中國可信開放與網絡安全高峰論壇發言集萃

新華社秘書長劉正榮：

搭建中國可信計算產業發展媒介平臺

新華社立足國內、拓展海外，加速推進戰略轉型，建設中國特色社會主義世界性現代國家通訊社，以更好地發揮喉舌、耳目、智庫和信息匯總的作用，更好地服務黨和國家工作大局，增加中國的國際傳播力和文化軟實力。

現階段，新華社的信息化建設和新媒體發展共涉及六大板塊業務：信息服務，提供大量的金融、經濟以及其它專業化的信息服務；新媒體信息產品，新華網作為新華社的知名品牌網站，每日的瀏覽訪問量為1.2億人，牢牢占據全國新聞網站的前列；此外，新華社的新聞客戶端已突破1.15億的有效下載量；傳統業務，新華社是全世界最大的報刊集團，總發行量將近1000萬；海外播發的新華電視臺；新華智庫服務，新華社控股交易平臺。

新華社負責的新聞采編和新聞傳播活動中，“云計算、大數據”等網絡技術，都在新華社新聞產品中得到廣泛深入的運用。新聞傳播活動離不開網絡信息的傳送，網絡信息技術使得新華社受益的同時，網絡安全的傳送是新聞傳播中的有力保障，因此近年來，新華社越來越關注網絡安全這一重要內容，建設安全可信的信息網絡體系，更是新華社發展至關重要的工作之一。

《國家中長期科學和技術發展規劃綱要》明確提出，互聯網行業要以發展高效可信網絡為中心，開發網絡信息安全技術以及相關的產品，建立信息安全技術保障體系。可信計算及相關產業的發展壯大，是提高中國信息系統國產化的基礎性的保障，尤其在構建網絡安全保障體系，開發云計算等新型網絡安全技術方面，具有非常重要的作用。

工業和信息化部總工程師張峰

多舉措保障互聯網信息安全

作為電信和互聯網行業以及信息技術產業主管部門，工業和信息化部積極落實國家戰略部署，堅持以安全保發展，以發展促安全。以網絡基礎設施和重要業務系統為重點，積極適應“互聯網+”、大數據、智慧城市等新模式；發布《加強電信和互聯網行業網絡安全工作指導意見》，推進行業網絡安全防護體系建設，不斷健全網絡安全管理制度標準，現已發布通信網絡安全標準約200項；切實維護公共互聯網網絡安全環境，完善威脅信息共享通報機制；開展移動互聯網惡意程序專項治理行動，強化網絡安全事件應急處置與管理，營造互聯網安全發展大環境；高度重視網絡數據與用戶個人信息保護，嚴格規范用戶個人信息的收集、存儲、使用等行為，加大違法違規行為懲罰力度；加快安全可信關鍵核心技術攻關與應用推廣，通過國家軟件和集成電路產業政策及國家科技重大專項，支持關鍵軟硬件發展，逐步建立安全可信的產業生態鏈，引導支持在重要行業應用推廣；參與和推動聯合國、國際電信聯盟、亞太經合組織等政府間網絡空間安全合作，共同應對網絡安全威脅與挑戰。

工業和信息化部積極參與《網絡安全法》立法進程，組織制定通信網絡安全防護、信息安全管理等行業標準，制定相關規章制度，做好網絡安全管理有法可依，并依法行政。

當前，加強網絡基礎設施保護已經成為維護網絡安全的重中之重。工信部將進一步健全完善網絡數據開發利用和安全保護的管理制度，并通過大力支持網絡安全產業創新發展，努力適應移動互聯網、云計算、大數據等新技術新業務的發展要求，積極探索網絡安全工作的新思路，開創網絡安全工作的新局面。

中國工程院院士沈昌祥：

推進可信計算產業發展要堅持“五可一有”的技術路線

在日趨嚴峻的網絡安全環境下，只有主動免疫才能從本質上對網絡空間進行有效防護。通過發展可信計算技術，構建自主、可控的可信體系架構，對于提升我國網絡空間的防御能力具有重要意義。

