沈昌祥院士：用主动免疫可信计算构筑新型基础设施网络安全保障体系

本文刊登于《网信军民融合》杂志2020年4月刊

【编者按】2020年4月22日下午，在以“钱学森智库聚焦新旧动能转换，助力潍坊现代化高品质城市建设迈向新高度”为主题的第二十期钱学森论坛深度会议上，中国工程院院士沈昌祥作了题为《用主动免疫可信计算构筑新型基础设施网络安全保障体系》的主题报告，介绍了我国可信计算创新与规模化应用，指出“新基建”作为国家经济发展战略，正在显现出强大动能，但也面临严重网络安全挑战。按照国家网络安全法律、战略和等级保护制度要求，推广安全可信产品和服务，在“新基建”过程中筑牢网络安全防线是历史使命。本文由《网信军民融合》杂志根据现场演讲整理。

用主动免疫可信计算构筑新型基础设施网络安全保障体系

中国工程院院士 沈昌祥

中国工程院院士沈昌祥在第二十期钱学森论坛深度会议上作主题报告

中共中央政治局近期密集召开会议，部署统筹做好疫情防控和经济社会发展，要求以科技产业为突破口，加快推动 5G 网络、数据中心、工业互联网等新型基础设施建设进度。“新基建”作为国家经济发展战略，正在显现出强大动能，为经济社会发展的各方面提供了巨大的驱动力，但给网络安全也带来了严峻挑战，如勒索病毒几年来横扫所有网络系统，造成了巨大损失。因此，“新基建”既是机遇，又是挑战。习近平总书记指示我们：要树立正确的网络安全观。我们作为科技工作者，应该树立科学的网络安全观。

一、科学的网络安全观

当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，也是国际战略在军事领域的演进，我国的网络安全正在面临着严峻挑战。习近平总书记指出，“没有网络安全就没有国家安全”，安全的前景就是安全保障。因此，我们必须按照国家网络安全法律、战略和等级保护制度要求，搞好我们的网络安全保障体系。

“新基建”的安全保障非常重要，如果说没有安全保障，“新基建 ”恐怕不能建成，而且也起不了作用。怎么办？我们提出要用主动免疫的可信计算。新型基础设施是以数据和网络为核心，其发展前提是用主动免疫的可信计算筑牢安全防线。国家《网络安全法》第十六条指出：“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”《国家网络空间安全战略》提出“夯实网络安全基础”的战略任务，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。网络安全等级保护制度 2.0 标准要求全面使用安全可信的产品和服务来保障关键基础设施安全。

《网络安全法》《国家网络空间安全战略》以及网络安全等级保护制度2.0 标准都非常明确地规定了要把安全可信贯彻到所有的设备、系统、基础设施建设中去。为什么要这么做？大家都具有很强的安全意识，在安全问题上可能也有很多不同的看法。现在新冠肺炎在全球肆虐，面对新冠病毒，人的免疫力显得非常重要。实质上，网络安全也是一样的，也存在着各种各样的重大威胁。网络安全是主权空间利益所在，黑客集团为了谋取利益，用某种病毒敲诈勒索；反动敌对势力集团攻击网络，以基础设施为目标发动网络攻击，扰乱社会，破坏我们的稳定，更严重的是美国等霸权国家通过网络战来侵犯国家的主权。

在这些危机情况下，我们的网络空间有没有免疫能力呢？能挺得住吗？由于图灵计算原理缺少攻防理念、冯诺依曼架构缺少防护部件、重大工程应用无安全服务，导致我们的网络空间极其脆弱。因此，我们要重新思考怎么办，要确保正确认识网络安全问题。

由于人在设计 IT 系统时不可能穷尽所有逻辑组合，必定存在逻辑不全的缺陷。利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。因此，我们提出了主动免疫可信计算，通过为 IT 系统提供免疫能力来获得安全，确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算。相当于人体具有主动免疫功能使得其能健康生活。对于网络病毒而言，通过找漏洞、杀病毒、打补丁是解决不了的。杀病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击，且容易被攻击者利用，找漏洞、打补丁的传统思路也不利于整体安全。因此，我们要有完整的主动免疫可信计算体系。

二、主动免疫可信计算体系

主动免疫可信计算是一种运算同时进行安全防护的新计算模式，以密码为基因抗体实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

二重体系（计算+防护）结构的可信计算节点

因此，必须对计算机体系结构进行调整，构建计算 + 防护的双重体系结构，形成有免疫能力的计算机体系结构。“个体”有免疫能力了，那“社会”怎么办呢？

可信安全管理中心支持下的主动免疫三重防护框架

我们提出了在可信安全管理中心支持下的主动免疫三重防护框架。第一，要保证计算环境（个体）有免疫能力；第二，要有可信边界；第三，来往的信息（人）要审查、要控制、要可信安全，更重要的是整个社会体系要管理，这就是安全管理中心支持下的主动免疫三重防护框架，其实跟我们现在的防疫是一样的。

