國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥：網(wǎng)絡空間安全戰(zhàn)略思考與啟示

?

國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥：網(wǎng)絡空間安全戰(zhàn)略思考與啟示

沈昌祥

習近平總書記指出，沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。2013年12月20日，習總書記《在中國工程院一份建議上的批示》上指出：“計算機操作系統(tǒng)等信息化核心技術和信息基礎設施的重要性顯而易見，我們在一些關鍵技術和設備上受制于人的問題必須及早解決。要著眼國家安全和長遠發(fā)展，抓緊謀劃制定核心技術設備發(fā)展戰(zhàn)略并明確時間表，大力發(fā)揚‘兩彈一星’和載人航天精神，加大自主創(chuàng)新力度，經(jīng)過科學評估后選準突破點，在政策、資源等各方面予以大力扶持，集中優(yōu)勢力量協(xié)同攻關實現(xiàn)突破，從而以點帶面，整體推進，為確保信息安全和國家安全提供有力保障。”

美國網(wǎng)絡空間安全戰(zhàn)略啟示

1.美國將網(wǎng)絡空間安全由“政策”、“計劃”提升為國家戰(zhàn)略

美國在網(wǎng)絡空間戰(zhàn)略是一個認識發(fā)展的過程。1998年5月，當時的克林頓政府發(fā)布了第63號總統(tǒng)令（PDD63）：《克林頓政府對關鍵基礎設施保護的政策 》，成為直至現(xiàn)在美國政府建設網(wǎng)絡空間安全的指導性文檔。

2000年1月，克林頓政府發(fā)布了《信息系統(tǒng)保護國家計劃v1.0》，提出了美國政府在21世紀之初若干年的網(wǎng)絡空間安全發(fā)展規(guī)劃。

2001年10月16日，布什政府意識到了“911”之后信息安全的嚴峻性，發(fā)布了第13231號行政令《信息時代的關鍵基礎設施保護》，宣布成立“總統(tǒng)關鍵基礎設施保護委員會”（簡稱PCIPB），代表政府全面負責國家的網(wǎng)絡空間安全工作。委員會由克拉克擔任主席。該委員會與2002年9月18日制定發(fā)布了《保護網(wǎng)絡空間的國家戰(zhàn)略》（草案），并于2003年2月正式發(fā)布。

2003年12月17日發(fā)布了《第7號國土安全總統(tǒng)令》，重新對關鍵基礎設施和資源進行標識、優(yōu)先級排序和防護，要求國防部建立合適的系統(tǒng)、機制和流程與其他部門進行協(xié)調和溝通。以反恐名義立法，全面監(jiān)控網(wǎng)絡信息。

2006年4月信息安全研究委員會發(fā)布的《聯(lián)邦網(wǎng)絡空間安全及信息保障研究與發(fā)展計劃（CSIA）》確定了14個技術優(yōu)先研究領域，13個重點投入領域。改變無窮無盡打補丁和封堵的被動防御策略。

2008年發(fā)布機密級的第54號國家安全總統(tǒng)令，設立“綜合性國家網(wǎng)絡安全計劃”，該計劃以“曼哈頓”（二戰(zhàn)研制原子彈）命名，具體內(nèi)容以“愛因斯坦”一、二、三組成，目的是全面建設聯(lián)邦政府和主要信息系統(tǒng)的防護工程，建立全國統(tǒng)一的安全態(tài)勢信息共享和指揮系統(tǒng)。