可信計算是指在計算運算的同時進行安全防護，使計算結果總是與預期一樣，計算全程可測可控，不被干擾。可信計算是一種運算和防護并存的、主動免疫的新計算模式，具有身份識別、狀態度量、保密存儲等功能。通過可信計算技術，系統可及時識別“自己”和“非己”成分，從而破壞與排斥進入的“有害物質”，進而確保信息系統的缺陷和漏洞不被攻擊利用。

網絡安全問題的根源，在于計算機體系結構在設計時并未充分考慮安全因素。而可信計算在主動免疫方面的諸多優勢，恰好可從源頭提升計算機體系的安全性。構建可信安全管理中心支持下的積極主動三重防護框架，也顯得尤為關鍵。有了安全可信的防御體系框架，就可以做到體系結構可信、操作行文可信、資源配置可信、數據存儲可信以及策略管理可信，如此便形成了三重防護體系。這樣便可使安全防護效果大幅提升。

中國的可信計算技術于1992年正式立項研究并規模應用，目前已經形成了自主的創新體系并在相關領域進行了應用。但從整體來看，中國的可信計算產業依然有很多瓶頸亟待突破。例如可信計算的標準體系、核心設備、技術的研發等都需要進一步完善和提升。推進可信計算的產業化和市場化，離不開關鍵技術的支撐。用可信計算構建網絡安全管理體系，非常有必要堅持“五可”“一有”的技術路線。

首先，在技術層面要做到“可知”和“可編”，即要對開源系統的細節能夠完全掌握，不能因未知的代碼而困惑不前。同時要能基于開源代碼的理解，實現完全自主編寫代碼。其次，要能夠“可重構”和“可信”，要能夠依據不同的場景和安全要求對基于開源技術的代碼進行重構和創新，形成定制化的新體系結構。再次，還要能夠通過可信計算技術增強自主操作系統的免疫性。除此之外，還要堅持“可用”的原則，即要做好應用程序與操作系統的適配工作，確保自主操作系統能夠替代國外產品。而“一有”，指的則是要能夠對最終的自主操作系統擁有知識產權。

中國工程院院士倪光南：

建設網絡強國，核心技術一定不能受制于人

中國目前還不是網絡強國，與世界網絡強國美國相比，在觀念、技術、法規制度和管理等方面仍有較大差距。歷史上，我國的信息核心技術和信息基礎設施被外國跨國公司所壟斷，近年來雖然我國的自主技術也在崛起，但此前的壟斷一旦形成往往不易被打破。例如，2014年，中國PC操作系統的99%被微軟Windows所壟斷。可以說，我國大量的在外國壟斷的核心技術和基礎設施上構成的信息系統，就像沙灘上的建筑，在遭到攻擊時頃刻間便會土崩瓦解。

有觀點認為，我國信息領域大部分市場份額都被跨國公司所壟斷，由此便認為我國信息技術很落后，這是不正確的。市場份額差距并不反映實際技術的差距。例如蘋果公司傾巨資長期研發出來的MAC操作系統被公認為一個優秀的系統，但在中國PC領域也只占據0.6%市場，而投入極小的國產操作系統就只占據了0.3%市場了。所以市場份額的差距并等于技術的差距，其只是反映了壟斷的程度。

現在有些人主張全面引進西方先進技術，理由是“技術落后挨打”，實際上這也是值得商榷的。世界上許多事例都表明，一個國家網絡空間被動挨打的主要原因，往往是由于技術受制于人，而不是技術落后。如果核心技術掌握在他國手中，在網絡空間的博弈中必然處于被動狀態。而真正的核心技術僅靠“引進消化再吸收”是遠遠不夠的，因為核心技術是錢買不到的，也是市場換不來的。

開放發展絕不等于全盤引進，更不能代替自主創新。在與國外機構合作的過程中，也一定要保持清醒，遵照《國家安全法》的要求，嚴防不可控的外國核心技術披上某種“安全”外衣進入我國重要信息系統。

