用主動免疫可信計算3.0筑牢網絡安全防線營造清朗的網絡空間

□ 沈昌祥

當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間。網絡安全是國際戰略在軍事領域的演進，對我國網絡安全提出了嚴峻的挑戰。解決信息安全核心技術設備受制于人的問題，需要創新發展主動免疫的可信防護體系。2013年12月20日，習近平總書記在中國工程院1份建議上的批示中指出：“計算機操作系統等信息化核心技術和信息基礎設施的重要性顯而易見，我們在一些關鍵技術和設備上受制于人的問題必須及早解決。要著眼國家安全和長遠發展，抓緊謀劃制定核心技術設備發展戰略并明確時間表，大力發揚‘兩彈一星’和載人航天精神，加大自主創新力度，經過科學評估后選準突破點，在政策、資源等各方面予以大力扶持，集中優勢力量協同攻關實現突破，從而以點帶面，整體推進，為確保信息安全和國家安全提供有力保障”。

《中華人民共和國網絡安全法》第16條規定，國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。近期發布的《國家網絡空間安全戰略》提出的戰略任務“夯實網絡安全基礎”，強調“盡快在核心技術上取得突破，加快安全可信的產品推廣應用”。因此，創新發展可信計算技術，推動其產業化，是將我國建設成為“技術先進、設備領先、攻防兼備”網絡強國的戰略任務。

習近平總書記在2016年4月19日舉行的網絡安全與信息化工作座談會上做出了“要盡快在核心技術上取得突破”的重要指示，這就更加明確了發展可信計算技術與實施網絡安全等級保護制度的重要性。發展可信計算技術與實施網絡安全等級保護制度是構建國家關鍵信息基礎設施、確保整個網絡空間安全的基本保障。推廣發展中國主動免疫的可信計算技術可以筑牢我國的網絡安全防線。

1 重啟可信革命——主動免疫可信計算3.0

1.1 科學的網絡安全觀

1）網絡威脅是永遠主題

傳統的計算設備是工具，與他人利益無關，因此無需防止別人攻擊破壞。而現在由計算設備構成的網絡空間是資產財富、基礎設施和國家主權，因此黑客用病毒獲取金錢，敵對勢力以APT實施暴恐，霸權國家進行網絡戰侵占他國，對網絡空間構成重大的威脅。

2）網絡空間極其脆弱

網絡空間極其脆弱，存在以下問題：計算科學少攻防理念；體系結構缺防護部件；工程應用無安全服務。

3）安全風險的實質

因此網絡安全風險極大，從科學原理上看，其實質是人們對IT認知邏輯的局限性，由于不能窮盡所有邏輯組合，只能局限于完成計算任務去設計IT系統，必定存在邏輯不全的缺陷，從而形成了難以應對人為利用缺陷進行攻擊的網絡安全命題，也是永遠的主題。因此，為了防御對方攻擊，必須從邏輯正確驗證理論、計算體系結構和計算工程應用模式等方面進行科學技術創新，以解決邏輯缺陷不被攻擊者利用的問題，形成攻防矛盾的統一體。確保為完成計算任務的邏輯組合不被篡改和破壞，實現正確計算，這就是主動免疫防御的相對安全目標。

當前大部分網絡安全系統主要是由防火墻、入侵監測和病毒查殺等組成，稱為“老三樣”。“封堵查殺”難以應對利用邏輯缺陷的攻擊。首先，老三樣根據已發生過的特征庫內容進行比對查殺，面對層出不窮的新漏洞與攻擊方法，這種消極被動應對是防不勝防的；其次，老三樣屬于超級用戶，權限越規，違背了基本的安全原則；第三，老三樣可以被攻擊者控制，成為網絡攻擊的平臺。例如，“棱鏡門”就是利用世界著名防火墻收取情報，病毒庫篡改后可以導致系統癱瘓（將正常程序作為惡意程序查殺）。最近美國認為俄國利用卡巴斯基殺病毒軟件破壞了美國總統大選。因此，只有重建主動免疫可信體系才能有效抵御已知和未知的各種攻擊。

4）主動免疫的計算架構

主動免疫可信計算是指計算運算的同時進行安全防護，計算全程可測可控，不被干擾，只有這樣才能使計算結果總是與預期一樣。這種主動免疫的計算模式改變了傳統的只講求計算效率，而不講安全防護的片面計算模式。

圖1 安全可信的計算節點雙體系結構

在圖1所示的雙體系結構中，采用了一種安全可信策略管控下的運算和防護并存的主動免疫的新計算節點體系結構，以密碼為基因實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為網絡信息系統培育了免疫能力。

5）安全可信的體系框架

網絡化基礎設施、云計算、大數據、工業控制、物聯網等新型信息化環境需要安全可信作為基礎和發展的前提，必須進行可信度量、識別和控制。采用安全可信系統架構可以確保體系結構可信、資源配置可信、操作行為可信、數據存儲可信和策略管理可信，從而達到積極主動防御的目的。安全可信系統架構如圖2所示：

圖2 安全可信系統架構

在主動免疫可信計算架構下，將信息系統安全防護體系劃分為安全計算環境、安全邊界、安全通信網絡三層，從技術和管理2個方面進行安全設計，建立安全可信管理中心支持下的主動免疫三重防護框架，如圖3所示。該框架實現了國家等級保護標準要求（GB/T 25070—2010），做到可信、可控、可管。

圖3 安全可信管理中心支持下的主動免疫三重防護框架

按照安全可信管理中心支持下的主動免疫三重防護框架構建積極主動的防御體系，可以達到攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息篡改不了、系統工作癱不成和攻擊行為賴不掉的防護效果。“W annaC ry”、“M irai”、“黑暗力量”、“震網”、“火焰”、“心臟滴血”等將不查殺而自滅。

