按照《關鍵信息基礎設施安全保護條例》筑牢網絡空間安全底線

沈昌祥

1 加強關鍵信息基礎設施的安全建設，意義重大而任務艱巨

當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間。網絡安全是國際戰略在軍事領域的演進，這對我國網絡安全提出了嚴峻的挑戰。習近平總書記指示：“沒有網絡安全就沒有國家安全”“安全是發展的前提”，并在“4·19”講話中明確要求：“加快構建關鍵信息基礎設施安全保障體系”。關鍵信息基礎設施是國家安全、國計民生和公共利益的核心支撐。《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》明確強調，要建立健全關鍵信息基礎設施安全保障體系，提升網絡安全保障和維護國家主權能力。2021年7月30日國務院第745號令《關鍵信息基礎設施安全保護條例》的發布，對加快構建網絡空間保障體系具有里程碑戰略意義。

加快構建關鍵信息基礎設施保障體系的關鍵在于自主創新，在于深入研究網絡安全的基礎原理及其實質，突破體系結構關鍵核心技術，用安全可信的網絡產品和服務構建系統工程，其中最重要的是要有獨創的安全可信網絡產品。《中華人民共和國網絡安全法》第十六條規定“國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目”。《國家網絡空間安全戰略》提出“夯實網絡安全基礎”的戰略任務，強調“盡快在核心技術上取得突破”“加快安全可信的產品推廣應用”。這次發布的《關鍵信息基礎設施安全保護條例》第十九條明確要求“運營者應當優先采購安全可信的網絡產品和服務”。

我國于20世紀90年代就開始研究基于免疫技術的綜合安全防護體系，使得信息網絡系統如人體一樣具有免疫力，能主動識別、破壞、排斥進入機體的有害物質。創新發展基于主動免疫技術的可信計算技術體系，推動其產業化，完善網絡安全等級保護制度，為我國建設成為“技術先進、設備領先、攻防齊備”的網絡強國的重大戰略任務而努力奮進。

經過20多年可信計算技術與網絡安全等級保護制度的創新性發展，我國在構建主動防御網絡安全保障體系，確保關鍵信息基礎設施安全運營等方面取得了重大經濟和社會效益。面臨霸權國家的網絡核武器威脅，我國全面進入數字化轉型、網絡化升級，必須以科學網絡安全觀在核心技術突破和系統工程建設上跨躍發展，以等級保護2.0與可信計算3.0構建主動防御保障體系，筑牢我國的網絡安全防線。這項任務十分艱巨，它涉及到網絡空間自然科學和社會科學綜合交叉的復雜系統，所謂的安全范式或安全架構不能解決問題，因此，自主創新任重道遠。

2 敢于自主創新，樹立安全可信科學網絡安全觀

2.1 認清網絡安全本質，主動化解安全風險

要認清網絡安全基礎原理與實質，網絡安全的主要根源在于系統本身存在的脆弱性和人為攻擊的威脅。基于圖靈機的計算設備是工具，當初設計時，因不存在人為破壞情況，無需防止別人惡意攻擊，系統構建無需安全性考量，因此其選用的模型在原理上很少涉及攻防理念；同時，馮·諾依曼體系結構也缺乏防護部件，從而造成當前的計算系統極大的脆弱性。而現在人們意識到，由計算設備構成的信息基礎設施關系到資產財富、國家主權，黑客用病毒獲取金錢，敵對勢力以APT實施暴恐，霸權國家發動網絡戰侵占他國主權，這些都對網絡空間安全構成重大的威脅，暴露出網絡空間在強大威脅下自身極其脆弱的重大安全風險。再者，從科學原理上來說，這種重大安全風險的本質在于人們對IT認知邏輯的局限，在設計信息系統時不能窮盡所有的邏輯組合，只局限于處理與完成計算任務有關的邏輯組合，從而造成大量未處理的邏輯缺陷隱患，進一步形成了難以應對他人利用邏輯缺陷進行攻擊的風險，使網絡安全成為永遠的命題。為了有效防御威脅方的攻擊，減少脆弱性，降低風險度，必須從邏輯正確驗證理論、計算體系結構和系統工程構建等方面進行科學技術創新，以解決邏輯缺陷被攻擊者利用的問題。只有通過構建主動應對攻擊的防御體系，使威脅者攻而無效，確保完成計算任務的邏輯組合不被篡改和破壞，才能實現正確計算的目標。這就是基于主動免疫技術的安全可信防御體系，相當于為網絡信息系統培育了免疫力。

