◎沈昌祥院士

2016年10月21日，美國(guó)東海岸(世界最發(fā)達(dá)地區(qū))發(fā)生世界上癱瘓面積最大（大半個(gè)美國(guó)）、時(shí)間最長(zhǎng)（6個(gè)多小時(shí)）的分布式拒絕服務(wù)（DDOS）攻擊。造成該事件的原因是“物聯(lián)網(wǎng)破壞者”（ “Mirai”未來(lái) ）攻擊美國(guó)大量的網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備，把它們當(dāng)“肉雞”，攻擊美國(guó)多個(gè)知名網(wǎng)站，使人們每天都使用的網(wǎng)站被迫中斷服務(wù)。更有甚者，攻擊者Bricker Bot已經(jīng)升級(jí)為PDOS（永久拒絕服務(wù)攻擊），即清除設(shè)備里的所有文件，破壞存儲(chǔ)器并切斷設(shè)備網(wǎng)絡(luò)鏈接。

2017年5月12日，一款名為“WannaCry”的勒索病毒網(wǎng)絡(luò)攻擊席卷全球，被攻擊計(jì)算機(jī)的數(shù)據(jù)文件被加密，只有支付高額贖金才能解密恢復(fù)，從而導(dǎo)致大量信息系統(tǒng)無(wú)法正常工作，服務(wù)被中斷、嚴(yán)重影響系統(tǒng)的可用性。 據(jù)統(tǒng)計(jì)，目前有近150個(gè)國(guó)家受害，僅當(dāng)天我國(guó)就有數(shù)十萬(wàn)例感染報(bào)告，教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)，大量加油站無(wú)法提供服務(wù)。

這兩個(gè)案例是對(duì)智能城市的直接警示。因?yàn)橹悄艹鞘幸匀蚩梢曰ヂ?lián)互通的數(shù)據(jù)以及處理、傳輸這些數(shù)據(jù)的設(shè)備系統(tǒng)平臺(tái)為基礎(chǔ)，一旦受到DDOS、PDOS的攻擊，程序被篡改，數(shù)據(jù)被破壞，系統(tǒng)將無(wú)法運(yùn)行，甚至?xí)斐蓺缧云茐摹Ｍ瑫r(shí)也警示我們，構(gòu)筑智能城市的安全生態(tài)圈應(yīng)該從兩個(gè)方面考慮，一方面是數(shù)據(jù)系統(tǒng)要安全可控，另一方面是設(shè)備處理系統(tǒng)要安全可控。

為了解決網(wǎng)絡(luò)空間安全問(wèn)題，我國(guó)《網(wǎng)絡(luò)安全法》中第十六條指出，“國(guó)務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護(hù)網(wǎng)絡(luò)技術(shù)知識(shí)產(chǎn)權(quán)，支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國(guó)家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目?！苯诎l(fā)布的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出的戰(zhàn)略任務(wù)“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”，強(qiáng)調(diào)“盡快在核心技術(shù)上取得突破，加快安全可信的產(chǎn)品推廣應(yīng)用”。

一、科學(xué)的網(wǎng)絡(luò)安全觀

從科學(xué)的視角認(rèn)識(shí)網(wǎng)絡(luò)安全，應(yīng)包括以下三個(gè)方面：

（一）網(wǎng)絡(luò)安全是永遠(yuǎn)主題

網(wǎng)絡(luò)空間安全具有豐厚的基礎(chǔ)理論問(wèn)題，它不僅是計(jì)算科學(xué)的問(wèn)題，也是體系結(jié)構(gòu)的問(wèn)題，還是計(jì)算模式的問(wèn)題。同時(shí)，網(wǎng)絡(luò)空間安全是資源財(cái)富，是基礎(chǔ)設(shè)施，是國(guó)家主權(quán)。因此，網(wǎng)絡(luò)安全是永遠(yuǎn)的主題。

