數(shù)字經(jīng)濟(jì)時(shí)代下新機(jī)遇與網(wǎng)絡(luò)安全

沈昌祥

數(shù)字經(jīng)濟(jì)時(shí)代對(duì)人類(lèi)發(fā)展是極好的機(jī)遇，也是重大的挑戰(zhàn)。十九大報(bào)告指出，建設(shè)現(xiàn)代化經(jīng)濟(jì)體系，在深化供給側(cè)的結(jié)構(gòu)改革的同時(shí)，更重要的是加快建設(shè)創(chuàng)新型國(guó)家，尤其是對(duì)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的建設(shè)。

數(shù)字經(jīng)濟(jì)時(shí)代的機(jī)遇與挑戰(zhàn)

進(jìn)入新時(shí)代，以互聯(lián)網(wǎng)、大數(shù)據(jù)為代表的數(shù)字革命正深刻改變著經(jīng)濟(jì)形態(tài)和生活方式，建設(shè)數(shù)字中國(guó)，發(fā)展大數(shù)據(jù)產(chǎn)業(yè)，已經(jīng)成為戰(zhàn)略發(fā)展重點(diǎn)。

大數(shù)據(jù)給現(xiàn)有信息技術(shù)體系帶來(lái)了新挑戰(zhàn)，需要投入與創(chuàng)新，還需要營(yíng)造有利于大數(shù)據(jù)產(chǎn)業(yè)健康有序發(fā)展良好環(huán)境，因此數(shù)據(jù)安全已成為大數(shù)據(jù)產(chǎn)業(yè)生態(tài)系統(tǒng)發(fā)展的必要條件。

數(shù)據(jù)是一門(mén)科學(xué)，有其自身發(fā)展的規(guī)律。在發(fā)明計(jì)算機(jī)之后，分為三個(gè)大的階段，即數(shù)值計(jì)算、數(shù)據(jù)工程和數(shù)字經(jīng)濟(jì)。

隨著海量數(shù)據(jù)的進(jìn)一步集中和信息技術(shù)的進(jìn)一步發(fā)展，信息安全成為大數(shù)據(jù)快速發(fā)展的瓶頸。大數(shù)據(jù)信息安全主要集中體現(xiàn)在多個(gè)方面，包括網(wǎng)絡(luò)安全、系統(tǒng)安全、個(gè)人設(shè)備安全、供應(yīng)鏈安全和數(shù)據(jù)安全，由此引發(fā)的數(shù)據(jù)安全事件頻發(fā)。

2016年10月21日，美國(guó)東海岸（世界最發(fā)達(dá)地區(qū)）發(fā)生世界上癱瘓面積最大（大半個(gè)美國(guó)）、時(shí)間最長(zhǎng)（6個(gè)多小時(shí)）的分布式拒絕服務(wù)（DDoS）攻擊。

2017年5月12日爆發(fā)的“WannaCry”的勒索病毒，通過(guò)將系統(tǒng)中數(shù)據(jù)信息加密，使數(shù)據(jù)變得不可用，借機(jī)勒索錢(qián)財(cái)。病毒席卷近150個(gè)國(guó)家，教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)。

2018年8月3日，臺(tái)積電遭到勒索病毒入侵，幾個(gè)小時(shí)之內(nèi)，致使臺(tái)積電在中國(guó)臺(tái)灣地區(qū)的北、中、南三個(gè)重要生產(chǎn)基地全部停擺，造成約2.55億美元的營(yíng)業(yè)損失。

可信計(jì)算筑牢安全防線

針對(duì)以上這些安全威脅，國(guó)家網(wǎng)絡(luò)安全法中指出國(guó)務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開(kāi)發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護(hù)網(wǎng)絡(luò)技術(shù)知識(shí)產(chǎn)權(quán)，支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國(guó)家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目。

