沈昌祥院士：用主动免疫可信计算构筑新基建网络安全保障体系……………来源：中国网络空间研究院官方澎湃号………2020-07-21 18:21新基建的提出，是党中央高瞻远瞩、审时度势作出的重大战略部署，将大力推动数字化转型、网络化重构、智能化提升、产业化升级，为高质量发展提供有力支撑。新基建下的网络攻击将从数字空间延伸到物理空间，严重影响国家安全，网络安全成为新基建领域的重要挑战。“没有网络安全就没有国家安全”，按照国家网络安全法律、战略和等级保护制度要求，推广安全可信产品和服务，筑牢网络安全防线，是历史赋予的使命。新型基础设施以数据和网络为核心，发展前提是用主动免疫的可信计算筑牢安全防线。01为信息系统培育免疫能力着名科学家图灵创建现代电子计算机，当时是为了解决科学计算问题，并未考虑有人会利用逻辑缺陷进行攻击的情况，缺少攻防理念。正因为冯诺依曼体系结构缺少防护部件，再加上工程应用无安全服务，所以利用逻辑缺陷对计算机系统进行攻击获取利益成为永恒命题，这就是网络安全的本质，相当于人的身体没有免疫系统就不能防御病毒入侵。主动免疫可信计算采用运算和防护并存，以防利用逻辑缺陷进行攻击的新计算模式，以密码基因产生抗体实施身份识别、状态度量、保密存储等主动免疫机制，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为计算机信息系统培育免疫能力。新基建采用新的计算模式必须建立新体系框架，实施安全管理支撑下的计算环境、区域边界和通信网络三重主动免疫防御框架，实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、计算资源改不了、系统工作瘫不成和攻击行为赖不掉的安全防护效果。这与防控新冠病毒相似，既要对社会环境进行管控，也要使人保持自身机体免疫力，戴口罩隔离，同时还要严控来往的联络人员，这样才能有效控制疫情。主动免疫框架内的节点必须有独立的可信检测软硬件，并与计算资源的软硬件并行形成双体系结构，实施计算运算的同时进行安全检测，而不是简单地在串行结构上加安全功能的防护。就像人体的免疫功能一样，抗体每时每刻对机体进行监控，也是双并行结构。摒弃“封堵查杀”，用主动免疫引领自主创新产业发展。当前大部分网络安全系统主要是由防火墙、入侵检测和病毒查杀等组成，这三者也被称为“封堵查杀老三样”。新基建应摒弃“封堵查杀老三样”模式，驱动新产业发展。新基建以网络数据为核心，应该做到全程可测可控，不被干扰，消除安全隐患，确保计算结果与预期一致。这要求工程建设必须与主动免疫安全保障建设同步进行，做到同步规划、同步设计、同步实施、同步运维，以确保 5G 网络、数据中心等新基建数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。目前，国外没有能满足上述要求的技术产品，我国应抓住机遇，加强国产化产品中主动免疫创新完善，实现机理、策略和架构的可信度量和监控，带动国产安全可信产业快速发展。2018年8月，沈昌祥参加《中国经济大讲堂》节目时指出，建立网络安全免疫系统“时不我待”。02主动免疫可信计算为新基建安全保障打下基础新基建采购网络信息产品和设备必须科学决策。《中华人民共和国网络安全法》（简称《网络安全法》）第十六条规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务。《国家网络空间安全战略》指出，重视软件安全，加快安全可信产品推广应用。面对复杂的国际市场环境，我们必须积极应对。2014年4月8日，微软停止对Windows XP的服务支持，强推“可信”的 Windows8，我国决定不采购。2014年10月，微软推出 Windows10，强制与硬件 TPM 芯片配置，全面覆盖各类系统，并在网上一体化管控。推广Windows10 将直接威胁网络空间国家主权。我国按照网络安全审查制度成立安全审查组，按照 WTO 规则，对 Windows10 开展安全审查。坚持按国家法律和标准要求，数字证书、可信计算、密码设备必须是国产自主的，通过审查后才能采购。抓住机遇发展自主创新国产化信息网络产业。