沈昌祥，浙江奉化人，中國工程院院士，1965年畢業(yè)于浙江大學(xué)應(yīng)用數(shù)學(xué)專業(yè)，從事計算機(jī)信息系統(tǒng)、密碼工程、信息安全體系結(jié)構(gòu)、系統(tǒng)軟件安全（安全操作系統(tǒng)、安全數(shù)據(jù)庫等）、網(wǎng)絡(luò)安全等方面的研究工作。先后完成了重大科研項目20多項，曾獲國家科技進(jìn)步一等獎2項、二等獎2項、三等獎3項，軍隊科技進(jìn)步獎10多項，多項達(dá)到世界先進(jìn)水平，使我國信息安全保密建設(shè)取得突破性進(jìn)展。在網(wǎng)絡(luò)安全領(lǐng)域科技創(chuàng)新、咨詢論證和學(xué)科專業(yè)建設(shè)、人才培養(yǎng)等方面做出了杰出貢獻(xiàn)。

1989年被授予“海軍模范科技工作者”榮譽稱號，曾當(dāng)選為七屆全國人大代表，1995年5月當(dāng)選為中國工程院院士，1996年獲軍隊首屆專業(yè)技術(shù)重大貢獻(xiàn)獎，2002年榮獲國家第四屆 “光華工程科技獎”，2016年獲首屆中國網(wǎng)絡(luò)安全杰出人才獎，2019年獲中國計算機(jī)學(xué)會終身成就獎。

目前擔(dān)任國家集成電路產(chǎn)業(yè)發(fā)展咨詢委員會委員，國家三網(wǎng)融合專家組成員，中央網(wǎng)信辦專家咨詢委員會顧問，國家保密戰(zhàn)略專家咨詢委員會主任委員，國家信息安全等級保護(hù)專家委員會主任委員，國家密碼管理委員會辦公室顧問，公安部特聘專家和“金盾工程”首席顧問。曾任首屆教育部信息安全類教學(xué)指導(dǎo)委員會主任，還擔(dān)任北京大學(xué)、清華大學(xué)、國防科技大學(xué)、浙江大學(xué)、上海交通大學(xué)等多所著名高校的博士生導(dǎo)師或特聘教授。

編者按：

黨的二十大提出“加快建設(shè)網(wǎng)絡(luò)強國、數(shù)字中國”，網(wǎng)絡(luò)安全是建設(shè)的底座，也是推動數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的有效途徑。當(dāng)前，中國電子正加快打造國家網(wǎng)信產(chǎn)業(yè)核心力量和組織平臺，在“數(shù)字中國”建設(shè)、數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)要素市場化配置綜合改革領(lǐng)域開展理論研究和地方實踐，并取得了階段性成果。作為國內(nèi)首個數(shù)據(jù)治理領(lǐng)域的學(xué)術(shù)期刊，《網(wǎng)絡(luò)安全與數(shù)據(jù)治理》正在成為相關(guān)領(lǐng)域理論研究和工程實踐的重要學(xué)術(shù)平臺，希望通過本次采訪能夠讓業(yè)界更廣泛的了解國內(nèi)網(wǎng)絡(luò)安全和數(shù)據(jù)治理領(lǐng)域的發(fā)展方向。

記者：在推進(jìn)數(shù)據(jù)要素市場化改革的進(jìn)程中，應(yīng)如何做好新時期的數(shù)據(jù)安全工作？

沈昌祥：生產(chǎn)是客觀存在的，生產(chǎn)形態(tài)也是客觀存在的。自從有了人類文明就有數(shù)據(jù)，數(shù)據(jù)科學(xué)發(fā)展主要經(jīng)歷了數(shù)值計算、數(shù)據(jù)工程、數(shù)字社會三個階段。在數(shù)值計算階段，機(jī)器代替手工過程，特別是電子計算機(jī)出現(xiàn)以后，通過數(shù)十年發(fā)展實現(xiàn)了產(chǎn)業(yè)自動化；在數(shù)據(jù)工程階段，關(guān)系數(shù)據(jù)庫和數(shù)據(jù)倉庫的出現(xiàn)提高了綜合效率，逐步實現(xiàn)產(chǎn)業(yè)數(shù)字化；在數(shù)字社會階段，數(shù)據(jù)成為新的生產(chǎn)要素，通過數(shù)據(jù)采集，提煉數(shù)據(jù)產(chǎn)品，形成新型產(chǎn)業(yè)生態(tài)，因此進(jìn)入了數(shù)字產(chǎn)業(yè)化、智能化階段，促進(jìn)數(shù)字經(jīng)濟(jì)跨越發(fā)展。