《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出的戰(zhàn)略任務(wù)“夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)”，強(qiáng)調(diào)“盡快在核心技術(shù)上取得突破，加快安全可信的產(chǎn)品推廣應(yīng)用”。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)要求全面使用安全可信的產(chǎn)品和服務(wù)來(lái)保障關(guān)鍵基礎(chǔ)設(shè)施安全。

要實(shí)現(xiàn)“安全可信”，首先要認(rèn)識(shí)安全的實(shí)質(zhì)：設(shè)計(jì)IT系統(tǒng)不能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進(jìn)行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的命題。因此我們主動(dòng)免疫的安全目標(biāo)是確保為完成計(jì)算任務(wù)的邏輯組合不被篡改和破壞，實(shí)現(xiàn)正確計(jì)算。

傳統(tǒng)的殺病毒、防火墻、入侵檢測(cè)的傳統(tǒng)“老三樣”難以應(yīng)對(duì)人為攻擊，且容易被攻擊者利用，找漏洞、打補(bǔ)丁的傳統(tǒng)思路不利于整體安全。

此刻“主動(dòng)免疫可信計(jì)算”也就應(yīng)運(yùn)而生，它是指在計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，以密碼為基因?qū)嵤┥矸葑R(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能，及時(shí)識(shí)別“自己”和“非己”成分，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。這也相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力，這是安全的根本出路。

因此，在體系結(jié)構(gòu)上要解決雙體系結(jié)構(gòu)，一邊計(jì)算一邊防護(hù)，必須讓計(jì)算與防護(hù)部件并立。人體免疫也是這樣，一邊完成生活的主要部件，還有免疫系統(tǒng)損失的補(bǔ)償。

如圖2所示的防護(hù)部件（免疫系統(tǒng)），可信密碼模塊是“基因”，可信軟件基石“抗體”，開(kāi)機(jī)以后對(duì)組件進(jìn)行審查，可信應(yīng)用軟件像白細(xì)胞一樣循環(huán)在整個(gè)血液中，按照設(shè)定的安全策略進(jìn)行比對(duì)、檢測(cè)，這如同反腐敗，在不打亂單位流程的同時(shí)，按照紅頭文件進(jìn)行比對(duì)，發(fā)現(xiàn)問(wèn)題及時(shí)解決、防止腐敗。因此真正的主動(dòng)防御是：既是免疫的，又是反腐敗的，構(gòu)成等級(jí)保護(hù)的三重防御體系。

具象到現(xiàn)實(shí)社會(huì)，安全辦公室中的可信應(yīng)用、計(jì)算節(jié)點(diǎn)及可信節(jié)點(diǎn)對(duì)應(yīng)保衛(wèi)部的人、物管理，警衛(wèi)室中的可信邊界對(duì)應(yīng)保密室，最后一個(gè)是監(jiān)控室，與審計(jì)類(lèi)似，保證新型數(shù)據(jù)經(jīng)濟(jì)時(shí)代各種系統(tǒng)能做到體系結(jié)構(gòu) 、資源配置、操作行為、數(shù)據(jù)存儲(chǔ)、策略管理不被篡改、不被破壞，保持可信。最后實(shí)現(xiàn)的效果是：攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不成、攻擊行為賴(lài)不掉。

這項(xiàng)源于1992年立項(xiàng)研制的中國(guó)可信計(jì)算經(jīng)過(guò)長(zhǎng)期的軍民融合攻關(guān)應(yīng)用，已經(jīng)形成了自主創(chuàng)新安全可信體系，開(kāi)啟了可信計(jì)算3.0時(shí)代。如今，可信計(jì)算已經(jīng)廣泛應(yīng)用于國(guó)家重要信息系統(tǒng)，如增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)。

大數(shù)據(jù)主動(dòng)免疫三重防護(hù)安全架構(gòu)

對(duì)于現(xiàn)階段廣受關(guān)注的大數(shù)據(jù)系統(tǒng)，大多是基于云計(jì)算平臺(tái)實(shí)現(xiàn)數(shù)據(jù)各種環(huán)節(jié)的梳理計(jì)算，可分為業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來(lái)定安全等級(jí)，應(yīng)該按（GB/T 25070-2010）進(jìn)行設(shè)計(jì)安全架構(gòu)。