过去二十多年来，我国不少核心基础设施坚持自主创新，如国家电网调度系统全面实现安全可信，为推广安全可信国产化作出典范；增值税发票防伪系统确保所有发票真实可信；我国的第二代居民身份证的体系结构可保证其不可被篡改和伪造，这些都是用了主动免疫安全可信的支持系统，为以后的信息基础设施安全保障提供了宝贵经验。总的来说，新基建要坚持自主创新安全可信的国产化，可按“五三一”原则实施。“五个可做到”可知，即对合作方开放全部源代码，要心里有数，不能盲从；可编，即要基于对源代码的理解，能自主改写代码；可重构，即面向具体的应用场景和安全需求，对核心技术要素进行重构，形成定制化的新的体系结构；可信，即通过可信计算技术增强自主系统免疫性，防范未知漏洞攻击影响系统安全性，为国产化真正落地保驾护航；可用，即做好应用程序与操作系统的适配工作，确保自主系统能够替代国外产品。“三条控制底线”必须使用我国的可信计算；必须使用我国的数字证书；必须使用我国的密码设备。“一定要有自主知识产权”要对最终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全。坚持核心技术创新专利化、专利标准化、标准推进市场化。要走出国门，成为世界品牌。03开创可信计算3.0新时代20世纪80年代，可信计算概念被提出，但是当时只局限于操作系统、数据库等产品的可信计算基（安全功能集合），未涉及计算机原理和体系结构等核心科学技术问题。2000 年，国际上可信计算组织（TCG）成立，其架构是主机通过外设接口挂接可信计算模块（TPM），以主机调用外部设备功能（软件栈）实现可信等功能，存在单公钥密码体制和串行被动调用等缺陷。1992 年，我国立项研究综合安全防护系统（智能安全卡），1995 年 2 月该系统通过测评鉴定，肯定具有公钥与对称密码双体制、免疫抗病毒、计算和防护并行双结构等重大创新成果，居世界先进水平，此后被大规模推广应用，制定发布国家和军队的可信计算系列标准及申请专利，我国跨入主动免疫可信计算时代（简称可信计算 3.0）。2006年，国务院发布《国家中长期科学和技术发展规划纲要（2006-2020年）》（以下简称《纲要》）。在《纲要》的指导下，经过长期攻关突破，形成了完整的产业链，为构建关键信息基础设施安全保障体系提供了巨大保障。可信计算 3.0 的不少核心技术被国外企业和机构采用，如俄罗斯卡巴斯基公司 2019年宣布不做杀病毒软件而要建免疫网络，TCG的双体制密码标准，AMD 的多核 CPU 内双结构，以及美国的零可信等热门安全架构，都与我国的主动免疫可信计算有异曲同工之举。04积极构筑新基建安全防线《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十一条规定，国家对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。加强新基建网络安全建设，应该按照新的网络安全等级标准（简称等保 2.0 标准）高等级要求重点实施保护。新的等保 2.0 标准是在二十多年等保工作的创新发展中逐步形成的，把主动免疫可信计算 3.0 的核心技术产品和服务逐步升级，构建各级主动免疫可信架构。可信计算 3.0 已形成完整的产业链，可满足新基建高等级保护的构建需求。新基建按等保 2.0 标准步骤进行安全保障体系建设，具体来说，可分为五个步骤进行：1第一，风险分析准确定级。按业务信息和系统服务两方面受攻击造成损害程度进行评估，公众利益、社会秩序或国家安全造成损害、严重损害、特别严重损害的，分别定为三、四、五级。2第二，按等级要求确定方案。确定等级经专家评审备案后，根据等保 2.0 技术设计要求标准进行建设方案设计，经评审报批后确定。3第三，规范施工严密管理。从技术和管理两个层面按照确定方案实施，做到可信可控可管。4第四，严格测评整改完善。测评机构按照测试要求和国家标准完成测评任务，承建者对发现的问题修改完善后投入运营。5第五，监督检查应急恢复。国家主管部门对基础设施运营定期进行监督检查，并设置完善的应急恢复措施，确保系统安全可靠运营。新基建按照等保 2.0 标准建成后，再按国家有关法律法规进一步加强防护，使其具有主动免疫、技管并重、内外兼防、纵深防御的网络安全防线