國務院參事牛文元：

建立安全的網絡智慧管理

國際上很多國家十分重視網絡空間的安全化管理。美國國土安全部于2003年制訂了一項名為“ADVENSE”的網絡管理計劃，結合社會安全研究，同時依照《憲法第一修訂案》和《愛國者法案》制成網絡敏感詞庫和網絡監控關鍵詞列表等。美國總統奧巴馬于2011年提出網絡安全立法的建議，加強政府和企業的網絡安全管理。德國政府于2011年2月通過了“德國網絡安全戰略”，成立國家網絡防御中心，旨在加強保護德國信息系統免受網絡攻擊。

目前，中國有400萬家網站，6.8億網民，12億手機用戶，每天產生信息300億條。統計指出，假定一個人平均有100個微信好友，一條信息經過30分鐘的傳播，將會涉到100億人的讀取，及時去除其中90%的疊加概率，也會有10億人獲取信息的潛力。

一個穩定和諧的社會環境是國家發展的首要前提，出現的社會網絡異常事件則會對社會和諧環境具有破壞力。因此，國家必須有充分的戰略性預知，針對“常態管理”和“突發事件”兩種范疇，建立安全的網絡智慧管理。達到網絡安全管理則需要國家在維護網絡安全、預防突發事件、建立預警體系、實施關口前移四方面著力開展工作。

網絡安全智慧管理全球共性共涉及幾個部分：檢測和杜絕網絡設計和網絡運行中的漏洞、后門、安全缺陷；強化網絡安全立法和嚴厲打擊網絡犯罪；加強政府、軍事、外交、金融、公共服務設施和創新研發部門的網絡監管；重點打擊和主動識別網絡謠言；教育和提升網民的安全意識和網絡道德水平，規范網絡行為準則。

據了解，網絡安全管理的預警平臺中，應具有網絡敏感信息的自動捕捉，鑒別信息的真實度，跟蹤民間傳播的演化過程，建立網絡敏感數據庫，設立社會治理中央監控室。

未來，國家應建立網絡管理制度，創新網絡管理技術，健全網絡管理規則，拓展網絡管理空間。運用網絡安全的智慧管理平臺的管理工具，研發適用于網絡安全自動偵搜系統的全天候智能機器人，研制網絡安全的硬件、軟件、運行、保密、防黑客、謠言識別、數據保真、無憂防火墻、后門漏洞等自動挖掘和自動修補技術等安全防范體系。

中央電視臺副總工程師宋宜純：

可信化制播保證通信安全

可信有三層含義，一是計算資源的可信，二是內容的可信，三是連接與通訊的可信。作為中國國家電視臺，央視現在有42個頻道，每天播出的時間將近1000小時，制作的節目時長200小時左右，包括停播、錯播、略播等的入庫數據量達到17-20個PG，對于節目播出的可靠性要求要達到5秒/百小時。在業務上，央視需保證播出的內容或者業務內容的完整性，也就是說它生產出來后未被篡改，每一個變更都必須是有出處的。

可信化制播是解決電視臺制播環境安全問題的有效途徑。從實踐情況看，可信化的技術和概念應用于央視的系統業務中，有效保證了可信化連接和通信不被竊聽、篡改和偽造。此外，引入可信化技術的復雜程度可被接受，技術功能上也容易被實施。

電視臺的節目播出單基本上確定了每天在什么時段播出什么節目。可信化制播能夠追蹤整個流程中所有責任者，比如像節目和播出單的創建者、修改者、提交者、接受者、執行者，每一個人在整個流程中所擔負的責任都是確切的。為防篡改，央視采用的類似于數字簽名的技術。任何節目或者是節目單都不可能隨意發生變化，如果要有變化的話，會被識別出來。

央視采用了類似于數字簽名的可信交付物，也就是說要有身份和內容兩部分的確認。交付內容的認證、機構、人員都要頒發數字證書，用其私鑰簽名。接收時，也將檢驗其數字簽名，確保是正確的人或者機構，從而確認提交文件的可信度。

通過上述措施，央視將編排、變更到播出的傳輸電路實現了可信化的連接。生產者或是責任環節都有責任者的簽名，都是可以追蹤的。總之，除在播出上部署了可信計算資源的環境，在業務上也引入可信化的概念，做了可信系統化的部署，使之全面實現可信化的制播環境，保證通信安全。

