◎網(wǎng)信軍民融合編輯部/劉驕劍

積極倡導(dǎo)樹(shù)立科學(xué)的網(wǎng)絡(luò)安全觀

習(xí)近平總書記指出，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化。中國(guó)正闊步走進(jìn)世界舞臺(tái)中央，網(wǎng)絡(luò)安全的重要性與迫切性也愈加凸顯出來(lái)。“當(dāng)前，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間，網(wǎng)絡(luò)安全是國(guó)際戰(zhàn)略在軍事領(lǐng)域的演進(jìn)，我國(guó)的網(wǎng)絡(luò)安全正在面臨著嚴(yán)峻挑戰(zhàn)。2016年美國(guó)東海岸發(fā)生的分布式拒絕服務(wù)（DDOS）攻擊、2017年勒索病毒（WannaCry）席卷全球等事件無(wú)不說(shuō)明，安全是發(fā)展的前提，發(fā)展是安全的保障。沒(méi)有網(wǎng)絡(luò)安全，信息社會(huì)將成為黑暗中的廢墟”。沈昌祥院士對(duì)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)作出了這樣的判斷。

面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，沈昌祥院士指出，建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)，首先需要樹(shù)立科學(xué)的網(wǎng)絡(luò)安全觀。他認(rèn)為，在當(dāng)前日益激烈的國(guó)際網(wǎng)絡(luò)空間安全博弈中，敵強(qiáng)我弱的態(tài)勢(shì)沒(méi)有根本改變，核心技術(shù)受制于人的局面沒(méi)有根本改變?，F(xiàn)在網(wǎng)絡(luò)空間是極其脆弱的，計(jì)算科學(xué)少攻防理念，體系結(jié)構(gòu)缺防護(hù)部件，計(jì)算模式無(wú)安全服務(wù)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)質(zhì)是人們對(duì)IT認(rèn)知邏輯的局限性，由于不能窮盡所有邏輯組合，只能局限于完成計(jì)算任務(wù)去設(shè)計(jì)IT系統(tǒng)，必定存在邏輯不全的缺陷，從而形成了難以應(yīng)對(duì)人為利用缺陷進(jìn)行攻擊的網(wǎng)絡(luò)安全命題，也是永遠(yuǎn)的主題。在這樣的形勢(shì)下，殺病毒、防火墻、入侵檢測(cè)的傳統(tǒng)“老三樣”難以應(yīng)對(duì)人為攻擊，且容易被攻擊者利用；這類傳統(tǒng)的“封堵查殺”手段已經(jīng)過(guò)時(shí)，找漏洞、打補(bǔ)丁的傳統(tǒng)思路不利于整體安全。因此，為了防御對(duì)方攻擊，必須從邏輯正確驗(yàn)證理論、計(jì)算體系結(jié)構(gòu)和計(jì)算工程應(yīng)用模式等方面進(jìn)行科學(xué)技術(shù)創(chuàng)新，以解決邏輯缺陷不被攻擊者利用的問(wèn)題，形成攻防矛盾的統(tǒng)一體，為信息系統(tǒng)建立主動(dòng)免疫能力，確保為完成計(jì)算任務(wù)的邏輯組合不被篡改和破壞，實(shí)現(xiàn)正確計(jì)算。他提出要發(fā)展主動(dòng)免疫的可信計(jì)算架構(gòu)，主動(dòng)免疫的計(jì)算模式可以改變傳統(tǒng)的只講求計(jì)算效率，而不講安全防護(hù)的片面計(jì)算模式。

用可信計(jì)算筑牢網(wǎng)絡(luò)安全防線

可信計(jì)算是指計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測(cè)可控，不被干擾，使計(jì)算結(jié)果總是與預(yù)期一樣。只有這樣才能改變只講求計(jì)算效率，而不講安全防護(hù)的片面計(jì)算模式?？尚庞?jì)算是一種運(yùn)算和防護(hù)并存的主動(dòng)免疫的新計(jì)算模式，以密碼為基因，實(shí)施身份識(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能。及時(shí)識(shí)別“自己”和“非己”成份，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為計(jì)算機(jī)信息系統(tǒng)培育了免疫能力。

