【沈昌祥】用可信计算构筑智能城市安全生态圈（一）

二氧化硅2012 2017-10-23

展开全文

2016 年10 月21 日，美国东海岸( 世界最发达地区) 发生世界上瘫痪面积最大（大半个美国）、时间最长（6个多小时）的分布式拒绝服务（DDOS）攻击。造成该事件的原因是“物联网破坏者”（“ Mirai”未来）攻击美国大量的网络摄像头等物联网设备，把它们当“肉鸡”，攻击美国多个知名网站，使人们每天都使用的网站被迫中断服务。更有甚者，攻击者Bricker Bot 已经升级为PDOS（永久拒绝服务攻击），即清除设备里的所有文件，破坏存储器并切断设备网络链接。

2017 年5 月12 日，一款名为“WannaCry”的勒索病毒网络攻击席卷全球，被攻击计算机的数据文件被加密，只有支付高额赎金才能解密恢复，从而导致大量信息系统无法正常工作，服务被中断、严重影响系统的可用性。据统计，目前有近150 个国家受害，仅当天我国就有数十万例感染报告，教育、交通、医疗、能源网络成为本轮攻击的重灾区，大量加油站无法提供服务。

这两个案例是对智能城市的直接警示。因为智能城市以全球可以互联互通的数据以及处理、传输这些数据的设备系统平台为基础，一旦受到DDOS、PDOS 的攻击，程序被篡改，数据被破坏，系统将无法运行，甚至会造成毁灭性破坏。同时也警示我们，构筑智能城市的安全生态圈应该从两个方面考虑，一方面是数据系统要安全可控，另一方面是设备处理系统要安全可控。

为了解决网络空间安全问题，我国《网络安全法》中第十六条指出，“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”近期发布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。

一、科学的网络安全观

从科学的视角认识网络安全，应包括以下三个方面：

（一）网络安全是永远主题

网络空间安全具有丰厚的基础理论问题，它不仅是计算科学的问题，也是体系结构的问题，还是计算模式的问题。同时，网络空间安全是资源财富，是基础设施，是国家主权。因此，网络安全是永远的主题。

然而，由于人们对IT 的认知逻辑的局限性，不能穷尽所有组合，只能局限于完成计算任务去设计 IT 系统，必定存在逻辑不全的缺陷，从而难以应对人为利用缺陷进行攻击。因此，为了安全必须从逻辑正确验证、计算体系结构和计算模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者所利用的问题，形成攻防矛盾的统一体。确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算，这就是主动免疫防御，“老三样”封堵查杀被动防御已经过时。

（二）可信免疫的计算模式与结构

可信计算是指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，使计算结果总是与预期一样。只有这样才能改变只讲求计算效率，而不讲安全防护的片面计算模式。

可信计算是一种运算和防护并存的主动免疫的新计算模式，以密码为基因，实施身份识别、状态度量、保密存储等功能。及时识别“自己”和“非己”成份，从而破坏与排斥进入机体的有害物质，相当于为计算机信息系统培育了免疫能力。

图1 可信支持的双体系结构

构建的可信支持的双体系结构如图1 所示。该体系结构通过增加防护部件，可以实现任务计算和免疫防护并存的计算模式。

（三）安全可信系统架构

网络基础设施、云计算、大数据、工业控制、物联网等新型计算环境必须进行可信度量、识别和控制，以确保数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。结合主动免疫的主动防御思想和等级保护的防御体系，构建可信安全管理中心支持下的主动免疫三重防护框架，如图2 所示。该框架围绕安全管理中心实现系统管理、安全管理和审计管理，形成积极防御体系。

图2 主动免疫的三重防护框架

通过实施三重防护主动防御框架，能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。首先，在可信计算的主动免疫防护下，攻击者很难入侵，即便攻进去了，由于强制访问控制，非授权者也拿不到重要信息；即使窃取了重要数据，因为有加密保护，窃取者也看不懂。其次，攻击者很难篡改系统和信息，系统工作不会瘫痪。最后，利用可信计算的审计功能，能发现并保护证据，使攻击者无处可逃。

以5 月12 日发生的勒索病毒网络攻击为例，中国自主创新的可信计算3.0 可以有效抵御“WannaCry”勒索病毒攻击。采用可信计算3.0 技术的操作系统免疫平台能够在计算机信息系统上建立对未知病毒木马以及系统漏洞的防御能力，从根本阻止未知攻击事件。因此，“WannaCry”、“Mirai”、“黑暗力量”、“震网”、“火焰”、“心脏滴血”等不查杀而自灭。

（下接：《【沈昌祥】用可信计算构筑智能城市安全生态圈（二）》