2.美國網(wǎng)絡空間安全戰(zhàn)略進一步完善

美國在2007年8月成立了第44屆總統(tǒng)網(wǎng)絡空間安全委員會，經(jīng)過一年半的工作，形成了《提交第44屆總統(tǒng)的保護網(wǎng)絡空間安全的報告》。報告引言為暗戰(zhàn)，以二戰(zhàn)時期“阿爾法和英格碼”事件為警示，提出：網(wǎng)絡安全是美國在一個競爭更加激烈的新國際環(huán)境中面臨的最大安全挑戰(zhàn)之一?！霸诰W(wǎng)絡空間，戰(zhàn)爭已經(jīng)開始”，美國國防部已進行了廣泛的部署，為網(wǎng)絡空間可能發(fā)生的沖突做準備。并指出網(wǎng)絡空間（相對于常規(guī)戰(zhàn)爭），防御比攻擊更加重要。

2008年12月，為了加深美國政府對信息安全現(xiàn)狀的認識，美國開展了為期2天的“模擬網(wǎng)絡戰(zhàn)”，總計有230名來自軍方、政府和企業(yè)的代表參與了這次演習活動。演習結果認為，美國在網(wǎng)絡攻擊前抵抗能力很差，這為奧巴馬政府敲響了警鐘。

2009年5月29日，奧巴馬在白宮東廳公布了名為《網(wǎng)絡空間政策評估——保障可信和強健的信息和通信基礎設施》的報告，并發(fā)表重要講話。奧巴馬在演講詞中強調，美國21世紀的經(jīng)濟繁榮將依賴于網(wǎng)絡空間安全。

2010年5月21日，美國網(wǎng)絡司令部正式啟動，隸屬于美國戰(zhàn)略司令部，編制近千人，很快投入全面運作。

3.網(wǎng)絡空間國際和戰(zhàn)爭戰(zhàn)略

2010年9月底，美國舉行了為期三天的“網(wǎng)絡風暴III”的大規(guī)模網(wǎng)絡攻擊應對演習。美國擬實施“先發(fā)制人”網(wǎng)絡打擊戰(zhàn)略。這項戰(zhàn)略提出了軍隊計算機系統(tǒng)的“積極防御”措施，是美國網(wǎng)絡戰(zhàn)防御措施的根本性變化。

2010年10月，美國國防部與國土安全局簽署了網(wǎng)絡安全的合作備忘錄，明確了兩個部門在網(wǎng)絡安全事務中的職責。建立了常設合作機構，確定了長效合作機制，并構建國家網(wǎng)絡靶場，升級網(wǎng)絡戰(zhàn)規(guī)模。

2011年2月，美國國防信息局宣布“網(wǎng)絡空間計劃”，創(chuàng)建“非軍事區(qū)”，嚴格控制敏感IP路由接入，軍民聯(lián)防，保證美國網(wǎng)絡安全。

2011年7月14日，美國國防部發(fā)布了《網(wǎng)絡空間行動戰(zhàn)略》再次強調：“網(wǎng)絡安全威脅是我們作為一個國家所面臨的最嚴重的國家安全、公共安全和經(jīng)濟安全挑戰(zhàn)”。

2012年10月16日，奧巴馬簽署了《美國網(wǎng)絡行動政策》（PDD21），在法律上賦予美軍具有進行非傳統(tǒng)作戰(zhàn)權力，明確從網(wǎng)絡中心戰(zhàn)擴展到網(wǎng)絡空間作戰(zhàn)行動等。

2013年4月10日，奧巴馬向國會提交《2014財年國防預算優(yōu)先項和選擇》提出，至2016年整編成133支網(wǎng)絡部隊。

2014年2月12日，美國國家標準與技術研究所針對《增強關鍵基礎設施網(wǎng)絡安全》，提出了《美國增強關鍵基礎設施網(wǎng)絡安全框架》（V1.0），強調利用業(yè)務驅動指導網(wǎng)絡安全行動，并考慮網(wǎng)絡安全風險作為組織風險管理進程的一部分。

美國于2014年10月21日正式對外頒布《JP 3-12聯(lián)合網(wǎng)絡作戰(zhàn)條例》，界定了美國的網(wǎng)絡空間、網(wǎng)絡空間作戰(zhàn)、信息作戰(zhàn)等相關概念的內(nèi)涵和相互關系。

