◎中國(guó)工程院院士 沈昌祥

中共中央政治局近期密集召開會(huì)議，部署統(tǒng)籌做好疫情防控和經(jīng)濟(jì)社會(huì)發(fā)展，要求以科技產(chǎn)業(yè)為突破口，加快推動(dòng)5G 網(wǎng)絡(luò)、數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度?！靶禄ā弊鳛閲?guó)家經(jīng)濟(jì)發(fā)展戰(zhàn)略，正在顯現(xiàn)出強(qiáng)大動(dòng)能，為經(jīng)濟(jì)社會(huì)發(fā)展的各方面提供了巨大的驅(qū)動(dòng)力，但給網(wǎng)絡(luò)安全也帶來了嚴(yán)峻挑戰(zhàn)，如勒索病毒幾年來橫掃所有網(wǎng)絡(luò)系統(tǒng)，造成了巨大損失。因此，“新基建”既是機(jī)遇，又是挑戰(zhàn)。習(xí)近平總書記指示我們：要樹立正確的網(wǎng)絡(luò)安全觀。我們作為科技工作者，應(yīng)該樹立科學(xué)的網(wǎng)絡(luò)安全觀。

一、科學(xué)的網(wǎng)絡(luò)安全觀

當(dāng)前，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間，也是國(guó)際戰(zhàn)略在軍事領(lǐng)域的演進(jìn)，我國(guó)的網(wǎng)絡(luò)安全正在面臨著嚴(yán)峻挑戰(zhàn)。習(xí)近平總書記指出，“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”，安全的前景就是安全保障。因此，我們必須按照國(guó)家網(wǎng)絡(luò)安全法律、戰(zhàn)略和等級(jí)保護(hù)制度要求，搞好我們的網(wǎng)絡(luò)安全保障體系。

“新基建”的安全保障非常重要，如果說沒有安全保障，“新基建”恐怕不能建成，而且也起不了作用。怎么辦？我們提出要用主動(dòng)免疫的可信計(jì)算。新型基礎(chǔ)設(shè)施是以數(shù)據(jù)和網(wǎng)絡(luò)為核心，其發(fā)展前提是用主動(dòng)免疫的可信計(jì)算筑牢安全防線。國(guó)家《網(wǎng)絡(luò)安全法》第十六條指出：“國(guó)務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護(hù)網(wǎng)絡(luò)技術(shù)知識(shí)產(chǎn)權(quán)，支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國(guó)家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目?！薄秶?guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”的戰(zhàn)略任務(wù)，強(qiáng)調(diào)“盡快在核心技術(shù)上取得突破，加快安全可信的產(chǎn)品推廣應(yīng)用”。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0 標(biāo)準(zhǔn)要求全面使用安全可信的產(chǎn)品和服務(wù)來保障關(guān)鍵基礎(chǔ)設(shè)施安全。

中國(guó)工程院院士沈昌祥在第二十期錢學(xué)森論壇深度會(huì)議上作主題報(bào)告

《網(wǎng)絡(luò)安全法》《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0 標(biāo)準(zhǔn)都非常明確地規(guī)定了要把安全可信貫徹到所有的設(shè)備、系統(tǒng)、基礎(chǔ)設(shè)施建設(shè)中去。為什么要這么做？大家都具有很強(qiáng)的安全意識(shí)，在安全問題上可能也有很多不同的看法?，F(xiàn)在新冠肺炎在全球肆虐，面對(duì)新冠病毒，人的免疫力顯得非常重要。實(shí)質(zhì)上，網(wǎng)絡(luò)安全也是一樣的，也存在著各種各樣的重大威脅。網(wǎng)絡(luò)安全是主權(quán)空間利益所在，黑客集團(tuán)為了謀取利益，用某種病毒敲詐勒索；反動(dòng)敵對(duì)勢(shì)力集團(tuán)攻擊網(wǎng)絡(luò)，以基礎(chǔ)設(shè)施為目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，擾亂社會(huì)，破壞我們的穩(wěn)定，更嚴(yán)重的是美國(guó)等霸權(quán)國(guó)家通過網(wǎng)絡(luò)戰(zhàn)來侵犯國(guó)家的主權(quán)。

在這些危機(jī)情況下，我們的網(wǎng)絡(luò)空間有沒有免疫能力呢？能挺得住嗎？由于圖靈計(jì)算原理缺少攻防理念、馮諾依曼架構(gòu)缺少防護(hù)部件、重大工程應(yīng)用無安全服務(wù)，導(dǎo)致我們的網(wǎng)絡(luò)空間極其脆弱。因此，我們要重新思考怎么辦，要確保正確認(rèn)識(shí)網(wǎng)絡(luò)安全問題。