以主動免疫防治W annaC ry勒索病毒為例。2017年5月12日W annaC ry在全球范圍大規模爆發，W annaC ry蠕蟲利用了MS 17-010漏洞進行傳播。攻擊流程是首先掃描網絡中機器是否開啟了445端口，利用此漏洞接管目標機器核心控制權下載W annaC ry病毒進行感染，目標機器將變成攻擊機再次主動掃描其他機器，迅速形成大范圍擴散。該病毒會釋放敲詐者程序tasksche.exe，對磁盤文件進行加密勒索。采用自主創新主動免疫的可信計算（即可信計算3.0）技術的系統（如中央電視臺可信制播環境）在內部建立主動免疫機制，提供執行程序實時可信度量。保障正常的可執行程序持續工作，同時阻止非授權和不符合預期結果的勒索病毒程序運行，從而實時阻止未知的惡意代碼的發作。即使用戶系統在建立主動免疫機制前已感染病毒，可信計算3.0技術也可以限制病毒軟件的越權訪問，避免病毒破壞重要資源，真正地實現了積極主動防御未知的攻擊。

1.2中國可信計算革命創新

可信計算（trusted com puting）已是世界網絡安全的主流技術，TCG（Trus ted Com pu ting G roup）于2003年正式成立，已有190多個成員，以W indow s 10為代表可信計算已成焦點。

我國可信計算源于1992年正式立項，研究“主動免疫的綜合防護系統”，經過長期攻關、軍民融合，形成了自主創新的可信體系，不少已被國際可信計算組織（TCG）采納。

幾年來，國內權威媒體對我國可信計算的創新發展進行了高度評價?！肚笫恰钒l表了筆者的署名文章《用可信計算構筑網絡安全》；新華社組織召開中國可信開放與網絡安全高峰論壇，《參考消息》進行了整版2版報道；新華社《中國名牌》雜志將可信計算定義為網絡安全的主動防御時代；《中國信息安全》、《信息安全與通信保密》分別發行了可信計算?？?/p>

1.2.1 創新可信計算標準體系

相對于國外可信計算被動調用的外掛式體系結構，中國可信計算革命性地開創了自主密碼為基礎、控制芯片為支柱、雙融主板為平臺、可信軟件為核心、可信連接為紐帶、策略管控成體系、安全可信保應用的全新的可信計算體系結構框架，如圖4所示：

圖4 全新的可信計算體系結構框架

在該體系結構框架指引下，我國2010年前完成了核心的9部國家標準和5部國軍標的研究起草工作。到目前為止，已發布國家標準3項和國軍標3項，即將發布國家標準2項，已發布團體標準（中關村可信計算產業聯盟標準）4項，授權國家專利上百項。我國可信計算標準體系是創新的成果，如圖5所示。標準體系的創新性體現在第一是打基礎，具有自主的密碼體系；第二是構主體，確定了4個主體標準是可信平臺控制模塊、可信平臺主板功能接口、可信基礎支撐軟件及可信網絡連接架構；第三是搞配套，提出了4個配套標準，分別是可信計算規范體系結構、可信服務器平臺、可信存儲及可信計算機可信性測評指南；第四是成體系，包括了管控應用相關標準，涉及到等級保護系統各個方面。

圖5 創新可信計算標準體系

跨越了國際可信計算組織（TCG）可信計算局限性：

1）密碼體制的局限性

TCG原版本只采用了公鑰密碼算法RSA，雜湊算法只支持SHA1系列，回避了對稱密碼。由此導致密鑰管理、密鑰遷移和授權協議的設計復雜化（5類證書、7類密鑰），也直接威脅著密碼的安全。TPM 2.0采用了我國對稱與公鑰結合的密碼體制，并申報成為了國際標準。

2）體系結構的不合理

TCG采用外掛式結構，未從計算機體系結構上作變更，把可信平臺模塊（TPM）作為外部設備掛接在外總線上。軟件上，可信軟件棧（TSS）是TPS的子程序庫，被動調用，無法動態主動度量。中國可信計算創新地采用了雙系統體系架構，變被動模式為主動模式，使主動免疫防御成為可能。

1.2.2 創新可信密碼體系

可信計算平臺密碼方案的創新之處主要體現在算法、機制和證書結構3個方面：

1）在密碼算法上，全部采用國有自主設計的算法，定義了可信計算密碼模塊（TCM）；

2）在密碼機制上，采用對稱與公鑰密碼相結合體制，提高了安全性和效率；

3）在證書結構上，采用雙證書結構，簡化了證書管理，提高了可用性和可管性。

公鑰密碼算法采用的橢圓曲線密碼算法SM 2，對稱密碼算法采用SM 4算法，SM 3用于完整性校驗。利用密碼機制可以保護系統平臺的敏感數據和用戶敏感數據。密碼對平臺功能的支撐關系如圖6所示：

圖6 密碼算法和可信功能的關系

1.2.3 創新主動免疫體系結構

主動免疫是中國可信計算革命性創新的集中體現。我國自主創建的主動免疫體系結構如圖7所示。在雙系統體系框架下，采用自主創新的對稱非對稱相結合的密碼體制，作為免疫基因；通過主動度量控制芯片（TPCM）植入可信源根，在TCM基礎上加以信任根控制功能，實現密碼與控制相結合，將可信平臺控制模塊設計為可信計算控制節點，實現了TPCM對整個平臺的主動控制；在可信平臺主板中增加了可信度量控制節點，實現了計算和可信雙節點融合；軟件基礎層實現宿主操作系統和可信軟件基的雙重系統核心，通過在操作系統核心層并接一個可信的控制軟件接管系統調用，在不改變應用軟件的前提下實施對應執行點的可信驗證，達到主動防御效果；網絡層采用三元三層對等的可信連接架構，在訪問請求者、訪問連接者和管控者（即策略仲裁者）之間進行三重控制和鑒別，管控者對訪問請求者和訪問連接者實現統一的策略驗證，解決了合謀攻擊的難題，提高了系統整體的可信性。

