中国工程院院士沈昌祥：开启网络安全主动免疫的新生态

更多精彩内容，请关注 《预见未来十年！2020网易未来大会》专题报道

杭州网讯12月18日-20日，2020网易未来大会在杭州盛大举行。大会以“洞觉 未见”为主题，汇聚了全球最强大脑，期盼以远见超越未见，去寻找打开未来的钥匙。

大会上，中国工程院院士沈昌祥在《开启网络安全主动免疫的新生态》主题演讲时 ，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，没有网络安全就没有国家安全。

沈昌祥指出，从科学技术上看，网络安全风险源于图灵机原理少攻防理念，冯·诺依曼结构缺防护部件和工程应用无安全服务的先天性脆弱缺陷。从认知科学上看，设计IT系统不能穷尽所有逻辑组合，必定存在逻辑不全的缺陷。

沈昌祥认为，利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。传统“封堵查杀”难以应对未知恶意攻击。安全可信计算实施运算同时进行免疫的安全防护，使得存在缺陷不被攻击者所利用，达到预期的计算目标。

以下为中国工程院院士沈昌祥演讲实录：

各位来宾，今天跟大家交流一下，新基建情况下，如何保障安全的前提，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，没有网络安全就没有国家安全。

什么是网络安全？网络安全必须有科学的观点认识它、分析它，构建保障体系。前面大家讲了现在无人机发展很快，我提醒大家，没有安全不能保障。举个例子，伊朗方面宣布捕获美国一架无人机，这个飞机智能化程度非常高，侦查全世界的重要目标，但是网络安全它没有搞好，伊朗利用网络安全控制了这个无人机，引入了伊朗上空打下来了。我们怎么看这个问题呢？怎么认识网络安全呢？我们一定要清楚。

从科学技术上看，网络安全风险源于图灵机原理少攻防理念、冯·诺依曼结构缺防护部件和工程应用无安全服务的先天性脆弱缺陷。从认知科学上看，设计IT系统不能穷尽所有逻辑组合，必定存在逻辑不全的缺陷。利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。传统“封堵查杀”难以应对未知恶意攻击。安全可信计算实施运算同时进行免疫的安全防护，使得存在缺陷不被攻击者所利用，达到预期的计算目标。

按国家网络安全法律、战略及等保制度必须要构建主动免疫防护的新体系，怎么构建呢？第一计算原理。主动免疫可信计算是一种运算同时进行安全防护的新计算模式，以密码为基因抗体实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于给网络信息系统培育了免疫能力。由此可见，我们人类以前大家所认识到的防火墙，杀病毒，找漏洞，扫描打补丁能解决问题？所以我们必须要有新的计算模式。

第二，“二重”体系结构不完善。我们要加防护部件，必须讲右边的防护部件，时间关系不说太细了，是免疫的，根据策略检查。

我们理念对了，设计计算机结构也对了，如何做防护系统呢？我们有一些信息化、数据化，我们这边可以看到，可信安全管理中心支持下的主动免疫三重防护框架。第二个办公室、警卫室这是可信边界。第二个上面画了快递，如果快递不可信，不安全，调包了，你就可能拿到了假东西。所以三重安全必须要可信保障，管理很重要。什么人做什么事叫访问控制有规则，有管理。第三个我们审计，审计也是谁干了什么，形成审计记录，留下证据。

那能不能发挥作用呢？人是第一要素，我们中国创新方面，“四要素”的可信动态访问控制，以前的规律不起作用，现在必须人的操作访问策略四要素（主体、客体、操作、环境）进行动态可信度、识别和控制，纠正了传统不计算环境要素的访问，控制策略模型只基于授权标识属性进行操作，而不作为可信验证，难防篡改的安全缺陷。

