2016年���,美國東海岸發(fā)生了世界上癱瘓面積最大��、長(cháng)達6個(gè)多小時(shí)的分布式拒絕服務(wù)(DDoS)攻擊��;2017年爆發(fā)的“WannaCry”的勒索病毒席卷了近150個(gè)國家���,教育�����、交通�����、醫療�����、能源網(wǎng)絡(luò )成為本輪攻擊的重災區�����。2018年8月�,臺積電遭到勒索病毒入侵��,短短幾個(gè)小時(shí)內�����,臺積電在中國臺灣地區的三個(gè)重要生產(chǎn)基地全部停擺�,造成約十幾億美元的營(yíng)業(yè)損失……這一系列事實(shí)表明�����,網(wǎng)絡(luò )安全已經(jīng)成為國家安全層面的要務(wù)����,與社會(huì )公眾的利益息息相關(guān)�。
如何建構牢固的網(wǎng)絡(luò )安全防線(xiàn)����,中國工程院院士沈昌祥在“2019網(wǎng)絡(luò )安全可信峰會(huì )”上給出了詮釋���。他表示��,網(wǎng)絡(luò )空間已經(jīng)變得“無(wú)處不在�����、無(wú)時(shí)不在��、無(wú)所不包”����,基于可信計算建立主動(dòng)免疫的網(wǎng)絡(luò )安全可信策略管控十分關(guān)鍵�。
網(wǎng)絡(luò )空間威脅升級 我國已高度重視
網(wǎng)絡(luò )空間不僅是以計算機作為主要終端的虛擬世界���,正與物理空間和現實(shí)空間快速融合���,與社會(huì )公眾的一切利益息息相關(guān)����。網(wǎng)絡(luò )空間象征著(zhù)財產(chǎn)財富�����,是我國的基礎設施�,與我國的國家主權密不可分���。而網(wǎng)絡(luò )空間安全隨時(shí)有可能面臨極大的威脅����,它有利可圖�����,有遭到全方位攻擊的風(fēng)險��。這一方面是由于網(wǎng)絡(luò )空間本身較為脆弱����,攻防理念薄弱導致網(wǎng)絡(luò )空間存在計算科學(xué)的問(wèn)題�����,缺乏防護部件使得網(wǎng)絡(luò )空間體系架構有一定缺陷�;另一方面則是由于網(wǎng)絡(luò )空間缺乏主動(dòng)�、有效�����、創(chuàng )新升級的安全防護服務(wù)���,計算模式本身易被攻擊��。
沈昌祥表示����,由于設計IT系統并不能窮盡所有的邏輯組合���,必定存在邏輯不全的缺陷�,黑客很容易利用缺陷挖掘進(jìn)行攻擊��。因此�,我們必須要實(shí)施主動(dòng)免疫構建網(wǎng)絡(luò )安全空間�,以確保計算任務(wù)的邏輯組合不被篡改和破壞�����,實(shí)施正確計算�����。
在沈昌祥看來(lái)�,傳統的“封堵查殺”早已過(guò)時(shí)�,殺病毒�����、防火墻��、入侵檢測這“老三樣”基本無(wú)法應對人為的攻擊���,且容易被攻擊者反利用��,不利于整體安全�。
國家層面已經(jīng)出臺了一系列政策法規��,以應對治理難度����、維度升級的網(wǎng)絡(luò )空間��。自2017年起實(shí)施的《網(wǎng)絡(luò )安全法》規定了國務(wù)院��、省���、自治區��、直轄市人民政府應當統籌規劃���、加大投入����,扶持重點(diǎn)網(wǎng)絡(luò )安全技術(shù)產(chǎn)業(yè)和項目�����,支持網(wǎng)絡(luò )安全技術(shù)的研究開(kāi)發(fā)和應用�。推廣安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)�,保護網(wǎng)絡(luò )技術(shù)知識產(chǎn)權��,支持企業(yè)���、研究機構和高等學(xué)校參與國家網(wǎng)絡(luò )安全技術(shù)創(chuàng )新項目����?��!秶揖W(wǎng)絡(luò )空間安全戰略》也提出了“夯實(shí)網(wǎng)絡(luò )安全基礎”的戰略任務(wù)�,再次強調要盡快在核心技術(shù)上取得突破��,加快安全可信產(chǎn)品的推廣應用�����。
