用可信计算3.0构筑国家重要信息系统高安全等级防护体系——访中国工程院院士沈昌祥



用可信计算3.0构筑国家重要信息系统高安全等级防护体系——访中国工程院院士沈昌祥

记者：沈院士您好，很高兴见到您，从沈院士身上，我们看到了中国网络安全发展的脊梁，正是有了无数像沈院士一样的学者在网络安全方面不懈的研究和努力，才让我们看到了中国网络安全发展的未来。网络空间已经成为继陆、海、空、天之后的第五大主权领域空间。请您谈一下什么是网络安全、怎样正确认识网络安全可以吗？

沈院士：要去认识网络安全，首先要树立科学的网络安全观。传统的计算设备是工具，与他人利益无关，因此无需防止别人攻击破坏。而现在由计算设备构成的网络空间是资产财富、基础设施和国家主权，因此黑客用病毒获取金钱、敌对势力以APT实施暴恐、霸权国家进行网络战侵占他国，对网络空间构成重大的威胁。网络空间极其脆弱，存在以下问题：计算科学少攻防理念；体系结构缺防护部件；工程应用无安全服务。因此网络安全风险极大。从科学原理上看，其实质是人们对IT认知逻辑的局限性，由于不能穷尽所有逻辑组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而形成了难以应对人为利用缺陷进行攻击的网络安全命题，也是永远的主题。因此，为了防御人为攻击，必须从逻辑正确验证理论、计算体系结构和计算工程应用模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者利用的问题，形成攻防矛盾的统一体。

记者：谢谢沈院士，沈院士一番话让我们认识到了网络安全的实质，那么现有的常用网络安全手段有什么不足呢？

沈院士：当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等组成，称为“老三样”。“封堵查杀”难以应对利用逻辑缺陷的攻击。首先，老三样根据已发生过的特征库内容进行比对查杀，面对层出不穷的新漏洞与攻击方法，这种消极被动应对是防不胜防；其次，老三样属于超级用户，权限越规，违背了基本的安全原则；第三，老三样可以被攻击者控制，成为网络攻击的平台。例如，“棱镜门”就是利用世界著名防火墙收取情报，病毒库篡改后可以导致系统瘫痪（将正常程序作为恶意程序查杀）。最近美国认为俄国利用卡巴斯基杀病毒软件破坏了美国总统大选。因此，只有重建主动免疫可信体系才能有效抵御已知和未知的各种攻击。

记者：谢谢沈院士，让我们对网络安全有了全新的更加深刻的认识。沈院士能简单谈一谈什么叫安全可信吗？

沈院士：在主动免疫可信计算架构下，将信息系统安全防护体系划分为安全计算环境、安全边界、安全通信网络三层，从技术和管理2个方面进行安全设计，建立安全可信管理中心支持下的主动免疫三重防护框架，做到可信、可控、可管。按照安全可信管理中心支持下的主动免疫三重防护框架构建积极主动的防御体系，可以达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果。“WannaCry”、“Mirai”、“黑暗力量”、“震网”、“火焰”、“心脏滴血”等将不查杀而自灭。

《国家中长期科学技术发展纲要（2006—2020年）》明确提出以发展高可信网络为重点开展网络安全技术及相关产品，建立网络安全技术保障体系。“十二五”规划有关重大工程项目都把可信计算列为发展重点，军方演示验证成果用于党政部门。国家重要信息系统，如增值税防伪、彩票防伪、二代居民身份证安全系统都采用可信计算3.0作基础支撑。《中华人民共和国网络安全法》第16条规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。近期发布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。因此，创新发展可信计算技术，推动其产业化，是将我国建设成为“技术先进、设备领先、攻防兼备”网络强国的战略任务。安全可信是法律要求。

安全可信首先要采用主动免疫的计算架构，以密码为基因实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

安全可信首先是整体防御，可信隔离。加强定级对象系统整体防护，建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构，实施多层隔离和保护，以防止某薄弱环节影响整体安全。在可信计算技术支持下确保资源配置、操作行为等可信。在可信计算技术支持下做到：有逻辑设计缺陷，也不能利用漏洞实施有效攻击，有效净化网络环境。二是主动防御，内外兼防。重点做好操作人员使用的可信防护，把住攻击发起的源头关。严格执行可信条件下的访问控制，有效防止非法操作。三是积极防御，多层控制。可信环境内保护资源主动免疫，使非法攻击者进不去，进去后拿不到，拿到后看不懂，想篡改也改不了，想赖也赖不掉。避免网络封堵的被动局面。四是纵深防御，技管并重。加强技术平台支持下的安全策略管理，实现人性化和与业务流程有关的管理。对系统资源、人员授权、审计追踪进行全面管理。实现人、技术、管理的纵深防御。具有预警、应急处理能力。