然而，由于人們對(duì)IT的認(rèn)知邏輯的局限性，不能窮盡所有組合，只能局限于完成計(jì)算任務(wù)去設(shè)計(jì)IT系統(tǒng)，必定存在邏輯不全的缺陷，從而難以應(yīng)對(duì)人為利用缺陷進(jìn)行攻擊。因此，為了安全必須從邏輯正確驗(yàn)證、計(jì)算體系結(jié)構(gòu)和計(jì)算模式等方面進(jìn)行科學(xué)技術(shù)創(chuàng)新，以解決邏輯缺陷不被攻擊者所利用的問(wèn)題，形成攻防矛盾的統(tǒng)一體。確保為完成計(jì)算任務(wù)的邏輯組合不被篡改和破壞，實(shí)現(xiàn)正確計(jì)算，這就是主動(dòng)免疫防御，“老三樣”封堵查殺被動(dòng)防御已經(jīng)過(guò)時(shí)。

（二）可信免疫的計(jì)算模式與結(jié)構(gòu)

可信計(jì)算是指計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測(cè)可控，不被干擾，使計(jì)算結(jié)果總是與預(yù)期一樣。只有這樣才能改變只講求計(jì)算效率，而不講安全防護(hù)的片面計(jì)算模式。

可信計(jì)算是一種運(yùn)算和防護(hù)并存的主動(dòng)免疫的新計(jì)算模式，以密碼為基因，實(shí)施身份識(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能。及時(shí)識(shí)別“自己”和“非己”成份，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為計(jì)算機(jī)信息系統(tǒng)培育了免疫能力。

構(gòu)建的可信支持的雙體系結(jié)構(gòu)如圖1所示。該體系結(jié)構(gòu)通過(guò)增加防護(hù)部件，可以實(shí)現(xiàn)任務(wù)計(jì)算和免疫防護(hù)并存的計(jì)算模式。

（三）安全可信系統(tǒng)架構(gòu)

網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等新型計(jì)算環(huán)境必須進(jìn)行可信度量、識(shí)別和控制，以確保數(shù)據(jù)存儲(chǔ)可信、操作行為可信、體系結(jié)構(gòu)可信、資源配置可信和策略管理可信。結(jié)合主動(dòng)免疫的主動(dòng)防御思想和等級(jí)保護(hù)的防御體系，構(gòu)建可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架，如圖2所示。該框架圍繞安全管理中心實(shí)現(xiàn)系統(tǒng)管理、安全管理和審計(jì)管理，形成積極防御體系。

通過(guò)實(shí)施三重防護(hù)主動(dòng)防御框架，能夠?qū)崿F(xiàn)攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不了和攻擊行為賴不掉的安全防護(hù)效果。首先，在可信計(jì)算的主動(dòng)免疫防護(hù)下，攻擊者很難入侵，即便攻進(jìn)去了，由于強(qiáng)制訪問(wèn)控制，非授權(quán)者也拿不到重要信息；即使竊取了重要數(shù)據(jù)，因?yàn)橛屑用鼙Ｗo(hù)，竊取者也看不懂。其次，攻擊者很難篡改系統(tǒng)和信息，系統(tǒng)工作不會(huì)癱瘓。最后，利用可信計(jì)算的審計(jì)功能，能發(fā)現(xiàn)并保護(hù)證據(jù)，使攻擊者無(wú)處可逃。

采氣廠作為典型的化工企業(yè)，安全是擺在企業(yè)面前的頭等大事，基于安全開展企業(yè)生產(chǎn)工作以及經(jīng)營(yíng)工作是一項(xiàng)基本原則，在實(shí)際業(yè)務(wù)中，采氣廠由于其地理位置分散、風(fēng)險(xiǎn)系數(shù)高等特點(diǎn)，對(duì)安全管理有著更高的要求。

以5月12日發(fā)生的勒索病毒網(wǎng)絡(luò)攻擊為例，中國(guó)自主創(chuàng)新的可信計(jì)算3.0可以有效抵御“WannaCry”勒索病毒攻擊。采用可信計(jì)算3.0技術(shù)的操作系統(tǒng)免疫平臺(tái)能夠在計(jì)算機(jī)信息系統(tǒng)上建立對(duì)未知病毒木馬以及系統(tǒng)漏洞的防御能力，從根本阻止未知攻擊事件。因此，“WannaCry”、“Mirai”、“黑暗力量”、“震網(wǎng)”、“火焰”、“心臟滴血”等不查殺而自滅。

