用主動免疫可信計算構筑新型基礎設施網絡安全保障體系

◎中國工程院院士 沈昌祥

中共中央政治局近期密集召開會議，部署統籌做好疫情防控和經濟社會發展，要求以科技產業為突破口，加快推動5G 網絡、數據中心、工業互聯網等新型基礎設施建設進度。“新基建”作為國家經濟發展戰略，正在顯現出強大動能，為經濟社會發展的各方面提供了巨大的驅動力，但給網絡安全也帶來了嚴峻挑戰，如勒索病毒幾年來橫掃所有網絡系統，造成了巨大損失。因此，“新基建”既是機遇，又是挑戰。習近平總書記指示我們：要樹立正確的網絡安全觀。我們作為科技工作者，應該樹立科學的網絡安全觀。

一、科學的網絡安全觀

當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間，也是國際戰略在軍事領域的演進，我國的網絡安全正在面臨著嚴峻挑戰。習近平總書記指出，“沒有網絡安全就沒有國家安全”，安全的前景就是安全保障。因此，我們必須按照國家網絡安全法律、戰略和等級保護制度要求，搞好我們的網絡安全保障體系。

“新基建”的安全保障非常重要，如果說沒有安全保障，“新基建”恐怕不能建成，而且也起不了作用。怎么辦？我們提出要用主動免疫的可信計算。新型基礎設施是以數據和網絡為核心，其發展前提是用主動免疫的可信計算筑牢安全防線。國家《網絡安全法》第十六條指出：“國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。”《國家網絡空間安全戰略》提出“夯實網絡安全基礎”的戰略任務，強調“盡快在核心技術上取得突破，加快安全可信的產品推廣應用”。網絡安全等級保護制度2.0 標準要求全面使用安全可信的產品和服務來保障關鍵基礎設施安全。

中國工程院院士沈昌祥在第二十期錢學森論壇深度會議上作主題報告

《網絡安全法》《國家網絡空間安全戰略》以及網絡安全等級保護制度2.0 標準都非常明確地規定了要把安全可信貫徹到所有的設備、系統、基礎設施建設中去。為什么要這么做？大家都具有很強的安全意識，在安全問題上可能也有很多不同的看法。現在新冠肺炎在全球肆虐，面對新冠病毒，人的免疫力顯得非常重要。實質上，網絡安全也是一樣的，也存在著各種各樣的重大威脅。網絡安全是主權空間利益所在，黑客集團為了謀取利益，用某種病毒敲詐勒索；反動敵對勢力集團攻擊網絡，以基礎設施為目標發動網絡攻擊，擾亂社會，破壞我們的穩定，更嚴重的是美國等霸權國家通過網絡戰來侵犯國家的主權。

在這些危機情況下，我們的網絡空間有沒有免疫能力呢？能挺得住嗎？由于圖靈計算原理缺少攻防理念、馮諾依曼架構缺少防護部件、重大工程應用無安全服務，導致我們的網絡空間極其脆弱。因此，我們要重新思考怎么辦，要確保正確認識網絡安全問題。

由于人在設計IT 系統時不可能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。因此，我們提出了主動免疫可信計算，通過為IT 系統提供免疫能力來獲得安全，確保為完成計算任務的邏輯組合不被篡改和破壞，實現正確計算。相當于人體具有主動免疫功能使得其能健康生活。對于網絡病毒而言，通過找漏洞、殺病毒、打補丁是解決不了的。殺病毒、防火墻、入侵檢測的傳統“老三樣”難以應對人為攻擊，且容易被攻擊者利用，找漏洞、打補丁的傳統思路也不利于整體安全。因此，我們要有完整的主動免疫可信計算體系。

二、主動免疫可信計算體系

主動免疫可信計算是一種運算同時進行安全防護的新計算模式，以密碼為基因抗體實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為網絡信息系統培育了免疫能力。

因此，必須對計算機體系結構進行調整，構建計算+防護的雙重體系結構，形成有免疫能力的計算機體系結構。“個體”有免疫能力了，那“社會”怎么辦呢？

二重體系（計算+防護）結構的可信計算節點

可信安全管理中心支持下的主動免疫三重防護框架

我們提出了在可信安全管理中心支持下的主動免疫三重防護框架。第一，要保證計算環境（個體）有免疫能力；第二，要有可信邊界；第三，來往的信息（人）要審查、要控制、要可信安全，更重要的是整個社會體系要管理，這就是安全管理中心支持下的主動免疫三重防護框架，其實跟我們現在的防疫是一樣的。

