可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全,搶占網(wǎng)安核心制高點(diǎn)
網(wǎng)絡(luò)空間安全是集計(jì)算、通信、控制等學(xué)科交叉于一身的科學(xué)問題。由于人們對IT的認(rèn)知邏輯的局限性——局限于以“完成計(jì)算任務(wù)”為目標(biāo)去設(shè)計(jì)IT系統(tǒng),難以避免邏輯缺陷對任務(wù)執(zhí)行的影響。尤其是難以應(yīng)對人為地利用邏輯缺陷進(jìn)行攻擊,因此,必須借助計(jì)算體系結(jié)構(gòu)和計(jì)算模式的技術(shù)創(chuàng)新去實(shí)現(xiàn)相對安全。
在8月5日于成都舉辦的2016年首屆C3安全峰會暨中國云安全峰會上,中國工程院院士沈昌祥提出,按照WTO的規(guī)則,依照我國相關(guān)法律和《商用密碼管理?xiàng)l例》,我國可開展對Win10的安全審查,并對其進(jìn)行本土化改造,其中“數(shù)字證書、可信計(jì)算、密碼設(shè)備等必須是國產(chǎn)自主的,安全必須要可控”。去年7月起,微軟“強(qiáng)推”Win10操作系統(tǒng),提供“免費(fèi)下載”,在安全方面加強(qiáng)壁壘——Win10從終端到移動端、服務(wù)器、云計(jì)算、大數(shù)據(jù)等均執(zhí)行可信版本,給我國網(wǎng)絡(luò)安全帶來嚴(yán)峻挑戰(zhàn)。如何應(yīng)對?
用可信計(jì)算構(gòu)筑網(wǎng)絡(luò)安全
面對全新的安全防護(hù)形勢,以前封堵、查殺等被動防護(hù)已經(jīng)過時(shí)了。目前“可信計(jì)算”(計(jì)算機(jī)專業(yè)名詞,這項(xiàng)技術(shù)的擁護(hù)者稱它將會使計(jì)算機(jī)更安全、更不易被病毒和惡意軟件侵害,編者注)是一個熱潮,成立了世界可信計(jì)算組織,有幾百家IT企業(yè)研究,中國也有大企業(yè)跟進(jìn)研究,用可信來解決安全問題。在這方面,中國也有自己的創(chuàng)新。
可信計(jì)算是一邊計(jì)算、一邊防護(hù)的新的計(jì)算模式,計(jì)算結(jié)果跟我們預(yù)期一樣,全程可測可控、不被干擾,是一個防御、運(yùn)算并行的“免疫計(jì)算模式”。就像人體一樣,有針對病毒、癌細(xì)胞等的免疫系統(tǒng),所以病毒等不會輕易入侵到人的身體中。
類似的,可信支撐體系有點(diǎn)類似一個孩子是“怪胎”,只能生活在無菌狀態(tài)下。所以我們要從體系結(jié)構(gòu)、操作行為、資源配置、數(shù)據(jù)存儲、策略管理需要免疫的模式,構(gòu)成安全管理中心可信的環(huán)境、可信的應(yīng)用,構(gòu)建可信的、安全的、科學(xué)的體系框架。
中國在這方面起步比較早。相比2003年才成立的可信計(jì)算組織(TCG,原為TCPA),我國可信計(jì)算于1992年就已經(jīng)立項(xiàng),經(jīng)過長期的軍民融合攻關(guān),已形成了我國自主的可信計(jì)算創(chuàng)新體系。如今我國以密碼為基礎(chǔ),芯片為支柱,主板為平臺,軟件為核心,網(wǎng)絡(luò)為紐帶,形成了應(yīng)用可信計(jì)算體系和標(biāo)準(zhǔn)體系。
我國在可信計(jì)算也有很多創(chuàng)新。針對世界可信計(jì)算組織可信計(jì)算方案的局限性,我們在密碼算法和機(jī)制上做了創(chuàng)新,取得了更高的安全性。
搶占網(wǎng)安核心技術(shù)制高點(diǎn)
我國必須搶占網(wǎng)絡(luò)空間安全核心技術(shù)戰(zhàn)略的制高點(diǎn)。2014年微軟公司正式停止對Windows XP的服務(wù)支持,強(qiáng)推可信系統(tǒng)Win8,對我國網(wǎng)絡(luò)安全提出嚴(yán)重挑戰(zhàn)。當(dāng)時(shí),我國抵御了Win8的安裝,沒有采購Win8,而是采取了加強(qiáng)Windows XP防火墻的手段來應(yīng)對。2015年Win10卷土重來,提供免費(fèi)下載并執(zhí)行全面的可信版本,給我國網(wǎng)絡(luò)安全帶來了嚴(yán)重的潛在威脅。怎么辦?我國必須利用WTO“尊重銷售國家的有關(guān)法律法規(guī)和有關(guān)標(biāo)準(zhǔn)”的游戲規(guī)則,開展對Win10 的安全審查,并對其進(jìn)行本土化改造,其中數(shù)字證書、可信計(jì)算、密碼設(shè)備必須是國產(chǎn)、自主的,安全必須要可控。
針對可信計(jì)算,我國提出了“五可”“一有”的技術(shù)路線,做到對開源系統(tǒng)代碼“可知”“可編”、面向具體的應(yīng)用場景和安全需求“可重構(gòu)”、通過“可信”計(jì)算技術(shù)增強(qiáng)自主操作系統(tǒng)免疫性、確保自主操作系統(tǒng)“可用”,從而做到對國外產(chǎn)品的替代。“一有”是要有自主知識產(chǎn)權(quán),并處理好所使用的開源技術(shù)的知識產(chǎn)權(quán)問題。
可信計(jì)算體系已經(jīng)在我國的重要基礎(chǔ)設(shè)施上得到應(yīng)用,比如國家電力調(diào)度系統(tǒng)。在這方面,烏克蘭可謂“前車之鑒”。去年年底,烏克蘭大面積停電,正是因?yàn)殡娏φ{(diào)度系統(tǒng)遭到黑客的惡意控制。我國國家電力系統(tǒng)在5年前就有了可信計(jì)算保障,電力可信密碼平臺已經(jīng)在全國推廣。在安全問題上,我國擁有了主動防御的能力。
可以說,我國在可信計(jì)算方面已經(jīng)有了一定基礎(chǔ),并且能夠解決國家的安全建設(shè)問題。目前我們采取軍民融合創(chuàng)新的路子,來構(gòu)筑主動防御、安全可信的保障體系。通過主動識別、主動控制、主動報(bào)警,讓資源和數(shù)據(jù)有可信度、對行為有可信鑒別,如此才能構(gòu)成我國核心基礎(chǔ)設(shè)施高等級的安全保護(hù)體系。以前我們沒有核心技術(shù),不能真正解決安全問題,現(xiàn)在我們有辦法了,有新的網(wǎng)絡(luò)化可信支撐環(huán)境。