當(dāng)數(shù)據(jù)成為了生產(chǎn)要素，對保障數(shù)據(jù)安全的需求與日俱增。國家《數(shù)據(jù)安全法》指出，“數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！睌?shù)據(jù)之于數(shù)字經(jīng)濟(jì)，好比血液之于人體，保障人體健康最終要靠免疫系統(tǒng)?！稊?shù)據(jù)安全法》明確要求，“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上”，履行數(shù)據(jù)安全保護(hù)義務(wù)。所以構(gòu)建數(shù)據(jù)產(chǎn)業(yè)新生態(tài)，要從構(gòu)建網(wǎng)絡(luò)安全保障體系入手，保障產(chǎn)業(yè)鏈安全和信息系統(tǒng)安全，成為發(fā)展數(shù)字經(jīng)濟(jì)的前提。

隨著產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化的加快推進(jìn)，專門針對數(shù)據(jù)而來的勒索病毒爆發(fā)，攻擊者將核心、重要數(shù)據(jù)另外加密后不能用，導(dǎo)致系統(tǒng)癱瘓，如滿足開價要求還可恢復(fù)，這是極其嚴(yán)重的網(wǎng)絡(luò)勒索攻擊，對經(jīng)濟(jì)社會運行產(chǎn)生不可估量的影響和損失。2017年，勒索病毒在全世界一百多個國家相繼爆發(fā)，包括工控系統(tǒng)和物聯(lián)網(wǎng)等也被感染，這些都與產(chǎn)業(yè)數(shù)字化的快速發(fā)展直接相關(guān)。去年，美國成品油管道運營商科洛尼爾公司遭受了勒索軟件的攻擊，被迫關(guān)閉東部各州的供油網(wǎng)絡(luò)系統(tǒng)，對美國能源供應(yīng)產(chǎn)生了極大的影響，美國政府宣布東海岸17個洲及華盛頓區(qū)進(jìn)入緊急狀態(tài)。我國大量已建在建的網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)中心，如果被勒索病毒攻破，后果不堪設(shè)想。同時，也存在數(shù)據(jù)被盜取進(jìn)行非法買賣的可能，危害個人信息安全、商業(yè)機(jī)密乃至國家安全。所以數(shù)據(jù)安全問題已經(jīng)上升到了戰(zhàn)略高度，但解決起來首先是產(chǎn)業(yè)鏈安全和信息系統(tǒng)安全的問題，筑牢數(shù)字經(jīng)濟(jì)的底座。

記者：您剛才提到網(wǎng)絡(luò)攻擊特別是數(shù)據(jù)勒索病毒攻擊日益猖獗，今年我國“東數(shù)西算”工程全面啟動，將建設(shè)國家算力樞紐節(jié)點和國家數(shù)據(jù)中心集群，新基建的安全防護(hù)建設(shè)應(yīng)該重點注意些什么？

沈昌祥：“東數(shù)西算”工程將東部的算力需求有序引導(dǎo)到西部，目的是優(yōu)化國家的數(shù)字經(jīng)濟(jì)戰(zhàn)略布局，通過數(shù)據(jù)要素跨域流動促進(jìn)東西部協(xié)調(diào)發(fā)展。我國正在邁入數(shù)字社會的發(fā)展階段，網(wǎng)絡(luò)安全將直接影響整個社會的發(fā)展與安全，要構(gòu)建集網(wǎng)絡(luò)傳輸安全、信息系統(tǒng)安全、個人設(shè)備隱私保護(hù)、供應(yīng)鏈安全為一體的總體安全保障體系。這里涉及到云計算、大數(shù)據(jù)、邊緣計算、隱私計算等一系列網(wǎng)絡(luò)新技術(shù)應(yīng)用，但其安全防護(hù)的機(jī)理仍然萬變不離其宗，即主動免疫安全可信。

首先，新基建安全防護(hù)要建立在主動免疫和可信計算技術(shù)基礎(chǔ)之上。區(qū)別于殺病毒、防火墻、入侵檢測的傳統(tǒng)被動方法，主動免疫可信計算可在運算同時進(jìn)行安全防護(hù)，以密碼為基因抗體實施身份識別、狀態(tài)度量、保密存儲等功能，為網(wǎng)絡(luò)信息系統(tǒng)培育免疫能力?！毒W(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也均對推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出要求，網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求應(yīng)當(dāng)優(yōu)先采購全面使用安全可信的產(chǎn)品和服務(wù)來構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施安全保障體系，夯實網(wǎng)絡(luò)安全基礎(chǔ)。

第二，新基建安全防護(hù)要構(gòu)建管理中心支持下的可信計算環(huán)境、可信邊界、可信的網(wǎng)絡(luò)通信的“三重”防護(hù)框架，并實現(xiàn)可信動態(tài)訪問控制。人機(jī)交互可信是發(fā)揮算力節(jié)點、數(shù)據(jù)中心等新基建對數(shù)字經(jīng)濟(jì)賦能作用的源頭和前提，必須對人機(jī)交互進(jìn)行動態(tài)可信識別、度量和控制，糾正過去不管計算環(huán)境要素的訪問控制策略模型，改變只基于授權(quán)標(biāo)識屬性進(jìn)行操作，而不作可信驗證、難防篡改的安全缺陷。