记者：我们了解到国外已经提出过可信计算体系结构，那么我国的安全可信有什么特点和创新？

沈院士：相对于国外可信计算（TCG可信计算组织）被动调用的外挂式体系结构，中国可信计算革命性的开创了自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、可信连接为纽带、策略管控成体系、安全可信保应用的全新的可信计算体系结构框架。在该体系结构框架指引下，我国2010年前完成了核心的9部国家标准和5部国军标的研究起草工作。跨越了国际可信计算组织可信计算密码体制的局限性和体系结构的不合理性。中国可信计算创新的采用双系统体系架构，变被动模式为主动模式，使主动免疫防御成为可能。

记者：沈院士，我国自主创新的安全可信解决了哪些问题？

沈院士：用可信计算3.0让我们摆脱受制于人。我们坚持自主可控、安全可信，抢占网络空间安全核心技术战略至高点，可信计算3.0产品和服务构筑了国家重要信息系统高安全等级防护体系。“引进必须安全可控”，坚持要遵守我国《电子签名法》和《商用密码管理条例》，对引进版本必须进行本土化改造，其中数字证书、可信计算、密码设备必须是国产自主的，这是底线。而且我国有完整的技术、产品和服务，完全具备国产化替代条件。

公司，开始了一场新的博弈。有自主知识产权，要对最终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全，坚持核心技术创新专利化、专利标准化、标准推进市场化。要走出国门，成为世界品牌。

为此，以改革开放、合作开发、互利共赢的原则成立的合资

记者：我们看到了可信计算的重要意义，请问沈院士，可信计算现在有已经建设使用的吗？

沈院士：已经在重要核心系统规模化建设应用。例如：中央电视台可信制播环境建立了可信、可控、可管的网络制播环境，达到等级保护第四级安全要求，确保节目安全播出。这是确保国家政治安全、文化安全的极其重要的环节，尤其是经受住了永恒之蓝勒索病毒攻击的考验，胜利完成了一带一路世界峰会的保障任务。国家电网电力调度系统可信加固方案，不修改原控制管理系统的代码，不加装杀毒软件和IDS，以可信计算为核心技术，通过对系统实施逐级度量认证，实现系统的主动免疫。电力可信计算密码平台已在34个省级以上调度控制中心和大多数地级调度控制中心上线运行，覆盖了几万台服务器，运行情况良好，达到等级保护第四级技术要求，整体系统对性能的影响小于3%。云计算、大数据、工业控制、物联网、区块链等，都可以通过网络以服务的方式提供给用户的主动免疫计算模式，组成了安全可信的计算环境和信息系统。

记者：谢谢沈院士，非常感谢您今天能接受采访。面临日益严峻的国际网络空间形势，我们相信我们会以创新驱动，解决受制于人的问题，坚持纵深防御，用可信计算3.0构建网络空间安全主动免疫保障体系，筑牢网络安全防线，为把我国建设成为世界网络安全强国而努力奋斗！

沈昌祥，浙江奉化人，中国工程院院士，1965年毕业于浙江大学，从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全（安全操作系统、安全数据库等）、网络安全等方面的研究工作。先后完成了重大科研项目二十多项，取得了一系列重要成果，曾获国家科技进步一等奖2项、二等奖2项、三等奖3项，军队科技进步奖十多项。这些成果在信息处理和安全技术上有重大创造性，多项达到世界先进水平，在全国全军广泛应用，取得十分显著效益，使我国信息安全保密方面取得突破性进展。 在网络安全和科技创新、咨询论证和学科专业建设、人才培养等方面做出了杰出贡献。

1988年被授予“海军模范科技工作者”荣誉称号，曾当选为七届全国人大代表，1995年5月当选为中国工程院院士，1996年获军队首届专业技术重大贡献奖，2002年荣获国家第四届"光华工程科技奖" ，2016年获首届中国网络安全杰出人才奖。

目前担任国家信息化专家咨询委员会委员，国家三网融合专家组成员，国家集成电路产业发展咨询委员会委员，国家保密局专家咨询委员会主任委员，国家信息安全等级保护专家委员会主任委员，国家密码管理委员会办公室顾问，公安部特聘专家，中国人民银行信息安全顾问，国家税务总局信息技术咨询委员会委员。同时还担任北京大学、国防科技大学、浙江大学、中科院研究生院、上海交通大学等多所著名高校的博士生导师。