由于人在設(shè)計(jì)IT 系統(tǒng)時(shí)不可能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進(jìn)行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的命題。因此，我們提出了主動(dòng)免疫可信計(jì)算，通過為IT 系統(tǒng)提供免疫能力來獲得安全，確保為完成計(jì)算任務(wù)的邏輯組合不被篡改和破壞，實(shí)現(xiàn)正確計(jì)算。相當(dāng)于人體具有主動(dòng)免疫功能使得其能健康生活。對(duì)于網(wǎng)絡(luò)病毒而言，通過找漏洞、殺病毒、打補(bǔ)丁是解決不了的。殺病毒、防火墻、入侵檢測(cè)的傳統(tǒng)“老三樣”難以應(yīng)對(duì)人為攻擊，且容易被攻擊者利用，找漏洞、打補(bǔ)丁的傳統(tǒng)思路也不利于整體安全。因此，我們要有完整的主動(dòng)免疫可信計(jì)算體系。

二、主動(dòng)免疫可信計(jì)算體系

主動(dòng)免疫可信計(jì)算是一種運(yùn)算同時(shí)進(jìn)行安全防護(hù)的新計(jì)算模式，以密碼為基因抗體實(shí)施身份識(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能，及時(shí)識(shí)別“自己”和“非己”成分，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。

因此，必須對(duì)計(jì)算機(jī)體系結(jié)構(gòu)進(jìn)行調(diào)整，構(gòu)建計(jì)算+防護(hù)的雙重體系結(jié)構(gòu)，形成有免疫能力的計(jì)算機(jī)體系結(jié)構(gòu)。“個(gè)體”有免疫能力了，那“社會(huì)”怎么辦呢？

二重體系（計(jì)算+防護(hù)）結(jié)構(gòu)的可信計(jì)算節(jié)點(diǎn)

可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架

我們提出了在可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架。第一，要保證計(jì)算環(huán)境（個(gè)體）有免疫能力；第二，要有可信邊界；第三，來往的信息（人）要審查、要控制、要可信安全，更重要的是整個(gè)社會(huì)體系要管理，這就是安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架，其實(shí)跟我們現(xiàn)在的防疫是一樣的。

由此，我們要注意的一個(gè)關(guān)鍵問題是人機(jī)交互。人機(jī)交互可信是發(fā)揮5G、數(shù)據(jù)中心等“新基建”動(dòng)能作用的源頭和前提，因此我們必須把人機(jī)交互控制好，這里面有戰(zhàn)略，有策略，而且有模型。我們歸結(jié)為四個(gè)要素：主體、客體、操作、環(huán)境，這里面主體是人，客體是訪問的對(duì)象。四個(gè)要素的安全可信要嚴(yán)格地進(jìn)行可信度量、識(shí)別、驗(yàn)證和控制。只有加強(qiáng)對(duì)安全可信和密碼的管理服務(wù)，才能確保基礎(chǔ)設(shè)施五個(gè)環(huán)節(jié)可信：一是體系結(jié)構(gòu)架構(gòu)不能被破壞；二是資源配置不能被篡改；三是操作行為不能被假冒；四是數(shù)據(jù)存儲(chǔ)不能被竊??；五是策略不能變樣。即體系結(jié)構(gòu)可信、資源配置可信、操作行為可信、數(shù)據(jù)存儲(chǔ)可信、策略管理可信五個(gè)可信。最終要達(dá)到安全防護(hù)“六不效果”，即攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不成、攻擊行為賴不掉。這樣的話，我們的系統(tǒng)對(duì)所有病毒都是免疫的，對(duì)病毒庫(kù)里面的所有的病毒都要進(jìn)行驗(yàn)證，對(duì)很多不認(rèn)識(shí)的病毒，我們的系統(tǒng)也要進(jìn)行主動(dòng)的驗(yàn)證。

三、中國(guó)可信計(jì)算創(chuàng)新及規(guī)模化應(yīng)用

中國(guó)可信計(jì)算源于1992 年立項(xiàng)研制免疫的綜合安全防護(hù)系統(tǒng)（智能安全卡），于1995 年2 月底通過測(cè)評(píng)和鑒定。經(jīng)過20 多年的反復(fù)試驗(yàn)和軍民融合攻關(guān)應(yīng)用，形成了自主創(chuàng)新安全可信體系，開啟了可信計(jì)算3.0 時(shí)代。

1995 年2 月的安全功能測(cè)評(píng)，提出我們免疫的綜合安全防護(hù)系統(tǒng)（智能安全卡）有四個(gè)提升：一是公鑰密碼身份識(shí)別、對(duì)稱密碼加密存儲(chǔ)；二是智能控制與安全執(zhí)行雙重體系結(jié)構(gòu)；三是環(huán)境免疫抗病毒原理；四是數(shù)字定義可信策略對(duì)用戶透明。因此，國(guó)家也很重視，在《國(guó)家中長(zhǎng)期科學(xué)技術(shù)發(fā)展（2006-2020 年）》明確提出要“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)，開發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品，建立網(wǎng)絡(luò)安全技術(shù)保障體系”。經(jīng)過20 多年的發(fā)展，可信計(jì)算廣泛應(yīng)用于國(guó)家重要信息系統(tǒng)，如：增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)、中央電視臺(tái)全數(shù)字化可信制播環(huán)境建設(shè)、國(guó)家電網(wǎng)電力數(shù)字化調(diào)度系統(tǒng)安全防護(hù)建設(shè)，已成為國(guó)家法律、戰(zhàn)略、等級(jí)保護(hù)制度要求進(jìn)行推廣應(yīng)用，其密碼體制和體系結(jié)構(gòu)等5 大核心技術(shù)已被世界著名企業(yè)和機(jī)構(gòu)所采用。俄羅斯卡巴斯基最近宣布不搞殺病毒軟件而要建免疫網(wǎng)絡(luò)，美國(guó)防部熱推“零信任架構(gòu)”等都是異曲同工之舉。

