您当前的位置:首页 > 新闻 > 科技

沈昌祥院士:用主动免疫可信计算构筑新型基础设施网络安全保障体系

时间:2020-05-22 17:51:54  来源:  作者:

沈昌祥院士:用主动免疫可信计算构筑新型基础设施网络安全保障体系

本文刊登于《网信军民融合》杂志2020年4月刊

【编者按】2020年4月22日下午,在以“钱学森智库聚焦新旧动能转换,助力潍坊现代化高品质城市建设迈向新高度”为主题的第二十期钱学森论坛深度会议上,中国工程院院士沈昌祥作了题为《用主动免疫可信计算构筑新型基础设施网络安全保障体系》的主题报告,介绍了我国可信计算创新与规模化应用,指出“新基建”作为国家经济发展战略,正在显现出强大动能,但也面临严重网络安全挑战。按照国家网络安全法律、战略和等级保护制度要求,推广安全可信产品和服务,在“新基建”过程中筑牢网络安全防线是历史使命。本文由《网信军民融合》杂志根据现场演讲整理。

用主动免疫可信计算构筑新型基础设施网络安全保障体系

中国工程院院士 沈昌祥

中国工程院院士沈昌祥在第二十期钱学森论坛深度会议上作主题报告

中共中央政治局近期密集召开会议,部署统筹做好疫情防控和经济社会发展,要求以科技产业为突破口,加快推动 5G 网络、数据中心、工业互联网等新型基础设施建设进度。“新基建”作为国家经济发展战略,正在显现出强大动能,为经济社会发展的各方面提供了巨大的驱动力,但给网络安全也带来了严峻挑战,如勒索病毒几年来横扫所有网络系统,造成了巨大损失。因此,“新基建”既是机遇,又是挑战。习近平总书记指示我们:要树立正确的网络安全观。我们作为科技工作者,应该树立科学的网络安全观。

一、科学的网络安全观

当前,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,我国的网络安全正在面临着严峻挑战。习近平总书记指出,“没有网络安全就没有国家安全”,安全的前景就是安全保障。因此,我们必须按照国家网络安全法律、战略和等级保护制度要求,搞好我们的网络安全保障体系。

“新基建”的安全保障非常重要,如果说没有安全保障,“新基建 ”恐怕不能建成,而且也起不了作用。怎么办?我们提出要用主动免疫的可信计算。新型基础设施是以数据和网络为核心,其发展前提是用主动免疫的可信计算筑牢安全防线。国家《网络安全法》第十六条指出:“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”《国家网络空间安全战略》提出“夯实网络安全基础”的战略任务,强调“尽快在核心技术上取得突破,加快安全可信的产品推广应用”。网络安全等级保护制度 2.0 标准要求全面使用安全可信的产品和服务来保障关键基础设施安全。

《网络安全法》《国家网络空间安全战略》以及网络安全等级保护制度2.0 标准都非常明确地规定了要把安全可信贯彻到所有的设备、系统、基础设施建设中去。为什么要这么做?大家都具有很强的安全意识,在安全问题上可能也有很多不同的看法。现在新冠肺炎在全球肆虐,面对新冠病毒,人的免疫力显得非常重要。实质上,网络安全也是一样的,也存在着各种各样的重大威胁。网络安全是主权空间利益所在,黑客集团为了谋取利益,用某种病毒敲诈勒索;反动敌对势力集团攻击网络,以基础设施为目标发动网络攻击,扰乱社会,破坏我们的稳定,更严重的是美国等霸权国家通过网络战来侵犯国家的主权。

在这些危机情况下,我们的网络空间有没有免疫能力呢?能挺得住吗?由于图灵计算原理缺少攻防理念、冯诺依曼架构缺少防护部件、重大工程应用无安全服务,导致我们的网络空间极其脆弱。因此,我们要重新思考怎么办,要确保正确认识网络安全问题。

由于人在设计 IT 系统时不可能穷尽所有逻辑组合,必定存在逻辑不全的缺陷。利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。因此,我们提出了主动免疫可信计算,通过为 IT 系统提供免疫能力来获得安全,确保为完成计算任务的逻辑组合不被篡改和破坏,实现正确计算。相当于人体具有主动免疫功能使得其能健康生活。对于网络病毒而言,通过找漏洞、杀病毒、打补丁是解决不了的。杀病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路也不利于整体安全。因此,我们要有完整的主动免疫可信计算体系。

二、主动免疫可信计算体系

主动免疫可信计算是一种运算同时进行安全防护的新计算模式,以密码为基因抗体实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。

沈昌祥院士:用主动免疫可信计算构筑新型基础设施网络安全保障体系

二重体系(计算+防护)结构的可信计算节点

因此,必须对计算机体系结构进行调整,构建计算 + 防护的双重体系结构,形成有免疫能力的计算机体系结构。“个体”有免疫能力了,那“社会”怎么办呢?