另外，特別提醒的是對應用程序未作干預處理，這是確保能正確完成計算任務邏輯完整性所要求的，正確的應用程序不應打補丁，否則將形成新的漏洞。

圖7 主動免疫體系結構

通過安全管理中心支持的計算節點可信架構，可以為計算節點的監控提供可信支撐，及時保障計算資源不被干擾和破壞，提高計算節點自我免疫能力。如圖8所示，計算節點可信架構中的可信鏈以物理可信根和密碼固件為平臺，實施可信基礎軟件為核心的可信驗證過程，以此支撐可信應用。架構中的可信基礎軟件由基本信任基、可信基準庫、支撐機制和主動監控機制組成，主動監控機制又包括了控制機制、度量機制和判定機制。控制機制是通過監視接口接管操作系統的調用命令解釋過程，驗證主體、客體、操作和執行環境的可信，根據此執行點的策略要求（策略庫表達的度量機制），調用支撐機制進行度量驗證，與可信基準庫比對，由判定機制決定處置辦法?？尚呕A軟件通過主動監控機制監控應用進程行為可信和宿主節點的安全機制和資源可信，實現計算節點的主動安全免疫防護?？尚艆f作機制可以實現本地可信基礎軟件與其他節點可信基礎軟件之間的可信互聯，從而實現了信任機制的進一步擴展。安全管理中心管理各計算節點的可信基準庫，并對各個計算節點的安全機制進行總體調度。

圖8 計算節點可信架構

1.2.4 開創可信計算3.0新時代

主動免疫體系結構開創了以系統免疫性為特性的可信計算3.0新時代。回顧可信計算的發展路徑可以分為3個階段，如圖9所示?？尚庞嬎?.0以世界容錯組織為代表，主要特征是主機可靠性，通過容錯算法、故障診查實現計算機部件的冗余備份和故障切換?？尚庞嬎?.0以TCG為代表，主要特征是PC節點安全性，通過主程序調用外部掛接的TPM芯片實現被動度量。中國的可信計算3.0的主要特征是系統免疫性，其保護對象是系統節點為中心的網絡動態鏈，構成“宿主+可信”雙節點可信免疫架構，宿主機運算的同時可信機進行安全監控，實現對網絡信息系統的主動免疫防護。

圖9 可信計算發展路徑

可信計算3.0其理論基礎為基于密碼的計算復雜性理論以及可信驗證。它針對已知流程的應用系統，根據系統的安全需求，通過“量體裁衣”的方式，針對應用和流程制定策略來適應實際安全需要，不需修改應用程序，特別適合為重要生產信息系統提供安全保障?？尚庞嬎?.0防御特性如表1所示：

表1 可信計算3.0防御特性

可信計算3.0是傳統訪問控制機制在新型信息系統環境下的創新發展，在傳統的大型機簡化成串行PC結構后又增加了免疫的防護部件，解決大型資源多用戶共享訪問安全可信問題，符合事物的否定之否定螺旋式上升發展規律。它以密碼為基因，通過主動識別、主動度量、主動保密存儲,實現統一管理平臺策略支撐下的數據信息處理可信和系統服務資源可信?？尚庞嬎?.0在攻擊行為的源頭判斷異常行為并進行防范，其安全強度較高，可抵御未知病毒、利用未知漏洞的攻擊，能夠智能感知系統運行過程中出現的規律安全問題，實現真正的態勢感知。

可信計算3.0通過獨特的可信架構實現主動免疫，目前只加芯片和軟件即可，對現有硬軟件架構影響小?？梢岳矛F有計算資源的冗余進行擴展，也可在多核處理器內部實現可信節點，實現成本低、可靠性高。同時，可信計算3.0提供可信UKey接入、可信插卡以及可信主板改造等不同的方式進行老產品改造，使新老產品融合，構成統一的可信系統；系統通過對應用程序操作環節安全需求分析，制訂安全策略，由操作系統透明的主動可信監控機制保障應用可信運行，不需要修改原應用程序代碼，這種防護機制不僅對業務性能影響很小，而且克服了因打補丁會產生新漏洞的困惑。

1.3 用可信計算3.0擺脫受制于人

1.3.1 堅持自主可控、安全可信

《國家中長期科學技術發展綱要（2006—2020年）》明確提出以發展高可信網絡為重點開展網絡安全技術及相關產品，建立網絡安全技術保障體系?！笆濉币巹澯嘘P重大工程項目都把可信計算列為發展重點，軍方演示驗證成果用于黨政部門。國家重要信息系統，如增值稅防偽、彩票防偽、二代居民身份證安全系統都采用可信計算3.0作基礎支撐。

中關村可信計算產業聯盟于2014年4月16日正式成立，經歷3年多的運行，已有10多個專委會，發展迅速、成績顯著。中國可信計算已經成為保衛國家網絡空間主權的戰略核心技術，已在國家核心系統和關鍵信息基礎設施得到規模化成功應用，并列為國家戰略和法律要求。同時也是世界網絡空間斗爭的焦點，美國第3次“抵消戰略”（對抗“下一代敵人”的“下一代技術”）把“高可信網絡軍事系統”等列為重點，圍繞安全可信展開新的較量。

1.3.2 搶占網絡空間安全核心技術戰略至高點

2014年4月8日，微軟公司正式停止對W indow s XP的服務支持，強推可信的W indows 8，嚴重挑戰我國的網絡安全。如果國內運行的2億臺終端升級為W indow s 8，不僅耗費巨資還失去了安全控制權和二次開發權。采用我國的可信計算安全增強，可避免微軟停止服務所引起的安全風險，有力支撐了按習總書記批示精神政府不采購W indow s 8的決定落實。

