筑牢網絡安全防線

2020/08/09

“新基建”的提出,是黨中央高瞻遠矚、審時度勢作出的重大戰略部署,將大力推動數字化轉型、網絡化重構、智能化提升、產業化升級,為高質量發展提供有力支撐。同時,“新基建”下的網絡安全成為新的戰略挑戰。安全是發展的前提。新型基礎設施以數據和網絡為核心,其發展前提是用主動免疫的可信計算筑牢安全防線。


發展主動免疫安全產業

首先,只有認清網絡安全本質,我們才能主動抵御安全風險。


網絡安全的本質是不法者利用邏輯缺陷對計算機系統進行攻擊,從而獲取利益。主動免疫可信計算是一種采用運算與防護并存,以防不法牟利者利用邏輯缺陷攻擊系統的新計算模式。該模式通過密碼基因產生抗體,實施身份識別、狀態度量、保密存儲等主動免疫機制,及時識別“自己”和“非己”成分,從而破壞、排斥進入機體的有害物質,為計算機信息系統培育“免疫能力”。


“新基建”想要采用這種新的計算模式,就必須建立新的體系框架。在安全管理的支撐下,構建計算環境、區域邊界和通信網絡三重主動免疫防御框架,從而實現攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、計算資源改不了、系統工作癱不成和攻擊行為賴不掉的安全防護效果。


主動免疫框架內的節點,還必須有獨立的可信檢測軟硬件,同時與計算資源的軟硬件并行,形成雙體系結構。它并不是簡單地在串行結構中加入安全功能的防護,而是在實施計算、運算的同時,對網絡進行安全檢測。


其次,我們要離開“封堵查殺”,推動自主創新產業發展。


當前大部分網絡安全系統主要是由防火墻、入侵監測和病毒查殺等組成,稱為“老三樣”。可是“封堵查殺”難以應對利用邏輯缺陷的攻擊并且自身也存在安全隱患。首先,“老三樣”是被動的防護,根據已發生過的特征庫內容進行比對查殺,面對層出不窮的新漏洞與攻擊方法,這是消極被動的事后處理,不頂用;其次,“老三樣”屬于超級用戶,權限越規,違背了最小特權安全原則;第三,“老三樣”可以被攻擊者利用,惡意查殺,成為網絡攻擊的平臺。“新基建”應離開“封堵查殺老三樣”,驅動新產業發展。


既然“新基建”以網絡數據為核心,就應該做到全程可測可控,且不被干擾,消除安全隱患,確保計算結果與預期一致。想要實現這一目標,工程建設就必須與主動免疫安全保障建設同步進行,做到同步規劃、同步設計、同步實施、同步運維,以確保5G網絡、數據中心等“新基建”數據存儲可信、操作行為可信、體系結構可信、資源配置可信和策略管理可信。


目前,國外沒有能滿足上述要求的技術產品,我國應抓住機遇,加強和完善國產化產品的主動免疫創新,實現機理、策略和架構的可信度量和監控,帶動國產安全可信產業快速發展。


堅持自主創新安全可信

“新基建”采購什么樣的網絡信息產品和設備,需要科學決策。國家網絡安全法第十六條規定,國務院、省、自治區、直轄市人民政府應當統籌規劃加大投入,扶持重點網絡安全產品和項目,支持網絡安全技術研究開發和應用,推廣安全可信的網絡產品和服務。國家頒布的網絡空間安全戰略,強調盡快突破核心技術,加快推廣安全可信的網絡產品。只有堅持自主創新安全可信,才能確保網絡安全。面對復雜的國際市場環境,我們必須積極應對。


過去二十多年來,我國的不少核心基礎設施都堅持著自主創新。例如,國家電網調度系統就全面實現了安全可信,為推廣安全可信國產化樹立了典范;我國的彩票從未發生過假冒事件,增值稅發票防偽系統能確保所有發票真實可信;我國的第二代居民身份證的體系結構保證了其不可竄改和偽造……這些都是采用了主動免疫安全可信的支持系統,也為后來的信息基礎設施安全保障,提供了寶貴經驗。


