演講實錄丨沈昌祥院士：用主動免疫可信計算築牢網絡安全防線

10月12-13日，2021中國人工智能大會（CCAI 2021）在成都成功舉辦。在10月13日舉辦的空天智能論壇上，中國工程院院士、國家集成電路產業發展諮詢委員會委員、國家信息化專家諮詢委員會委員、國家三網融合專家組成員沈昌祥院士爲我們帶來了題爲《用主動免疫可信計算築牢網絡安全防線》的精彩演講。

沈昌祥

中國工程院院士

國家集成電路產業發展諮詢委員會委員

國家信息化專家諮詢委員會委員

國家三網融合專家組成員

以下是沈昌祥院士的演講實錄：

當前，網絡空間已經成爲繼陸、海、空、天之後的第 5 大國家主權領域空間，也是國際戰略在軍事領域的演進，我國的網絡安全正在面臨着嚴峻的挑戰，“沒有網絡安全就沒有國家安全”。按照國家網絡安全的法律、戰略和等級保護制度要求，推廣安全可信產品和服務，築牢網絡安全底線是歷史的使命。

新型基礎設施是以數據和網絡爲核心，其發展前提是用主動免疫的可信計算築牢安全防線。

2017年5月12日爆發的WannaCry病毒，通過將系統中數據進行加密，使數據變得不可用，藉機勒索錢財。病毒席捲了近150個國家的教育、交通、醫療、衛生、能源網絡，它們全部成爲了本輪攻擊的重災區。2018年8月3日，臺灣台積電遭到了勒索病毒的入侵，幾個小時內其在中國臺灣地區的北、中、南三個重要生產基地全部停擺，造成十幾億美元損失。

我國《網絡安全法》第十六條明確指出，國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。同時我國發布了《國家網絡空間安全戰略》，提出的戰略任務“夯實網絡安全基礎”，強調“儘快在覈心技術上取得突破，加快安全可信的產品推廣應用”。

網絡安全等級保護制度2.0標準已經執行，要求全面使用安全可信的產品和服務，保障關鍵基礎設施安全。

一、安全風險的實質與對策

安全的風險是來自於網絡空間極大威脅。威脅的產生主要是現在網絡上有利可圖，全方位攻擊。黑客通過網絡謀財；敵對勢力通過網絡攻擊社會的穩定，破壞生態發展，國家的基礎設施是暴恐的目標；霸權國家通過網絡侵佔對方國家的主權，稱霸世界。所以總書記講，沒有網絡就沒有國家安全。

網絡空間極其脆弱是對網絡安全的嚴重挑戰，首先是計算科學問題。圖靈發明電子計算機要解決的是科學技術問題，因爲是技術工具，因此沒有理論基礎，缺少攻防理念。其次是體系結構問題，主要是馮諾依曼架構，缺少防護部件。最後是計算模式問題，這種模式在重大工程中應用，沒有安全服務。因此網絡工程中存在着極大的風險和威脅。

我們要從本質上、從基礎理論上認清認知科學問題。設計IT系統不能窮盡所有邏輯組合，必定存在邏輯不全的缺陷，因此利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。

病毒總是存在的，我們有一個相對安全的目標，叫做主動免疫的計算目標，確保爲完成計算任務的邏輯組合不被篡改和破壞，實現正確計算。這相當於具有主動免疫功能，使得其能夠健康生活。

我們以前沒有認識本質，查殺病毒、防火牆、入侵檢測的傳統“老三樣”難以應對人爲攻擊，且容易被攻擊者利用，找漏洞、打補丁的傳統思路不利於整體安全，不解決利用邏輯缺陷攻擊這樣的問題（而且其自身也是存在不安全的超級用戶），很可能被攻擊者所利用，沒有殺病毒反而破壞了整個系統。

二、構建新基建網絡安全主動免疫新系統

（一）“一種”新模式——計算同時進行安全防護

主動免疫可信計算是一種運算同時進行安全保護的新計算模式，以密碼爲基因抗體實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質。相當於爲網絡信息系統培育了免疫能力。