2014年10月，微軟又推出了W indow s 10，宣布停止非可信的W indow s 7等所有非可信版本。W indow s 10不僅是終端可信，而且是移動終端、服務器、存儲系統等全面執行可信版本，強制與硬件TPM芯片配置，并在網上信息加密一體化支持管理，可謂“可信全面控制，一網打盡”。推廣W indow s 10將直接威脅網絡空間國家主權。

我國按照網絡安全審查制度成立安全審查組，按照W TO“尊重銷售國有關法律法規和有關標準”的規則，開展對W indow s 10的安全審查。堅持要遵守我國《電子簽名法》和《商用密碼管理條例》，必須進行本土化改造，其中數字證書、可信計算、密碼設備必須是國產自主的，這是底線。而且我國有完整的技術、產品和服務，完全具備國產化替代條件。為此，以改革開放、合作開發、互利共贏的原則成立的合資公司，開始了一場新的博弈，“引進必須安全可控”。

要做到“五可一有”：可知，即對合作方開放全部源代碼，要心里有數，不能盲從；可編，要基于對開源代碼的理解，能自主編寫代碼；可重構，面向具體的應用場景和安全需求，對核心技術要素進行重構，形成定制化的新的體系架構；可信，通過自主的可信計算技術增強本土化系統免疫性，防范漏洞影響系統安全性，使國產化替代真正落地；可用，做好應用程序與操作系統的適配工作，確保自主系統能夠替代國外產品；有自主知識產權，要對最終的系統擁有自主知識產權，保護好自主創新的知識產權及其安全，堅持核心技術創新專利化、專利標準化、標準推進市場化。要走出國門，成為世界品牌。

1.3.3 用可信計算3.0產品和服務構筑了國家重要信息系統高安全等級防護體系。

根據長期攻關、滾動發展，形成了安全可信的系列產品和服務，對于增量設備可采購可信控制芯片直接嵌入主板的方式的可信整機；對于存量設備可采用主板配插可信控制卡的方式構建可信系統；對于不便于插卡的設備可配接USB可信控制模塊實現可信增強，構成可信計算環境、可信邊界、可信通信網絡三重防護架構，再通過可信安全管理平臺實現系統資源、安全策略和審計追蹤三權分立監控，構筑了安全管理中心支撐下的三重主動免疫防護框架?？茖W管理再加上可信計算控制平臺提供資源可信度量、數據可信存儲、行為可信鑒別、主客體的可信認證，能及時發現異常行為和環境的非法改變，以及主要信息破壞，并立即采取措施，使攻擊無效。即使有Bug，也不會變成漏洞，無法實施攻擊，保證系統安全運行。

部署可信計算3.0平臺后，在原有信息系統建立可信免疫的主動防御安全防護體系，實現高安全等級結構化保護，改變原被動防護的局面，使等級保護制度科學實施，如圖10所示。

基于可信計算3.0構建的主動免疫體系運用網絡化部署方式，將主動免疫系統軟件裝載在安全管理平臺，再通過網絡分發部署到各計算節點，并實施網絡化管理與控制。

1.3.4 重要核心系統規模化建設應用

1）中央電視臺可信制播環境建設

中央電視臺播出42個頻道節目，面向全球提供中、英、西、法、俄、阿等語言電視節目，在沒有互聯網物理隔離的計算機網絡環境下，構建了網絡制播的可信計算安全技術體系，如圖11所示。中央電視臺可信制播環境建立了可信、可控、可管的網絡制播環境，達到等級保護第四級安全要求，確保節目安全播出。尤其是經受住了永恒之藍勒索病毒攻擊的考驗，勝利完成了一帶一路世界峰會的保障任務。

2）國家電網電力調度系統安全防護建設

2014年8月，國家發改委印發了〔2014〕第14號令《電力監控系統安全防護規定》，并且同步修訂了《電力監控系統安全防護總體方案》等配套技術文件。新版本的總體方案要求生產控制大區具備控制功能的系統應用可信計算技術,實現計算環境和網絡環境安全可信，建立對惡意代碼的免疫能力，實現等級保護的第四級要求。圖12是國家電網電力調度系統可信加固方案，不修改原D 5000控制管理系統的代碼，不加裝殺毒軟件和IDS，以可信計算為核心技術，通過對系統實施逐級度量認證，實現系統的主動免疫。

圖10 高安全等級可信防護體系框架

圖11 中央電視臺可信制播環境建設示意圖

圖12 國家電網電力調度系統可信加固方案

電力可信計算密碼平臺已在34個省級以上調度控制中心和59個地級調度控制中心上線運行，覆蓋了上萬臺服務器，運行情況良好，達到等級保護第四級技術要求，整體系統對性能的影響小于3%。國家電網電力調度系統中可信計算加固對性能的影響如表2所示：

表2 可信計算對性能的影響

2 我國網絡安全等級保護制度創新和發展

2.1 信息安全等級保護2.0——網絡安全等級保護

信息安全等級保護實施十幾年來，是我國信息安全保障的基本制度性工作，是網絡空間安全保障體系的重要支撐，是應對強敵APT的有效措施。2016年我國對網絡安全等級保護制度提出了新的要求，信息安全等級保護已進入2.0時代?！吨腥A人民共和國網絡安全法》第21條規定，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

2.1.1 我國等級保護工作創新發展過程

我國的等級保護工作是有序推進的。在20世紀80年代興起了計算機信息系統安全保護研究基礎上，1994年國務院發布《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號），為我國信息系統實行等級保護提供法律依據，也是世界上第一個等級保護國家法規。依據國務院147號令制定發布了強制性國家標準《計算機信息系統安全保護等級劃分準則》（GB 17859—1999），為等級劃分和保護奠定了技術基礎。2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）進一步明確要求抓緊建立信息安全等級保護制度。近年來國家有關部委多次聯合發文，明確了等級保護的原則、基本內容、工作流程和方法、實施要求和計劃等。目前國家各部門都按信息系統定級備案、整改建設和測評進行推進，國家重點工程的驗收要求必須通過信息安全等級保護的測評和驗收。2017年6月1日正式執行的《中華人民共和國網絡安全法》規定了國家實行網絡安全等級保護制度。

