科學(xué)的網(wǎng)絡(luò)安全觀與可信計(jì)算3.0

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中提出的戰(zhàn)略任務(wù)是“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”，并強(qiáng)調(diào)“加快安全可信產(chǎn)品推廣引用”，而安全可信這個(gè)詞用的不多。為什么我們要用這個(gè)詞呢？我們首先要有科學(xué)的網(wǎng)絡(luò)安全觀來理解法律安全可信。

用科學(xué)的網(wǎng)絡(luò)安全觀

理解法律安全可信

網(wǎng)絡(luò)安全現(xiàn)在是一級(jí)學(xué)科，有重大基礎(chǔ)理論問題。我們的網(wǎng)絡(luò)空間面臨著極大的安全威脅，現(xiàn)在網(wǎng)絡(luò)是資產(chǎn)，是財(cái)富，因此黑客利用病毒來謀取財(cái)富，勒索金錢，欺詐欺騙。網(wǎng)絡(luò)空間是基礎(chǔ)設(shè)施，現(xiàn)在說國家主權(quán)，霸權(quán)國家，組建網(wǎng)絡(luò)司令部，打網(wǎng)絡(luò)戰(zhàn)，通過網(wǎng)絡(luò)侵占國家，控制國家的主權(quán)，面對(duì)這樣的問題我們有能力對(duì)抗嗎？沒有。

第一，我們的計(jì)算科學(xué)出了問題，以前沒有攻防理念。比如說世界計(jì)算水平突破500，中國好幾年第一，計(jì)算設(shè)備沒有理念去防護(hù)。當(dāng)然了，從計(jì)算角度可以，但是從網(wǎng)絡(luò)空間這個(gè)角度就不行了。

第二，我們的安全防護(hù)部件缺失了。在工程應(yīng)用上無安全服務(wù)，這么大的缺失，我們?cè)撛趺崔k？我們要認(rèn)識(shí)這個(gè)風(fēng)險(xiǎn)是極大的，原因何在？原因是科學(xué)問題，我們對(duì)IT的認(rèn)知邏輯是局限的。軟件邏輯組合是發(fā)散的，計(jì)算機(jī)軟件不可能沒有bug出現(xiàn)?；诖耍覀冎荒芫窒抻诎延?jì)算任務(wù)有關(guān)的邏輯組合起來去設(shè)計(jì)這個(gè)IT系統(tǒng)。所以我們必定存在邏輯不全的缺陷。那么再講到我們沒有攻防理念，沒有防的邏輯，所以難以應(yīng)對(duì)人為利用這個(gè)缺陷進(jìn)行的攻擊，所以有這樣的邏輯缺陷，去尋找這個(gè)邏輯缺陷，變成漏洞，注入惡意代碼，進(jìn)行攻擊，這是風(fēng)險(xiǎn)的實(shí)質(zhì)。

那么怎么辦呢？我們不能和以前一樣去找漏洞，堵漏洞，打補(bǔ)丁，應(yīng)該從正面的思維、從正確的邏輯驗(yàn)證、計(jì)算體系結(jié)構(gòu)、計(jì)算模式等方面去科學(xué)地創(chuàng)新，解決邏輯缺陷，不被攻擊，這就是矛盾的統(tǒng)一體。

確保計(jì)算任務(wù)邏輯組合不被篡改和破壞，實(shí)現(xiàn)正確計(jì)算是我們正確的網(wǎng)絡(luò)安全目標(biāo)。不是說要建設(shè)得刀槍步入，銅墻鐵壁，這是不可能的。我們要降低風(fēng)險(xiǎn)，就是確保我們?cè)瓉碓O(shè)計(jì)的IT系統(tǒng)能完成任務(wù)。世界應(yīng)該達(dá)成共識(shí)，2005年美國提出來不解決問題，重新規(guī)劃發(fā)展的規(guī)劃，我們要構(gòu)建主動(dòng)免疫的計(jì)算架構(gòu)。

構(gòu)建主動(dòng)免疫的計(jì)算架構(gòu)

