沈昌祥：按等保2.0用主動免疫可信計算 筑牢“新基建”網絡安全防線

當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間，也是國際戰略在網絡社會領域的演進，我國的網絡安全正面臨著嚴峻挑戰。“沒有網絡安全就沒有國家安全”，按照國家網絡安全法律、戰略和等級保護制度要求，推廣安全可信產品和服務，筑牢網絡安全底線是歷史的使命。新型基礎設施以數據和網絡為核心，其發展前提是用主動免疫的可信計算筑牢安全防線。

 圖為本文作者中國工程院院士沈昌祥

  一、樹立科學的網絡安全觀，構建新基建主動免疫安全保障體系

1、認清網絡安全本質，主動抵御安全風險

著名科學家圖靈創建了現代電子計算機，當時是為了解決科學計算問題，只考慮能完成計算任務的邏輯組合即可，也不可能想到還有人利用邏輯缺陷進行攻擊問題。因此利用邏輯缺陷對計算機系統進行攻擊獲取利益成為永遠命題，這就是網絡安全的本質。這相當于人的身體沒有免疫系統不能防御病毒入侵一樣。主動免疫可信計算采用運算和防護并存，以防利用邏輯缺陷進行攻擊的新計算模式，以密碼基因產生抗體實施身份識別、狀態度量、保密存儲等主動免疫機制，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為新型基礎設施培育了免疫能力。

新基建采用新的計算模式必須建立新體系框架，實施安全管理支撐下的計算環境、區域邊界和通信網絡三重主動防御框架，實現攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、計算資源改不了、系統工作癱不成和攻擊行為賴不掉的“六不”安全防護效果。這與最近防新冠狀病毒相似，首先要對社會環境進行管控，要使人體保持自身機體免疫力，需要帶口罩隔離，也要檢控來往的聯絡人員，這樣才能控制疫情。

傳統的馮·諾依曼計算結只講計算效率而構缺安全防護部件，難以應對惡意攻擊。主動免疫框架內的節點必須有獨立的安全防護軟硬件，并與計算資源的軟硬件并行形成雙體系結構，實施計算運算同時進行安全檢測，并不是簡單的在串行結構上加上安全功能的防護，這就是主動免疫可信計算結構。這樣雙并行結構的產品才能安全可信，就像人體的免疫功能一樣，抗體每時每刻對機體進行監控，也是雙并行結構。2017年5月12日，一款名為“WannaCry”的勒索病毒，攻擊網絡席卷全球，一天時間有近150個國家受害，僅當天我國就有數十萬例感染報告。病毒經多次變種，勒索了包括工控等所有網絡系統。可喜的是我國裝備主動免疫可信計算3.0產品的系統，如中央電視臺制播環境系統和國網電力調度系統等關鍵設施免受勒索，確保了我國第一次一帶一路世界峰會順利召開。事實說明，只有構建主動免疫的網絡空間安全保障體系，才能筑牢基礎設施網絡安全防線。

2、離開“封堵查殺"，帶動安全可信產業發展

當前大部分網絡安全系統主要是由防火墻、入侵監測和病毒查殺等組成，稱為“老三樣”。可是“封堵查殺”難以應對利用邏輯缺陷的攻擊并且自身也存在安全隱患。首先，“老三樣”是被動的防護，根據已發生過的特征庫內容進行比對查殺，面對層出不窮的新漏洞與攻擊方法，這是消極被動的事后處理，不頂用；其次，“老三樣”屬于超級用戶，權限越規，違背了最小特權安全原則；第三，“老三樣”可以被攻擊者利用，惡意查殺，成為網絡攻擊的平臺。新基建應離開“封堵查殺老三樣”，驅動安全可新產業發展。

新基建以網絡數據為核心，應該做到安全可信，即全程可測可控，不被干擾，消除安全隱患，確保計算結果與預期一致。這要求工程建設必須與主動免疫安全保障建設同步進行，做到同步規劃、同步設計、同步實施、同步運維，以確保5G網絡、數據中心等新基的建數據存儲可信、操作行為可信、體系結構可信、資源配置可信和策略管理可信。目前國外沒有能滿足上述要求的技術產品，只能在我國以往的國產化產品中進一步創新完善，實現機理、策略和架構的可信度量和監控，帶動自主創新產業快速發展。