2.1.2 超越國外等級保護

美國國防部早在20世紀80年代就推出“安全等級劃分準則”。2003 年，美國發布《保護網絡空間國家戰略》，提出按重要程度不同分五級保護，并通過了《聯邦信息安全管理法案》（FISMA），要求NIST 制定分類分級標準。2005 年變成強制性標準（FIPS200），要求聯邦機構無條件執行。2013 年2 月12 日，奧巴馬發布了《增強關鍵基礎設施網絡安全》行政令，按此令NIST 于2014 年2月12 日提出了《美國增強關鍵基礎設施網絡安全框架》，按風險程度不同分為四個等級，實行識別、保護、監測、響應、恢復全過程的風險管理。

相比較而言，我國網絡安全等級保護制度已經超越了國外等級保護。創造世界5個第一：1）第1個以國務院條例立法；2）第1個提出信息系統安全保護，世界上都是計算部件保護；3）第1個提出分五級保護，美國比我們晚10年；4）第1個提出從業務信息和系統服務2個維度來定級，符合現在網絡空間的定義；5）第1個實行定級（風險感知）、建設（防護）、測評（整改）、監督檢查和應急恢復全過程防護。我們國家網絡空間安全的等級保護制度是適用于新型技術條件下的信息安全保護需求的，《中華人民共和國網絡安全法》第30條規定：國家對關鍵信息基礎設施，在網絡安全等級保護制度基礎上實行重點保護。我國的等級保護制度具有科學性、創新性和前瞻性。

2.1.3 等級保護2.0的時代特征

我國的等級保護已經從之前的1.0傳統的防御時代開始進入到了主動防御2.0時代，等級保護2.0具有新的時代特征。法律支撐層面，我國的計算機系統等級保護條例提升為國家基礎性法律制度，即《中華人民共和國網絡安全法》中的網絡安全等級保護制度；科學技術層面，由分層被動防護發展到了科學安全框架下的主動免疫防護；工程應用層面，由傳統的計算機信息系統防護轉向了新型計算環境下的網絡空間主動防御體系建設。等級保護2.0時代重點對云計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護，確保關鍵信息基礎設施安全。等級保護2.0的全過程繼續堅持風險感知、防護建設、測評整改、監督檢查和應急恢復5個環節。

2.2 全面建設，全程防護

當前網絡安全等級保護制度需要全面建設、全程防護。

2.2.1 分析風險,準確定級

定級很重要，在體系保障里，首先感知分析威脅和脆弱何在，從而確定風險程度。在定級指南指導下，準確劃分定級系統，從保護業務信息和系統服務兩維資源出發，根據在國家安全、經濟建設、社會生活中的重要程度，以及系統遭受破壞后的危害程度等因素確定等級。定級過程依然適用于網絡空間的云計算等安全風險分析，而且有助于科學界定復雜系統的風險和準確定級。

對一個系統的定級應該具有4個特征：第一，業務處理流程的完整性；第二，軟硬件設備相對的獨立性；第三，安全管理責權的統一性；第四，多級互聯隔離性。例如云計算里聚集了好多不同級別的系統，不同級別的系統之間要隔離。

在我國的網絡安全等級保護中，按重要程度不同分為五級，三級以上是國家重要信息系統。定級的時候要填寫2張表：第1張表是業務信息等級；第2張表是系統服務等級。是根據定級系統在國家安全、經濟建設、社會生活中的重要程度，即業務信息和系統服務遭到信息破壞和運行中斷后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，等級劃分如表3所示：

表3 我國網絡安全等級保護的劃分

2.2.2 主動免疫,全程保障

第一級是用戶自主保護級，訪問策略自己定；第二級是安全審計保護級， 相當于辦公室辦公，由小組織確定訪問策略，但誰做了什么需要審計； 第三級為安全標記保護級， 信息重要性和訪問者資格分級別，由上級單位專門機構給予標記，叫強制性訪問標記保護，規定了什么級別的主體能訪問什么級別的客體； 第四級是結構化保證級，相當于保密室三鐵一器一定要嚴嚴密密的，防止有隱蔽通道；第五級是實時監控級， 每時每刻驗證防護，滴水不漏。每個級別都有相應的監管制度和可信保障要求，如表4所示：

表4 等級保護及可信保障要求

現有的等級保護是以訪問控制功能為核心。自主訪問控制、強制訪問控制是基于訪問者（主體）的權限來判定能否訪問資源（客體），沒有對主客體的真實性進行驗證，標記標識沒有與實體可信綁定，難以防止篡改和假冒的攻擊。例如：打印輸出驅動程序被篡改為網絡接口驅動等攻擊時有發生。更為嚴重的是當執行環境受攻擊破壞（如操作系統），在毫無感知情況下，導致操作訪問失敗，局限于訪問控制模型沒有防系統攻擊的能力。因此必須對主體、客體、操作和執行環境進行可信驗證。由此可見，可信計算3.0是等級保護的關鍵支撐技術（如圖13所示），對落實網絡安全等級保護制度發揮著重要作用。按等級保護實施可信驗證如表5所示。

2.2.3 規范建設,嚴密管控

圖13 可信計算3.0對等級保護的關鍵支撐技術

表5 按等級保護實施可信驗證

網絡安全等級保護制度按照《信息安全等級保護管理辦法》《計算機信息系統安全保護等級劃分準則》（GB17859—1999）和參照《網絡安全等級保護安全設計技術要求》（GB/T 25070—2010），設計制定建設方案。并且參照《網絡安全等級保護實施指南》《網絡安全等級保護安全設計技術要求》等技術標準，從技術和管理2個方面進行安全建設。做到可信、可控、可管。1）可信是針對計算資源（軟硬件）構建保護環境，以可信計算基（TCB）為基礎，層層擴充，對計算資源進行保護，確保系統服務安全；2）可控是針對信息資源（數據及應用）構建業務流程控制鏈，以訪問控制為核心，實行主體（用戶）按策略規則訪問客體（信息資源），確保業務信息安全；3）可管是保證資源安全必須實行科學管理，強調最小權限管理，高等級系統實行三權分離管理體制，不許設超級用戶。