用主動(dòng)免疫的可信計算筑牢網(wǎng)絡(luò )安全
主動(dòng)免疫的可信計算是指計算運算的同時(shí)進(jìn)行安全防護�,以密碼為基因實(shí)施身份識別�、狀態(tài)度量�����、保存存儲等功能��,及時(shí)識別“自己”和“非己”成分����,從而破壞與排斥進(jìn)入系統的有害物質(zhì)��,相當于為網(wǎng)絡(luò )信息系統培育了免疫能力��。
沈昌祥表示���,安全可信的計算節點(diǎn)雙體系結構是基于可信密碼模塊����,將計算部件和防護部件進(jìn)行連接���,建立起主動(dòng)免疫的三重防護架構��,實(shí)現“保衛室”���、“保密室”和“監控室”協(xié)同安全管理�����,讓攻擊者進(jìn)不去�、非授權者拿不到��、竊取保密信息者看不懂�����、篡改系統信息者改不了�����、攻擊行為賴(lài)不掉����?�;诖?,“WannaCry�、Mirai����、黑暗力量�����、震網(wǎng)��、心臟滴血”等攻擊病毒不查殺而自滅��。
沈昌祥說(shuō):“2017年��,我國召開(kāi)一帶一路峰會(huì )的前一天����,‘永恒之藍’勒索病毒在一天時(shí)間內席卷了全球150個(gè)國家和地區�,‘危難之時(shí)’是我們中國自己的主動(dòng)免疫可信計算機頂住了����。中央電視臺播出的42個(gè)頻道節目�,面向全球提供中��、英�����、西�����、法����、俄�����、阿等語(yǔ)言電視節目����,在不能與互聯(lián)網(wǎng)物理隔離的環(huán)境下��,建立了可信���、可控�����、可管的網(wǎng)絡(luò )制播環(huán)境�����,經(jīng)受住了病毒的侵襲�����,勝利完成了一帶一路世界峰會(huì )的保障任務(wù)����。”
網(wǎng)絡(luò )可信身份驗證還需合法合規
作為網(wǎng)絡(luò )可信體系的核心內容和確保網(wǎng)絡(luò )安全的首要抓手�,可信驗證和管理可以確保網(wǎng)絡(luò )活動(dòng)人員身份真實(shí)性��,也是網(wǎng)絡(luò )安全認證的前提和支撐�,其中既有強有力的法律支撐����,也得益于新興信息技術(shù)的推動(dòng)�。從法律方面來(lái)看��,《國家安全法》第二十四條規定����,國家實(shí)施網(wǎng)絡(luò )可信身份戰略���,支持研究開(kāi)發(fā)安全�����、方便的電子身份認證技術(shù)��,推動(dòng)不同電子身份認證之間的互認�����。從技術(shù)支撐方面來(lái)看�,基于人工智能的人臉識別��、指紋聲紋的身份生物特征驗證技術(shù)有效解決了身份信息確認問(wèn)題���。“然而���,如果人工智能倫理把握不當���,則極易出現新的安全問(wèn)題��,美國舊金山已經(jīng)立法禁止了全市53個(gè)部門(mén)使用人臉識別技術(shù)�����。”沈昌祥說(shuō)�。
基于此����,沈昌祥表示����,網(wǎng)絡(luò )身份可信驗證應堅持把握“三據�、四不”原則����,即執法的依據�、認證的根據��、追蹤的證據�����,以及不危機實(shí)體身份隱私��、不改變現有各種認證協(xié)議流程�、不影響國家法律證件系統安全�、不重建國家利用法律證件認證系統基礎信息平臺����。該技術(shù)已經(jīng)在政務(wù)����、交通���、醫療�、司法等九大行業(yè)��、140多家單位推廣試點(diǎn)應用�����,取得顯著(zhù)成果��。
“我相信未來(lái)中國的可信計算創(chuàng )新�,一定能與時(shí)代同行���。”沈昌祥激動(dòng)地說(shuō)�����。
