可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全，搶占網(wǎng)安核心制高點(diǎn)

網(wǎng)絡(luò)空間安全是集計(jì)算、通信、控制等學(xué)科交叉于一身的科學(xué)問題。由于人們對(duì)IT的認(rèn)知邏輯的局限性——局限于以“完成計(jì)算任務(wù)”為目標(biāo)去設(shè)計(jì)IT系統(tǒng)，難以避免邏輯缺陷對(duì)任務(wù)執(zhí)行的影響。尤其是難以應(yīng)對(duì)人為地利用邏輯缺陷進(jìn)行攻擊，因此，必須借助計(jì)算體系結(jié)構(gòu)和計(jì)算模式的技術(shù)創(chuàng)新去實(shí)現(xiàn)相對(duì)安全。

在8月5日于成都舉辦的2016年首屆C3安全峰會(huì)暨中國云安全峰會(huì)上，中國工程院院士沈昌祥提出，按照WTO的規(guī)則，依照我國相關(guān)法律和《商用密碼管理?xiàng)l例》，我國可開展對(duì)Win10的安全審查，并對(duì)其進(jìn)行本土化改造，其中“數(shù)字證書、可信計(jì)算、密碼設(shè)備等必須是國產(chǎn)自主的，安全必須要可控”。去年7月起，微軟“強(qiáng)推”Win10操作系統(tǒng)，提供“免費(fèi)下載”，在安全方面加強(qiáng)壁壘——Win10從終端到移動(dòng)端、服務(wù)器、云計(jì)算、大數(shù)據(jù)等均執(zhí)行可信版本，給我國網(wǎng)絡(luò)安全帶來嚴(yán)峻挑戰(zhàn)。如何應(yīng)對(duì)?

用可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全

面對(duì)全新的安全防護(hù)形勢，以前封堵、查殺等被動(dòng)防護(hù)已經(jīng)過時(shí)了。目前“可信計(jì)算”(計(jì)算機(jī)專業(yè)名詞，這項(xiàng)技術(shù)的擁護(hù)者稱它將會(huì)使計(jì)算機(jī)更安全、更不易被病毒和惡意軟件侵害，編者注)是一個(gè)熱潮，成立了世界可信計(jì)算組織，有幾百家IT企業(yè)研究，中國也有大企業(yè)跟進(jìn)研究，用可信來解決安全問題。在這方面，中國也有自己的創(chuàng)新。

可信計(jì)算是一邊計(jì)算、一邊防護(hù)的新的計(jì)算模式，計(jì)算結(jié)果跟我們預(yù)期一樣，全程可測可控、不被干擾，是一個(gè)防御、運(yùn)算并行的“免疫計(jì)算模式”。就像人體一樣，有針對(duì)病毒、癌細(xì)胞等的免疫系統(tǒng)，所以病毒等不會(huì)輕易入侵到人的身體中。

類似的，可信支撐體系有點(diǎn)類似一個(gè)孩子是“怪胎”，只能生活在無菌狀態(tài)下。所以我們要從體系結(jié)構(gòu)、操作行為、資源配置、數(shù)據(jù)存儲(chǔ)、策略管理需要免疫的模式，構(gòu)成安全管理中心可信的環(huán)境、可信的應(yīng)用，構(gòu)建可信的、安全的、科學(xué)的體系框架。

中國在這方面起步比較早。相比2003年才成立的可信計(jì)算組織(TCG，原為TCPA)，我國可信計(jì)算于1992年就已經(jīng)立項(xiàng)，經(jīng)過長期的軍民融合攻關(guān)，已形成了我國自主的可信計(jì)算創(chuàng)新體系。如今我國以密碼為基礎(chǔ)，芯片為支柱，主板為平臺(tái)，軟件為核心，網(wǎng)絡(luò)為紐帶，形成了應(yīng)用可信計(jì)算體系和標(biāo)準(zhǔn)體系。

我國在可信計(jì)算也有很多創(chuàng)新。針對(duì)世界可信計(jì)算組織可信計(jì)算方案的局限性，我們?cè)诿艽a算法和機(jī)制上做了創(chuàng)新，取得了更高的安全性。

搶占網(wǎng)安核心技術(shù)制高點(diǎn)

我國必須搶占網(wǎng)絡(luò)空間安全核心技術(shù)戰(zhàn)略的制高點(diǎn)。2014年微軟公司正式停止對(duì)Windows XP的服務(wù)支持，強(qiáng)推可信系統(tǒng)Win8，對(duì)我國網(wǎng)絡(luò)安全提出嚴(yán)重挑戰(zhàn)。當(dāng)時(shí)，我國抵御了Win8的安裝，沒有采購Win8，而是采取了加強(qiáng)Windows XP防火墻的手段來應(yīng)對(duì)。2015年Win10卷土重來，提供免費(fèi)下載并執(zhí)行全面的可信版本，給我國網(wǎng)絡(luò)安全帶來了嚴(yán)重的潛在威脅。怎么辦?我國必須利用WTO“尊重銷售國家的有關(guān)法律法規(guī)和有關(guān)標(biāo)準(zhǔn)”的游戲規(guī)則，開展對(duì)Win10 的安全審查，并對(duì)其進(jìn)行本土化改造，其中數(shù)字證書、可信計(jì)算、密碼設(shè)備必須是國產(chǎn)、自主的，安全必須要可控。

針對(duì)可信計(jì)算，我國提出了“五可”“一有”的技術(shù)路線，做到對(duì)開源系統(tǒng)代碼“可知”“可編”、面向具體的應(yīng)用場景和安全需求“可重構(gòu)”、通過“可信”計(jì)算技術(shù)增強(qiáng)自主操作系統(tǒng)免疫性、確保自主操作系統(tǒng)“可用”，從而做到對(duì)國外產(chǎn)品的替代。“一有”是要有自主知識(shí)產(chǎn)權(quán)，并處理好所使用的開源技術(shù)的知識(shí)產(chǎn)權(quán)問題。

可信計(jì)算體系已經(jīng)在我國的重要基礎(chǔ)設(shè)施上得到應(yīng)用，比如國家電力調(diào)度系統(tǒng)。在這方面，烏克蘭可謂“前車之鑒”。去年年底，烏克蘭大面積停電，正是因?yàn)殡娏φ{(diào)度系統(tǒng)遭到黑客的惡意控制。我國國家電力系統(tǒng)在5年前就有了可信計(jì)算保障，電力可信密碼平臺(tái)已經(jīng)在全國推廣。在安全問題上，我國擁有了主動(dòng)防御的能力。

可以說，我國在可信計(jì)算方面已經(jīng)有了一定基礎(chǔ)，并且能夠解決國家的安全建設(shè)問題。目前我們采取軍民融合創(chuàng)新的路子，來構(gòu)筑主動(dòng)防御、安全可信的保障體系。通過主動(dòng)識(shí)別、主動(dòng)控制、主動(dòng)報(bào)警，讓資源和數(shù)據(jù)有可信度、對(duì)行為有可信鑒別，如此才能構(gòu)成我國核心基礎(chǔ)設(shè)施高等級(jí)的安全保護(hù)體系。以前我們沒有核心技術(shù)，不能真正解決安全問題，現(xiàn)在我們有辦法了，有新的網(wǎng)絡(luò)化可信支撐環(huán)境。