中國工程院院士沈昌祥：主動免疫可信計算爲網信系統打疫苗

“新基建下萬物互聯網絡攻擊將從數字空間延伸到物理空間，對網絡安全提出嚴峻挑戰，必須有效應對壟斷網絡空間霸權威懾，築牢網絡安全防線。”近日在北京召開的首屆中央企業數字化轉型峰會之“數字化轉型下的網絡安全”分論壇上，中國工程院院士、中央網信辦專家諮詢委員會顧問、國家集成電路產業發展諮詢委員會委員、國家三網融合專家組成員沈昌祥發表了《開創安全可信數字化轉型新生態》的演講。

沈昌祥在演講。

沈昌祥從數字化時代的機遇與挑戰出發，圍繞網絡安全的重要性和戰略規劃、制度要求，提出要以基礎原理、核心技術和工程應用創新爲依託，用安全可信網絡產品和服務構建主動免疫防護的保障體系。

“大數據是鑽石礦。”沈昌祥指出，大數據是指無法用現有軟件工具進行處理的海量複雜的數據集合，具有多源異構、非結構化、低價值度、快速處理等特點。“我們假定礦裡頭沒有鑽石，也就是說沒有現成的數據，因此要收集、開採。”這就相當於數據廢品和垃圾收集處理，來從中發掘知識和本質規律。

沈昌祥表示，大數據再處理、再加工產生新的產品，即數字產業化。而隨着海量數據的進一步集中和信息技術的進一步發展，信息安全成爲大數據快速發展的瓶頸。網絡空間的脆弱性呈現在我們眼前，由於利用邏輯缺陷對計算機系統進行攻擊獲取利益成爲永遠命題，這就是網絡安全的本質。這相當於人的身體沒有免疫系統不能防禦病毒入侵一樣。

在論壇上，沈昌祥再次提起2017年爆發的“WannaCry”勒索病毒這個著名的網絡攻擊例子。該病毒通過將系統中的數據信息加密，使數據變得不可用，藉機勒索錢財，病毒席捲近150個國家，教育、交通、醫療、能源網絡成爲本輪攻擊的重災區。

“我們要如何對付？”沈昌祥說，要構建主動免疫的可信計算體系，這樣才能築牢基礎設施網絡安全防線。

什麼是主動免疫可信計算？沈昌祥解釋，我們通常所理解的殺病毒、防火牆、入侵檢測等“老三樣”，並不是科學的網絡安全概念，難以應對人爲攻擊，且容易被攻擊者利用。而主動免疫的可信計算是一種運算同時進行安全防護的新計算模式，以密碼爲基因抗體實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當於爲網絡信息系統培育了免疫能力。

該模式構建“計算+保護”並行的雙輪驅動體系結構，形成動態的模式，對計算過程進行正確性的核研，發現異常及時處理，達到主動的防護效果。沈昌祥指出，將信息系統安全防護體系從系統資源、安全策略、審計方面進行三層防護，從而建立主動免疫三重防護框架，達到攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不成、攻擊行爲賴不掉等“六不”防護效果。

據悉，可信計算是世界網絡安全的主流技術，我國可信計算源於1992年正式立項研究免疫的綜合安全防護系統（智能安全卡），並於1995年2月底通過測評和鑑定，經過長期軍民融合攻關應用，制訂發佈了國家和軍隊的可信計算系列標準及專利，形成了自主創新安全可信體系，並跨入了主動免疫可信計算3.0新時代。

目前，可信計算廣泛應用於國家重要信息系統，如：增值稅防僞、彩票防僞、二代居民身份證安全系統，它不可能假冒，也不可能篡改，已成爲國家法律、戰略、等級保護制度要求，推廣應用。依託主動免疫可信技術體系，在傳統應用領域、工控系統和雲計算、物聯網、大數據、移動智能網等現代信息系統中奠定網絡安全可信的堅實基礎。

“落實關鍵基礎設施等級保護要求，將保障數字化轉型健康發展。”沈昌祥說，完備的可信計算3.0產品鏈，也將形成巨大的新興產業空間。

南都見習記者 陳秋圓 發自北京