各位領(lǐng)導，各位來賓，非常高興今天有機會與大家探討一下信息安全的核心技術(shù)之一——操作系統(tǒng)。目前，我們已經(jīng)形成的共識是，網(wǎng)絡空間是繼海陸空天之外的第五大國家主權(quán)空間，保衛(wèi)網(wǎng)絡空間安全就是保衛(wèi)國家主權(quán)。

大家對棱鏡門事件印象很深，但是棱鏡門事件其實只是冰山一角，不足為奇。更為重要的是，美國在網(wǎng)絡空間上確定了霸主地位，制定游戲規(guī)則。目前網(wǎng)絡空間的安全已經(jīng)成為世界的焦點，也是中國面對的新挑戰(zhàn)。

XP停服的深層思考

比如近期大家廣泛關(guān)注的Windows XP停止服務就是這些挑戰(zhàn)的典型表現(xiàn)。據(jù)初步統(tǒng)計，目前我國運行Windows XP的計算機在2億臺左右，我認為，這不是一個事件，而是一個風險，同時帶給我們挑戰(zhàn)和機遇。

表面上看，操作系統(tǒng)老版本停止服務是非常正常的，因為它要推行新的版本，要進行必要的升級。但實際上，擺在我們面前的并不是普通的操作系統(tǒng)升級這樣簡單。我們面臨的選擇是，要么繼續(xù)使用Windows XP，要么升級到Windows 8。如果繼續(xù)使用Windows XP，由于失去了各類服務，用戶就會面臨非常大的安全風險；如果升級到Windows 8，由于Windows 8與可信平臺模塊TPM2.0綁定，該模塊可以強化操作系統(tǒng)對用戶的控制，同時Windows 8捆綁了微軟的殺毒軟件，為從容監(jiān)控用戶的系統(tǒng)提供了更大的可能。

出于商業(yè)目的，Windows 8會將更多的程序進行檢查。Windows 8對安全和程序認證方面的增強，可能對操作系統(tǒng)本身的安全性有所提升，但是對中國的用戶，特別是一些核心、涉密機構(gòu)來說反而更不安全了。所以，升級采購Windows 8，不僅是要花更多的錢的問題。更重要的，我們對安全的控制權(quán)將會喪失，我們要對應用軟件進行二次開發(fā)也會遇到很大的困難。根據(jù)這個情況，我們很明確地提出來不能采購Windows 8。

自主操作系統(tǒng)的發(fā)展目標

當然，我們不能光是不采購，在操作系統(tǒng)安全方面，我們還要有思路、有對策，有替代的解決方案。

針對這一問題的戰(zhàn)略思路是，要把當前急需解決的問題與長遠發(fā)展的問題統(tǒng)一起來。操作系統(tǒng)的安全可信問題，既是挑戰(zhàn)，也是機遇。它給我們提供了一個自主創(chuàng)新的大好時機。一方面，我們要通過服務接管和安全加固來解決Windows XP急需解決的安全問題，使得現(xiàn)有Windows XP系統(tǒng)不受惡意代碼感染，保護國家大量運行在Windows XP上的業(yè)務系統(tǒng)不受安全威脅。另一方面，我們同時還在加快操作系統(tǒng)國產(chǎn)化替代的步伐，為操作系統(tǒng)的國產(chǎn)化替代提供安全和服務支撐。

這個工程很有意義，我們非常需要為以后創(chuàng)造自主可控、安全可信的操作系統(tǒng)打好基礎(chǔ)。我把這個工程的近期、中期和遠期目標都給大家介紹一下。

在近期目標中，我們希望通過自主可控、安全可信的操作系統(tǒng)安全加固方案來加固Windows XP系統(tǒng)，我們會嚴格按照要求和標準，經(jīng)過第三方測試，向社會公布推薦的加固解決方案。當然，這只是被動的解決方案。我們沒有任何改變Windows XP的能力，沒有辦法打補丁，這并不是因為我們不聰明，而是因為我們遇到了挑戰(zhàn)。

其實，要擺脫被動局面，我們可以換一個思路。我們可以從可信計算的角度，一邊計算一邊檢查，也做和Windows 8類似的事情。可信計算在中國不是沒有，中國其實做得非常多，很有特色和創(chuàng)新。盡管漏洞、病毒仍然存在，但是如果我們能進行安全加固，這些后門、漏洞不會被別人利用，就可以降低安全風險。

在中期目標中，我們要通過協(xié)同攻關(guān)，到2020年形成所謂的智能操作系統(tǒng)，包含PC終端、手機、嵌入式的操作系統(tǒng)，出現(xiàn)一兩款具有一定規(guī)模、成熟的國產(chǎn)操作系統(tǒng)，能夠?qū)崿F(xiàn)對國外操作系統(tǒng)的替代。而長期來看，不僅是要解決替代的問題，更重要的我們要在國際上創(chuàng)立屬于中國的操作系統(tǒng)品牌和產(chǎn)品，它不僅要在中國應用，還應該在世界上占有一席之地。