此外，可信計(jì)算還具有完備的產(chǎn)業(yè)鏈，且有巨大的產(chǎn)業(yè)空間。自主可信計(jì)算平臺(tái)產(chǎn)品設(shè)備既有系統(tǒng)重構(gòu)可信主機(jī)，還有主板配插PCI 可信控制卡，以及配接USB 可信控制模塊等多種產(chǎn)品設(shè)備，這些產(chǎn)品設(shè)備可以方便地通過可信網(wǎng)絡(luò)支撐平臺(tái)把現(xiàn)有設(shè)備升級(jí)為可信計(jì)算機(jī)系統(tǒng)，而應(yīng)用系統(tǒng)不用改動(dòng)，便于新老設(shè)備融為一體，構(gòu)成全系統(tǒng)安全可信。

四、用可信計(jì)算3.0 夯實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)

國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)安全架構(gòu)

等級(jí)保護(hù)制度把安全可信、主動(dòng)免疫可信計(jì)算納入其核心要求，要求一級(jí)、二級(jí)，三級(jí)、四級(jí)都要可信。例如，等保2.0 新標(biāo)準(zhǔn)一級(jí)要求：所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng)的可信驗(yàn)證。二級(jí)要求：所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng)，再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證，并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄。三級(jí)要求：所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng)，再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證，在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)對(duì)其執(zhí)行環(huán)境進(jìn)行可信驗(yàn)證，主動(dòng)抵御入侵行為，并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄，送到管理中心。四級(jí)要求：所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信計(jì)算技術(shù)實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng)，再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證，在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)對(duì)其執(zhí)行環(huán)境進(jìn)行可信驗(yàn)證，主動(dòng)抵御入侵行為，并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄，送到管理中心，進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知，形成實(shí)時(shí)的態(tài)勢(shì)。以上各個(gè)等級(jí)對(duì)可信的要求程度不一樣，我們都要貫徹執(zhí)行。

我舉一個(gè)跟每個(gè)人都有關(guān)系的例子，即國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)安全防護(hù)建設(shè)的例子。我們國(guó)家對(duì)電網(wǎng)的安全問題，尤其是對(duì)電網(wǎng)的數(shù)字化、網(wǎng)絡(luò)化、智能化非常重視。國(guó)家發(fā)改委14 號(hào)令決定以可信計(jì)算架構(gòu)實(shí)現(xiàn)等級(jí)保護(hù)四級(jí)要求。經(jīng)過十幾年的努力，現(xiàn)在電力可信計(jì)算密碼平臺(tái)已在三十四個(gè)省級(jí)以上調(diào)度控制中心使用，覆蓋上千套地級(jí)以上電網(wǎng)調(diào)度控制系統(tǒng)，涉及十幾萬個(gè)節(jié)點(diǎn)，約四萬座變電站和一萬座發(fā)電廠，有效抵御各種網(wǎng)絡(luò)惡意攻擊，確保電力調(diào)度系統(tǒng)安全運(yùn)行。委內(nèi)瑞拉大面積電網(wǎng)癱瘓的原因就是電網(wǎng)的信息化系統(tǒng)被攻擊。美國(guó)更厲害，將病毒植入到了俄羅斯的電網(wǎng)。我國(guó)這么大面積的電網(wǎng)，很多年來沒有引起大面積的癱瘓，就是因?yàn)榭尚庞?jì)算起了效益，而且還推動(dòng)了國(guó)家等級(jí)保護(hù)制度的發(fā)展。

我們的特點(diǎn)很明顯，原有的系統(tǒng)沒有影響，我們的軟件也不用改，成本也不高。防火墻、殺病毒等系統(tǒng)很費(fèi)錢，而我們可以不花這個(gè)錢，用主動(dòng)免疫系統(tǒng)就可以。

我們要抓住機(jī)遇，在新興城市發(fā)展“新基建”的時(shí)候，一定要達(dá)到主動(dòng)免疫可信計(jì)算，不僅要解決我們的網(wǎng)絡(luò)安全問題，也要推動(dòng)經(jīng)濟(jì)社會(huì)的健康發(fā)展，形成新型的產(chǎn)業(yè)鏈。