沈昌祥院士:用主动免疫可信计算构筑新型基础设施网络安全保障体系

可信安全管理中心支持下的主动免疫三重防护框架

我们提出了在可信安全管理中心支持下的主动免疫三重防护框架。第一,要保证计算环境(个体)有免疫能力;第二,要有可信边界;第三,来往的信息(人)要审查、要控制、要可信安全,更重要的是整个社会体系要管理,这就是安全管理中心支持下的主动免疫三重防护框架,其实跟我们现在的防疫是一样的。

由此,我们要注意的一个关键问题是人机交互。人机交互可信是发挥5G、数据中心等“新基建”动能作用的源头和前提,因此我们必须把人机交互控制好,这里面有战略,有策略,而且有模型。我们归结为四个要素:主体、客体、操作、环境,这里面主体是人,客体是访问的对象。四个要素的安全可信要严格地进行可信度量、识别、验证和控制。只有加强对安全可信和密码的管理服务,才能确保基础设施五个环节可信:一是体系结构架构不能被破坏;二是资源配置不能被篡改;三是操作行为不能被假冒;四是数据存储不能被窃取;五是策略不能变样。即体系结构可信、资源配置可信、操作行为可信、数据存储可信、策略管理可信五个可信。最终要达到安全防护“六不效果”,即攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉。这样的话,我们的系统对所有病毒都是免疫的,对病毒库里面的所有的病毒都要进行验证,对很多不认识的病毒,我们的系统也要进行主动的验证。

三、中国可信计算创新及规模化应用

中国可信计算源于 1992 年立项研制免疫的综合安全防护系统(智能安全卡),于 1995 年 2 月底通过测评和鉴定。经过 20 多年的反复试验和军民融合攻关应用,形成了自主创新安全可信体系,开启了可信计算 3.0 时代。

1995 年 2 月的安全功能测评,提出我们免疫的综合安全防护系统(智能安全卡)有四个提升:一是公钥密码身份识别、对称密码加密存储;二是智能控制与安全执行双重体系结构;三是环境免疫抗病毒原理;四是数字定义可信策略对用户透明。因此,国家也很重视,在《国家中长期科学技术发展(2006-2020 年)》明确提出要“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”。经过 20 多年的发展,可信计算广泛应用于国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统、中央电视台全数字化可信制播环境建设、国家电网电力数字化调度系统安全防护建设,已成为国家法律、战略、等级保护制度要求进行推广应用,其密码体制和体系结构等 5 大核心技术已被世界著名企业和机构所采用。俄罗斯卡巴斯基最近宣布不搞杀病毒软件而要建免疫网络,美国防部热推“零信任架构”等都是异曲同工之举。

此外,可信计算还具有完备的产业链,且有巨大的产业空间。自主可信计算平台产品设备既有系统重构可信主机,还有主板配插 PCI 可信控制卡,以及配接 USB 可信控制模块等多种产品设备,这些产品设备可以方便地通过可信网络支撑平台把现有设备升级为可信计算机系统,而应用系统不用改动,便于新老设备融为一体,构成全系统安全可信。

四、用可信计算 3.0 夯实网络安全等级保护基础

等级保护制度把安全可信、主动免疫可信计算纳入其核心要求,要求一级、二级,三级、四级都要可信。例如,等保 2.0 新标准一级要求:所有计算节点都应基于可信根实现开机到操作系统启动的可信验证。二级要求:所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并将验证结果形成审计纪录。三级要求:所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,在应用程序的关键执行环节对其执行环境进行可信验 证,主动抵御入侵行为,并将验证结果形成审计纪录,送到管理中心。四级要求:所有计算节点都应基于可信计算技术实现开机到操作系统启动,再到应用程序启动的可信验证,在应用程序的所有执行环节对其执行环境进行可信验证,主动抵御入侵行为,并将验证结果形成审计纪录,送到管理中心,进行动态关联感知,形成实时的态势。以上各个等级对可信的要求程度不一样,我们都要贯彻执行。

我举一个跟每个人都有关系的例子,即国家电网电力调度系统安全防护建设的例子。我们国家对电网的安全问题,尤其是对电网的数字化、网络化、智能化非常重视。国家发改委 14 号令决定以可信计算架构实现等级保护四级要求。经过十几年的努力,现在电力可信计算密码平台已在三十四个省级以上调度控制中心使用,覆盖上千套地级以上电网调度控制系统,涉及十几万个节点,约四万座变电站和一万座发电厂,有效抵御各种网络恶意攻击,确保电力调度系统安全运行。委内瑞拉大面积电网瘫痪的原因就是电网的信息化系统被攻击。美国更厉害,将病毒植入到了俄罗斯的电网。我国这么大面积的电网,很多年来没有引起大面积的瘫痪,就是因为可信计算起了效益,而且还推动了国家等级保护制度的发展。