續 表

2.2.4 等級測評,整改完善

網絡安全等級保護制度在實施的過程中謹防剩余風險。首先要求嚴格按照有關的標準選擇資質的等級測評機構；等級測評機構依據《網絡安全等級保護測評要求》等標準對定級系統制定測評方案；開展測評工作時要確保測評過程在安全可控的前提下規范化實施，對照相應等級安全保護要求進行分析；然后依據測評結果出具等級測評報告；最后對等級測評中發現的問題，要及時采取防范措施加以防控或者緩解，并進一步制定和落實相應的整改方案，并且需要由專家評審確認。按基本要求綜合評定定級對象的保護水平，確定符合、基本符合或不符合的測評結果。

2.2.5 監督檢查,應急恢復

對重要信息系統按規定進行定期的監督檢查，發現問題及時整改，并要制訂本行業、本領域的網絡安全事件應急預案，在應對事件和災難發生時立即啟動應急預案以減少損失。同時采取必要的應急和備份措施，發生事件及時恢復。

2.3 主動免疫、積極防御的特點

2.3.1 整體防御,可信隔離

加強定級對象系統整體防護，建設管理中心支持下的計算環境、區域邊界、通信網絡三重防護體系結構，實施多層隔離和保護，以防止某薄弱環節影響整體安全。在可信計算技術支持下確保資源配置、操作行為等可信。在可信計算技術支持下做到：有邏輯設計缺陷，也不能利用漏洞實施有效攻擊，有效凈化網絡環境。

2.3.2 主動防御,內外兼防

重點做好操作人員使用的可信防護，把住攻擊發起的源頭關。嚴格執行可信條件下的訪問控制，有效防止非法操作。

2.3.3 積極防御,多層控制

可信環境內保護資源主動免疫，使非法攻擊者進不去，進去后拿不到，拿到后看不懂，想篡改也改不了，想賴也賴不掉。避免網絡封堵的被動局面。

2.3.4 縱深防御,技管并重

加強技術平臺支持下的安全策略管理，實現人性化和與業務流程有關的管理。對系統資源、人員授權、審計追蹤進行全面管理。實現人、技術、管理的縱深防御。具有預警、應急處理能力。

3 關鍵信息基礎設施的安全防護

《中華人民共和國網絡安全法》第31條規定，國家對關鍵信息基礎設施，在網絡安全等級保護制度的基礎上實行重點保護。

3.1 問題與挑戰

云計算、大數據、工業控制、物聯網、區塊鏈等，都是通過網絡以服務的方式提供給用戶的計算模式，組成了新的計算環境和信息系統，都必須用等級保護制度進行安全防護體系建設。這些新應用系統涉及到社會每個角落、樣式龐雜、數據海量，面臨著新問題與新挑戰，必須以改革創新精神來開創等級保護新時代。

新應用系統與傳統的信息系統相比，新應用更依賴于移動互聯網，而且是關鍵信息基礎設施和主要場景。防護深入到嵌入式設備部件、多源異構、資源共享、虛擬化，必須研究總體框架指導下的具體架構、流程、功能、機制等。

構建主動免疫、安全可信的主動防御體系，對原等級保護有關標準及時進行修改和增補。尤其是對基本要求和測評要求作框架性修改，另按GB/T 25070—2010要求，對新型計算環境下系統制定相應標準規范。

3.2 新型信息技術應用的安全防護架構

3.2.1 云計算可信安全架構

信息系統云化是指其信息處理流程在云計算中心完成。因此云計算中心負責定級系統的系統服務防護，信息系統用戶負責業務信息安全保護，是典型的賓館服務模式。用戶自己不用建機房，把業務信息程序（如門戶網站、開發軟件、定制應用）遷移到云計算中心機房，由云中心負責服務運行（即Saa S，Paa S，Iaa S）。相當于傳統招待所的點菜吃飯、開會研究事和小型商店服務等都沒有必要經營，去賓館接受服務更價廉物美。

圖14 云中心組成架構

云計算中心可以同時運行多個不同安全級別的信息系統。云計算中心安全防護能力不低于承運最高等級信息系統的級別。

云中心一般由用戶網絡接入、訪問應用邊界、計算環境和管理平臺組成（如圖14所示）。成為聚集式的應用軟件、計算節點以及計算環境的計算中心，形成用戶通過通信網絡連接到前置機（邊界），再接入到計算節點組成的計算環境以及后臺有運維業務等管理的典型架構。由此去構建可信計算安全主體架構。

云計算可信安全架構也是在安全管理中心支撐下的可信計算環境、可信邊界、可信通信網絡三重防護架構，如圖15所示。

可信云計算環境：可信鏈傳遞從基礎設施可信根出發，度量基礎設施、計算平臺，驗證虛擬計算資源可信，支持應用服務的可信，確保計算環境可信。業務信息安全應由用戶確定主體/客體關系，制定訪問控制策略，實現控制流程安全。系統服務安全由中心負責計算資源可信保障，還要對訪問實體和操作環境進行可信驗證，確保服務安全可信。可信區域邊界驗證用戶請求和連接的計算資源可信?？尚磐ㄐ啪W絡確保用戶服務通信過程的安全可信。

安全管理中心（如圖16所示）分工與傳統的信息系統有所區別，系統管理以云中心為主，保證資源可信；安全（策略）管理以用戶為主，負責安全可信策略制訂和授權；審計管理以云中心和用戶協同處理，負責應急和追蹤處置。

