您当前的位置: 首页 > 科普知识 > 正文

沈昌祥院士:用可信计算筑牢网络安全防线

发布时间: 2017-11-24 09:33:00 来源: 网络 浏览次数:0 字体大小: [] [] []

  沈昌祥院士的形象比喻有很多,他用“生了一个孩子没有免疫系统”来形容那些只能局限于完成任务而设计的IT系统,用“小区围墙与门口保安”来形容防火墙,指出“封堵查杀被动防御已经过时”。

  2017年11月19日,在由工业和信息化部指导、中国计算机用户协会主办、中国计算机用户协会信息安全分会承办的“2017年第四届国家信息安全与国产化战略高层论坛暨2017虚拟化技术安全与应用研讨会”上,中国工程院沈昌祥院士从科学的网络安全观、中国可信计算革命性创新、用可信计算3.0构筑网络安全等三个角度,做了《用可信计算筑牢网络安全防线》的主旨演讲。

  沈院士认为:利用逻辑缺陷攻击是永远的主题,他用“生了一个孩子没有免疫系统”来形容那些只能局限于完成任务去设计的IT系统,因为存在逻辑不全的缺陷,缺失防攻击逻辑,从而难以应对人为利用缺陷进行的攻击;用“小区围墙与门口保安”来形容防火墙,指出“老三样”封堵查杀被动防御已经过时。他认为以密码为基因,安全防护必须从逻辑正确验证、计算体系结构和计算模式等方面进行科学技术创新,以解决逻辑缺陷不被攻击者所利用的问题,形成攻防矛盾的统一体。沈院士强调:做好网络安全工作,必须坚持自主可控、安全可信;

  沈昌祥院士介绍了为确保核心机密安全在1992年我国正式立项研究的主动免疫的综合防护系统,已经形成了自主创新的可信体系,纠正了TCG密码体制缺失等问题,很多已被国际可信组织TCG采纳。我国已经跨入可信计算3.0时代,成为夯实我国网络安全防线的基础。同时,我国的创新主动免疫体系结构实现了可信策略安全管控,克服了TCG部件TPM被动挂接调用的局限性。

  《国家中长期科学技术发展(2006-2020)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,据沈院士介绍,中国可信计算已经成为保卫国家网络空间主权的战略核心技术,被列为国家战略和法律要求,并已在国家核心系统和关键信息基础设施得到规模化的成功应用,如:增值税防伪、彩票防伪、二代居民身份证安全系统等都采用了可信计算3.0作基础支撑;中央电视台播出系统和国家电网系统更是达到四级安全要求,在永恒之蓝勒索病毒等系列大规模网络攻击事件发生时经受了考验。

  网络空间主权是世界网络空间斗争的焦点,沈院士指出,必须抢占网络空间安全核心技术战略制高点,构筑主动防御、安全可信的保障体系。2014年10月,微软又推出了Windows  10,宣布停止非可信的Windows  7。关于Windows  10,微软已使它不仅终端可信,而且移动终端、服务器、云计算、大数据等全面执行可信版本,强制与硬件TPM芯片配置,并在网上一体化支持管理。可谓“可信全面控制、一网打尽。”沈院士认为:推广Windows  10将直接威胁网络空间国家主权,应按国家网络安全审查制度,对其进行审查;坚持本土化,必须使用我国的可信计算、数字证书和密码设备。

  沈院士提出坚持自主可控、安全可信,要做到“五可、一有”,即:“可知”,对合作方开放全部源代码,要心里有数,不能盲从;“可编”,要基于对源代码的理解,能自主编写代码;“可重构”,面向具体的应用场景和安全需求,对核心技术要素进行重构,形成定制化的新的体系结构;“可信”,通过可信计算技术增强自主系统免疫性,防范漏洞影响系统安全性,使国产化真正落地;“可用”,做好应用程序与操作系统的适配工作,确保自主系统能够替代国外产品;“有自主知识产权”,对最终的系统拥有自主知识产权,保护好自主创新的知识产权及其安全。