2.2 離開“封堵查殺”，建立主動免疫防護新理念

當前大部分網絡安全系統主要由防火墻、入侵監測、病毒查殺和打補丁等模塊和方式來組成，這種“封堵查殺”的模式難以應對利用邏輯缺陷進行的攻擊，反而增加了自身的脆弱性。因為：一，它是根據已發生過的特征庫內容進行比對查殺，而層出不窮的新漏洞與攻擊方法是防不勝防的；二，其功能部件屬于超級用戶，違背了最小特權用戶的安全原則，也可以被攻擊者控制，成為網絡攻擊的平臺。例如，“棱鏡門”就是利用世界著名防火墻收取情報，篡改病毒庫后把正確程序當作病毒殺死，從而導致系統癱瘓。最近，美國東海岸輸油管道控制系統被勒索病毒中斷，也是被動防護造成的，結果迫使拜登總統宣布美國進入緊急狀態。因此，只有實施具有主動免疫能力的安全可信防御體系，才能有效抵御已知和未知的各種攻擊。

3 堅持自立自強，構建主動免疫安全可信保障體系

3.1 建立主動免疫安全可信新計算模式

針對圖靈機原理中缺少安全機理，創新性地提出一種計算運算與安全防護同時進行的新計算模式，即以密碼為基因，由此產生抗體，實施身份識別、狀態度量、保密存儲等功能，及時識別自己和非己成份，從而破壞和排斥進入機體的有害物質。這與人體免疫類似，自身能防御有害入侵，確保機體邏輯缺陷不被惡意攻擊者所利用。

主動免疫安全可信計算實現計算運算與安全防護并行操作，計算全程可測可控，不受干擾，只有這樣方能使計算結果總是與預期一樣。這種新的計算模式改變了傳統的只講求計算效率，而不講安全防護的極其脆弱的計算模式。

3.2 構造“計算+防護”并行雙重體系結構

馮·諾依曼體系結構由運算、控制、存儲、輸入輸出等器件組成計算部件，缺少防護部件;因此，傳統的安全防護只是嵌入功能模塊，難以防御對計算部件的主動攻擊。只有建立與計算部件并列的防護部件雙體系結構，以防護部件并行的動態方式，對計算部件運算過程進行是否正確的核驗，才能發現異常及時處置，達到主動免疫防護效果。

圖1 安全可信的雙體系結構

在圖1所示的雙體系結構中，采用了一種安全可信策略管控下的運算和防護并列的主動免疫的新計算體系結構，以可信密碼模塊(TCM)連接可信平臺控制模塊(TPCM)組成可信根，由策略產生可信檢驗規則，由可信軟件基根據安全可信策略規則實施身份識別、狀態度量、保密存儲等功能，及時發現異常并加以處置，從根本上防止惡意代碼對計算部件(主機)的攻擊。這種以雙重體系結構為核心的安全架構，使計算機像人體一樣具有了免疫能力。

3.3 建設“一個中心+三層防護”保障體系框架

圖2 安全可信管理中心支持下的主動免疫三重防護框架

網絡化基礎設施、云計算、大數據、工業控制、物聯網等新型信息化環境需要安全可信作為基礎和發展的前提，必須進行可信度量、識別和控制。采用安全可信體系框架可以確保體系結構、資源配置、操作行為、數據存儲和策略管理等可信，從而達到系統級主動防護的目的。

安全可信計算體系框架應從技術和管理兩個方面進行設計。將信息系統安全防護體系劃分為安全計算環境、安全區域邊界、安全通信網絡三層防護，以及由系統資源、安全策略、審計監控組成的管理中心，構成了安全可信管理中心支持下的主動免疫三重防護體系框架，如圖2所示。基于該框架，制訂了信息系統等級保護安全設計技術要求的國家標準(GB/T 25070—2010)。在國家重要信息系統建設中推廣應用十余年，證明了該框架科學合理，取得了重大經濟和社會效益。由此，成為網絡安全法確定等級保護制度(等保2.0)新標準的基本要求、測評要求和技術要求統一的標準框架，要求關鍵信息基礎必須按照該框架做到可信、可控、可管。

3.4 執行四要素可信動態訪問控制

人機交互可信是發揮5G、數據中心等新基建動能作用的源頭和前提，必須對人的操作訪問策略四要素(主體、客體、操作、環境)進行動態可信度量、識別和控制。這樣，才能糾正傳統訪問控制策略模型局限于授權標識屬性進行操作。而不做可信驗證，難防篡改的安全缺陷錯誤。另外，傳統訪問控制不考慮環境要素(代碼及參數)是否被破壞，難以防止惡意代碼攻擊。為此，必須對環境要素在可信驗證基礎上依據策略規則進行動態訪問控制(見圖3)。

圖3 四要素可信動態訪問控制流程圖

3.5 加強 “五環節”全程“技”“管”融合管控

按照網絡安全法、密碼法、等級保護制度、關鍵信息基礎設施保護制度的要求，按照風險分析定級、備案建設、測評整改、監督檢查和感知反制等五個環節進行保護、保障和保衛(見圖4)。

3.6 取得“六不”防護效果

按照新計算模式、雙體系結構、三層防護框架、四要素訪問控制和五環節全程管控，能達到“六個不”的防護效果，即攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息篡改不了、系統工作癱不成和攻擊行為賴不掉的防護效果(見圖5)。“WannaCry”“Mirai”“黑暗力量”“震網”“火焰”“心臟滴血”等計算機木馬或病毒將不查殺而自滅。