圖15 云計算可信安全架構

圖16 云計算可信安全架構中的安全管理中心

圖17 可信云計算資源組成

圖17概要表達了可信云計算所需的有關資源及相互連接關系。云計算中心（環境）由大量的宿主機節點（集群）組成計算資源，為了充分發揮基礎軟硬件資源作用，采取虛擬化資源調度管理，虛擬機管理器（VMM）按用戶服務的需求，分配必要的計算資源，創建、就緒、運行虛擬機（VM）（虛擬計算節點），當服務完成后終止虛擬機，收回資源，再分配給其他服務的虛擬機使用。這樣形成了無數個動態的虛擬機映射使用宿主機群的基礎（物理）計算資源的體系架構?？尚旁朴嬎慵纫ＷC基礎計算資源的可信，也要保證虛擬機資源和運行的可信，于是產生了虛擬可信根和虛擬機安全可信機制要求。當然，安全可信機制要求由管理中心制訂的策略而定。

云計算邊界平臺一般由計算中心的前置處理機組成，可信云計算邊界平臺要把前置處理機設計成安全可信的計算環境，只不過規模小一些。由可信根支撐下的可信軟件基實施邊界處理的安全可信檢測，按管理中心制訂的安全策略進行安全可信驗證。

可信通信網絡由交換機、路由器等設備組成，因此由計算機軟硬件實現的通信網絡設備必須可信，可信根、可信軟件基和可信監管是不可缺少的。

圖18 大數據可信安全架構

3.2.2 大數據環境安全架構

數據是對客觀事物的性質、狀態以及相互關系等進行記載的符號集合，含數字、文字、圖形、聲音、視頻等各種集合。如今信息化時代，人類活動數據化，數據是社會資源，尤其是數量爆炸，形成大數據環境。

大數據是指無法用現有的軟件工具進行處理的海量復雜的數據集合，具有多源異構、非結構化、低價值度、快速處理等特點。“大數據是鉆石礦”，相當于數據廢品和垃圾收集處理，來從中發掘知識和本質規律。大數據是數據科技發展的必然階段，也是追求發展的過程：數字參數=>文件系統=>關系數據庫=>數據倉庫=>大數據=>……。

大數據階段，安全問題也與之前大不一樣了。就傳統數據本身是精確結構化的，其丟失、損壞等有可能造成系統性破壞。在大數據環境下采用數據挖掘、關聯分析等技術手段對分布于網絡中異構海量數據進行映射、歸納處理。所涉及的網絡環境、計算平臺、存儲等載體，分屬不同的信息系統，處理全過程涉及網絡空間資源安全，因而加劇了網絡空間中防御與攻擊的不對稱性。面對這種新形勢下的安全問題，傳統的信息安全防護措施多集中在“封堵查殺”層面，難以應對大數據時代的信息安全挑戰。因此，要堅持積極防范，構建基于等級保護的大數據縱深防御防護體系架構。大數據處理系統大多是基于云計算平臺實現數據各種環節的梳理計算，也可分為業務信息處理和系統服務保障來定安全等級，應該按（GB/T 25070—2010更新版）進行設計安全架構。大數據可信安全架構如圖18所示，數據采集源通過多方式采集數據，如通過搜索引擎扒數據等。形成特殊的文件系統或數據倉庫，在采集過程中，要經過可信網絡通信簡易協議進行數據匯集存儲，這也就是大數據和傳統數據交互的改變，用非傳統交互協議對采集的數據進行打包。打包的數據送到可信計算環境中完成數據處理過程。第1步，數據節點要規約清理，對雜亂無章的數據進行歸納和映射，搜索數據相互的關聯，恢復結構。第2步，計算節點變換挖掘發現數據的內部聯系，分析評估出有價值的分類，形成特殊的數據倉庫。目的是達到可信應用的知識表達、共享交易，也就是從數據中發掘知識智慧，發現本質的規律，把原始的多源異構化數據變成有價值的信息，這是傳統數據處理達不到的目的。

在構建大數據應用業務信息系統安全方面：一是要加強數據采集、數據匯聚、計算環境的整體防護，建設多重防護、多級互聯體系結構，確保大數據處理環境安全可信；二是要加強處理流程控制，防止內部攻擊，提高計算節點自我免疫能力；三是要加強高價值數據安全機制，制定安全可信訪問控制策略，梳理數據處理控制流程，建立安全可信的數據處理新模式；四是要加強技術平臺支持下的安全管理，基于安全策略，與業務處理、監控及日常管理制度有機結合。

在大數據系統服務安全方面，傳統的數據資源處理能力已經不適應迅速增大的數據量級，原有的計算環境也在隨著數據挖掘、關聯分析等大數據技術的發展而變化，必須構建超大計算能力的云計算平臺。大數據計算平臺實現并行虛擬動態資源調度與分配，這方面系統服務的安全與云計算中的系統服務安全要求一樣。因此，以可信、可控、可管為目的構建大數據等級保護技術框架，按我國網絡安全法的網絡安全等級保護制度加強大數據環境和處理過程的安全保障能力，是解決大數據安全的唯一出路。

圖19 工業控制系統的三重防御多級互聯技術架構

3.2.3 工業控制系統可信安全架構

工業控制系統（ICS）是對多種控制系統的總稱，典型形態包括監控與數據采集（SCADA）、分布式控制系統（distributed contro l system,DCS）、過程控制系統（p rocess contro l system,PCS）、可編程邏輯控制器（PLC）和應急管理系統( em ergency m anagem ent system, EMS)等。普遍應用于工業、能源、交通、水利以及市政等領域。相對于一般的信息系統，工業控制系統具有實時性通信、系統不允許重啟、人和控制過程安全、加入安全功能后不影響控制流程、通信協議多種多樣、設備不易更換且生命周期為15～20年等特殊要求。傳統的“封堵查殺”安全防護技術難以解決工控系統安全問題，工業控制系統網絡架構是依托網絡技術，將控制計算節點構建成為工業生產過程控制的技術環境，是屬于等級保護信息系統范圍。

