中國正在闊步走近世界舞臺中央,網(wǎng)絡(luò)安全的重要性與迫切性也愈加凸顯出來。“當(dāng)前,網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間。網(wǎng)絡(luò)安全是國際戰(zhàn)略在軍事領(lǐng)域的演進(jìn),我國的網(wǎng)絡(luò)安全正在面臨著嚴(yán)峻挑戰(zhàn)。”近日,中國工程院院士沈昌祥在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時如此表示。他說,解決信息安全核心技術(shù)設(shè)備受制于人的問題,需要創(chuàng)新發(fā)展主動免疫的可信防護(hù)體系。
沈昌祥院士強(qiáng)調(diào),發(fā)展可信計(jì)算技術(shù)與實(shí)施網(wǎng)絡(luò)安全等級保護(hù)制度是構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施、確保整個網(wǎng)絡(luò)空間安全的基本保障。推廣發(fā)展中國主動免疫的可信計(jì)算技術(shù)可以筑牢我國的網(wǎng)絡(luò)安全防線。
科學(xué)的網(wǎng)絡(luò)安全觀
“從科學(xué)的視角認(rèn)識網(wǎng)絡(luò)安全,應(yīng)包括三個方面的內(nèi)容,即利用邏輯缺陷攻擊的網(wǎng)絡(luò)安全是永遠(yuǎn)的主題、可信免疫的計(jì)算模式與結(jié)構(gòu)和安全可信系統(tǒng)架構(gòu)。”沈昌祥院士說。
網(wǎng)絡(luò)空間安全具有豐厚的基礎(chǔ)理論,它不僅是計(jì)算科學(xué)少攻防理念的問題,也是體系結(jié)構(gòu)缺防護(hù)部件的問題,還是計(jì)算模式無安全服務(wù)的問題。同時,網(wǎng)絡(luò)空間內(nèi)含是資源財(cái)富,是基礎(chǔ)設(shè)施,是國家主權(quán)。因此,為了利益,不法分子、敵對勢力集團(tuán)和霸權(quán)國家對他方網(wǎng)絡(luò)攻擊也是永遠(yuǎn)的主題。
然而,由于人們對IT認(rèn)知邏輯的局限性,不能窮盡所有組合,只能局限于完成計(jì)算任務(wù)去設(shè)計(jì)IT系統(tǒng),必定存在邏輯不全的缺陷,從而難以應(yīng)對人為利用缺陷進(jìn)行攻擊。因此,為了安全必須從邏輯正確驗(yàn)證、計(jì)算體系結(jié)構(gòu)和計(jì)算模式等方面進(jìn)行科學(xué)技術(shù)創(chuàng)新,以解決邏輯缺陷不被攻擊者所利用的問題,形成攻防矛盾的統(tǒng)一體。確保為完成計(jì)算任務(wù)的邏輯組合不被篡改和破壞,實(shí)現(xiàn)正確計(jì)算,這就是主動免疫防御,防火墻、入侵監(jiān)測和病毒查殺等“老三樣”封堵查殺被動防御已經(jīng)過時。
主動免疫可信計(jì)算,是指計(jì)算運(yùn)算的同時進(jìn)行安全防護(hù),計(jì)算全程可測可控,不被干擾,只有這樣方能使計(jì)算結(jié)果總是與預(yù)期一樣。也改變了只講求計(jì)算效率,而不講安全防護(hù)的片面計(jì)算模式。在可信支持的雙體系結(jié)構(gòu)中,采用了一種運(yùn)算和防護(hù)并存的主動免疫的新計(jì)算模式,以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì),相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施、
云計(jì)算、大數(shù)據(jù)、工業(yè)控制、
物聯(lián)網(wǎng)等新型計(jì)算環(huán)境,必須進(jìn)行可信度量、識別和控制,以確保數(shù)據(jù)存儲可信、操作行為可信、體系結(jié)構(gòu)可信、資源配置可信和策略管理可信。結(jié)合主動免疫的主動防御思想和等級保護(hù)的防御體系,構(gòu)建可信安全管理中心支持下的主動免疫三重防護(hù)框架。該框架圍繞安全管理中心實(shí)現(xiàn)系統(tǒng)管理、安全管理和審計(jì)管理,形成積極防御體系。
