中国工程院院士沈昌祥:网络必须安全可信 5G缺安全可信
出品|本站科技《5G+访谈》 公众号:smartman163
万物智联的5G时代即将到来,2019年5月开始,本站科技重磅打造“5G+访谈”,邀请行业内大咖共话5G,探讨“5G+”时代的机遇和挑战。本站科技将通过专业视角持续为大家带来5G最前沿的报道。
本期访谈,本站科技对话中国工程院院士沈昌祥。在飞腾第一届生态伙伴大会上,沈昌祥院士进行了精彩的主题演讲,针对网络安全话题进行了精彩分享,5G时代,网络安全的现状是什么?我们是否可以安心地使用5G网络?5G时代的网络安全又急需哪些解决方案?带着这些问题,本站科技与沈昌祥院士进行了独家对话。
网络空间极其脆弱,主要体现三大问题
2017年5月12日,勒索病毒WannaCry,在一天时间内横扫世界150多个国家的就业、医疗卫生、能源等网络系统,这些系统被病毒恶意加密导致无法正常使用,同时,受害主体均受到了不同程度的敲诈勒索。然而,由于中国具备自主创新、安全可信的计算体系,重要的网络系统均完好无损。
沈昌祥表示,我们通常所理解的杀病毒、防火墙等,并不是科学的网络安全概念。“只有网络安全法将网络安全解释的最为准确。”沈昌祥强调到。2016年11月7日,《中华人民共和国网络安全法》发布,并于2017年6月1日开始实施。其中第十六条明确规定:国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。此外,《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”,强调“尽快在核心技术上取得突破,加快安全可信的产品推广应用”。
在沈昌祥看来,网络空间极其脆弱,主要问题有三个:计算科学问题、体系结构问题、计算模式问题。
计算科学问题主要来自历史遗留,在计算机发展初期,计算机科学之父图灵首发了计算原理,并破译希特勒英格码密码,这固然十分伟大。然而,当时的图灵计算原理中,计算机只是单纯的运算工具,从而导致其并不具备网络攻防的理念,“这与牛顿力学体系中没有时空概念是同样的道理。”沈昌祥解释道。而体系结构问题,则是由于计算机体系结构创始人冯·诺依曼时期,并不存在网络攻击,为追求高计算速度及高效率,网络体系结构中并没有防护部件,沈昌祥将这种状态比喻为“没有免疫系统的残疾人”。计算模式问题,则具体表现为,重大的网络工程应用,仅仅是功能的堆砌,并无安全服务,沈昌祥将其称为“无序社会”。
网络必须可信中国人创新需要自信
可信计算(trusted computing),目前已是世界网络安全的主流技术,2003年由ⅠBM、英特尔和微软等发起的可信计算组织(TCG)现已有190多个成员,以Windows 10为代表的可信计算已成业界关注的焦点。由中国工程院沈昌祥院士在90年代初研制成功免疫的可信计算,在广泛应用基础上发起成立的中关村可信计算产业联盟,在18位院士组成的科学技术指导委员会引领下,二百多家产学研用各界会员共同努力,为可信计算的技术创新和应用推广贡献了力量。
谈到安全风险的实质,沈昌祥院士表示,安全风险的实质就是设计IT系统不能穷尽所有逻辑组合,必定存在逻辑不全的缺陷,利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。而主动免疫的安全目标,则是确保为完成计算任务的逻辑组合不被篡改和破坏,实现正确计算。
沈昌祥谈到,传统“封堵查杀”已过时,杀病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路不利于整体安全。主动免疫可信计算,则是以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
此前,中国革命性地开创了以主动免疫为标志的可信计算3.0,运用密码技术、信任根芯片、可信基础软件等组件搭建全新的可信计算体系结构框架,在计算节点上构建一组“宿主-可信”双节点,用逻辑上独立于传统系统并行的可信计算子系统,形成可信免疫架构,将每个可信节点联系成为完整的可信体系。依托主动免疫可信技术体系,在传统应用领域、工控系统和云计算、物联网、大数据、移动智能网等现代信息系统中奠定网络安全可信的坚实基础。
然而,目前国内创新的安全可信技术流失严重,沈昌祥也表示出对此种现状的担忧,“中国人在创新方面需要自信,”沈昌祥说到。
5G网络没有免疫系统 无安全可言
谈到5G,特别是在中国工信部正式宣布5G商用后,我们首先想到的无疑是5G网络的几大优点:高速率、大带宽、以及低时延等等。然而,关于5G网络安全的思考,似乎并不是非常深刻。
沈昌祥院士表示,正是由于5G的几大特点,加之5G网络均为软件定义,其网络极其脆弱,安全问题并非传统意义的“防火墙”可以解决的,在芯片层加入可核和可信软件,边工作边盘查,使所有恶意攻击均失去作用,才是解决问题的正确方案。5G网络在传统电信云的基础上引入NFV/SDN等技术进行ICT融合,将移动通信网络云化、虚拟化和软件化,使网络变得更灵活、敏捷和开放。但无安全可信保障,这一切将不存在。
沈昌祥表示,只有建设以5G为核心的安全可信的物联网,智慧城市、智慧交通、智慧能源、智慧医疗的正常运行才可以得到保障。其中,等级保护框架可以很好地解决5G网络安全问题,通过可信安全管理中心支持下的计算环境云核心网平台可信、承载接入边缘计算可信和基站接入网可信的三重防御体系框架,以及系统策略管理,能主动免疫抵御各种恶意攻击,最终才能构成一个健康的智能社会。