基于以上幾點，可信計算技術能更好地解決工控安全問題，通過實施可信保障的安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御多級互聯技術框架，能夠達到主動免疫的防護效果，滿足等級保護要求。工業控制系統的三重防御多級互聯技術框架如圖19所示：

可信計算環境由可信計算節點組成，使應用系統在可信計算資源支持下安全運行，確?，F場控制、生產監控調度、企業管理過程的安全可信。可信應用區域邊界子系統通過對進入和流出計算環境的信息流進行可信度量和安全檢查，確保不會有違背系統安全策略的信息流經過邊界。可信通信網絡子系統通過對通信對象的可信驗證，并對通信數據包的保密性和完整性進行保護，確保其在傳輸過程中不會被非授權竊聽和篡改，確保通信雙方準確可信，與區域邊界結合，實現可信接入。安全管理中心是對工控系統的計算環境、應用區域邊界和通信網絡上的安全機制實現統一安全可信管理的人機操作平臺。內部又分為系統資源管理、安全控制和審計3部分?？尚殴芾硎侵笇﹃P鍵資源可信度量策略和基準庫進行管理。

3.2.4 物聯網可信安全架構

物聯網將傳感、通信和信息處理整合成網路系統。把物品與互聯網連接起來，實現智能化識別、定位、跟蹤監控和管理。物聯網主要由感知計算環境、應用計算環境和網絡通信環境組成。物聯網組成架構如圖20所示，物聯網感知和應用計算域都由完成計算任務的計算環境和連接網絡通信域的區域邊界組成。

圖20 物聯網組成架構

物聯網運用大量感知節點（智能設備和傳感器），將成為竊取情報、盜竊隱私的攻擊對象。計算傳感節點可信是基礎，龐大節點以集群方式連接將對網絡通信的依賴更加敏感，對分布式的物聯網核心網絡的管理平臺安全性、可信性要求更高。另外，物聯網對數據傳輸的安全性和身份認證的可信性提出了更高的要求。2016年10月21日美國東海岸網絡的大面積癱瘓，就是大量的攝像頭做肉雞進行的DDoS攻擊。

可信計算技術同樣可以更好地解決物聯網安全問題，和工業控制系統的可信安全解決方案相似，通過實施可信保障的安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御多級互聯技術框架，達到主動免疫的防護效果。物聯網可信安全架構如圖21所示：

圖21 物聯網可信安全架構

可信計算環境一般由對物聯網系統感知和應用的信息進行存儲、處理及實施安全策略的相關部件組成?？煞譃閼梅哲浖?、計算節點平臺和基礎設施3部分?？尚艆^域邊界實施安全策略控制下的物聯網系統的計算環境之間以及與通信網絡之間可信連接?？尚磐ㄐ啪W絡實施安全策略控制下的物聯網系統的計算環境之間的安全信息傳輸。安全管理中心對物聯網系統的計算環境、區域邊界和通信網絡實現統一安全可信管理。內部又分為系統資源管理、安全控制和審計3部分。

3.2.5 區塊鏈安全架構

區塊鏈是一種利用密碼學技術，將系統內有效交易進行編碼的可附加賬本。且滿足每次交易必須有效，系統必須對數字資產的歸屬達成共識和過往歷史不能篡改。簡單來講，區塊鏈是一種共享的分布式數據庫，記錄各方都認定的交易數據，增強透明度和安全性，并且能提高處理效率。去中心化沒有人工干預，但是依賴于密碼加密驗證的技術，這個技術使得交易數據塊連起來，來表達交易的過程，形成一個鏈，就是區塊鏈。

區塊鏈的安全與其他重要信息系統等同，它由網絡基礎設施層、系統平臺層、資產交互層、行業應用層組成。區塊鏈安全風險在于網絡傳輸，計算節點基礎軟硬件、開發的業務軟件、工作量證明算法以及密碼部件和密鑰等存在大量的安全缺陷被攻擊所利用，在業務應用信息安全方面保證交易有效、達成共識，必須確保資產交互和行業應用安全可信，在系統服務資源安全方面要做到不能篡改、不能中斷，必須確保網絡基礎設施和系統平臺安全可信。區塊鏈本身的安全性，是用密碼來保證交易過程不能導致篡改，確保分布式數據庫賬本公開透明可信。但是系統如果共建以后，系統安全是一樣的無法保障，必須構建安全可信的體系架構。

區塊鏈是公開、透明、公共的交易賬本，去中心化的傳統人工處理，顯然是計算機數據處理系統，因此為保證數據和處理過程安全可信，必須用主動免疫可信計算技術以有效保護區塊鏈業務信息的應用安全。在計算資源系統服務可信方面，必須實現區塊鏈計算過程不被惡意干擾，主動免疫防止惡意攻擊。在交易數據可控方面，應做到比特幣等區塊鏈數據能夠安全可信存儲與傳輸。在交易過程可管方面，確保交易過程真實可信，不可偽造，可信共管。安全可信區塊鏈組成如圖22所示：

圖22 安全可信區塊鏈組成

系統管理平臺安全開發組為可信的硬件、軟件和安全策略提供度量基準值。安全服務商為區塊鏈計算環境提供可信保障策略。大量的區塊鏈計算節點向區塊鏈審計平臺提供可信報告，可根據可信報告確定區塊鏈的異常情況，及時處理。只有基于可信計算技術構建出的安全可信的保障體系才能保證區塊鏈健康的發展。

4 結束語

面臨日益嚴峻的國際網絡空間形勢，我們要立足國情，創新驅動，解決受制于人的問題。堅持縱深防御，用可信計算3.0構建網絡空間安全主動免疫保障體系，筑牢網絡安全防線，為把我國建設成為世界網絡安全強國而努力奮斗！