通過實(shí)施三重防護(hù)主動防御框架,能夠?qū)崿F(xiàn)攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不了和攻擊行為賴不掉的安全防護(hù)效果。首先,在可信計(jì)算的主動免疫防護(hù)下,攻擊者很難入侵,即便攻進(jìn)去了,由于強(qiáng)制訪問控制,非授權(quán)者也拿不到重要信息;即使竊取了重要數(shù)據(jù),因?yàn)橛屑用鼙Wo(hù),竊取者也看不懂。其次,攻擊者很難篡改系統(tǒng)和信息,系統(tǒng)工作不會癱瘓。最后,利用可信計(jì)算的審計(jì)功能,能發(fā)現(xiàn)并保護(hù)證據(jù),使攻擊者無處可逃。
中國可信計(jì)算革命性創(chuàng)新
據(jù)沈昌祥院士介紹,我國為確保核心機(jī)密安全,于1992年正式立項(xiàng)研究主動免疫的綜合防護(hù)系統(tǒng),經(jīng)過長期攻關(guān),軍民融合,形成了自主創(chuàng)新的可信體系(不少已被國際可信計(jì)算組織(TCG)采納),已經(jīng)成為夯實(shí)我國網(wǎng)絡(luò)安全防線的基礎(chǔ)。
中國可信計(jì)算取得了革命性創(chuàng)新發(fā)展,主要包括:
其一,創(chuàng)新可信計(jì)算標(biāo)準(zhǔn)體系。2010年以前,我國完成了核心的9部國家標(biāo)準(zhǔn)和5部國軍標(biāo)的研究起草工作。截至目前,已發(fā)布國家標(biāo)準(zhǔn)3部、國軍標(biāo)3部,即將發(fā)布國家標(biāo)準(zhǔn)2部,已發(fā)布團(tuán)體標(biāo)準(zhǔn)(中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟標(biāo)準(zhǔn))4部。同時,授權(quán)專利百余項(xiàng)。
其二,創(chuàng)新可信密碼體系。以密碼為基因,構(gòu)建創(chuàng)新可信密碼體系,科學(xué)地解決了可信密碼的問題,糾正了TCG密碼體制的缺失,已成為ISO國際標(biāo)準(zhǔn)?尚琶艽a體系創(chuàng)新包括密碼算法創(chuàng)新、密碼機(jī)制創(chuàng)新和證書結(jié)構(gòu)創(chuàng)新三個方面。其中,密碼算法的創(chuàng)新在于全部采用國家自主設(shè)計(jì)的算法,定義了可信計(jì)算密碼模塊(TCM);密碼機(jī)制的創(chuàng)新在于采用對稱密碼與公鑰密碼相結(jié)合,提高了安全性和效率;證書結(jié)構(gòu)的創(chuàng)新在于采用雙證書結(jié)構(gòu),簡化證書管理,提高了可用性和可管性。
其三,創(chuàng)新主動免疫體系結(jié)構(gòu)?尚庞(jì)算以密碼技術(shù)為基礎(chǔ),通過自主密碼方案、控制芯片的主動控制、主板層面的運(yùn)算防護(hù)雙能、核心軟件的雙系統(tǒng)體系結(jié)構(gòu)及三元三層可信連接等多方面創(chuàng)新,組成了創(chuàng)新的主動免疫體系結(jié)構(gòu)。該體系結(jié)構(gòu)克服了TCG部件TPM被動掛接調(diào)用的局限性。
其四,開創(chuàng)可信計(jì)算3.0新時代。隨著計(jì)算科學(xué)、體系結(jié)構(gòu)的發(fā)展,可信計(jì)算經(jīng)歷了幾個階段。目前,我國已經(jīng)開創(chuàng)了可信計(jì)算3.0新時代。最初的可信1.0是基于容錯方法的安全防護(hù)措施,以世界容錯組織為代表;可信2.0是以可信計(jì)算組織(TCG)出臺的TPM1.0為標(biāo)志,是被動掛接調(diào)用;可信3.0形成了自主創(chuàng)新的體系,具有主動免疫的可信安全架構(gòu),更科學(xué)、更合理、更有效,并在軍民融合領(lǐng)域得到了應(yīng)用驗(yàn)證。