二、中國(guó)可信計(jì)算革命性創(chuàng)新發(fā)展

我國(guó)為確保核心機(jī)密安全，于1992年正式立項(xiàng)研究主動(dòng)免疫的綜合防護(hù)系統(tǒng)，經(jīng)過(guò)長(zhǎng)期攻關(guān)，軍民融合，形成了自主創(chuàng)新的可信體系（不少已被國(guó)際可信計(jì)算組織（TCG）采納），已經(jīng)成為夯實(shí)我國(guó)網(wǎng)絡(luò)安全防線的基礎(chǔ)。該研究受到國(guó)內(nèi)權(quán)威媒體的高度評(píng)價(jià)，2015年，《求是》發(fā)表了文章“用可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全”；2016年，新華社《中國(guó)名牌》刊登了“可信計(jì)算：網(wǎng)絡(luò)安全的主動(dòng)防御時(shí)代”的文章。

中國(guó)可信計(jì)算取得了革命性創(chuàng)新發(fā)展，主要包括：

（一）創(chuàng)新可信計(jì)算標(biāo)準(zhǔn)體系

圖1 可信支持的雙體系結(jié)構(gòu)

圖2 主動(dòng)免疫的三重防護(hù)框架

2010年以前，我國(guó)完成了核心的9部國(guó)家標(biāo)準(zhǔn)和5部國(guó)軍標(biāo)的研究起草工作。截至目前，已發(fā)布國(guó)家標(biāo)準(zhǔn)3部、國(guó)軍標(biāo)3部，即將發(fā)布國(guó)家標(biāo)準(zhǔn)2部，已發(fā)布團(tuán)體標(biāo)準(zhǔn)（中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟標(biāo)準(zhǔn)）4部。同時(shí)，授權(quán)專利百余項(xiàng)。

（二）創(chuàng)新可信密碼體系

以密碼為基因，構(gòu)建創(chuàng)新可信密碼體系，科學(xué)地解決了可信密碼的問(wèn)題，糾正了TCG密碼體制的缺失，已成為ISO國(guó)際標(biāo)準(zhǔn)。可信密碼體系創(chuàng)新包括密碼算法創(chuàng)新、密碼機(jī)制創(chuàng)新和證書結(jié)構(gòu)創(chuàng)新三個(gè)方面。其中，密碼算法的創(chuàng)新在于全部采用國(guó)家自主設(shè)計(jì)的算法，定義了可信計(jì)算密碼模塊（TCM）；密碼機(jī)制的創(chuàng)新在于采用對(duì)稱密碼與公鑰密碼相結(jié)合，提高了安全性和效率；證書結(jié)構(gòu)的創(chuàng)新在于采用雙證書結(jié)構(gòu)，簡(jiǎn)化證書管理，提高了可用性和可管性。

（三）創(chuàng)新主動(dòng)免疫體系結(jié)構(gòu)

可信計(jì)算以密碼技術(shù)為基礎(chǔ)，通過(guò)自主密碼方案、控制芯片的主動(dòng)控制、主板層面的計(jì)算、核心軟件的雙系統(tǒng)體系結(jié)構(gòu)及三元三層可信連接等多方面創(chuàng)新，組成了創(chuàng)新的主動(dòng)免疫體系結(jié)構(gòu)（圖3）。該體系結(jié)構(gòu)克服了TCG部件TPM被動(dòng)掛接調(diào)用的局限性。

（四）開創(chuàng)可信計(jì)算3.0新時(shí)代

隨著計(jì)算科學(xué)、體系結(jié)構(gòu)的發(fā)展，可信計(jì)算經(jīng)歷了幾個(gè)階段，如圖4所示。目前，我國(guó)已經(jīng)開創(chuàng)了可信計(jì)算3.0新時(shí)代。最初的可信1.0是基于容錯(cuò)方法的安全防護(hù)措施，以世界容錯(cuò)組織為代表；可信2.0 是以可信計(jì)算組織（TCG）出臺(tái)的TPM1.0為標(biāo)志，是被動(dòng)掛接調(diào)用；可信3.0形成了自主創(chuàng)新的體系，具有主動(dòng)免疫和可信免疫架構(gòu)，更科學(xué)、更合理、更有效，并在軍民融合領(lǐng)域得到了應(yīng)用驗(yàn)證。