二、主動免疫可信計算創新發展，為新基建安全保障打下扎實基礎

1、堅持自主創新安全可信，搶占技術制高點

新基建采購什么網絡信息產品和設備必須科學決策。國家網絡安全法第十六條規定，國務院、省、自治區、直轄市人民政府應當統籌規劃加大投入，扶持重點網絡安全產品和項目，支持網絡安全技術研究開發和應用，推廣安全可信的網絡產品和服務。國家頒布的網絡空間安全戰略，在夯實網絡安全基礎的戰略任務中強調盡快突破核心技術，加快推廣安全可信的網絡產品。堅持自主創新安全可信才能確保網絡安全。面對復雜的國際市場環境，必須積極應對。2014年4月8日，微軟停止對Windows XP的服務支持，強推可信的Windows 8，我國決定不采購。2014年10月，微軟推出了Windows 10，強制與硬件TPM芯片配置，全面覆蓋各類系統，并在網上一體化管控。推廣Windows 10將直接威脅網絡空間國家主權。我國按照網絡安全審查制度成立安全審查組，按照WTO規則，開展對Windows10的安全審查。審查中堅持按國家法律和標準要求，數字證書、可信計算、密碼設備必須是國產自主的，通過審查后才能采購，目前未見審查結論。

抓住機遇發展自主創新國產化信息網絡產業。過去二十多年來國家不少核心基礎設施堅持自主創新，如國家電網調度系統全面實現安全可信，為推廣安全可信國產化做出典范。另外，我國的彩票從未發生過假冒事件，增值稅發票防偽系統確保其所有發票真實可信；我國的第二代居民身份證的證件體系結構保證其不可竄改和偽造，這些都是用了主動免疫安全可信的支持系統，也為后來的信息基礎設施安全保障提供了保貴經驗。新基建要堅持自主創新安全可信的國產化，按“五三一”原則實施。

“五個可做到”：可知，即對合作方開放全部源代碼，要心里有數，不能盲從；可編，即要基于對源代碼的理解，能自主改寫代碼；可重構，即面向具體的應用場景和安全需求，對核心技術要素進行重構，形成定制化的新的體系結構；可信，即通過可信計算技術增強自主系統免疫性，防范未知漏洞攻擊影響系統安全性，為國產化真正落地保駕護航；可用，即做好應用程序與操作系統的適配工作，確保自主系統能夠替代國外產品。

“三條控制底線”：必須使用我國的可信計算；必須使用我國的數字證書；必須使用我國的密碼設備。

“一定要有自主知識產權”：要對最終的系統擁有自主知識產權，保護好自主創新的知識產權及其安全。堅持核心技術創新專利化，專利標準化，標準推進市場化。要走出國門，成為世界品牌。

2、開創可信計算3.0新時代，徹底擺脫核心技術受制于人

八十年代世界上提出可信計算概念，但是只局限于操作系統、數據庫等產品的可信計算基（安全功能集合），未涉及計算機原理和體系結構等核心科學技術問題。2000年國際上成立了可信計算組織（TCG），其架構是主機通過外設接口掛接可信計算模塊（TPM），以主機調用外部設備功能（軟件棧）實現可信等功能，存在單公鑰密碼體制和串行被動調用等缺陷，未能主動免疫。

我國1992年立項研究免疫的綜合安全防護系統（智能安全卡），1995年2月底通過測評鑒定，肯定了具有公鑰與對稱密碼雙體制、免疫抗病毒、計算和防護并行雙結構等重大創新，居世界先進水平，經軍民融合大規模推廣應用，制訂發布了國家和軍隊的可信計算系列標準及專利，跨入了主動免疫可信計算3.0新時代。《國家中長期科學技術發展綱要（2006一2020年）》明確要求發展高可信網絡為重點，開發網絡安全技術及相關產品，建立網絡安全保障體系。在綱要的指導下經過長期攻關突破，形成了完整的產業鏈，為構建關鍵信息基礎設施安全保障體系取得了重大效益。可信計算3.0的不少核心技術被國外重要企業和機構采用，如去年著名的俄羅斯卡巴斯基宣布不做殺病毒軟件，而要建立網絡免疫，最近美國進行的零可信架構等熱門課題都是與主動免疫可信計算是同工異曲之舉。

三、按網絡安全等保2.0用可信計算3.0構筑新基建安全防線

1、網絡安全等級保護制度創新發展

《中華人民共和國網絡安全法》第二十一條，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免干擾、破壞或者未經授權的訪問，防止網絡數據泄漏或者被竊取、篡改。三十一條規定，國家對關鍵信息基礎設施在網絡安全等級保護制度基礎上實行重點保護。新基建應當加強網絡安全防護，要按新的網絡安全等級標準（簡稱等保2.0標準）高等級要求重點實施保護，確保網絡安全。等級保護共分五級，高等級指的三級以上即標記強制訪問級、結構化保護級以及最高五級實時監控。