其五,創(chuàng)新適用的工程技術(shù)路線。自主可信計(jì)算平臺產(chǎn)品設(shè)備有三種形態(tài):系統(tǒng)重構(gòu)可信主機(jī)、主板配插PCI可信控制卡和配接USB可信控制模塊。它可以方便地通過可信網(wǎng)絡(luò)支撐平臺把現(xiàn)有設(shè)備升級為可信計(jì)算機(jī)系統(tǒng),而應(yīng)用系統(tǒng)不用改動,便于新老設(shè)備融為一體,實(shí)現(xiàn)全系統(tǒng)安全可信。
可信計(jì)算構(gòu)建了主動免疫體系,確定可信狀態(tài)后,即使有BUG也不會變成漏洞,使攻擊無效,確保安全系統(tǒng)運(yùn)行。部署可信計(jì)算平臺后,在原有信息系統(tǒng)建立主動免疫的積極防御可信安全防護(hù)體系,實(shí)現(xiàn)高安全等級結(jié)構(gòu)化保護(hù),改變原被動防護(hù)局面。
用可信計(jì)算3.0構(gòu)筑網(wǎng)絡(luò)安全
沈昌祥院士指出,用可信計(jì)算3.0構(gòu)筑網(wǎng)絡(luò)安全應(yīng)該包含幾個層面的內(nèi)容,首先要堅(jiān)持自主可控、安全可信。
《國家中長期科學(xué)技術(shù)發(fā)展綱要(2006-2020年)》明確提出,以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)開展網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品研發(fā),建立網(wǎng)絡(luò)安全技術(shù)保障體系。“十二五”規(guī)劃有關(guān)重大工程項(xiàng)目都把可信計(jì)算列為發(fā)展重點(diǎn),軍方演示驗(yàn)證成果用于黨政部門。國家重要信息系統(tǒng),如增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)都采用可信計(jì)算3.0作基礎(chǔ)支撐。
中國可信計(jì)算已經(jīng)成為保衛(wèi)國家網(wǎng)絡(luò)空間主權(quán)的戰(zhàn)略核心技術(shù),在國家核心系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施得到規(guī)模化成功應(yīng)用,并被列為國家戰(zhàn)略和法律要求。同時,也是世界網(wǎng)絡(luò)空間斗爭的焦點(diǎn)。美國第三次“抵消戰(zhàn)略”(對抗“下一代敵人”的“下一代技術(shù)”)把“高可信網(wǎng)絡(luò)軍事系統(tǒng)”等列為重點(diǎn),圍繞安全可信展開新的較量。
其次,搶占網(wǎng)絡(luò)空間安全核心技術(shù)戰(zhàn)略至高點(diǎn)。據(jù)沈昌祥院士介紹,我國按照網(wǎng)絡(luò)安全審查制度成立安全審查組,按照WTO“尊重銷售國有關(guān)法律法規(guī)和有關(guān)標(biāo)準(zhǔn)”的規(guī)則,開展對WINDOWS10的安全審查。其本人堅(jiān)持要遵守我國《電子簽名法》和《商用密碼管理?xiàng)l例》,必須進(jìn)行本土化改造,其中數(shù)字證書、可信計(jì)算、密碼設(shè)備必須是國產(chǎn)自主的,這是底線。而且我國有完整的技術(shù)、產(chǎn)品和服務(wù),完全具備國產(chǎn)化替代條件。