第三，新基建安全防護(hù)要構(gòu)建安全可信的管控體系。通過風(fēng)險分析準(zhǔn)確定級、評審備案規(guī)范建設(shè)、嚴(yán)格測評整改完善、監(jiān)督檢查消除隱患、感知預(yù)警應(yīng)急反制等“五環(huán)節(jié)”全程管控，實現(xiàn)攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不成、攻擊行為賴不掉等“六不”防護(hù)效果。

記者：近年來業(yè)界涌現(xiàn)出零信任架構(gòu)等技術(shù)理念，對于這些新技術(shù)新理念您有何看法？

沈昌祥：零信任架構(gòu)的理念并不新鮮，我國在1999年發(fā)布強制性國家標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)安全等級劃分準(zhǔn)則》(GB 17859-1999)中早就提出基于身份認(rèn)證的動態(tài)訪問控制要求。零信任架構(gòu)所倡導(dǎo)的網(wǎng)絡(luò)無邊界，不符合我國的網(wǎng)絡(luò)空間主權(quán)原則和發(fā)展現(xiàn)狀，本身也無科學(xué)原理支撐，難以滿足我國網(wǎng)絡(luò)空間安全總體需求，也不符合我國網(wǎng)絡(luò)安全法律、戰(zhàn)略和制度規(guī)定。我們倡導(dǎo)開放創(chuàng)新，但要科學(xué)分析是否符合我國網(wǎng)絡(luò)空間安全的具體需求，切忌盲目跟風(fēng)。

可信計算技術(shù)被廣泛應(yīng)用于國家重要信息系統(tǒng)，如在增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)、中央電視臺全數(shù)字化可信制播環(huán)境建設(shè)、國家電網(wǎng)電力數(shù)字化調(diào)度系統(tǒng)安全防護(hù)建設(shè)中廣泛應(yīng)用，事實證明符合實際、行之有效。具備可信計算功能的國產(chǎn)CPU、嵌入式可信芯片及可信根等可信計算3.0技術(shù)設(shè)備，正不斷進(jìn)行技術(shù)的迭代演進(jìn)，將以產(chǎn)品鏈的形式形成巨大的產(chǎn)業(yè)空間，促進(jìn)產(chǎn)業(yè)生態(tài)的轉(zhuǎn)變。

記者：請您介紹在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的背景下，大數(shù)據(jù)安全技術(shù)的未來發(fā)展方向？

沈昌祥：隨著海量數(shù)據(jù)集中和信息技術(shù)的進(jìn)一步發(fā)展，數(shù)據(jù)安全成為大數(shù)據(jù)快速發(fā)展的瓶頸。

所謂大數(shù)據(jù)是指無法用現(xiàn)有的軟件工具進(jìn)行處理的海量復(fù)雜的數(shù)據(jù)集合，具有多源異構(gòu)、非結(jié)構(gòu)化、低價值度、快速處理等特點。這四個特點決定大數(shù)據(jù)處理系統(tǒng)普遍是基于云計算平臺來實現(xiàn)數(shù)據(jù)各種環(huán)節(jié)的梳理計算，也可分為業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障兩個維度來定安全等級，并應(yīng)該按《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》（GB/T 25070-2019）進(jìn)行安全框架設(shè)計。應(yīng)參照網(wǎng)絡(luò)安全的安全防護(hù)框架，構(gòu)建數(shù)據(jù)系統(tǒng)主動免疫三重防護(hù)框架，包括基于可信通信網(wǎng)絡(luò)的數(shù)據(jù)采集源、可信檢查邊界、可信計算環(huán)境及可信安全管理中心。數(shù)據(jù)通過在計算節(jié)點規(guī)約清理搜索關(guān)聯(lián)、變換挖掘分析評估，形成數(shù)字產(chǎn)品基本形態(tài)，再在應(yīng)用節(jié)點實現(xiàn)知識表達(dá)、共享交易。

從長遠(yuǎn)角度，要從根本上擺脫受制于人的局面，要求我們突破基礎(chǔ)軟硬件核心技術(shù)，推進(jìn)產(chǎn)業(yè)鏈供應(yīng)鏈安全。同時，要落實等級保護(hù)要求，優(yōu)先采用可信計算產(chǎn)品作為云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)控制的核心技術(shù)裝備，打造整個數(shù)字產(chǎn)業(yè)化新型安全可信生態(tài)空間，為數(shù)字經(jīng)濟(jì)行穩(wěn)致遠(yuǎn)保駕護(hù)航。