（二）“二重”體系結構——計算部件 + 防護部件

在個體計算設備上必須是雙體系的，我們叫做“二重”體系結構，也叫做計算物件和保護物件。如下圖所示，與人體一樣，也有免疫部件，下圖左邊的計算部件，是典型馮·諾依曼的體系結構；右邊是防護部件；下面的可信密碼模塊相當於基因，TPCM 控制模塊是抗體，產生白細胞循環相當於可信軟件基，保證左邊的計算部件、應用軟件能準確按照原定設計的計算目標工作，這樣的系統纔是主動免疫的。與共產黨反腐敗系統一樣，即要建立一個免疫、防腐敗子系統。我們現在紀檢委並行，派出巡視組監督一個單位的工作情況怎麼樣？還有一點很重要的是策略，也就是我們監督的一個規則，要按照策略控制下的雙重體系結構。

（三）“三重”防護框架

可信安全管理中心支持下的主動免疫三重防護框架，如下圖所示。

計算部件像人體一樣要有免疫能力。社會單位組成框架很好理解，一個單位有辦公環境，門口還有警衛室，傳遞信息要檢查；更重要的要有管理部門。現在計算機代替了手工，辦公環境是計算環境，警衛室是對邊界安全可信，通信要安全檢查，單位的管理要更便捷，必須有一個保衛部門管理系統的配置、物流等。第二，一個單位有保密室，單位軟件什麼級別、處理方式，都要管理策略制定。第三有監控室，信息系統裡有審計，審計就是審計記錄送到審計評審；相當於信息送到監控臺，留下證據，這樣的系統有責任保證可信。

（四）“四要素”人機可信交互

免疫系統有了，交互很重要，交互不好效益不好。人機交互可信是發揮 5G、數據中心等新基建動能作用的源頭和前提，必須對人的操作訪問策略四要素（主體、客體、操作、環境）進行可信度量、識別和控制，糾正傳統的訪問控制策略模型只基於授權標識屬性進行操作，而不作可信驗證，難防篡改的安全缺陷。

（五）“五環節”可信設施

系統訪問控制操作，可以加強基礎設施全程安全管控，用可信密碼的技術檢查確保設施各環節安全可信。基礎設施體系架構有 5 個環節可信，體系結構要可信，不能被篡改、破壞；資源配置要可信，不能亂。更重要的是操作行爲要可信；現在是數字經濟，數字資產等數據保存要可信；策略管理體系要可信。

（六）“六不”防護效果

我們的新系統，攻擊者進不去系統、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不成、攻擊行爲賴不掉。我們有可信的審計記錄，有據可查、可追溯。這樣的系統我們在國家病毒庫對所有的病毒進行了一一驗證，經受住了考驗。

三、建造安全可信自主創新的新型產業空間

中國可信計算源於1992年立項研製免疫的綜合安全防護系統（智能安全卡），於1995年2月底就通過了測評和鑑定，大量推廣應用。經過長期軍民融合應用攻關，形成了自主創新安全可信體系，開啓了可信計算3.0時代。

在1995年2月25日，解放軍保密委員會技術檢測辦公室對智能安裝卡做了嚴格的評審測評，其有4個特點，一是具有公鑰密碼身份識別、對稱密碼加密存儲；二是具有智能控制與安全執行雙重體現結構；三是環境免疫抗病毒原理；四是數字定義可信策略對用戶透明。

2015年《求是》，發表了我的文章《用可信計算構構築網絡安全》，其中提到可信可用方能安全交互、主動免疫方能有效防護、自主創新方能安全可控。2016年新華社《中國名牌》對我採訪以後發表了《可信計算讓信息系統國產化真正落地》，可信計算的出現進入了網絡安全的主動防禦時代（可信計算3.0時代）。

20世紀90年代就有可信（trust）這個詞，尤其是世界容錯組織，當時要排除故障，不做切換很麻煩；後來用可信概念，對早日故障的苗頭採取措施，即要有故障診斷、容錯算法，這是可信的早期。