主動(dòng)免疫的計(jì)算架構(gòu)是什么呢？是指計(jì)算機(jī)運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測(cè)可控，不被干擾，使計(jì)算結(jié)果與預(yù)期的一樣。這樣就改變了片面的只講計(jì)算效率，從矛盾的統(tǒng)一體，正反兩方面都要考慮，最終構(gòu)建和計(jì)算并存的主動(dòng)免疫的計(jì)算模式。人的健康生活是靠免疫系統(tǒng)支撐的，1990年開始我就研究免疫系統(tǒng)用于計(jì)算機(jī)安全，并發(fā)現(xiàn)這是非常奇妙的?；蚰馨焉矸葑R(shí)別植入其中，進(jìn)來以后它破壞不了這個(gè)集體，應(yīng)用密碼技術(shù)來保護(hù)重要的信息，這指的不是數(shù)字密碼，而是身份編碼。因此我們按照以密碼為基因，識(shí)別自己和非自己的成分，從而破壞與排斥進(jìn)入集體的有害物質(zhì)，相當(dāng)于為計(jì)算信息系統(tǒng)培育免疫能力。

這樣我們才能解決云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)這樣復(fù)雜的安全系統(tǒng)，因?yàn)槲覀冇羞@樣主動(dòng)可信的系統(tǒng)能夠保證體系結(jié)構(gòu)、資源配置、操作行為、數(shù)據(jù)存儲(chǔ)可信不被人家破壞，同時(shí)這種策略也不會(huì)變異，這樣能構(gòu)成安全管理中心支持下的三重防御體系。而這三重防御體系一個(gè)是要保證我們的計(jì)算環(huán)境，因?yàn)橘Y源財(cái)富都在計(jì)算環(huán)境中，當(dāng)然邊界也很重要，我們有科學(xué)合理的高邊界。這是很形象的，就像警衛(wèi)員和保安員一樣，要能精確到是誰，要干什么，有問題保安來解決，這就是我們國家等級(jí)保護(hù)的邊界要求。通信安全大家都可以理解，我們用密碼技術(shù)來進(jìn)行身份驗(yàn)證。通信過程中通過密碼保障傳輸，為了防止篡改調(diào)包我們開始運(yùn)用密碼技術(shù)來保證通信的可信安全。我們的計(jì)算機(jī)系統(tǒng)等于“保衛(wèi)處”一樣，我們?cè)谟?jì)算機(jī)安全里面叫訪問控制。而對(duì)于安全控制管理的過程，我們叫安全的策略管理，簡(jiǎn)稱叫安全管理。

可信計(jì)算3.0

在我國剛開始不叫可信計(jì)算，我們?yōu)榱吮Ｗo(hù)核心機(jī)密，用體系結(jié)構(gòu)進(jìn)行保護(hù)。主動(dòng)免疫的綜合防護(hù)系統(tǒng)逐漸融合形成了自主創(chuàng)新的可信體系，我們叫3.0。那么創(chuàng)新何在呢？我們更主要的是體系創(chuàng)新，體系的創(chuàng)新不是隨便說的， 2005年開始到2010已經(jīng)起草形成了9個(gè)國家安全標(biāo)準(zhǔn)，5個(gè)軍隊(duì)標(biāo)準(zhǔn)，從可信根底到主機(jī)支撐、系統(tǒng)配套，應(yīng)用可信規(guī)范了中國的可信創(chuàng)新，體系創(chuàng)新。

前面講了密碼是基因，它的創(chuàng)新是根本所在。我們的密碼安全不光是算法，更主要是密碼的實(shí)體，密碼機(jī)、密碼產(chǎn)品。我們提出了可信密碼模塊，因?yàn)樗?jì)算，它要管理?？尚攀且凶C書認(rèn)證的，我們中國叫數(shù)字證書。對(duì)人主體的可信證書，對(duì)設(shè)備科技理念的證書，我們用的中國創(chuàng)新的證書體系——雙證書，就是認(rèn)證證書和獎(jiǎng)勵(lì)證書兩張證書。

