中國工程院院士沈昌祥:主動免疫可信計算爲網信系統打疫苗
“新基建下萬物互聯網絡攻擊將從數字空間延伸到物理空間,對網絡安全提出嚴峻挑戰,必須有效應對壟斷網絡空間霸權威懾,築牢網絡安全防線。”近日在北京召開的首屆中央企業數字化轉型峰會之“數字化轉型下的網絡安全”分論壇上,中國工程院院士、中央網信辦專家諮詢委員會顧問、國家集成電路產業發展諮詢委員會委員、國家三網融合專家組成員沈昌祥發表了《開創安全可信數字化轉型新生態》的演講。
沈昌祥在演講。
沈昌祥從數字化時代的機遇與挑戰出發,圍繞網絡安全的重要性和戰略規劃、制度要求,提出要以基礎原理、核心技術和工程應用創新爲依託,用安全可信網絡產品和服務構建主動免疫防護的保障體系。
“大數據是鑽石礦。”沈昌祥指出,大數據是指無法用現有軟件工具進行處理的海量複雜的數據集合,具有多源異構、非結構化、低價值度、快速處理等特點。“我們假定礦裡頭沒有鑽石,也就是說沒有現成的數據,因此要收集、開採。”這就相當於數據廢品和垃圾收集處理,來從中發掘知識和本質規律。
沈昌祥表示,大數據再處理、再加工產生新的產品,即數字產業化。而隨着海量數據的進一步集中和信息技術的進一步發展,信息安全成爲大數據快速發展的瓶頸。網絡空間的脆弱性呈現在我們眼前,由於利用邏輯缺陷對計算機系統進行攻擊獲取利益成爲永遠命題,這就是網絡安全的本質。這相當於人的身體沒有免疫系統不能防禦病毒入侵一樣。
在論壇上,沈昌祥再次提起2017年爆發的“WannaCry”勒索病毒這個著名的網絡攻擊例子。該病毒通過將系統中的數據信息加密,使數據變得不可用,藉機勒索錢財,病毒席捲近150個國家,教育、交通、醫療、能源網絡成爲本輪攻擊的重災區。
“我們要如何對付?”沈昌祥說,要構建主動免疫的可信計算體系,這樣才能築牢基礎設施網絡安全防線。
什麼是主動免疫可信計算?沈昌祥解釋,我們通常所理解的殺病毒、防火牆、入侵檢測等“老三樣”,並不是科學的網絡安全概念,難以應對人爲攻擊,且容易被攻擊者利用。而主動免疫的可信計算是一種運算同時進行安全防護的新計算模式,以密碼爲基因抗體實施身份識別、狀態度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質,相當於爲網絡信息系統培育了免疫能力。
該模式構建“計算+保護”並行的雙輪驅動體系結構,形成動態的模式,對計算過程進行正確性的核研,發現異常及時處理,達到主動的防護效果。沈昌祥指出,將信息系統安全防護體系從系統資源、安全策略、審計方面進行三層防護,從而建立主動免疫三重防護框架,達到攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不成、攻擊行爲賴不掉等“六不”防護效果。
據悉,可信計算是世界網絡安全的主流技術,我國可信計算源於1992年正式立項研究免疫的綜合安全防護系統(智能安全卡),並於1995年2月底通過測評和鑑定,經過長期軍民融合攻關應用,制訂發佈了國家和軍隊的可信計算系列標準及專利,形成了自主創新安全可信體系,並跨入了主動免疫可信計算3.0新時代。
目前,可信計算廣泛應用於國家重要信息系統,如:增值稅防僞、彩票防僞、二代居民身份證安全系統,它不可能假冒,也不可能篡改,已成爲國家法律、戰略、等級保護制度要求,推廣應用。依託主動免疫可信技術體系,在傳統應用領域、工控系統和雲計算、物聯網、大數據、移動智能網等現代信息系統中奠定網絡安全可信的堅實基礎。
“落實關鍵基礎設施等級保護要求,將保障數字化轉型健康發展。”沈昌祥說,完備的可信計算3.0產品鏈,也將形成巨大的新興產業空間。
南都見習記者 陳秋圓 發自北京