美國網(wǎng)絡空間戰(zhàn)略表明，網(wǎng)絡空間已經(jīng)成為陸、海、空、天之后的第五大主權領域空間，也是國際戰(zhàn)略在軍事領域的演進，對我國網(wǎng)絡安全提出了嚴峻的挑戰(zhàn)。我們應積極應對，加快建設我國網(wǎng)絡安全保障體系，捍衛(wèi)我國網(wǎng)絡安全國家主權。

可信免疫的計算體系結構

1.可信免疫的計算模式

當前大部分網(wǎng)絡安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒防范等組成，稱為“老三樣”。信息安全問題是由設計缺陷而引起的，消極被動的封堵查殺是防不勝防的。為此，我們提出了可信計算模式。

可信計算是指計算運算的同時進行安全防護，使計算結果總是與預期一樣，計算全程可測可控，不被干擾。它是一種運算和防護并存的主動免疫的新計算模式，具有身份識別、狀態(tài)度量、保密存儲等功能。及時識別“自己”和“非己”成份，從而破壞與排斥進入機體的有害物質。我們成立了可信的架構來解決一系列問題，如圖1所示。

圖1　雙體系架構

2.安全可信系統(tǒng)框架

云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、虛擬動態(tài)異構計算環(huán)境更需要可信度量、識別和控制，包括體系結構可信、操作行為可信、資源配置可信、數(shù)據(jù)存儲可信和策略管理可信五個方面。通過構建可信安全管理中心支持下的積極主動三重防護框架，能夠達到攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息篡改不了等多種安全防護效果。

中國可信計算技術創(chuàng)新

中國可信計算于1992年正式立項研究并規(guī)模應用，早于由惠普、微軟、Intel等公司牽頭組織的可信計算組織（TCG），經(jīng)過長期攻關，形成了自主創(chuàng)新的體系。

可信計算技術結構框架以密碼為基礎、芯片為支柱、主板為平臺、軟件為核心、網(wǎng)絡為紐帶、應用成體系，由它們構成可信計算的主體標準。首先要搞好主體標準的制定工作，而后圍繞主體標準豐富相應的標準，形成我國可信計算標準體系。

TCG可信計算方案的局限性表現(xiàn)在以下兩個方面：一是密碼體制的局限性，原TCG公鑰密碼算法只采用了RSA，雜湊算法只支持SHA1系列，回避了對稱密碼。由此導致密鑰管理、密鑰遷移和授權協(xié)議的設計復雜化（五類證書，七類密鑰），也直接威脅著密碼的安全?，F(xiàn)在采用了我國的密碼體制，并成為標準；二是體系結構不合理，目前還主要停留在工程層面，尚缺乏比較完善的理論模型，TPM外掛，子程序調用被動模式。

中國可信計算經(jīng)過長期攻關，不僅解決了TCG的上述問題，還形成了自主創(chuàng)新的體系，其創(chuàng)新點包括：

一是，可信計算平臺密碼方案創(chuàng)新。采用國家自主設計的算法，提出了可信計算密碼模塊（TCM），以對稱密碼與非對稱密碼相結合體制，提高了安全性和效率；采用雙證書結構，簡化證書管理，提高了可用性和可管性。

二是，可信平臺控制模塊創(chuàng)新。提出了可信平臺控制模塊（TPCM），TPCM作為自主可控的可信節(jié)點植入可信源根，在TCM基礎上加以信任根控制功能，實現(xiàn)了以密碼為基礎的主動控制和度量；TPCM先于CPU啟動并對BIOS進行驗證，由此改變了TPM作為被動設備的傳統(tǒng)思路，實現(xiàn)了TPCM對整個平臺的主動控制。