沈昌祥院士指出，網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等新型計(jì)算環(huán)境必須進(jìn)行可信度量、識(shí)別和控制，以確保數(shù)據(jù)存儲(chǔ)可信、操作行為可信、體系結(jié)構(gòu)可信、資源配置可信和策略管理可信。結(jié)合主動(dòng)免疫的主動(dòng)防御思想和等級(jí)保護(hù)的防御體系，構(gòu)建可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架，實(shí)現(xiàn)系統(tǒng)管理、安全管理和審計(jì)管理，形成積極防御體系。通過(guò)實(shí)施三重防護(hù)主動(dòng)防御框架，能夠?qū)崿F(xiàn)攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不了和攻擊行為賴不掉的安全防護(hù)效果。

針對(duì)發(fā)展主動(dòng)免疫的可信計(jì)算架構(gòu)，為網(wǎng)絡(luò)信息系統(tǒng)培育免疫能力，沈昌祥院士認(rèn)為應(yīng)該從以下方面著手。一是堅(jiān)持自主可控、安全可信。《國(guó)家中長(zhǎng)期科學(xué)技術(shù)發(fā)展（2006-2020年）》明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)，開(kāi)發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品，建立網(wǎng)絡(luò)安全技術(shù)保障體系”?！笆濉币?guī)劃有關(guān)工程項(xiàng)目都把可信計(jì)算列為發(fā)展重點(diǎn)，軍方演示驗(yàn)證成果用于黨政部門。中國(guó)可信計(jì)算已經(jīng)成為保衛(wèi)國(guó)家網(wǎng)絡(luò)空間主權(quán)的戰(zhàn)略核心技術(shù)，已在國(guó)家核心系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施得到規(guī)?；晒?yīng)用，并列為國(guó)家戰(zhàn)略和法律要求。美國(guó)第三次“抵消戰(zhàn)略”（對(duì)抗“下一代敵人”的“下一代技術(shù)”），把“高可信網(wǎng)絡(luò)軍事系統(tǒng)”等列為重點(diǎn)，圍繞安全可信展開(kāi)新的較量。二是搶占網(wǎng)絡(luò)空間安全核心技術(shù)戰(zhàn)略制高點(diǎn)。2014年4月8日，微軟公司正式停止對(duì)Windows XP的服務(wù)支持，強(qiáng)推可信的Windows 8，嚴(yán)重挑戰(zhàn)我國(guó)的網(wǎng)絡(luò)安全。如果國(guó)內(nèi)運(yùn)行的2億臺(tái)終端升級(jí)為Windows 8，不僅耗費(fèi)巨資，還失去安全控制權(quán)和二次開(kāi)發(fā)權(quán)。2014年10月，微軟又推出了Windows 10，宣布停止非可信的Windows 7。Windows 10不僅是終端可信，而且移動(dòng)終端、服務(wù)器、云計(jì)算、大數(shù)據(jù)等全面執(zhí)行可信版本，強(qiáng)制與硬件TPM芯片配置，并在網(wǎng)上一體化支持管理?？芍^“可信全面控制、一網(wǎng)打盡”，直接威脅網(wǎng)絡(luò)空間國(guó)家主權(quán)。我國(guó)按照網(wǎng)絡(luò)安全審查制度，成立安全審查組，按照WTO規(guī)則：尊重銷售國(guó)的有關(guān)法律法規(guī)和有關(guān)標(biāo)準(zhǔn)，開(kāi)展對(duì)Windows 10的安全審查。必須遵守我國(guó)電子簽名法和商用密碼管理?xiàng)l例并進(jìn)行本土化改造，其中數(shù)字證書、可信計(jì)算、密碼設(shè)備必須是國(guó)產(chǎn)自主的。另外，可信計(jì)算還必須堅(jiān)持“五可”、“一有”技術(shù)路線。“五可”是指“可知、可編、可重構(gòu)、可信、可用”，“一有”是指“有自主知識(shí)產(chǎn)權(quán)”。“可知”，就是在外企向中國(guó)企業(yè)開(kāi)放技術(shù)的過(guò)程中，一定要完全掌握開(kāi)源系統(tǒng)的細(xì)節(jié)，不能因未知的代碼而困惑?！翱删帯保褪且趯?duì)開(kāi)源代碼的理解，能完全自主編寫代碼?！翱芍貥?gòu)”，就是面向具體的應(yīng)用場(chǎng)景和安全需求，對(duì)核心技術(shù)要素進(jìn)行重構(gòu)，形成定制化的新的體系結(jié)構(gòu)。“可信”，就是通過(guò)可信計(jì)算技術(shù)增強(qiáng)自主操作系統(tǒng)免疫性，防范漏洞影響系統(tǒng)安全性，使國(guó)產(chǎn)化真正落地?！翱捎谩保褪亲龊脩?yīng)用程序與操作系統(tǒng)的適配工作，確保自主操作系統(tǒng)能夠替代國(guó)外產(chǎn)品，能夠滿足使用的需要。“有自主知識(shí)產(chǎn)權(quán)”，就是要對(duì)最終的系統(tǒng)擁有自主知識(shí)產(chǎn)權(quán)，并處理好所使用的開(kāi)源技術(shù)的知識(shí)產(chǎn)權(quán)問(wèn)題。堅(jiān)持核心技術(shù)創(chuàng)新專利化，專利標(biāo)準(zhǔn)化，標(biāo)準(zhǔn)推進(jìn)市場(chǎng)化。

