大咖論“數” 沈昌祥：打造網絡空間安全可信主動免疫新生態

沈昌祥

“沒有網絡安全就沒有國家安全，安全是發展的前提。”網絡空間已經成爲國家的主權空間。國家互聯網信息辦公室發佈的《國家網絡空間安全戰略》，其中有一條“夯實網絡安全基礎”，強調“儘快在覈心技術上取得突破，加快安全可信的產品推廣應用”。由此，網絡安全等級保護，以及關鍵技術保護制度要求所有標準都是以安全可信爲基礎，構建主動防護體系。

以安全可信構築網絡主動免疫保障體系。2017年5月暴發的“WannaCry”勒索病毒，通過將系統中數據信息加密，使數據變得不可用，藉機勒索錢財。病毒席捲近150個國家，主要攻擊教育、交通、醫療、能源等網絡。美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊，被迫關閉其美國東部沿海各州供油網絡。因此，我們必須用安全可信的產品服務來築起網絡安全的長城。

安全可信就是主動免疫、全方位、動態地進行防護，使得我們設計的系統邏輯組合不被篡改，能夠達到原來計算的目標。這不是打個補丁、刪個病毒，我們要的是一個安全保障體系。

中國可信計算源於1992年立項研製免疫的綜合安全防護系統（智能安全卡），於1995年2月底通過測評和鑑定。經過長期軍民融合攻關應用，形成了自主創新安全可信體系，開啓了可信計算3.0時代。

現在統治世界的操作系統win8、win10，它們沒有改變計算機原理，還是主程序調子程序，安全部件TPM的檢查模塊，沒有改變結構，構不成免疫系統，會出現重大安全漏洞。3.0既有win8、win10的創新功能，又有提高可靠性的功能。完備的可信計算3.0產品鏈，將形成巨大的新型產業空間。

搶佔核心技術制高點擺脫受制於人。《國家中長期科學和技術發展規劃綱要（2006-2020年）》明確提出，以發展高可信網絡爲重點，開發網絡安全技術及相關產品，建立網絡安全技術保障體系。可信計算廣泛應用於國家重要信息系統，如：增值稅防僞、彩票防僞、二代居民身份證安全系統、國家電網電力數字化調度系統安全防護建設，已成爲國家法律、戰略、等級保護制度要求進行推廣應用。

近期宣揚的零信任架構，缺少科學原理支撐，網絡無邊界不符合網絡空間主權原則，基於身份認證的動態訪問控制早就在國標17859規定，傳統的調用功能模塊組合難成爲安全保障科學架構，也不符合我國法律、戰略和制度要求推廣安全可信的網絡產品和服務的規定。我們要科學嚴謹分析研究，堅持自主創新，不能盲目跟班。

落實關鍵基礎設施等級保護標準，案例很多，標準很明確。一級基礎軟硬件、固件不能被篡改，二級應用程序不能假冒篡改，三級動態並行，四級不間斷檢查，進行動態關聯感知，形成實時的態勢。

現在電力可信計算密碼平臺已覆蓋幾十個省級以上調度控制中心、上千套地級以上電網調度控制系統，確保了長期穩定供電，抵禦了一切病毒的攻擊。

我們要抓住安全、可信的發展機遇，推動整個產業體系形成保障，爲安全可信的網絡架構作出應有的貢獻。

（沈昌祥 作者爲中國工程院院士）