上個世紀80年代,我國就已經開展了計算機信息系統的安全保護研究,並頒布了一系列國家標準和法規。經過長期的努力,構建了具有自主知識産權的主動防護免疫體系。究竟什麼是網絡的“免疫系統”?它在網絡安全防護中又是如何發揮作用的?《中國經濟大講堂》特邀著名信息系統工程專家,中國工程院院士沈昌祥為您深度解讀。
嘉賓簡介
沈昌祥,中國工程院院士,國家信息化專家諮詢委員會委員、國家三網融合專家組成員、國家集成電路産業發展諮詢委員會委員。作為我國網絡安全的領軍人物,他主持研發了我國自主創新的可信計算體系,先後完成了20多項重大科研項目,多項達到世界先進水平,曾榮獲我國首個網絡安全“傑出人才獎”。
面對層出不窮的網絡漏洞和攻擊方式,傳統“封堵查殺”的手段已經難以應對,而大數據、雲計算、 物聯網、工業互聯網等新興技術的快速發展卻對網絡安全環境提出了更嚴格的要求。如何把網絡安全掌控在自己手中?沈昌祥提出自己的建議。
著力建設網絡“免疫系統”三大功能
沈昌祥在《中國經濟大講堂》演講時主張建立主動免疫的可信計算。主動免疫指的是在計算、運算的同時進行安全防護,全程可測可控,一邊計算一邊防護。這相當於人體免疫系統,免疫系統的免疫基因有三大功能:第一、識別細菌病毒;第二、排異反應;第三、保護生物密碼。主動可信計算就是指免疫系統,以密碼為基因,實現身份鑒定、狀態度量、加密存儲保護、及時識別自己和非自己的成分,從而排斥和破壞進入肌體的有害物質,保證人體健康,這就是通常説的主動免疫可信計算,也就是説讓計算機系統、信息系統、通信系統增加了免疫能力。“因此,我們這是一個創新的體系架構,基因是密碼,抗體是可信控制模塊TPCM,我們的循環系統、白細胞循環系統可信軟體基,要插在系統裏面,供到血液裏面去發現異常、及時處理,保證人們的健康,保證我們系統是安全的。”
沈昌祥回憶到,1992年中國正式立項,研究環境免疫綜合防護系統。經過努力抵住了國家重大的泄密事件。在1995年2月份正式鑒定預裝使用,鑒定意見裏非常明確地提出創新世界先進水平,有兩項內容:第一個是免疫,第二個是雙系統。經過長期的努力,在“十一五”、“十二五”的時候中國就用可信計算來構建基礎的網絡平臺、基礎網絡設施。
可信計算是網絡安全防禦的核心
沈昌祥指出,中國等級保護制度,現在進一步叫2.0時代,用可信計算來支持等級保護的核心技術,統稱為安全管理中心支撐下的三重防禦體系。沈昌祥進一步介紹,第一個是保護重點,以前是辦公室,如果想要盜取重要機密,首先要到辦公室打開保密櫃,之後照相、偷保密文件,而現在手工作業由機器代替了,辦公環境、計算環境是局域網,因此偷東西就可以在網絡裏偷,所以首先要保護可信安全的計算環境;其次是邊界,像每個重要的單位都有警衛室、保衛室,保護單位安全,可信計算體系也有這樣的架構,非常科學合理;第三個是通信安全,包括發錯對象、注意隱私,不同程度有不同的安全措施。“所以網絡通信安全跟現在的通信安全完全等價,把這三個環節搞定了,我們信息、系統就能夠得到安全。”
沈昌祥説:“三重防禦體系的第二個是單位有保密室。幹什麼、什麼文件、什麼數據、什麼級別的,管理什麼樣的人,能處理什麼,我們叫訪問控制策略,完全跟保密室一樣的。第三個是單位有好多監控室。攝像頭滿天都是,及時發現情況,傳到監控室,發現異常及時處理。我們有審計系統,審計點相當於攝像頭一樣,把情況形成審計記錄傳到審計中心,發現異常及時處理並留下證據,以後辦案不可抵賴。等級保護是科學的、接地氣的,只有這樣才能做到攻擊者進不去,那些不合法、沒有身份的,進去了以後也無權拿到東西,執行不了。”
建立網絡安全測評體系
計算機信息網絡安全如此地重要。在我們國家是不是應該建立網絡安全的綜合測評體系呢?沈昌祥指出,建立網絡安全的綜合測評體系要上升到國家安全、國家主權高度來考慮。十九大要求建立網絡安全、網絡空間綜合治理體系,營造清朗的網絡環境。“因此我們提出來一個系統建設——三同步:網絡安全跟系統的設計論證同步;建設同步;使用維護同步。”
沈昌祥指出,我們國家已經把網絡安全列入一個前提,國家重大的工程任務,首先要通過等級保護的驗收,沒有通過這個工程不能驗收。“長江三峽工程在1993年開始啟動的時候,沒有什麼網絡安全的概念,因此發現了很多問題。我們採取了很多應急的對策,把高風險降到低風險度,風險可控。因此長江三峽工程現在加強國産密碼化應用,也是國家的示範工程。”
沈昌祥強調,如果我們要發展,必須要把網絡空間安全搞好。我們要採購産品、服務,如果可能影響國家安全,應該通過國家網信部門聯合國務院的有關部門組織的國家網絡安全審查,一票否決,沒有通過審查不允許採購。