“引進(jìn)必須安全可控”。要做到“五可一有”:可知,即對合作方開放全部源代碼,要心里有數(shù),不能盲從;可編,要基于對開源代碼的理解,能自主編寫代碼;可重構(gòu),面向具體的應(yīng)用場景和安全需求,對核心技術(shù)要素進(jìn)行重構(gòu),形成定制化的新的體系架構(gòu);可信,通過自主的可信計(jì)算技術(shù)增強(qiáng)操作系統(tǒng)免疫性,防范漏洞影響系統(tǒng)安全性,使國產(chǎn)化替代真正落地;可用,做好應(yīng)用程序與操作系統(tǒng)的適配工作,確保自主系統(tǒng)能夠替代國外產(chǎn)品;有自主知識產(chǎn)權(quán),要對最終的系統(tǒng)擁有自主知識產(chǎn)權(quán),保護(hù)好自主創(chuàng)新的知識產(chǎn)權(quán)及其安全,堅(jiān)持核心技術(shù)創(chuàng)新專利化、專利標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)推進(jìn)市場化。要走出國門,成為世界品牌。
最后,用可信計(jì)算3.0產(chǎn)品和服務(wù)構(gòu)筑了國家重要信息系統(tǒng)高安全等級防護(hù)體系。根據(jù)長期攻關(guān)、滾動發(fā)展,形成了安全可信的系列產(chǎn)品和服務(wù)。對于增量設(shè)備可采購可信控制芯片直接嵌入主板的方式的可信整機(jī);對于存量設(shè)備可采用主板配插可信控制卡的方式構(gòu)建免疫系統(tǒng);對于不便于插卡的設(shè)備可配接USB可信控制模塊實(shí)現(xiàn)可信增強(qiáng)。以上三種方式可以方便地把現(xiàn)有設(shè)備構(gòu)成可信計(jì)算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)三重防護(hù)架構(gòu)。
通過可信安全管理平臺實(shí)現(xiàn)系統(tǒng)資源、安全策略和審計(jì)追蹤三權(quán)分立。科學(xué)管理再加上可信計(jì)算控制平臺提供資源可信度量、數(shù)據(jù)可信存儲、行為可信鑒別、主客體的可信認(rèn)證,能及時發(fā)現(xiàn)異常行為和環(huán)境的非法改變,以及主要信息破壞,并立即采取措施,使攻擊無效,實(shí)現(xiàn)主動免疫。
我國要建設(shè)成為世界網(wǎng)絡(luò)安全強(qiáng)國
近一兩年,網(wǎng)絡(luò)攻擊頻發(fā)再度為網(wǎng)絡(luò)安全敲響了警鐘。2016年10月21日,美國東海岸(世界最發(fā)達(dá)地區(qū))發(fā)生世界上癱瘓面積最大(大半個美國)、時間最長(6個多小時)的分布式拒絕服務(wù)(DDOS)攻擊。2017年5月12日,一款名為“WannaCry”的勒索病毒網(wǎng)絡(luò)攻擊席卷全球,有近150個國家受害,僅當(dāng)天我國就有數(shù)十萬例感染報(bào)告。
針對近期這些典型案例,沈昌祥院士呼吁,面臨日益嚴(yán)峻的國際網(wǎng)絡(luò)空間形勢,我們要立足國情,創(chuàng)新驅(qū)動,解決受制于人的問題。堅(jiān)持縱深防御,用可信計(jì)算3.0構(gòu)建網(wǎng)絡(luò)空間安全主動免疫保障體系,筑牢網(wǎng)絡(luò)安全防線,為把我國建設(shè)成為世界網(wǎng)絡(luò)安全強(qiáng)國而努力奮斗。
為了解決網(wǎng)絡(luò)空間安全問題,我國《網(wǎng)絡(luò)安全法》中第十六條指出,“國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃,加大投入,扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目,支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用,推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán),支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目。”近期發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出的戰(zhàn)略任務(wù)“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”,強(qiáng)調(diào)“盡快在核心技術(shù)上取得突破,加快安全可信的產(chǎn)品推廣應(yīng)用”。