首先是獲取數(shù)據(jù)，數(shù)據(jù)采集完成后要進(jìn)行打包、處理，接下來(lái)送數(shù)據(jù)處理平臺(tái)（云計(jì)算平臺(tái)），然后清洗數(shù)據(jù)形成有規(guī)律的上下文語(yǔ)義，恢復(fù)其結(jié)構(gòu)化，再進(jìn)一步通過(guò)數(shù)據(jù)工程、數(shù)據(jù)庫(kù)、數(shù)據(jù)挖掘這些工具，把數(shù)據(jù)變成產(chǎn)品，最后進(jìn)行引用、處理變成商品，這就是一個(gè)完整的數(shù)字經(jīng)濟(jì)處理的過(guò)程。

如今我國(guó)經(jīng)過(guò)20多年的聯(lián)合攻關(guān)，已經(jīng)形成了完整的產(chǎn)業(yè)鏈/產(chǎn)品鏈。自主可信計(jì)算平臺(tái)產(chǎn)品設(shè)備主要有三種形態(tài)，可以方便地通過(guò)可信網(wǎng)絡(luò)支撐平臺(tái)把現(xiàn)有設(shè)備升級(jí)為可信計(jì)算機(jī)系統(tǒng)，而應(yīng)用系統(tǒng)不用改動(dòng)，便于新老設(shè)備融為一體，構(gòu)成全系統(tǒng)安全可信。

舉例來(lái)說(shuō)，中央電視臺(tái)的可信制播環(huán)境建設(shè)：中央電視臺(tái)播出42個(gè)頻道節(jié)目，面向全球提供中、英、西、法、俄、阿等語(yǔ)言電視節(jié)目，在不能與互聯(lián)網(wǎng)物理隔離的環(huán)境下，建立了可信、可控、可管的網(wǎng)絡(luò)制播環(huán)境，達(dá)到四級(jí)安全要求，確保節(jié)目安全播出。經(jīng)受住了“永恒之藍(lán)”勒索病毒攻擊的考驗(yàn)，勝利完成了“一帶一路”世界峰會(huì)的保障任務(wù)。

另一個(gè)更具代表性的例子是國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)安全防護(hù)建設(shè)：電力可信計(jì)算密碼平臺(tái)已在三十四個(gè)省級(jí)以上調(diào)度控制中心使用，覆蓋上千套地級(jí)以上電網(wǎng)調(diào)度控制系統(tǒng)，涉及十幾萬(wàn)個(gè)節(jié)點(diǎn)，約四萬(wàn)座變電站和一萬(wàn)座發(fā)電廠，有效抵御各種網(wǎng)絡(luò)惡意攻擊，確保電力調(diào)度系統(tǒng)安全運(yùn)行。實(shí)現(xiàn)了四大目標(biāo)：高效處理實(shí)現(xiàn)實(shí)時(shí)調(diào)度、不打補(bǔ)丁實(shí)現(xiàn)免疫抗毒、不改代碼實(shí)現(xiàn)方便實(shí)施、精練消腫實(shí)現(xiàn)降低成本。

面臨日益嚴(yán)峻的國(guó)際網(wǎng)絡(luò)空間形勢(shì)，立足國(guó)情，創(chuàng)新驅(qū)動(dòng)，彎道超車(chē)，聚全國(guó)之力用可信計(jì)算3.0構(gòu)建網(wǎng)絡(luò)空間安全主動(dòng)免疫保障體系，筑牢網(wǎng)絡(luò)安全防線，為把我國(guó)建設(shè)成為世界網(wǎng)絡(luò)安全強(qiáng)國(guó)而努力奮斗?。ū疚母鶕?jù)2019中國(guó)IT市場(chǎng)年會(huì)速記整理）