等保2.0時(shí)代為關(guān)鍵信息基礎(chǔ)設(shè)施安全保駕護(hù)航

我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度性工作，是網(wǎng)絡(luò)空間安全保障體系的重要支撐，是應(yīng)對(duì)強(qiáng)敵APT的有效措施。為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，最近國(guó)家已經(jīng)正式頒布等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)，標(biāo)志著信息安全等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。安全保護(hù)范圍的升級(jí)，相應(yīng)的帶來(lái)了安全體系框架和思路理念上的升級(jí)，等保1.0所考慮的是經(jīng)典的被動(dòng)防御，而2.0時(shí)代的安全觀念從被動(dòng)轉(zhuǎn)變到主動(dòng)防御。

作為國(guó)家信息安全等級(jí)保護(hù)專家委員會(huì)主任委員，沈昌祥院士將等保2.0的時(shí)代特征總結(jié)為：在法律支撐層面，我國(guó)的計(jì)算機(jī)系統(tǒng)等級(jí)保護(hù)條例提升為國(guó)家基礎(chǔ)性法律制度，即“網(wǎng)絡(luò)安全法”中的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。在科學(xué)技術(shù)層面，由分層被動(dòng)防護(hù)發(fā)展到了科學(xué)安全框架下的主動(dòng)免疫防護(hù)。在工程應(yīng)用層面，由傳統(tǒng)的計(jì)算機(jī)信息系統(tǒng)防護(hù)轉(zhuǎn)向了新型計(jì)算環(huán)境下的網(wǎng)絡(luò)空間主動(dòng)防御體系建設(shè)。