（五）構(gòu)筑主動(dòng)防御、安全可信的保障體系

自主可信計(jì)算平臺(tái)產(chǎn)品設(shè)備有三種形態(tài)：系統(tǒng)重構(gòu)可信主機(jī)、主板配插PCI可信控制卡和配接USB可信控制模塊。它可以方便地通過(guò)可信網(wǎng)絡(luò)支撐平臺(tái)把現(xiàn)有設(shè)備升級(jí)為可信計(jì)算機(jī)系統(tǒng)，而應(yīng)用系統(tǒng)不用改動(dòng)，便于新老設(shè)備融為一體，實(shí)現(xiàn)全系統(tǒng)安全可信。

可信計(jì)算構(gòu)建了主動(dòng)免疫體系，確定可信狀態(tài)后，即使有BUG也不會(huì)變成漏洞，使攻擊無(wú)效，確保安全系統(tǒng)運(yùn)行。部署可信計(jì)算平臺(tái)后，在原有信息系統(tǒng)建立可信免疫的主動(dòng)防御安全防護(hù)體系，實(shí)現(xiàn)高安全等級(jí)結(jié)構(gòu)化保護(hù)，改變?cè)粍?dòng)防護(hù)局面。

（六）重要核心系統(tǒng)規(guī)?；ㄔO(shè)應(yīng)用

可信計(jì)算在重要核心系統(tǒng)規(guī)?；ㄔO(shè)的兩個(gè)典型應(yīng)用案例為：

1.國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)安全防護(hù)建設(shè)

圖3 可信計(jì)算的主動(dòng)免疫體系結(jié)構(gòu)

圖4 可信計(jì)算、體系結(jié)構(gòu)的發(fā)展

發(fā)改委14號(hào)令決定以可信計(jì)算架構(gòu)實(shí)現(xiàn)等級(jí)保護(hù)四級(jí)。用可信計(jì)算構(gòu)建的國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)，如圖5所示，該系統(tǒng)采用PCI可信卡的方式進(jìn)行部署實(shí)施，實(shí)現(xiàn)了對(duì)已知、未知惡意代碼的免疫，實(shí)現(xiàn)了可信保障機(jī)制，使得系統(tǒng)運(yùn)行效率有效降低，基于D5000平臺(tái)的安全標(biāo)簽，不許改動(dòng)源代碼。該系統(tǒng)通過(guò)逐級(jí)認(rèn)證實(shí)現(xiàn)系統(tǒng)的主動(dòng)免疫，達(dá)到等級(jí)保護(hù)四級(jí)技術(shù)要求。

目前，電力可信計(jì)算密碼平臺(tái)已在34個(gè)省級(jí)以上調(diào)度控制中心和59個(gè)地級(jí)調(diào)度控制中心上線運(yùn)行，覆蓋了上萬(wàn)臺(tái)服務(wù)器，確保了運(yùn)行安全。

2.中央電視臺(tái)可信制播環(huán)境建設(shè)

中央電視臺(tái)播出42個(gè)頻道節(jié)目，面向全球提供中、英、西、法、俄、阿等語(yǔ)言電視節(jié)目，在沒(méi)有與互聯(lián)網(wǎng)物理隔離的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下，構(gòu)建了網(wǎng)絡(luò)制播的可信計(jì)算安全技術(shù)體系，建立了可信、可控、可管的網(wǎng)絡(luò)制播環(huán)境，達(dá)到四級(jí)安全要求，確保節(jié)目安全播出。中央電視臺(tái)電視節(jié)目生產(chǎn)、存儲(chǔ)、編排和播出流程可信環(huán)境建設(shè)示意如圖6所示。以今年5月14日我國(guó)舉辦的 “一帶一路”國(guó)際合作高峰論壇為例，該會(huì)議是在5月12日勒索病毒網(wǎng)絡(luò)攻擊席卷全球的嚴(yán)峻情勢(shì)下召開的，中央電視臺(tái)可信制播環(huán)境建設(shè)經(jīng)受住了極為嚴(yán)峻的考驗(yàn)和嚴(yán)格的考核，保證了會(huì)議的勝利召開。