三是，可信主板創(chuàng)新。在可信平臺主板中增加可信度量節(jié)點（TPCM+TCM），構成了宿主加可信的雙節(jié)點，實現(xiàn)到操作系統(tǒng)的信任傳遞，為上層提供可信硬件環(huán)境平臺；對外設資源實行總線級的硬件可信控制，在CPU上電前TPCM主動對Boot ROM進行度量，使得信任鏈在“加電第一時刻”開始建立；并利用多度量代理建立信任鏈，為動態(tài)和虛擬度量提供支撐。

四是，可信基礎支撐軟件創(chuàng)新。采用宿主軟件系統(tǒng)+可信軟件基的雙系統(tǒng)體系結構，可信軟件基是可信計算平臺中實現(xiàn)可信功能的可信軟件元件的全體，對宿主軟件系統(tǒng)提供主動可信度量、存儲、報告等保障。

五是，可信網(wǎng)絡連接創(chuàng)新。采用基于三層三元對等的可信連接架構，進行訪問請求者、訪問控制者和策略仲裁者之間的三重控制和鑒別；對三元集中控管，提高架構的安全性和可管理性；并對訪問請求者和訪問控制者實現(xiàn)統(tǒng)一的策略管理，提高系統(tǒng)整體的可信性。

用可信計算構筑網(wǎng)絡安全防護體系

目前，中國可信計算產(chǎn)業(yè)化條件已經(jīng)具備?！秶抑虚L期科學技術發(fā)展（2006-2020年）》明確提出“以發(fā)展高可信網(wǎng)絡為重點，開發(fā)網(wǎng)絡安全技術及相關產(chǎn)品，建立網(wǎng)絡安全技術保障體系”，“十二五”規(guī)劃有關工程項目都把可信計算列為發(fā)展重點，可信計算標準系列逐步制定，核心技術設備形成體系。由中國工程院多名院士提議，中國電子信息產(chǎn)業(yè)集團、中國信息安全研究院、北京工業(yè)大學、中國電力科學研究院等60家單位發(fā)起，經(jīng)北京市民政局批準、具有法人資格的社會團體——中關村可信計算產(chǎn)業(yè)聯(lián)盟于2014 年4月16日正式成立。運行以來，發(fā)展迅速，成績顯著。

可信計算是網(wǎng)絡空間戰(zhàn)略最核心技術之一，要堅持“五可”“一有”技術路線?！拔蹇伞卑ㄒ韵聨讉€方面：一是可知，即對開源系統(tǒng)完全掌握其細節(jié)，不能有1%的代碼未知；二是可編，要基于對開源代碼的理解，完全自主編寫代碼；三是可重構，面向具體的應用場景和安全需求，對基于開源技術的代碼進行重構，形成定制化的新的體系結構；四是可信，通過可信計算技術增強自主操作系統(tǒng)免疫性，防范自主系統(tǒng)中的漏洞影響系統(tǒng)安全性；五是可用，做好應用程序與操作系統(tǒng)的適配工作，確保自主操作系統(tǒng)能夠替代國外產(chǎn)品。“一有”是要有自主知識產(chǎn)權，要對最終的自主操作系統(tǒng)擁有自主知識產(chǎn)權，并處理好所使用的開源技術的知識產(chǎn)權問題。開源技術要受到GPL協(xié)議的約束，目前我國現(xiàn)有基于開源的操作系統(tǒng)尚未遇到知識產(chǎn)權方面的明顯糾紛，但僅僅是因為這些系統(tǒng)尚無規(guī)模應用，一旦我國自主操作系統(tǒng)形成氣候，必然會面臨這方面的挑戰(zhàn)。

面臨日益嚴峻的國際網(wǎng)絡空間形勢，我們要立足國情，創(chuàng)新驅動，軍民協(xié)調發(fā)展，解決受制于人的問題。堅持縱深防御，構建牢固的網(wǎng)絡安全保障體系。

（本文根據(jù)國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥在“2016高等教育信息化創(chuàng)新論壇”上的演講整理，未經(jīng)本人審閱）