由此，我們要注意的一個關鍵問題是人機交互。人機交互可信是發揮5G、數據中心等“新基建”動能作用的源頭和前提，因此我們必須把人機交互控制好，這里面有戰略，有策略，而且有模型。我們歸結為四個要素：主體、客體、操作、環境，這里面主體是人，客體是訪問的對象。四個要素的安全可信要嚴格地進行可信度量、識別、驗證和控制。只有加強對安全可信和密碼的管理服務，才能確保基礎設施五個環節可信：一是體系結構架構不能被破壞；二是資源配置不能被篡改；三是操作行為不能被假冒；四是數據存儲不能被竊取；五是策略不能變樣。即體系結構可信、資源配置可信、操作行為可信、數據存儲可信、策略管理可信五個可信。最終要達到安全防護“六不效果”，即攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不成、攻擊行為賴不掉。這樣的話，我們的系統對所有病毒都是免疫的，對病毒庫里面的所有的病毒都要進行驗證，對很多不認識的病毒，我們的系統也要進行主動的驗證。

三、中國可信計算創新及規模化應用

中國可信計算源于1992 年立項研制免疫的綜合安全防護系統（智能安全卡），于1995 年2 月底通過測評和鑒定。經過20 多年的反復試驗和軍民融合攻關應用，形成了自主創新安全可信體系，開啟了可信計算3.0 時代。

1995 年2 月的安全功能測評，提出我們免疫的綜合安全防護系統（智能安全卡）有四個提升：一是公鑰密碼身份識別、對稱密碼加密存儲；二是智能控制與安全執行雙重體系結構；三是環境免疫抗病毒原理；四是數字定義可信策略對用戶透明。因此，國家也很重視，在《國家中長期科學技術發展（2006-2020 年）》明確提出要“以發展高可信網絡為重點，開發網絡安全技術及相關產品，建立網絡安全技術保障體系”。經過20 多年的發展，可信計算廣泛應用于國家重要信息系統，如：增值稅防偽、彩票防偽、二代居民身份證安全系統、中央電視臺全數字化可信制播環境建設、國家電網電力數字化調度系統安全防護建設，已成為國家法律、戰略、等級保護制度要求進行推廣應用，其密碼體制和體系結構等5 大核心技術已被世界著名企業和機構所采用。俄羅斯卡巴斯基最近宣布不搞殺病毒軟件而要建免疫網絡，美國防部熱推“零信任架構”等都是異曲同工之舉。

此外，可信計算還具有完備的產業鏈，且有巨大的產業空間。自主可信計算平臺產品設備既有系統重構可信主機，還有主板配插PCI 可信控制卡，以及配接USB 可信控制模塊等多種產品設備，這些產品設備可以方便地通過可信網絡支撐平臺把現有設備升級為可信計算機系統，而應用系統不用改動，便于新老設備融為一體，構成全系統安全可信。

四、用可信計算3.0 夯實網絡安全等級保護基礎

國家電網電力調度系統安全架構

等級保護制度把安全可信、主動免疫可信計算納入其核心要求，要求一級、二級，三級、四級都要可信。例如，等保2.0 新標準一級要求：所有計算節點都應基于可信根實現開機到操作系統啟動的可信驗證。二級要求：所有計算節點都應基于可信根實現開機到操作系統啟動，再到應用程序啟動的可信驗證，并將驗證結果形成審計紀錄。三級要求：所有計算節點都應基于可信根實現開機到操作系統啟動，再到應用程序啟動的可信驗證，在應用程序的關鍵執行環節對其執行環境進行可信驗證，主動抵御入侵行為，并將驗證結果形成審計紀錄，送到管理中心。四級要求：所有計算節點都應基于可信計算技術實現開機到操作系統啟動，再到應用程序啟動的可信驗證，在應用程序的所有執行環節對其執行環境進行可信驗證，主動抵御入侵行為，并將驗證結果形成審計紀錄，送到管理中心，進行動態關聯感知，形成實時的態勢。以上各個等級對可信的要求程度不一樣，我們都要貫徹執行。

我舉一個跟每個人都有關系的例子，即國家電網電力調度系統安全防護建設的例子。我們國家對電網的安全問題，尤其是對電網的數字化、網絡化、智能化非常重視。國家發改委14 號令決定以可信計算架構實現等級保護四級要求。經過十幾年的努力，現在電力可信計算密碼平臺已在三十四個省級以上調度控制中心使用，覆蓋上千套地級以上電網調度控制系統，涉及十幾萬個節點，約四萬座變電站和一萬座發電廠，有效抵御各種網絡惡意攻擊，確保電力調度系統安全運行。委內瑞拉大面積電網癱瘓的原因就是電網的信息化系統被攻擊。美國更厲害，將病毒植入到了俄羅斯的電網。我國這么大面積的電網，很多年來沒有引起大面積的癱瘓，就是因為可信計算起了效益，而且還推動了國家等級保護制度的發展。

我們的特點很明顯，原有的系統沒有影響，我們的軟件也不用改，成本也不高。防火墻、殺病毒等系統很費錢，而我們可以不花這個錢，用主動免疫系統就可以。

我們要抓住機遇，在新興城市發展“新基建”的時候，一定要達到主動免疫可信計算，不僅要解決我們的網絡安全問題，也要推動經濟社會的健康發展，形成新型的產業鏈。