要解決產(chǎn)業(yè)的問題，我們首選要有免疫基因，密碼模塊，要有抗體，要有控制部件。CPU主板上增加一個(gè)CPU，這個(gè)CPU叫可信控制的CPU，叫可信控制模塊。原來CPU是“黨委政府”，現(xiàn)在我搞一個(gè)“紀(jì)委”并行，我們可以溝通，更重要的是我們要用軟件盤查?？尚庞?jì)算組織是用外部設(shè)計(jì)接口加上功能部件組成去調(diào)控的，我們相當(dāng)于并行于主測(cè)試系統(tǒng)的一個(gè)控制技術(shù)軟件，相當(dāng)于這里面的“巡視組”，可以獲取操作系統(tǒng)核心層的工作的闡述。

網(wǎng)絡(luò)連接也可信，我們是增加一個(gè)“巡視組”一樣的管控系統(tǒng)，以前所有的網(wǎng)絡(luò)都是請(qǐng)求者、連接者，怎么沒有一種可信軟件呢？我們安全的有限目標(biāo)是保證能夠順利地完成計(jì)算任務(wù)的軟件不被篡改，不被改變，因此我們的軟件不要打補(bǔ)丁，打補(bǔ)丁就破壞了原來辛苦調(diào)試的邏輯，這是我們的根本所在。以前動(dòng)不動(dòng)搞一個(gè)接口，打補(bǔ)丁，這是錯(cuò)誤的。還有安全設(shè)備，是按照我們確定的規(guī)律來運(yùn)行的，這樣就克服了可信計(jì)算組織被動(dòng)防御的局面。

不用一串代碼就能實(shí)現(xiàn)安全可信的檢查，防護(hù)，我們叫可信計(jì)算3.0，用可信計(jì)算3.0，可以擺脫受制于人的局面。我們一定堅(jiān)持自主可控，安全可信，中長(zhǎng)期發(fā)展規(guī)劃要以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)。

近幾年，一些工程項(xiàng)目已經(jīng)開始用可信計(jì)算，比如我們的二代身份證和彩票都通過運(yùn)用可信計(jì)算來防止假冒。尤其是windows操作系統(tǒng)，提出用win8，停止XP的問題。如果采購2億臺(tái)的XP，我們花多少錢呢？我們想不用采購，中國有自己的可信計(jì)算，有補(bǔ)丁不用打，能防止攻擊，確保安全，因此我們就實(shí)現(xiàn)了windows不采購，但是win8失敗了，win10又來了。現(xiàn)在不僅是終端，而且跑出移動(dòng)終端，服務(wù)器、大數(shù)據(jù)處理都是可信版本，如果推動(dòng)它的話，對(duì)我們國家安全主權(quán)形成挑戰(zhàn)，怎么辦？我們用安全審查制度。

安全審查制度

安全體系關(guān)系到三方面，第一數(shù)字征收必須本土化。第二密碼設(shè)備必須是中國的，有商業(yè)管理?xiàng)l例。第三可信計(jì)算必須用中國的，要達(dá)到“五可”、“一有”。“五可”是指能可控制代碼，能可編，能可重構(gòu)，有可信的支撐，最重要的是它是時(shí)下最安全可用的?！耙挥小笔侵肝覀円獙?duì)知識(shí)產(chǎn)權(quán)的保護(hù)有征收功能，要深化國際響應(yīng)和國際標(biāo)準(zhǔn)。

我們的中國可信計(jì)算為安全可信的產(chǎn)品和服務(wù)，以此來構(gòu)建我們國家的網(wǎng)絡(luò)安全保障體系，這樣才能為我們建設(shè)網(wǎng)絡(luò)強(qiáng)國做出貢獻(xiàn)。

（本文根據(jù)沈昌祥院士在2018中國軟件產(chǎn)業(yè)年會(huì)上的演講整理而成，未經(jīng)本人確認(rèn)。）