新的等保2.0標準是在二十多年等保工作中創新發展逐步形成的，把主動免疫可信計算3.0的核心技術產品和服務進行逐步升級，構建成滿足各級要求主動免疫可信架構。可信計算3.0己形成了完整的產業鏈，完全可滿足新基建高等級保護的構建需求。新基建安全建設以關鍵信息基礎設施中以云計算和數據中心為基點，支撐有關定級系統分步有序實施。具體可應該按等保可分五個步驟進行：第一，風險分析準確定級。按業務信息和系統服務兩方面受攻擊造成損害程度進行評估，公眾利益、社會秩序或國家安全造成損害、嚴重損害、特別嚴重損害的不同，對應分別定為三、四、五級。第二，按級別要求確定方案。確定等級經專家評審備案后，2.0技術設計要求標準進行建設方案設計，經評審報批后確定；第三，規范施工嚴密管理。從技術和管理兩個層面按照確定方案進行實施，做到可信可控可管；第四，嚴格測評整改完善。測評機構按照測試要求和基本要求國家標準完成測評任務，承建者對發現問題修改完善后投入運營；第五，監督檢查應急恢復。2.0技術設計要求標準進行建設方案設計，經評審報批后確定。第三，按確定方案規范施工嚴密管理。從技術和管理兩個層面按照確定方案進行實施，做到可信可控可管。第四，嚴格測評整改完善。測評機構按照測試要求和基本要求國家標準完成測評任務，承建者對發現問題修改完善后投入運營；第五，監督檢查應急恢復。

新基建按照等保2.0標準建成后，再按國家《關鍵信息基礎設施保護條例》（年內有望發布）進一步加強防護，使其具有主動免疫、技管并重、內外兼防、縱深防御的牢不可破網絡安全防線。

2、用可信計算3.0筑牢新基建安全防線

新基建新應用系統涉及到社會每個角落、樣式龐雜、數據海量，面臨著新問題與新挑戰，必須以改革創新精神來開創等級保護新時代，筑牢其網絡安全防線。新型信息基礎設施安全防護應深入到嵌入式設備部件、多源異構、資源共享、虛擬化，這更需要深入分析結構、流程、功能、機制等每個環節，按等保2.0可標準用可信計算3.0設計主動防御總體安全框架，構建主動免疫、安全可信的主動防御體系。尤其是要設計好涉及系統組成、相互關系、功能流程及周邊環境匹配等系統安全架構。

（1）云計算可信安全架構。信息系統云化是指其信息處理在云計算中心完成。因此云計算中心運營者負責定級系統的系統服務防護，信息系統用戶負責業務信息安全保護，是典型的賓館服務模式。用戶自己不用建機房，把業務信息程序（如門戶網站、開發軟件、定制應用）遷移到云計算中心機房，由云中心負責服務運行（即SaaS、PaaS和IaaS）。相當于傳統招待所的點菜吃飯、開會研究事和小型商店服務等都沒有必要經營，去賓館接受服務更價廉物美。云計算中心可以同時運行多個不同安全級別的信息系統。云計算中心安全防護能力不低于承運最高等級信息系統的級別。

云中心一般由用戶網絡接入、訪問應用邊界、計算環境和管理平臺組成（如圖所示）。

成為聚集式的應用軟件、計算節點以及計算環境的計算中心，形成用戶通過通信網絡連接到前置機（邊界）再接入到計算節點組成的計算環境以及后臺有運維業務等管理的典型工程應用架構。由此去構建云計算可信安全架構：安全管理中心支撐下的可信計算環境、可信邊界、可信通信網絡三重防護架構，如圖示。

  云計算可信安全架構中可信云計算環境，負責可信鏈傳遞，從基礎設施可信根出發，度量基礎設施、計算平臺，驗證虛擬計算資源可信，支持應用服務的可信，確保計算環境可信。云中業務信息安全應由用戶確定主體/客體關系，制定訪問控制策略，實現控制流程安全。系統服務安全由云中心負責計算資源可信保障，還要對訪問實體和操作環境進行可信驗證，確保服務安全可信。可信區域邊界驗證用戶請求和連接的計算資源可信。可信通信網絡確保用戶服務通信過程的安全可信。云的安全管理中心分工與傳統的信息系統有所區別，系統管理由云中心為主，保證資源可信；安全（策略）管理由用戶為主，負責安全可信策略制訂和授權；審計管理由云中心和用戶協同處理，負責應急和追蹤處置。可信云計算資源組成圖概要表達了可信云計算所需的有關資源及相互連接關系。

