新闻中心

沈昌祥:坚持自主可信“五三一”原则 筑牢“新基建”网络安全防线

时间:2020-04-02 来源:河北日报

作者介绍

沈昌祥,中国工程院院士、信息系统工程专家,是国家网络安全杰出人才奖获得者、CCF终身成就奖获得者,目前担任目前担任国家信息化专家咨询委员会委员,国家三网融合专家组成员,国家集成电路产业发展咨询委员会委员,国家保密战略专家咨询委员会主任委员,国家信息安全等级保护专家委员会主任委员等职务。

沈院士长期从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全(安全操作系统、安全数据库等)、网络安全等方面的研究工作。先后完成了重大科研项目二十多项,取得了一系列重要成果,曾获国家科技进步一等奖2项、二等奖2项、三等奖3项,军队科技进步奖十多项。

沈院士作为我国自主创新的主动免疫可信计算的开创者和引领者,带领他的团队自上世纪90年代开始研究主动免疫的可信计算技术。目前,可信计算已经发展到3.0阶段。



当前,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,我国的网络安全正在面临严峻挑战。“没有网络安全就没有国家安全”,按照国家网络安全法律、战略和等级保护制度要求,推广安全可信的产品和服务,筑牢网络安全底线是历史的使命。新型基础设施是以数据和网络为核心,其发展前提是用主动免疫可信计算筑牢安全防线。

没有网络安全就没有国家安全.png

主动免疫可信计算采用运算和防护并存的主动免疫的新计算模式,类似于人体免疫系统机理,以密码为基因实施身份识别、状态度量、保密存储等主动防御措施,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。

新的计算模式必须建立新体系框架,实施安全管理支持下的计算环境、区域边界和通信网络三重主动防御框架,能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。这与最近防控新型冠状病毒相似,要对社会环境进行管控,使人体保持自身机体免疫力,需要戴口罩隔离,也要监控来往的联络人员。

当前大部分网络安全系统主要是由防火墙、入侵检测和病毒查杀等组成,称为“老三样”。但是“封堵查杀”难以应对利用逻辑缺陷的攻击并且自身也存在安全隐患。首先,“老三样”是被动的防护,根据已发生过的特征库内容进行比对查杀,面对层出不穷的新漏洞与攻击方法,这是消极被动的事后处理,不顶用;其次,“老三样”属于超级用户,权限越规,违背了最小特权安全原则;第三,“老三样”可以被攻击者利用,恶意查杀,成为网络攻击的平台。

“新基建”运用主动免疫可信计算则全程可测可控,不被干扰,使计算结果与预期一致,与安全保障建设同步,以确保数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。这要求我国在“新基建”过程中一定要真正实现本土化创新,用自主创新的机理、策略和架构进行严格的可信度量和监控,带动国产自主创新产业快速发展。

“新基建”必须要坚持自主创新安全可信的国产化,按“五三一”原则实施.png


“新基建”必须要坚持自主创新安全可信的国产化,按“五三一”原则实施。

“五个可做到”:可知,即对合作方开放全部源代码,要心里有数,不能盲从;可编,即要基于对源代码的理解,能自主编写代码;可重构,即面向具体的应用场景和安全需求,对核心技术要素进行重构,形成定制化的新的体系结构;可信,即通过可信计算技术增强自主系统免疫性,防范漏洞影响系统安全性,使国产化真正落地;可用,即做好应用程序与操作系统的适配工作,确保自主系统能够替代国外产品。

“三条控制底线”:必须使用我国的可信计算;必须使用我国的数字证书;必须使用我国的密码设备。

“一定要有自主知识产权”:要对最终的系统拥有自主知识产权,保护好自主创新的知识产权及其安全。坚持核心技术创新专利化,专利标准化,标准推进市场化。要走出国门,成为世界品牌。