後來，國際上的TCG（可信計算組織），由IBM、微軟、Intel等巨頭公司發起的，現在形成了一個很大的集團，他們把單節點的PC機加一個可信平臺模塊，通過主機調用可信軟件的TSS來盤查系統。它的體系結構沒有主動，是串行的被動調用，但不能防止主動攻擊。可信計算3.0是一個具有公鑰、對稱雙密碼主動系統免疫，終端、服務器、存儲系統體現可信，宿主+可信雙節點平行架構，基於網絡可信服務驗證，動態動量實時感知的全可信網絡系統。

《國家中長期科學技術發展（2006—2020年）》明確提出“以發展高可信網絡爲重點，開發網絡安全技術及相關產品，建立網絡安全技術保障體系”。

可信計算廣泛應用於國家重要信息系統，如增值稅防僞、彩票防僞、二代居民身份證安全系統、中央電視臺全數字化可信製播環境建設、國家電網電力數字化調度系統安全防護建設，已成爲國家法律、戰略、等級保護制度要求進行推廣應用，其密碼體制和體系結構等五大核心技術已被世界著名企業和機構採用，如俄羅斯卡巴斯基最近宣佈不研製殺病毒軟件而要建免疫網絡，以及美國防部熱推“零信任架構”等都是異曲同工之舉。

完備的可信計算3.0產品鏈，將形成巨大的新型產業空間。自主可信計算平臺產品設備有系統重構可信主機、主板配插PCI可信控制卡、USB可信控制模塊三種形態，可以方便地通過可信網路支撐平臺把現有設備升級爲可信計算機系統，而系統不用改動，便於新老設備融爲一體，構成全系統安全可信。

四、按等級保護制度要求化解網絡安全風險

（一）等級保護2.0新標準

等級保護2.0新標準把雲計算、移動網路、物聯網和工控等採用可信計算3.0作爲核心要求，築牢網絡安全防線。下表示出了四級保護的內容。

（二）國家電網電力調度系統安全防護建設

十幾年前，發改委14號令已經決定國家電網電力調度系統以可信計算框架實現等級保護四級。目前，電力可信計算密碼平臺已經在34個省以上調度控制中心使用，覆蓋了幾千萬套地級以上電網調度控制系統，涉及十幾萬個節點，約4萬座變電站和1萬座發電廠，有效抵禦各種網絡惡意攻擊，確保了電力調度系統的安全運行。

我國十幾年來，因爲有新標準，沒有出現過由於網絡攻擊引起大面積癱瘓問題，證明採取的措施是正確的。國家電網電力調度系統安全架構見下圖，它有4個特點。一是高效處理，測試不高於12%的消耗率，因此能實施實時調度；二是不打補丁，不裝查殺病毒程序，免疫抗病毒，這非常重要；三是可以不改代碼，實施起來相當方便；四是精煉消腫，成本比較低。

（三）新型基礎設施標準安全架構

我們一定要貫徹5G網絡設施等級保護新標準。下圖是5G標準框架。5G網絡在傳統電信雲的基礎上引入NFV/SDN等技術進行ICT融合，將移動通信網絡雲化、虛擬化和軟件化，使網絡變得更靈活、敏捷和開發。

5G是通用計算機、雲平臺、邊緣計算等的應用，完全是虛擬化的網絡。下圖中，圖上面是核心網，中間是接入網，下面是許多基站（實際上就是單板計算機），在這種情況下如果不能解決安全問題，5G出問題系統就會垮掉。所以，一定要把5G安全工作做好。

下圖是等級保護制度要求的5G核心網絡可信計算架構，上面是雲計算、邊緣計算、通用計算平臺的可信架構，下面接入基站。我們一定要按照可信架構成主動免疫可信保護三重防禦體系。

（本報告根據速記整理）

CAAI原創 丨 作者沈昌祥院士

未經授權嚴禁轉載及翻譯

如需轉載合作請向學會或本人申請

轉發請註明轉自中國人工智能學會