  虛擬化資源對云計算非常關鍵。云計算中心（環境）由大量的宿主機節點（集群）組成計算資源，為了充分發揮基礎軟硬件資源作用，采取虛擬化資源調度管理，虛擬機管理器（VMM）按用戶服務的需求，分配必要的計算資源，創建、就緒、運行虛擬機（VM）（虛擬計算節點），當服務完成后終止虛擬機，收回資源，再分配給其他服務的虛擬機使用，形成了無數個動態的虛擬機映射到宿主機群的物理計算資源的所謂虛擬體系架構。可信云計算既要保證基礎計算資源的可信，也要保證虛擬機資源和運行的可信，于是產生了虛擬可信根和虛擬機安全可信機制要求。當然，安全可信機制要求由管理中心制訂的策略而定。

云計算區域邊界平臺一般由計算中心的前置處理機組成，可信云計算區域邊界平臺要把前置處理機設計成安全可信的計算環境，只不過規模小一些。由可信根支撐下的可信軟件基實施邊界處理的安全可信檢測，按管理中心制訂的安全策略進行安全可信驗證。

可信通信網絡由交換機、路由器等設備組成，因此由計算機軟硬件實現的通信網絡設備必須可信，可信根、可信軟件基和可信監管是不可缺少的。

（2）大數據處理環境可信安全架構。數據是對客觀事物的性質、狀態以及相互關系等進行記載的符合集合，含數字、文字、圖形、聲音、視頻等各種集合。如今信息化時代，人類活動數據化，數據是社會資源，尤其是數量爆炸，形成大數據環境。所謂大數據不只是指數據量大，大數據是指無法用現有的軟件工具進行處理數據集合，其特點為多源異構、非結構化、低價值度、快速處理。“大數據是鉆石礦”，相當于數據廢品和垃圾收集處理，來從中發掘知識和本質規律。大數據是數據科技發展的必然階段，也是科學發展的過程：數據參數=>文件系統=>關系數據庫=>數據倉庫=>大數據=>……。大數據階段，安全問題也與之前大。在大數據環境下采用數據清洗、關聯分析等技術手段對分布于網絡中異構海量數據進行梳理映射、歸納處理。所涉及的網絡環境、計算平臺、存儲等載體，分屬不同的信息系統，處理全過程涉及網絡空間資源安全，因而加劇了網絡空間中防御與攻擊的不對稱性。面對這種新形勢下的安全問題，傳統的信息安全防護措施多集中在“封堵查殺”層面，難以應對大數據時代的信息安全挑戰。因此，要堅持積極防范，構建基于等級保護的大數據縱深防御安全可信體系架構。

大數據處理系統大多是基于云計算平臺實現數據各種環節的梳理計算，也可分為業務信息處理和系統服務保障來確定安全等級，應該按等保2.0標準進行構建安全管理中心支撐下的三重防護架構。

數據采集源通過多方式采集數據，如通過搜索引擎扒取數據等。形成特殊的文件系統或數據倉庫，在采集過程當中，要經過可信網絡通信簡易協議進行數據匯集存儲，這也就是大數據和傳統數據交互的不同，用非傳統交互協議對采集的數據進行打包。打包的數據送到可信計算環境中完成數據處理過程。第一步數據節點要規約清理，對雜亂無章的數據進行歸納和映射，搜索數據相互的關聯，建立規約關系。第二步計算節點變換挖掘發現數據的內部聯系，恢復結構化，分析評估出有價值的分類，形成特殊的數據倉庫。最終目的是達到可信應用的知識表達、共享交易，也就是從數據中發掘知識智慧，發現本質的規律，把原始的多源異構化數據變成有價值的信息，這是傳統數據處理達不到的目的。

大數據處理環境可信安全架構在構建大數據應用業務信息系統安全方面，一是要加強數據采集、數據匯聚、計算環境的整體防護，建設多重防護、多級互聯體系結構，確保大數據處理環境安全可信；二是要加強處理流程控制，防止內部攻擊，提高計算節點自我免疫能力；三是要加強高價值數據安全機制，制定安全可信訪問控制策略，梳理數據處理控制流程，建立安全可信的數據處理新模式；四是要加強技術平臺支持下的安全管理，基于安全策略，與業務處理、監控及日常管理制度有機相結合。大數據系統服務安全方面，必須構建超大計算能力的云計算平臺。大數據計算平臺實現并行虛擬動態資源調度與分配，這方面系統服務的安全與云計算中的系統服務安全要求一樣。因此，以可信、可控、可管為目的構建大數據等級保護體系框架，加強大數據環境和處理過程的安全保障能力，是解決大數據安全的唯一出路。