國網智能電網研究院計算及應用研究所所長高昆侖：

電力系統搭建可信主動防御體系

在經歷了邊界防護、縱深防護和國產化的等級保護之后，可信計算及技術的主動防御體系不僅能將以前的被動防護轉變為積極防御，還可以抵御高級定制型危機及惡意代碼，讓電網具備免疫能力。

如今，電網越來越成為網絡攻擊的重要目標。世界范圍內，受網絡攻擊影響而引發的安全事件頻繁出現。2009年，美國的智能電表受到攻擊，瞬間導致幾千個電表運行中斷；時隔四年，同樣是美國電網，由于電網控制軟件失去控制導致北美大規模停電，1000萬居民受到影響。智能化管理帶來便捷的同時，也讓電網成為現代網絡攻擊的首要目標。劍橋大學風險研究中心曾在報告中指出，如果美國電網遭到攻擊，可造成一萬億美元的損失。而同樣的攻擊發生在中國的話，損失將更為嚴重。

在如此嚴峻的局面下，國家電網公司十年來采取了多項策略，以建設電力安全防護體系。電力安全防護系統的三個階段中，第一個階段是邊界防護和縱深防護，第二階段是國產化的等級保護，第三個階段是可信計算及技術的主動防御體系。

中國電網轉向可信防護，研究和應用可信計算技術，從自身出發搭建主動防御體系，提高自身免疫力。從原來的被動防護轉變到積極防御的轉變，可抵御高級定制型危機以及惡意代碼。

目前，電力行業通過計算機體系建立可信環境，構建以可信計算技術為核心、安全可控為目標、安全勉勵為特征的新一代電網防御體系。在此體系下，重點優先保護的業務場景包括生產控制類、電網智慧調度及管理信息服務。具體而言，就是通過雙計算體系建立可信的計算環境，實現利用程序的自我和非我的程序安全免疫機制。主站信息密碼平臺由2部分組成，即硬件和軟件。為了保護系統安全，軟件需要嵌入操作系統中的核心軟件機中，進行可信引導，實現操作系統的執行調動相關程序的指令。

隨著電網進入智能時代，以往頗為復雜的發電、配電、用電、電流等各個環節被高度融合，簡化了操作流程，也能夠對信息進行精確控制，電網調度控制業務涵蓋從最小的毫秒級到分鐘級各種控制。

北京華勝天成科技股份有限公司董事長王維航：

合作助力信息系統國產化進程

從2014年3月10日起，華勝天成獲得北京經濟和信息化委的全面支持，發展TOP項目。該項目力圖在中國可信計算系統和標準下，通過引進、消化和整合IBM公司的核心軟件技術和知識產權，發展國產化可信計算技術。

其中，與IBM的合作項目包括了服務器、高端服務器、操作系統、數據庫、中間件等領域，進而擴展和重構相關的技術和產品，形成可信、可用、有知識產權的國產化高端技術系統體系，滿足國內重要信息系統的高性能、高可靠和高安全性的需求。

為此華勝天成制定了“JDM計劃”。“JDM計劃”是聯合設計開發，共建可信高端計算系統的戰略行動計劃，以彌補中國信息產業高端計算領域缺乏核心技術的短板，實現企業差異化發展的思路。具體而言是通過引進消化吸收國際先進技術，快速縮短中國在IT核心技術層面與國際對手之間的差距，與相關領域內的企業和科研團體進行合作，以提高可控、可管、可信方面的自主開發能力。

基于當前的形式，中國實現自主可控，擺脫對國外產品的依賴，需要加速自主創新，保證用戶對科技和服務的需求得到滿足，為安全可信打開務實的路徑。通過對相關產品源碼進行清洗、重塑，以及基于中國自主的可信計算技術構建的可信的監控體系，將會實現科技合作成果在運行過程中全程可信、可控、可管。

企業一定要與有關各方進行科技合作，從而參考借鑒并掌握先進的思想和治理能力，最主要是把技術儲備、人才儲備、知識產權儲備，以及對于用戶的理解迅速轉化成實際的價值，提高企業科技隊伍的整體水平，最終實現自主設計開發，完全擁有自主知識產權，早日實現IT強國夢。