三、主動(dòng)免疫的智能城市安全生態(tài)圈

智能城市的人工智能生態(tài)圈是個(gè)完整的產(chǎn)業(yè)鏈，涵蓋關(guān)鍵元器件層（如傳感器、智能芯片等）、基礎(chǔ)產(chǎn)品層(如語(yǔ)言識(shí)別、視覺(jué)感知等) 和系統(tǒng)集成層（如智慧家居、智能醫(yī)療、智能交通等）。其中，部件、產(chǎn)品構(gòu)成了系統(tǒng)。一旦城市的某項(xiàng)業(yè)務(wù)應(yīng)用系統(tǒng)遭遇攻擊，出現(xiàn)崩潰或癱瘓，可能造成無(wú)法彌補(bǔ)的損失。

圖5 國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)

圖6 中央電視臺(tái)電視節(jié)目生產(chǎn)、存儲(chǔ)、編排和播出流程可信環(huán)境建設(shè)示意圖

圖7 智能城市組成架構(gòu)圖

圖8 人工智能環(huán)境安全架構(gòu)

智能城市組成架構(gòu)如圖7所示，其中，計(jì)算環(huán)境包括智能應(yīng)用的計(jì)算域和智能感知的計(jì)算域兩個(gè)方面。攝像頭、RFID等感知設(shè)備通過(guò)網(wǎng)絡(luò)連接構(gòu)成了通信系統(tǒng)，這些設(shè)備一定要安全，保證不被攻破。同時(shí)，從傳輸?shù)嚼酶鱾€(gè)環(huán)節(jié)，數(shù)據(jù)要確保準(zhǔn)確，才能實(shí)現(xiàn)智能電網(wǎng)、智能物流、智能醫(yī)療、智能交通、智能家居和環(huán)境控制。

智能城市建設(shè)中，一定要加強(qiáng)頂層設(shè)計(jì)，從設(shè)備到數(shù)據(jù)，要嚴(yán)加控制，做到安全可信，其中，傳感計(jì)算節(jié)點(diǎn)可信是基礎(chǔ)。2016年10月21日美國(guó)東海岸網(wǎng)絡(luò)的大面積癱瘓，就是大量的攝像頭做“肉雞”進(jìn)行的DDOS攻擊。這些傳感計(jì)算節(jié)點(diǎn)采用可信架構(gòu)，建立主動(dòng)免疫機(jī)制，就能抵御“Mirai”等的攻擊。基于該思想，用可信計(jì)算構(gòu)筑的人工智能環(huán)境安全架構(gòu)如圖8所示，該架構(gòu)實(shí)現(xiàn)安全管理中心支持下的三重防御，能夠構(gòu)建符合等級(jí)保護(hù)要求的、主動(dòng)免疫的人工智能安全生態(tài)環(huán)境。

四、結(jié)束語(yǔ)

面臨日益嚴(yán)峻的國(guó)際網(wǎng)絡(luò)空間形勢(shì)，我們要立足國(guó)情，創(chuàng)新驅(qū)動(dòng)，堅(jiān)持縱深防御，用可信計(jì)算3.0構(gòu)建網(wǎng)絡(luò)空間安全主動(dòng)免疫保障體系，筑牢網(wǎng)絡(luò)安全防線，為把我國(guó)建設(shè)成為世界網(wǎng)絡(luò)安全強(qiáng)國(guó)而努力奮斗！在智能城市建設(shè)中，應(yīng)該高度重視信息安全，用可信計(jì)算構(gòu)筑起主動(dòng)免疫的人工智能安全生態(tài)圈。