由此，我们要注意的一个关键问题是人机交互。人机交互可信是发挥5G、数据中心等“新基建”动能作用的源头和前提，因此我们必须把人机交互控制好，这里面有战略，有策略，而且有模型。我们归结为四个要素：主体、客体、操作、环境，这里面主体是人，客体是访问的对象。四个要素的安全可信要严格地进行可信度量、识别、验证和控制。只有加强对安全可信和密码的管理服务，才能确保基础设施五个环节可信：一是体系结构架构不能被破坏；二是资源配置不能被篡改；三是操作行为不能被假冒；四是数据存储不能被窃取；五是策略不能变样。即体系结构可信、资源配置可信、操作行为可信、数据存储可信、策略管理可信五个可信。最终要达到安全防护“六不效果”，即攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉。这样的话，我们的系统对所有病毒都是免疫的，对病毒库里面的所有的病毒都要进行验证，对很多不认识的病毒，我们的系统也要进行主动的验证。

三、中国可信计算创新及规模化应用

中国可信计算源于 1992 年立项研制免疫的综合安全防护系统（智能安全卡），于 1995 年 2 月底通过测评和鉴定。经过 20 多年的反复试验和军民融合攻关应用，形成了自主创新安全可信体系，开启了可信计算 3.0 时代。

1995 年 2 月的安全功能测评，提出我们免疫的综合安全防护系统（智能安全卡）有四个提升：一是公钥密码身份识别、对称密码加密存储；二是智能控制与安全执行双重体系结构；三是环境免疫抗病毒原理；四是数字定义可信策略对用户透明。因此，国家也很重视，在《国家中长期科学技术发展（2006-2020 年）》明确提出要“以发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全技术保障体系”。经过 20 多年的发展，可信计算广泛应用于国家重要信息系统，如：增值税防伪、彩票防伪、二代居民身份证安全系统、中央电视台全数字化可信制播环境建设、国家电网电力数字化调度系统安全防护建设，已成为国家法律、战略、等级保护制度要求进行推广应用，其密码体制和体系结构等 5 大核心技术已被世界著名企业和机构所采用。俄罗斯卡巴斯基最近宣布不搞杀病毒软件而要建免疫网络，美国防部热推“零信任架构”等都是异曲同工之举。

此外，可信计算还具有完备的产业链，且有巨大的产业空间。自主可信计算平台产品设备既有系统重构可信主机，还有主板配插 PCI 可信控制卡，以及配接 USB 可信控制模块等多种产品设备，这些产品设备可以方便地通过可信网络支撑平台把现有设备升级为可信计算机系统，而应用系统不用改动，便于新老设备融为一体，构成全系统安全可信。

四、用可信计算 3.0 夯实网络安全等级保护基础

等级保护制度把安全可信、主动免疫可信计算纳入其核心要求，要求一级、二级，三级、四级都要可信。例如，等保 2.0 新标准一级要求：所有计算节点都应基于可信根实现开机到操作系统启动的可信验证。二级要求：所有计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证，并将验证结果形成审计纪录。三级要求：所有计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证，在应用程序的关键执行环节对其执行环境进行可信验 证，主动抵御入侵行为，并将验证结果形成审计纪录，送到管理中心。四级要求：所有计算节点都应基于可信计算技术实现开机到操作系统启动，再到应用程序启动的可信验证，在应用程序的所有执行环节对其执行环境进行可信验证，主动抵御入侵行为，并将验证结果形成审计纪录，送到管理中心，进行动态关联感知，形成实时的态势。以上各个等级对可信的要求程度不一样，我们都要贯彻执行。

我举一个跟每个人都有关系的例子，即国家电网电力调度系统安全防护建设的例子。我们国家对电网的安全问题，尤其是对电网的数字化、网络化、智能化非常重视。国家发改委 14 号令决定以可信计算架构实现等级保护四级要求。经过十几年的努力，现在电力可信计算密码平台已在三十四个省级以上调度控制中心使用，覆盖上千套地级以上电网调度控制系统，涉及十几万个节点，约四万座变电站和一万座发电厂，有效抵御各种网络恶意攻击，确保电力调度系统安全运行。委内瑞拉大面积电网瘫痪的原因就是电网的信息化系统被攻击。美国更厉害，将病毒植入到了俄罗斯的电网。我国这么大面积的电网，很多年来没有引起大面积的瘫痪，就是因为可信计算起了效益，而且还推动了国家等级保护制度的发展。

我们的特点很明显，原有的系统没有影响，我们的软件也不用改，成本也不高。防火墙、杀病毒等系统很费钱，而我们可以不花这个钱，用主动免疫系统就可以。

我们要抓住机遇，在新兴城市发展“新基建”的时候，一定要达到主动免疫可信计算，不仅要解决我们的网络安全问题，也要推动经济社会的健康发展，形成新型的产业链。