读而思

利用缺陷脆弱点挖掘漏洞进行威胁攻击是网络安全风险的永远命题，安全可信产品和服务在实施计算运算的同时并行进行动态的全方位整体防护，使得能完成计算任务的逻辑组合不被篡改和破坏，达到预期的计算目标。所以，必须用安全可信网络产品和服务构建主动免疫防护的保障体系。

张通  本刊记者

本文发表于《中国工业和信息化》杂志2021年11月刊总第40期

网络空间已经成为第五大国家主权空间领域，而安全是其发展的前提。《网络安全法》第16条规定，国务院、省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络知识产权，支持企业、研究机构、高等学校等参与国家网络安全技术的创新项目。国家颁布《网络空间安全战略》提出战略任务，夯实网络安全基础，强调尽快在核心技术上取得突破，加快安全可信的产品推广应用。最近发布的《关键信息技术安全保护条例》更是要求应当优先采购、全面使用安全可信的产品服务，构建关键基础设施的安全保障体系。

在世界先进制造业大会“工业互联网高峰论坛”上，中国工程院院士沈昌祥表示：“我们面临着非常严重的网络空间挑战，例如勒索病毒，大家应该印象很深。2017年5月12日，一天时间勒索病毒席卷了150个国家的就业、交通、医疗、能源系统，形成了重灾区。2018年8月3日，台积电全部被勒索病毒破坏，损失巨大。尤其是2021年5月7日，美国东海岸的输油管道数字化分工系统被勒索软件攻击，导致能源中断。因此，美国总统拜登宣布美国17个州加上华盛顿中央地区进入紧急状态，紧急状态就是战备状态，这说明没有网络安全就没有国家安全！”

构筑网络安全可信主动免疫保障体系

“我们应搞清安全风险的本质，从科学技术的角度认清它。”沈昌祥强调。计算机原理少攻防理念，是因为图灵机原理也没有攻防，由此造成了怎么制造计算机都会存在缺陷。冯·诺依曼结构缺防护部件，工程应用无安全服务的先天性脆弱缺陷导致没有防护的功能，这些缺陷必定存在大量安全风险。认知科学的局限性使得IT系统不能穷尽所有逻辑组合，有人利用这个缺陷或者漏洞进行控制，获取利益。因此，网络安全风险是永远的命题。

以前“封堵查杀”打补丁的方法已不能应对未知的攻击，所以，需要提供安全可信的产品和服务实施计算运算同时进行安全防护，全方位动态地进行防护，使得计算任务的逻辑组合不被利用，能完成一些预期的计算目标。这相当于人体具有免疫力，才能健康生活一样。因此，法律和制度要求安全可信构造保障体系是非常科学合理的。那么，如何构建保障体系呢？沈昌祥提出了“六重”方式：

第一重，要有一种新的计算模式，对图灵机原理完善补充，以密码为基因抗体实施身份识别、状态度量、保密存储等功能，能够及时识别自己和非自己成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

第二重，对“二重”体系结构进行改进。图1左边是计算机部件，必须在右边加上防护部件、免疫系统。下面是基因抗体，按照预先设定的策略去进行检查。

第三重，是可信安全管理中心支持下的主动免疫三重防护框架，这是系统工程必须遵守的，也是等级保护系统必须遵守的。网络安全跟现实社会安全的情况完全一样，因此，信息系统也是“办公室”，由计算机组成，计算环境要安全可信，由“警卫室”“保安员”守住边界。沈昌祥说：“就像一个单位一是必须有保卫部门。二是要有保密室，什么文件、什么人能处理，都要有访问控制，保密室负责安全服务的管理。三是要有监控室，并安装摄像机，而审计就像摄像头一样，审计记录送到手机平台，再送到监控平台，及时发现问题、解决问题、留下证据。”

第四重，是四要素可信动态访问控制。四要素是指主体、客体、操作和环境。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提，必须对人的操作访问策略四要素（主体、客体、操作、环境）进行动态可信度量、识别和控制，纠正传统无计算环境要素的访问控制策略模型只基于授权标识属性进行操作，而不作可信验证，难防篡改的安全缺陷。

第五重，是五环节全程管控，技管并重。按照法律要求分析、监督、测评，以及现场接受检查，更为重要的是，要惩治犯罪分子破坏网络。按照网络安全法、密码法、等级保护制度、关键信息基础设施保护制度的要求，全程治理，确保体系结构、资源配置、操作行为、数据存储、策略管理可信。

第六重，“六不”防护效果，是指“WannaCry”“Mirai”“黑暗力量”“震网”“火焰”“心脏滴血”等不查杀而自灭。

自主创新安全可信自立自强筑牢防线开创可信计算3.0时代

中国可信计算源于1992年立项研制免疫的综合安全防护系统（智能安全卡），于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用，形成了自主创新安全可信体系，开启了可信计算3.0时代。智能安全卡功能包括了公钥密码身份识别、对称密码加密存储、智能控制与安全执行双重体系结构、环境免疫抗病毒原理、数字定义可信策略对用户透明。

沈昌祥提到，世界可信计算演进分为三个阶段：可信1.0（主机）是指主机可靠性、计算机部件、冗余备份、故障诊查、容错算法；可信2.0（PC）是指节点安全性、PC单机为主、功能模块、被动度量、TPM+TSS；可信3.0（网络）是指公钥、对称双密码主动系统免疫，终端、服务器、存储系统体系可信，宿主+可信双节点平行架构，基于网络可信服务验证，动态度量实时感知。

抢占核心技术制高点 摆脱受制于人

《国家中长期科学技术发展（2006-2020年）》明确提出，“以发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全技术保障体系”。可信计算广泛应用于国家重要信息系统，如：增值税防伪、彩票防伪、二代居民身份证安全系统、中央电视台全数字化可信制播环境建设、国家电网电力数字化调度系统安全防护建设，已成为国家法律、战略、等级保护制度要求进行推广的应用。

针对自主创新核心技术扩散情况，沈昌祥介绍了当前的五大核心技术。一是全本土化的（公钥密码+对称密码）双密钥体系，TCG组织TPM2.0采用，并申报ISO国际标准；二是终端、服务器、存储系统体系可信，Windows 10全面采用；三是宿主+可信双节点并行架构，2012年实现CPU片内并行多核架构，AMDx86片内32核4组，每组加可信验证核，已授权给天津海光；四是基于网络可信服务验证支撑平台，2013年可信华泰发布，Windows 10全面采用；五是三重防御、动态度量、实时感知，已列入等级保护标准，卡巴斯基转向构建具有免疫功能的网络空间，不再需要杀毒软件，美国卡内基梅隆大学也宣扬在可信网络框架方面取得重要成果。

用完备的安全可信产品链筑牢网络安全防线

2020年10月28日，国家等级保护2.0与可信计算3.0攻关示范基地成立揭牌。另外，国家发改委14号令决定以可信计算架构实现等级保护四级。电力可信计算密码平台已在几十个省级以上调度控制中心、上千套地级以上电网调度控制系统全覆盖，涉及十几万个节点，约四万座变电站和一万座发电厂，有效抵御各种网络恶意攻击，确保电力调度系统安全运行。