中国工程院院士沈昌祥:主动免疫可信计算为网信系统打疫苗
“新基建下万物互联网络攻击将从数字空间延伸到物理空间,对网络安全提出严峻挑战,必须有效应对垄断网络空间霸权威慑,筑牢网络安全防线。”近日在北京召开的首届中央企业数字化转型峰会之“数字化转型下的网络安全”分论坛上,中国工程院院士、中央网信办专家咨询委员会顾问、国家集成电路产业发展咨询委员会委员、国家三网融合专家组成员沈昌祥发表了《开创安全可信数字化转型新生态》的演讲。
沈昌祥在演讲。
沈昌祥从数字化时代的机遇与挑战出发,围绕网络安全的重要性和战略规划、制度要求,提出要以基础原理、核心技术和工程应用创新为依托,用安全可信网络产品和服务构建主动免疫防护的保障体系。
“大数据是钻石矿。”沈昌祥指出,大数据是指无法用现有软件工具进行处理的海量复杂的数据集合,具有多源异构、非结构化、低价值度、快速处理等特点。“我们假定矿里头没有钻石,也就是说没有现成的数据,因此要收集、开采。”这就相当于数据废品和垃圾收集处理,来从中发掘知识和本质规律。
沈昌祥表示,大数据再处理、再加工产生新的产品,即数字产业化。而随着海量数据的进一步集中和信息技术的进一步发展,信息安全成为大数据快速发展的瓶颈。网络空间的脆弱性呈现在我们眼前,由于利用逻辑缺陷对计算机系统进行攻击获取利益成为永远命题,这就是网络安全的本质。这相当于人的身体没有免疫系统不能防御病毒入侵一样。
在论坛上,沈昌祥再次提起2017年爆发的“WannaCry”勒索病毒这个著名的网络攻击例子。该病毒通过将系统中的数据信息加密,使数据变得不可用,借机勒索钱财,病毒席卷近150个国家,教育、交通、医疗、能源网络成为本轮攻击的重灾区。
“我们要如何对付?”沈昌祥说,要构建主动免疫的可信计算体系,这样才能筑牢基础设施网络安全防线。
什么是主动免疫可信计算?沈昌祥解释,我们通常所理解的杀病毒、防火墙、入侵检测等“老三样”,并不是科学的网络安全概念,难以应对人为攻击,且容易被攻击者利用。而主动免疫的可信计算是一种运算同时进行安全防护的新计算模式,以密码为基因抗体实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
该模式构建“计算+保护”并行的双轮驱动体系结构,形成动态的模式,对计算过程进行正确性的核研,发现异常及时处理,达到主动的防护效果。沈昌祥指出,将信息系统安全防护体系从系统资源、安全策略、审计方面进行三层防护,从而建立主动免疫三重防护框架,达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉等“六不”防护效果。
据悉,可信计算是世界网络安全的主流技术,我国可信计算源于1992年正式立项研究免疫的综合安全防护系统(智能安全卡),并于1995年2月底通过测评和鉴定,经过长期军民融合攻关应用,制订发布了国家和军队的可信计算系列标准及专利,形成了自主创新安全可信体系,并跨入了主动免疫可信计算3.0新时代。
目前,可信计算广泛应用于国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统,它不可能假冒,也不可能篡改,已成为国家法律、战略、等级保护制度要求,推广应用。依托主动免疫可信技术体系,在传统应用领域、工控系统和云计算、物联网、大数据、移动智能网等现代信息系统中奠定网络安全可信的坚实基础。
“落实关键基础设施等级保护要求,将保障数字化转型健康发展。”沈昌祥说,完备的可信计算3.0产品链,也将形成巨大的新兴产业空间。
南都见习记者 陈秋圆 发自北京