理中心支持下的主動免疫三重防護(hù)框架,實(shí)施安全管理支撐下可信的計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)三重主動防御。
4)“四要素”可信動態(tài)訪問控制
人機(jī)交互可信是發(fā)揮5G、數(shù)據(jù)中心等新基建動能作用的源頭和前提,必須對人的操作訪問策略四要素(主體、客體、操作、環(huán)境)進(jìn)行動態(tài)可信度量、識別和控制,糾正了傳統(tǒng)無計算環(huán)境要素的訪問控制策略模型只基于授權(quán)標(biāo)識屬性進(jìn)行操作,而不作可信驗(yàn)證,難防篡改的安全缺陷。
5)“五環(huán)節(jié)”全程管控,技管并重
按照網(wǎng)絡(luò)安全法、密碼法、等級保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的要求,全程治理,確保體系結(jié)構(gòu)、資源配置、操作行為、數(shù)據(jù)存儲、策略管理可信。
6)“六不”防護(hù)效果
通過可信計算做到,攻擊者進(jìn)不去;非授權(quán)者重要信息拿不到;竊取保密信息看不懂;系統(tǒng)和信息改不了;系統(tǒng)工作癱不成;攻擊行為賴不掉。
打造安全可信產(chǎn)業(yè)體系 筑牢網(wǎng)絡(luò)強(qiáng)國底座
中國可信計算源于1992年立項研制主動免疫的綜合安全防護(hù)系統(tǒng)(智能安全卡),于1995年2月底通過測評和鑒定。經(jīng)過長期軍民融合攻關(guān)應(yīng)用,形成了自主創(chuàng)新安全可信體系,開啟了主動免疫可信計算3.0時代。
《國家中長期科學(xué)技術(shù)發(fā)展(2006-2020年)》明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn),開發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品,建立網(wǎng)絡(luò)安全技術(shù)保障體系”??尚庞嬎銖V泛應(yīng)用于國家重要信息系統(tǒng),如:增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)、中央電視臺全數(shù)字化可信制播環(huán)境建設(shè)、國家電網(wǎng)電力數(shù)字化調(diào)度系統(tǒng)安全防護(hù)建設(shè),已成為國家法律、戰(zhàn)略、等級保護(hù)制度要求進(jìn)行推廣應(yīng)用。
以國家電網(wǎng)為例。電力可信計算密碼平臺已在幾十個省級以上調(diào)度控制中心、上千套地級以上電網(wǎng)調(diào)度控制系統(tǒng)全覆蓋,涉及十幾萬個節(jié)點(diǎn),約四萬座變電站和一萬座發(fā)電廠,有效抵御各種網(wǎng)絡(luò)惡意攻擊,確保電力調(diào)度系統(tǒng)安全運(yùn)行。
國家電網(wǎng)電力調(diào)度系統(tǒng)安全架構(gòu)做到了軟硬件全國產(chǎn)化,實(shí)現(xiàn)了:高效處理,實(shí)時調(diào)度;不打補(bǔ)丁,免疫抗毒;不改代碼,方便實(shí)施;精煉消腫,降低成本。
2020年10月28日,國家等級保護(hù)2.0與可信計算3.0攻關(guān)示范基地成立揭牌。完備的可信計算3.0產(chǎn)品鏈,將形成巨大的新型產(chǎn)業(yè)空間。
(根據(jù)本刊支持的“第37次全國計算機(jī)安全學(xué)術(shù)交流會”上沈昌祥院士發(fā)言內(nèi)容整理)
來源:信息安全研究