據(jù)沈昌祥院士介紹,可信計(jì)算在重要核心系統(tǒng)規(guī);ㄔO(shè)方面有兩個典型應(yīng)用案例。一個是國家電網(wǎng)電力調(diào)度系統(tǒng)安全防護(hù)建設(shè)。國家發(fā)改委14號令決定以可信計(jì)算架構(gòu)實(shí)現(xiàn)等級保護(hù)四級。用可信計(jì)算構(gòu)建的國家電網(wǎng)電力調(diào)度系統(tǒng)采用PCI可信卡的方式進(jìn)行部署實(shí)施,實(shí)現(xiàn)了對已知、未知惡意代碼的免疫,實(shí)現(xiàn)了可信保障機(jī)制;贒5000平臺的安全標(biāo)簽,不許改動源代碼。該系統(tǒng)通過逐級認(rèn)證實(shí)現(xiàn)系統(tǒng)的主動免疫,達(dá)到等級保護(hù)四級技術(shù)要求。目前,電力可信計(jì)算密碼平臺已在34個省級以上調(diào)度控制中心和59個地級調(diào)度控制中心上線運(yùn)行,覆蓋了上萬臺服務(wù)器,確保了運(yùn)行安全。
另一個是中央電視臺可信制播環(huán)境建設(shè)。中央電視臺播出42個頻道節(jié)目,面向全球提供中、英、西、法、俄、阿等語言電視節(jié)目,在沒有與互聯(lián)網(wǎng)物理隔離的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下,構(gòu)建了網(wǎng)絡(luò)制播的可信計(jì)算安全技術(shù)體系,建立了可信、可控、可管的網(wǎng)絡(luò)制播環(huán)境,達(dá)到四級安全要求,確保節(jié)目安全播出。以2017年5月14日我國舉辦的“一帶一路”國際合作高峰論壇為例,該會議是在5月12日勒索病毒網(wǎng)絡(luò)攻擊席卷全球的嚴(yán)峻情勢下召開的,中央電視臺可信制播環(huán)境建設(shè)經(jīng)受住了極為嚴(yán)峻的考驗(yàn)和嚴(yán)格的考核,保證了會議的勝利召開。
2016年,在中央網(wǎng)信辦、教育部的指導(dǎo)下,中國互聯(lián)網(wǎng)發(fā)展基金會網(wǎng)絡(luò)安全專項(xiàng)基金舉行了“網(wǎng)絡(luò)安全人才獎”“網(wǎng)絡(luò)安全優(yōu)秀教師獎”等評選活動。其中,沈昌祥院士唯一獲評“網(wǎng)絡(luò)安全杰出人才”。
評獎材料是這樣對其描述的:沈昌祥,中國工程院院士,從事計(jì)算機(jī)信息系統(tǒng)、密碼工程、信息安全體系結(jié)構(gòu)、系統(tǒng)軟件安全、網(wǎng)絡(luò)安全等方面的研究工作。先后完成了重大科研項(xiàng)目二十多項(xiàng),取得了一系列重要成果,曾獲國家科技進(jìn)步一等獎2項(xiàng)、二等獎2項(xiàng)、三等獎3項(xiàng),軍隊(duì)科技進(jìn)步獎十多項(xiàng)。這些成果在信息處理和安全技術(shù)上有重大創(chuàng)造性,多項(xiàng)達(dá)到世界先進(jìn)水平,在全國全軍廣泛應(yīng)用,取得十分顯著效益,使我國信息安全保密方面取得突破性進(jìn)展。在網(wǎng)絡(luò)安全和科技創(chuàng)新、咨詢論證和學(xué)科專業(yè)建設(shè)、人才培養(yǎng)等方面做出了杰出貢獻(xiàn)。
沈昌祥院士說,沒有網(wǎng)絡(luò)安全我們將生活在黑暗中。希望今后加強(qiáng)安全可信的保障體系建設(shè),加快構(gòu)成我們國家的網(wǎng)絡(luò)安全體系,為實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國的“中國夢”而努力。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:沈昌祥院士的網(wǎng)絡(luò)“安全夢”
本文網(wǎng)址:http://www.ezxoed.cn/html/news/10515324395.html