“新基建”要堅持自主創新安全可信的國產化,應遵循“五三一”原則。


“五”是指“五個可做到”。具體包括:可知,即對合作方開放全部源代碼,要心里有數,不能盲從;可編,即要基于對源代碼的理解,能自主改寫代碼;可重構,即面向具體的應用場景和安全需求,對核心技術要素進行重構,形成定制化的新體系結構;可信,即通過可信計算技術增強自主系統免疫性,防范未知漏洞攻擊影響系統安全性,為國產化真正落地保駕護航;可用,即做好應用程序與操作系統的適配工作,確保自主系統能夠替代國外產品。“三”是指“三條控制底線”,即必須使用我國的可信計算、必須使用我國的數字證書、必須使用我國的密碼設備。“一”是指“一定要有自主知識產權”,即要對最終的系統擁有自主知識產權,保護好自主創新的知識產權及其安全;堅持核心技術創新專利化,專利標準化及標準推進的市場化;要走出國門,成為世界品牌。


免疫可信計算助力網絡安全

我們要開創可信計算3.0新時代,以徹底擺脫核心技術受制于人的舊局面。


我國免疫的可信計算研究源于上世紀90年代初。為擺脫傳統的可信計算局限于操作系統等部件功能集不能抵御病毒攻擊的被動局面,我國于1992年正式立項研制免疫殺病毒的綜合安全防護系統(智能安全卡),1995年2月底通過測評鑒定,肯定了具有公鑰與對稱密碼雙體制、免疫抗病毒機理、計算和防護并行雙結構等重大創新;經軍民融合大規模推廣應用,制訂發布了國家和軍隊的可信計算系列標準及專利,至此跨入了主動免疫可信計算3.0新時代。


《國家中長期科學技術發展綱要(2006—2020年)》明確要求以發展高可信網絡為重點,開發網絡安全技術及相關產品,建立網絡安全保障體系。經過長期攻關突破,我國形成了完整的產業鏈,在構建關鍵信息基礎設施的安全保障體系上,取得了重大效益。國外重要企業和機構,都采用了我國可信計算3.0的不少核心技術。例如,國際可信計算組織(TCG)采用了公鑰與對稱密碼體制,俄羅斯卡巴斯基宣布不做殺病毒軟件而轉向研發免疫網絡,AMD的CPU的多核增加了并行的防護核等,這些與中國的主動免疫可信計算,可謂是“異曲同工”。


此外,《中華人民共和國網絡安全法》規定,國家實行網絡安全等級保護制度,國家對關鍵信息基礎設施在網絡安全等級保護制度基礎上實行重點保護。“新基建”應當按照新的網絡安全等級標準(簡稱“等保2.0標準”)實施高等級保護。


新的等保2.0標準,是經過二十多年等保工作創新發展而形成,將主動免疫可信計算3.0的核心技術產品和服務,逐步升級,從而構建各級主動免疫的可信架構。可信計算3.0己形成了完整的產業鏈,能充分滿足“新基建”高等級保護的構建需求。以5G網絡和數據中心等為代表的新型基礎設施,是關鍵信息基礎設施中的核心部分,應該按照等保2.0標準步驟,加快推進安全保障體系建設。具體來說,等保2.0標準可分為五個步驟推進:


第一,風險分析,準確定級。按照業務信息和系統服務受攻擊的損害程度進行評估。對公眾利益、社會秩序或國家安全造成損害、嚴重損害、特別嚴重損害的網絡行為,分別定為三、四、五級。第二,按級要求,確定方案。確定等級經專家評審備案后,根據等保2.0技術設計的要求和標準,進行建設方案設計,經評審報批后確定方案。第三,規范施工,嚴密管理。從技術和管理兩個層面,按確定方案進行實施,做到可信、可控、可管。第四,嚴格測評,整改完善。測評機構要按照測試要求、基本要求及國家標準完成測評任務,承建者發現問題,需修改完善后再投入運營。第五,監督檢查,應急恢復。國家主管部門對基礎設施運營進行定期監督檢查,并設置完善的應急恢復措施,確保系統安全可靠地運營。


“新基建”按照等保2.0標準建成后,再按照國家即將發布的《關鍵信息基礎設施安全保護條例》進一步加強防護,使其具有主動免疫、技管并重、內外兼防、縱深防御及牢不可破的網絡安全防線。


(沈昌祥? 中國工程院院士)


關閉
啪嗒啪嗒高清视频在线观看