以主動免疫防治“WannaCry”勒索病毒為例。2017年5月12日“WannaCry”在全球范圍大規模爆發。該病毒會釋放敲詐程序tasksche.exe，對磁盤文件進行加密導致系統鎖死，同時開價要求對方付款后解鎖，從而實施勒索。如果采用可信計算3.0技術建設的系統(如中央電視臺的可信制播環境)，以主動免疫防護體系功能機制，并行于主機的可信部件進行實時核驗，阻止非授權和不符合預期結果的勒索病毒程序運行，就可以使勒索病毒攻而無效。

4 開創可信計算3.0新時代，筑牢網絡空間安全防線

我國可信計算源于1992年正式立項研制成功的“主動免疫的綜合防護系統”，經過長期攻關、軍民融合，形成了自主創新的主動免疫可信體系(可信計算3.0)，其中不少技術已被國際可信計算組織(TCG)采納。

4.1 創建主動免疫雙結構體系框架

圖6 主動免疫雙結構體系框架圖

主動免疫是中國可信計算革命性創新的集中體現。我國自主創建了主動免疫雙結構體系框架，如圖6所示。在雙結構體系框架下，采用自主創新的對稱、非對稱相結合的密碼體制作為免疫基因；通過主動度量芯片組成控制模塊(TPCM)植入可信根，在此基礎上加以全程動態并行控制，實現了TPCM對計算平臺的主動控制；在可信平臺主板中嵌入了可信度量控制節點，實現了計算和可信雙節點融合；軟件由可信基礎層實現宿主操作系統和可信控制軟件基的雙重軟件系統，在不改變應用軟件的前提下依據可信策略對執行點進行可信驗證，達到主動防御效果；網絡層采用三層三元對等的可信連接架構，在訪問請求者、訪問連接者和管控者(即策略仲裁者)之間進行三重控制和鑒別，解決了防止合謀攻擊的難題，提高系統整體連接的可信性。

4.2 開創可信計算3.0新時代

圖7 可信計算發展路徑

主動免疫雙結構體系框架開創了以系統免疫為特性的可信計算3.0新時代(如圖7所示)。可信計算1.0以世界容錯組織為代表，主要特征是通過容錯算法、故障診查實現計算機部件的冗余備份和故障切換，提髙系統可靠性。可信計算2.0以TCG為代表，主要特征是PC節點安全性，通過主程序調用子程序以外部掛接的TPM模塊實現靜態串行度量。中國的可信計算3.0的主要特征是系統免疫性，其保護對象為以系統節點為中心的網絡動態鏈，構成“宿主+可信”雙節點可信免疫架構，在宿主機運算的同時由可信節點進行并行動態安全監控，實現對網絡信息系統的主動免疫防護。可信計算3.0防御特性如表1所示。

表1 可信計算3.0防御特性

4.3 用可信計算3.0筑牢關鍵信息基礎設施安全防線

《國家中長期科學和技術發展規劃綱要(2006—2020年)》明確提出:以發展高可信網絡為重點，開發網絡信息安全技術及相關產品，建立信息安全技術保障體系。“十二五”規劃中有關重大工程項目都把可信計算列為發展重點。國家重要信息系統，如增值稅防偽、彩票防偽、二代居民身份證安全系統都采用可信計算3.0作基礎支撐。中國可信計算已經成為保衛國家網絡空間主權的戰略核心技術，已在國家核心系統和關鍵信息基礎設施得到規模化成功應用。如中央電視臺用可信計算3.0建成了可信、可控和可管的數字化制播環境，確保媒體的政治安全。由此可見，國家戰略和法律要求推廣安全可信的網絡產品和服務是科學合理的。2020年10月28日成立了國家等級保護2.0制度與可信計算3.0攻關示范基地，將大力推進關鍵信息基礎設施安全保障體系的建設。

典型成功案例：可信計算3.0成功用于國家電網電力調度控制系統安全防護。2014年國家發展和改革委員會令第14號明確以可信計算架構實現國電調度控制系統等級保護四級。目前電力調度控制可信平臺已覆蓋三十多個省級以上調度控制中心，涉及十幾萬個節點、約四萬座變電站和一萬座發電廠，有效抵御大量攻擊，確保長期穩定供電。

最近，美國也大力推廣零信任架構，從表象上來看，這種架構與安全可信屬異曲同工之舉。但是，所謂零信任的永不信任永遠驗證的概念、安全功能模塊串行嵌入架構、動態訪問控制核心技術等，其科學性、先進性、可行性等方面存在很多問題，必須進行科學的分析和驗證，不能盲目跟風！

我們一定要搶占網絡空間安全核心技術戰略制高點，解決核心技術受制于人的問題，自主創新、自立自強，筑牢國家網絡空間安全防線。