“五环节”全程管控，技管并重。一个系统必须要定级，定级以后评审危害建设，建成以后大企业在运行过程中，要定期的技术检查，发现问题，尽快解决，更为严重的现在网络有利可图，一些违法分子破坏网络，我们要审视。更严重，网络原子弹，网络核武器进入，我们也要有对抗、反映的措施，这样才能保证系统六个步的效果。第一进不去，但是你混进去以后拿不到东西，你没有资格，拿到东西我们重要细节都看不懂，篡改也不可能，瘫不成，系统工作瘫不成，最后赖不掉，攻击行为赖不掉。这样系统全部免疫了。

大家说有没有技术，有没有产品呢？有，我们是干出来了，现在开创了可信计算3.0。中国可信计算源于1992年立项研制免疫的综合安全防护系统，产品名字叫智能安全卡，于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用，形成了自主创新安全可信体系，开启了可信计算3.0时代，我们在这方面确实有很多方面的创新，时间关系也不讲太多了。1995年2月25日解放军保密委员会技术办公室出了对“智能安全”的评价意见提出对公钥密码身份识别、对称密码加密存储，智能控制与安全执行双重体系结构，环境免疫抗病毒原理，数字定义可信策略对用户透明。

用可信计算构筑网络安全，我发表了文章，新华社《中国名牌》也发表了可信计算：网络安全的主动防御时代。我们看世界可信计算的演进，1.0早期故障很多，人们很聪明，能不能把故障苗头出现了直接处理了，以世界容错组织为代表，我们称之为1.0。在可信2.0时代，TCG为代表的TPM受侧信道攻击，危及全球十几亿节点。我们可信3.0时代，是以中国为代表的可信计算创新。

我们要抢占核心技术制高点，摆脱受制于人。《国家中长期科学技术发展（2006-2020年）》明确提出“以发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全技术保障体系”。可信计算广泛应用于国家重要信息系统，如：增值税防伪、彩票防伪、二代居民身份证安全系统、中央电视台全数字化可信制播环境建设、国家电网电力数字化调度系统安全防护建设，已成为国家法律、战略、等级保护制度要求进行推广应用。

因此我们等级保护要构建新基建的网络安全防线。等保2.0大家可能看了，一级基本的软件不能篡改，二级：所有计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证。并将验证结果形成审计记录。三级：所有计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证，并在应用程序的关键执行环节对其执行环境进行可信验证，主动抵御入侵行为。并将验证结果形成审计记录，送到管理中心。四级：所有计算节点都应基于可信计算技术实现开机到操作系统启动，再到应用程序启动的可信验证，并在应用程序的所有执行环节对其执行环境进行可信验证，主动抵御入侵行为。并将验证结果形成审计记录，送到管理中心，进行动态关联感知，形成实时的态势。

发改委14号令决定以可信计算架构实现等级保护四级。电力可信计算密码平台已在几十个省级以上调度控制中心、上千套地级以上电网调度控制系统全覆盖，涉及十几万个节点，约四万座变电站和一万座发电厂，有效抵御各种网络恶意攻击，确保电力调度系统安全运行。

5G网络设施等保新标准安全架构，5G网络在传统电信云的基础上引入NFV/SDN等技术进行ICT融合，将移动通信网络云化、虚拟化和软件化，使网络变得更灵活、敏捷和开放。

我们新基建要构建智慧城市，现场感知的东西以后，后台计算吗？现在一般是云服务器，构成动态的设施，实现智能城市、智能交通、智能能源以及智能家居。只有安全可信才能发展我们基于物联网的智能家庭、智能社会，才能建设网络强国，希望我们浙江省能起到引领带头的作用，谢谢大家！

2020网易未来大会由杭州市人民政府和网易公司联合主办，杭州市商务局、杭州市经济和信息化局、杭州市滨江区人民政府、北京网易传媒有限公司以及网易（杭州）网络有限公司承办，中国移动总冠名。大会将进行三天的头脑风暴、涵盖了预见未来、新基建、人工智能、区块链、潮商业、UP生活以及和文化等论坛。