網絡安全從“外掛”轉向“內生”

當前，先進計算與內生安全技術邁入新一輪的變革發展週期，新理念、新思路、新方法、新技術、新應用不斷涌現。在國際上，無論是美國《國家網絡戰略》還是歐盟重大項目計劃，都在強調新型計算架構和在計算機體系結構內部融合安全性設計的重要性；在我國，學術界和產業界也掀起了先進計算和內生安全技術的研究熱潮。

我國內生安全技術已經取得了哪些突破性進展？如何引領未來10年安全技術的發展方向？10月29日，在第三屆“先進計算與內生安全”學術會議上，與會專家分享了關於可信計算、芯片安全等前沿技術的思考。

可信計算成爲安全技術拼圖中一環

國家數字交換系統工程技術研究中心季新生教授表示，新基建助推數字經濟高速發展的同時，將面對更爲嚴峻的網絡空間內生安全挑戰，“大數據算法如果出現誤解，盲目取信可能會帶來災難性後果”。

“高性能計算機過多強調高性能而忽略了安全性，天河超級計算機的系統資源被惡意侵佔就是一個例子。”國防科技大學盧凱教授認爲，要把先進計算和內生安全結合起來，既不影響計算機性能，又能保證安全。

“先進計算和防禦技術，作爲網絡領域的戰略性技術，對促進經濟社會發展，提升國家安全具有重要的意義。”網絡通信與安全紫金山實驗室副主任馮記春介紹說，網絡空間安全正由外掛式向內生式轉變，紫金山實驗室面向全球開通了首個網絡安全內生試驗場，頂住了全球頂級白帽黑客戰隊連續3年發起的不間斷的高強度攻擊，這表明內生式網絡空間安全經得住考驗。

北京信息科學技術研究院院長、中國工程院院士馮登國認爲，網絡內生安全技術應包括適應性、自身健壯性等特徵。“能夠適應應用和需求的變化，可擴展、可延伸，自身還必須很強健。”馮登國說，可信計算就恰好包含了這些特徵，其引領的整體安全架構、主動免疫安全體系，已經成爲網絡空間安全技術拼圖中不可或缺的一環。

目前，全球多家巨頭企業已經成立了機密計算聯盟，將可信計算作爲機密計算的重要支撐技術，以保障人工智能、區塊鏈、物聯網等的隱私和安全。對於可信計算未來趨勢，馮登國提出4個方面的設想：一是立足於核心關鍵技術不受制於人，我國可信計算必然朝着國產化、自主可控的規模化應用方向發展；二是以通用可信執行環境爲代表的新型可信計算不斷拓展應用領域，將成爲移動互聯網、物聯網、雲計算等領域的主流解決方案；三是可信技術計算和標準體系更加健全，可信計算測評體系將更加完善；四是可信計算將在信息技術新變革中發揮重要作用，爲人工智能、區塊鏈、物聯網、邊緣計算等建立重要的安全基礎。

芯片安全與性能、成本同樣重要

“芯片安全是網絡空間安全的基石之一。”中國科學院信息工程研究所（以下簡稱中科院信工所）研究員侯銳從芯片安全的角度探析芯片的未來趨勢。他表示，芯片目前面臨的軟硬件漏洞不可避免，芯片的底層軟件規模和複雜性越來越大，難以實施完備性驗證，出現安全漏洞的可能性也越來越大，硬件的架構設計本身也存在缺陷。

爲何芯片會在設計、製造等核心環節出現安全問題呢？侯銳認爲，最根本的原因是，長期以來安全一直處於從屬地位，經常讓位於性能、讓位於成本。

因此侯銳認爲，與其被漏洞牽着鼻子走，疲於挖漏洞、找特徵、打補丁，還無法有效應對未知特徵攻擊，不如從體系結構的角度入手來做安全。

“我們的核心思路就是內置式的主動防禦，從分析攻擊的機理和關鍵漏洞入手，找出信息技術的脆弱點，重新設計、改造現有的信息技術。”侯銳說，核心思路就是內置式主動防禦，即在芯片設計的時候設置一個主動安全處理器，實現單向物理隔離，變“信息技術加安全”爲“安全的信息技術”， 實現芯片安全。

目前，中科院信工所已在學術界提出了安全優先架構，自主研製了主動安全處理器系列芯片，和國內其他主流廠商合作，建設了完善的上下游生態並實現規模化應用。

侯銳表示，芯片設計在國外已非常成熟，但是芯片安全還處在初級發展階段，“大家都在往前跑，遠沒到成熟的時候，所以我們確實有機會突破一些關鍵技術，解決一些基礎理論問題，這樣有利於搶佔國際制高點”。(記者 張 曄)