我们的特点很明显,原有的系统没有影响,我们的软件也不用改,成本也不高。防火墙、杀病毒等系统很费钱,而我们可以不花这个钱,用主动免疫系统就可以。

我们要抓住机遇,在新兴城市发展“新基建”的时候,一定要达到主动免疫可信计算,不仅要解决我们的网络安全问题,也要推动经济社会的健康发展,形成新型的产业链。



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
中新网12月27日电 据中国网信网消息,近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《...【详细内容】
2021-12-28  Tags: 网络安全  点击:(1)  评论:(0)  加入收藏
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  Tags: 网络安全  点击:(10)  评论:(0)  加入收藏
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  Tags: 网络安全  点击:(29)  评论:(0)  加入收藏
网络安全板块是什么 1、网络安全网络安全是计算机行业中网络、计算、储存外的第四个基础设施。是计算机行业中增速最快的超千亿的板块。2、近几个月来大涨四个原因滴滴事件...【详细内容】
2021-12-08  Tags: 网络安全  点击:(19)  评论:(0)  加入收藏
即使在安全技术取得进步之后,网络犯罪仍在不断增加。据统计,网络犯罪每分钟给企业造成约 290 万美元的损失。主要是因为新技术不断涌现,难以维护安全。随着网络威胁的增加,网络...【详细内容】
2021-11-04  Tags: 网络安全  点击:(40)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13  Tags: 网络安全  点击:(49)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  Tags: 网络安全  点击:(189)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  Tags: 网络安全  点击:(47)  评论:(0)  加入收藏
前言上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样。一个黑客年薪是多少呢?外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客...【详细内容】
2021-08-24  Tags: 网络安全  点击:(122)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  Tags: 网络安全  点击:(72)  评论:(0)  加入收藏
▌简易百科推荐
非法购买公民信息、开发人脸认证规避技术……今年年初,广东省公安厅网安部门侦破全国首例破解“青少年防沉迷系统”的新型网络犯罪案件,抓获犯罪嫌疑人13名,查处非...【详细内容】
2021-12-28    人民日报客户端  Tags:数据安全步   点击:(5)  评论:(0)  加入收藏
就在今天,腾讯方面宣布将在2022年1月31日下架企业QQ和营销QQ,其实这一消息的降临并不让笔者意外,因为早在今年的10月28日20点之后,企业QQ和营销QQ就被停止了续费服务。相信很多...【详细内容】
2021-12-27  科技探险家    Tags:企业QQ   点击:(20)  评论:(0)  加入收藏
日前,上海交通大学发布《全球电竞之都评价报告》,对全球15个致力于发展电竞之都的城市进行评价,上海作为中国城市电竞发展的排头兵,其拥有众多优质电竞企业及完整产业集群,因此排...【详细内容】
2021-12-27  经济日报    Tags:电竞   点击:(3)  评论:(0)  加入收藏
为优化网络氛围环境,微博又开始整顿用户信息了。本月月初,微博官方发布公告,要求昵称中带有如“二货”“SB”“瘪三”“娘炮”等明显低俗或侮辱性词汇的用户尽快修改,否则将面临...【详细内容】
2021-12-24  运了个营    Tags:微博   点击:(10)  评论:(0)  加入收藏
昨日谷歌宣布,自2022年12月19日开始停止对OnHub的软件支持,OnHub路由器仍将提供Wi-Fi信号,但用户无法用谷歌Home应用程序管理它。无法更新Wi-Fi网络设置、添加额外的Wifi设备或...【详细内容】
2021-12-22  雷峰网    Tags:Google OnHub   点击:(5)  评论:(0)  加入收藏
IT之家 12 月 20 日消息,百度网盘青春版 iOS 客户端今日晚间率先开启内测,安卓客户端将在稍后内测。使用苹果 iPhone 的IT之家小伙伴可以点此下载内测版,需要先下载 TestFlight...【详细内容】
2021-12-21  IT之家    Tags:百度网盘   点击:(10)  评论:(0)  加入收藏
对于拼车单,是接还是不接,不少网约车司机表示很矛盾。接吧,钱少事多,常常跑了个寂寞,不接吧,车多客少,挑三拣四没饭吃。 在平台大力推广拼车单之下,不少司机迫于生活压力,最终还是打...【详细内容】
2021-12-17  网约车情报分享    Tags:滴滴   点击:(9)  评论:(0)  加入收藏
蓝鲸TMT频道12月16日讯,据饿了么官方微信公众号,近日,在圆桌会上,蓝骑士与平台交流了配送安全问题。饿了么表示,线上将技术手段融入安全防护;线下将持续进行安全培训,并试点智能头...【详细内容】
2021-12-17    金融界  Tags:饿了么   点击:(24)  评论:(0)  加入收藏
开源最前线(ID:OpenSourceTop) 猿妹编译项目地址: https://github.com/restic/restic全球知名代码托管平台 GitHub 今天就重磅发布了今年的年度报告——《2021 年度 O...【详细内容】
2021-12-17  Python部落    Tags:   点击:(9)  评论:(0)  加入收藏
新京报快讯 据中国网络视听节目服务协会网站消息,12月15日,中国网络视听节目服务协会发布了《网络短视频内容审核标准细则》(2021)。中国网络视听节目服务协会组织有关短视频平...【详细内容】
2021-12-16    新京报  Tags:短视频   点击:(11)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条