用可信計算解決操作系統(tǒng)安全問題

在可信計算領(lǐng)域，中國已經(jīng)做了將近20年。2005年，中國就制定了相關(guān)的國家標準，現(xiàn)在已經(jīng)擁有了主要的、核心的產(chǎn)品。

可信計算平臺上的產(chǎn)品有三種形態(tài)，分別是在專用主板上嵌入可信密碼模塊，主板配插PCI可信密碼模塊，主板配接USB可信密碼模塊，后面的方法更為方便。我們現(xiàn)在其實已經(jīng)有了很多這樣的案例。

大家知道，這樣的操作雖然非常簡單，但可以有效解決計算機所面臨的安全問題。因為通過可信計算體系，我們可以實現(xiàn)計算機的免疫。第一，可信計算平臺要進行識別，確定可信的主、客體；第二，可信計算平臺會基于識別的結(jié)果，對屬于自己的進行保護，不屬于自己的進行排斥，有害的還要消滅，這就是可信計算的主動控制、主動度量、主動采取措施；第三，它發(fā)現(xiàn)問題后還要報警，從而實現(xiàn)及時免疫的功能。

在Windows XP停止服務以后，根據(jù)上面講的三種模式，將新的可信計算系統(tǒng)引入到老的Windows XP平臺上，就能夠?qū)崿F(xiàn)即使系統(tǒng)中有Bug、有漏洞，攻擊者也無法實施攻擊。這樣就可以有效保證主客體的可信認證，源代碼的保護不被篡改，應用程序不被破壞等。此外，還可以實現(xiàn)信息保護，系統(tǒng)可以分辨是“好人”還是違規(guī)的“壞人”，從而實現(xiàn)資源可信度量，行為可信鑒定等。

這樣可以讓主動免疫系統(tǒng)介入到系統(tǒng)調(diào)用、進程創(chuàng)建的過程中，達到動態(tài)度量、客觀驗證、實時攔截的主動、實時的免疫功能，在免疫過程中，發(fā)現(xiàn)異常情況的同時還會發(fā)出警告、報警。其實，這種做法比傳統(tǒng)的查殺病毒的方式更簡單，因為如果一旦遇到情況，系統(tǒng)會報警并對惡意的行為進行控制，這種主動的控制要比被動的掃描更加有效。

此外，我還建議大家關(guān)注信息安全等級保護的相關(guān)標準，這個標準不是寫出來的，而是通過實驗得出來的。這個標準包括安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡三個層面，這三個層面還需要安全管理中心的支持。而安全管理中心又包括資源和系統(tǒng)管理、安全管理、審計管理等方面。我認為，用可信計算的思想和技術(shù)來實施信息安全等級保護是非常必要的。

有了可信計算，我們可以做到免病毒查殺、免打補丁、不用修改應用軟件，不給用戶的使用增加麻煩。而且，可信計算體系是可以支持各種異構(gòu)環(huán)境的，它不光針對Windows XP，在Linux等系統(tǒng)上同樣適用。

這個體系既可以在離線的情況下實施服務配置，也可以在網(wǎng)絡環(huán)境中實施配置，不僅可以在移動網(wǎng)絡上實現(xiàn)服務支持，在互聯(lián)網(wǎng)上也可以實現(xiàn)安全服務支持。當然，在互聯(lián)網(wǎng)上的可信安全還是有區(qū)別的，在這方面我們已經(jīng)做了充分的實驗，有些產(chǎn)品也已經(jīng)發(fā)布。

Windows系統(tǒng)被廣泛使用，全世界都在幫它找Bug。而自主的產(chǎn)品應用不夠廣、投資少又缺乏經(jīng)驗，在這種情況下我們自主的操作系統(tǒng)的Bug會比人家的少嗎？肯定要多！那怎么辦呢？只有采用即使有Bug但不被人家所利用的免疫系統(tǒng)，才能使得我們自主可控的路子走下去，為中國IT系統(tǒng)的自主可控、安全可信保駕護航。

可喜的是，中國已經(jīng)做了十幾年的可信計算，在某種意義上，我們比國外早了將近十年。我們有自己的創(chuàng)新，現(xiàn)在主要的計算機廠商已有可信計算的產(chǎn)品，包括硬件和軟件，在一些主機系統(tǒng)，自動化辦公系統(tǒng)上有充分的使用。比如在國家電網(wǎng)，可信計算就經(jīng)過了嚴格的測試并得到應用，可信計算已經(jīng)開始為我們的電網(wǎng)系統(tǒng)進行等級保護、安全保護，同時免去了系統(tǒng)升級所帶來的復雜問題，節(jié)約了大量的成本。

希望通過Windows XP停服，促使我們攜手攻關(guān)，解決操作系統(tǒng)自主可控、安全可信的問題。謝謝大家?。ū疚母鶕?jù)沈昌祥院士在第十五屆中國信息安全大會上的演講編輯整理，未經(jīng)本人確認。標題為編者加。）endprint