沈昌祥：科学的网络安全观 与可信计算3.0

        《国家网络空间安全战略》中提出的战略任务是“夯实网络安全基础”,并强调“加快安全可信产品推广引用”,而安全可信这个词用的不多。为什么我们要用这个词呢?我们首先要有科学的网络安全观来理解法律安全可信。

       网络安全现在是一级学科,有重大基础理论问题。我们的网络空间面临着极大的安全威胁,现在网络是资产,是财富,因此黑客利用病毒来谋取财富,勒索金钱,欺诈欺骗。网络空间是基础设施,现在说国家主权,霸权国家,组建网络司令部,打网络战,通过网络侵占国家,控制国家的主权,面对这样的问题我们有能力对抗吗?没有。

1

计算科学以前没有攻防理念。

        比如说世界计算水平突破500,中国好几年第一,计算设备没有理念去防护。当然了,从计算角度可以,但是从网络空间这个角度就不行了。

2

安全防护部件缺失。

         在工程应用上无安全服务,这么大的缺失,我们该怎么办?我们要认识这个风险是极大的,原因何在?原因是科学问题,我们对IT的认知逻辑是局限的。软件逻辑组合是发散的,计算机软件不可能没有bug出现。基于此,我们只能局限于把计算任务有关的逻辑组合起来去设计这个IT系统。所以我们必定存在逻辑不全的缺陷。那么再讲到我们没有攻防理念,没有防的逻辑,所以难以应对人为利用这个缺陷进行的攻击,所以有这样的逻辑缺陥,去寻找这个逻辑缺陷,变成漏洞,注入恶意代码,进行攻击,这是风险的实质。

       那么怎么办呢?我们不能和以前一样去找漏洞,堵漏洞,打补丁,应该从正面的思维、从正确的逻辑验证、计算体系结构、计算模式等方面去科学地创新,解决逻辑缺陷,不被攻击,这就是矛盾的统一体。

       确保计算任务逻辑组合不被篡改和破坏,实现正确计算是我们正确的网络安全目标。不是说要建设得刀枪步入,铜墙铁壁,这是不可能的。我们要降低风险,就是确保我们原来设计的IT系统能完成任务。世界应该达成共识,2005年美国提出来不解决问题,重新规划发展的规划,我们要构建主动免疫的计算架构。                  

构建主动免疫的计算架构

        主动免疫的计算架构是什么呢?是指计算机运算的同时进行安全防护,计算全程可测可控,不被干扰,使计算结果与预期的一样。这样就改变了片面的只讲计算效率,从矛盾的统一体,正反两方面都要考虑,最终构建和计算并存的主动免疫的计算模式。人的健康生活是靠免疫系统支撑的,1990年开始我就研究免疫系统用于计算机安全,并发现这是非常奇妙的。基因能把身份识别植入其中,进来以后它破坏不了这个集体,应用密码技术来保护重要的信息,这指的不是数字密码,而是身份编码。因此我们按照以密码为基因,识别自己和非自己的成分,从而破坏与排斥进入集体的有害物质,相当于为计算信息系统培育免疫能力。

       这样我们才能解决云计算、大数据、物联网这样复杂的安全系统,因为我们有这样主动可信的系统能够保证体系结构、资源配置、操作行为、数据存储可信不被人家破坏,同时这种策略也不会变异,这样能构成安全管理中心支持下的三重防御体系。而这三重防御体系一个是要保证我们的计算环境,因为资源财富都在计算环境中,当然边界也很重要,我们有科学合理的高边界。这是很形象的,就像警卫员和保安员一样,要能精确到是谁,要干什么,有问题保安来解决,这就是我们国家等级保护的边界要求。通信安全大家都可以理解,我们用密码技术来进行身份验证。通信过程中通过密码保障传输,为了防止篡改调包我们开始运用密码技术来保证通信的可信安全。我们的计算机系统等于“保卫处”一样,我们在计算机安全里面叫访问控制。而对于安全控制管理的过程,我们叫安全的策略管理,简称叫安全管理。                                 

可信计算3.0

        在我国刚开始不叫可信计算,我们为了保护核心机密,用体系结构进行保护。主动免疫的综合防护系统逐渐融合形成了自主创新的可信体系,我们叫3.0。那么创新何在呢?我们更主要的是体系创新,体系的创新不是随便说的,2005年开始到2010已经起草形成了 9个国家安全标准,5个军队标准,从可信根底到主机支撑、系统配套,应用可信规范了中国的可信创新,体系创新。

近几年,一些工程项目已经开始用可信计算,比如我们的二代身份证和彩票都通过运用可信计算来防止假冒。尤其是windows操作系统,提出用win8,停止XP的问题。如果采购2亿台的XP,我们花多少钱呢?我们想不用采购,中国有自己的可信计算,有补丁不用打,能防止攻击,确保安全,因此我们就实现了 windows不采购,但是win8失败了,win10又来了。现在不仅是终端,而且跑出移动终端,服务器、大数据处理都是可信版本,如果推动它的话,对我们国家安全主权形成挑战,怎么办?我们用安全审查制度。

                     

安全审查制度

        安全体系关系到三方面,第一数字征收必须本土化。第二密码设备必须是中国的,有商业管理条例。第三可信计算必须用中国的,要达到“五可”、“一有”。“五可”是指能可控制代码,能可编,能可重构,有可信的支撑,最重要的是它是时下最安全可用的。“一有”是指我们要对知识产权的保护有征收功能,要深化国际响应和国际标准。

       我们的中国可信计算为安全可信的产品和服务,以此来构建我们国家的网络安全保障体系,这样才能为我们建设网络强国做出贡献。