沈昌祥院士在2018國(guó)家網(wǎng)絡(luò)安全宣傳周作主題報(bào)告

新時(shí)代的等級(jí)保護(hù)重點(diǎn)對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進(jìn)行全面安全防護(hù)，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。那么該如何應(yīng)對(duì)這些技術(shù)給關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)帶來(lái)的挑戰(zhàn)？他指出，云計(jì)算、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)等新技術(shù)，都是通過(guò)網(wǎng)絡(luò)以服務(wù)的方式提供給用戶的計(jì)算模式，組成了新的計(jì)算環(huán)境和信息系統(tǒng)，都必須用等級(jí)保護(hù)制度進(jìn)行安全防護(hù)體系建設(shè)。新應(yīng)用系統(tǒng)與傳統(tǒng)的信息系統(tǒng)相比，更依賴于移動(dòng)互聯(lián)網(wǎng)，而且是關(guān)鍵信息基礎(chǔ)設(shè)施和主要場(chǎng)景。防護(hù)深入到嵌入式設(shè)備部件、多源異構(gòu)、資源共享、虛擬化，必須研究總體框架指導(dǎo)下的具體架構(gòu)、流程、功能、機(jī)制等。要構(gòu)建主動(dòng)免疫、安全可信的主動(dòng)防御體系，對(duì)原等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)及時(shí)進(jìn)行修改和增補(bǔ)。尤其是對(duì)基本要求和測(cè)評(píng)要求作框架性修改，對(duì)新型計(jì)算環(huán)境下系統(tǒng)制定相應(yīng)標(biāo)準(zhǔn)規(guī)范。企業(yè)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)則有以下措施：一是要加強(qiáng)數(shù)據(jù)采集、數(shù)據(jù)匯聚、計(jì)算環(huán)境的整體防護(hù)，建設(shè)多重防護(hù)、多級(jí)互聯(lián)體系結(jié)構(gòu)，確保數(shù)據(jù)處理環(huán)境安全可信。二是要加強(qiáng)處理流程控制，防止內(nèi)部攻擊，提高計(jì)算節(jié)點(diǎn)主動(dòng)免疫能力。三是要加強(qiáng)高價(jià)值數(shù)據(jù)安全機(jī)制，制定安全可信訪問(wèn)控制策略，梳理數(shù)據(jù)處理控制流程，建立安全可信的數(shù)據(jù)處理新模式。四是要加強(qiáng)技術(shù)平臺(tái)支持下的安全管理，基于安全策略，與業(yè)務(wù)處理、監(jiān)控及日常管理制度有機(jī)結(jié)合。

網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才的競(jìng)爭(zhēng)

習(xí)近平總書記多次強(qiáng)調(diào)網(wǎng)絡(luò)安全人才的重要性，要求“加強(qiáng)網(wǎng)絡(luò)空間安全人才建設(shè)，打造素質(zhì)過(guò)硬、戰(zhàn)斗力強(qiáng)的人才隊(duì)伍”。

沈昌祥院士認(rèn)為，人才是第一資源。他為網(wǎng)絡(luò)安全成為一級(jí)學(xué)科呼吁了多年。保衛(wèi)網(wǎng)絡(luò)空間國(guó)家主權(quán)已成為國(guó)家重要戰(zhàn)略，打贏網(wǎng)絡(luò)空間斗爭(zhēng)之仗關(guān)鍵是人才。

對(duì)于網(wǎng)絡(luò)空間安全學(xué)科要培養(yǎng)什么樣的人才，沈昌祥院士指出，應(yīng)該使學(xué)生掌握密碼和網(wǎng)絡(luò)空間安全基礎(chǔ)理論和技術(shù)方法，掌握信息系統(tǒng)安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、信息內(nèi)容安全和信息對(duì)抗等相關(guān)專門知識(shí)，并具有較高網(wǎng)絡(luò)空間安全綜合專業(yè)素質(zhì)、較強(qiáng)的實(shí)踐能力和創(chuàng)新能力，能夠承擔(dān)科研院所、企事業(yè)單位和行政管理部門網(wǎng)絡(luò)空間安全方面的科學(xué)研究、技術(shù)開(kāi)發(fā)及管理工作。

在學(xué)科建設(shè)方面，沈昌祥院士強(qiáng)調(diào)要?jiǎng)?chuàng)新發(fā)展，統(tǒng)籌規(guī)劃全國(guó)網(wǎng)絡(luò)空間安全學(xué)科專業(yè)的建設(shè)，他提出六點(diǎn)建議：一要加強(qiáng)組織，統(tǒng)籌規(guī)劃全國(guó)網(wǎng)絡(luò)空間安全學(xué)科專業(yè)建設(shè)；二要采取有力措施，加快學(xué)科專業(yè)和院系建設(shè)；三要?jiǎng)?chuàng)新驅(qū)動(dòng)，改革人才培養(yǎng)模式和機(jī)制；四要加快教師隊(duì)伍建設(shè)，提高教學(xué)質(zhì)量；五要加強(qiáng)教材和課程建設(shè)，提高科技知識(shí)水平；六要建設(shè)開(kāi)放實(shí)訓(xùn)平臺(tái)，推動(dòng)高校與企事業(yè)單位合作育人。