近日,在第八屆互聯(lián)網(wǎng)安全大會推出的5G安全與發(fā)展論壇上,中國工程院院士沈昌祥發(fā)表演講,探討了新基建時(shí)代網(wǎng)絡(luò)安全的實(shí)質(zhì)以及如何筑牢網(wǎng)絡(luò)安全防線等問題。
作為國家經(jīng)濟(jì)發(fā)展戰(zhàn)略,新基建正在顯示出強(qiáng)大的動能,但對網(wǎng)絡(luò)安全也提出了更嚴(yán)峻的挑戰(zhàn)。我們必須積極應(yīng)對壟斷網(wǎng)絡(luò)空間的霸權(quán)威脅,筑牢網(wǎng)絡(luò)安全防線。
1
樹立安全可信的網(wǎng)絡(luò)安全觀
網(wǎng)絡(luò)空間已經(jīng)成為繼陸??仗熘蟮牡谖宕笾鳈?quán)空間?!皼]有網(wǎng)絡(luò)安全就沒有國家安全”,筑牢網(wǎng)絡(luò)安全防線是我們的歷史使命。
2017年5月12日,永恒之藍(lán)勒索病毒用一天時(shí)間,使全球150多個(gè)國家的教育衛(wèi)生系統(tǒng)癱瘓。
2018年,全球最大集成電路制造廠商臺積電的臺北、臺東、臺南三個(gè)基地被勒索病毒入侵至停擺,一天損失十幾億美元。
我們必須要推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),按照國家網(wǎng)絡(luò)安全空間的戰(zhàn)略,加快安全可信產(chǎn)品的推廣應(yīng)用。根據(jù)網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn),全面推廣安全可信的產(chǎn)品來保障關(guān)鍵基礎(chǔ)設(shè)施的安全。
2
認(rèn)清網(wǎng)絡(luò)安全實(shí)質(zhì) 化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
現(xiàn)在一些敵對勢力通過網(wǎng)絡(luò)暴恐?jǐn)_亂社會,破壞國家穩(wěn)定,同時(shí),美國霸權(quán)要制造網(wǎng)絡(luò)“核武器”,實(shí)行網(wǎng)絡(luò)“核訛詐”。在這些方面,我們有一些脆弱性。我們要降低網(wǎng)絡(luò)空間的威脅性,才能提高安全性。
世界上所有的安全系統(tǒng)都不可能把所有邏輯都包含在內(nèi),因此還存在邏輯不全的缺陷。攻擊者利用邏輯缺陷抓住漏洞獲取利益,所以安全是永遠(yuǎn)的命題。
我們要構(gòu)建主動免疫的防護(hù)新體系,完成主動領(lǐng)域的計(jì)算目標(biāo),確保完成計(jì)算任務(wù)的邏輯組合不被篡改,不被破壞,實(shí)現(xiàn)正確計(jì)算。
主動免疫的防護(hù)新體系有以下特性:
?。?)計(jì)算同時(shí)進(jìn)行安全防護(hù)的新模式
主動免疫可信計(jì)算是一種在運(yùn)算的同時(shí)進(jìn)行安全防護(hù)的新計(jì)算模式。以密碼為基因抗體實(shí)現(xiàn)身份識別、狀態(tài)度量、保密存儲等功能,及時(shí)識別“自己”和“非己”成分,相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。
?。?)計(jì)算部件+防護(hù)部件組成的二重體系結(jié)構(gòu)
這一結(jié)構(gòu)打破了馮·諾依曼的單體系結(jié)構(gòu),增加了可信密碼模塊、可信控制平臺TPCM等,形成典型的免疫系統(tǒng)。
(3)可信安全管理中心支持下的主動免疫三重防護(hù)體系結(jié)構(gòu)
三重防護(hù)體系結(jié)構(gòu),和防范新冠肺炎病毒是一樣的。首先要保證人體安全、辦公室安全,辦公室安全就相當(dāng)于是計(jì)算環(huán)境安全。其次要保證邊界安全,這就相當(dāng)于進(jìn)大樓和小區(qū)都要接受檢查,以控制人們的來往安全,不能讓病毒到處擴(kuò)散。
此外,一個(gè)單位的保衛(wèi)部門相當(dāng)于系統(tǒng)的資源管理中心,用來保證信息不被泄露。因此,在可信的網(wǎng)絡(luò)通訊中,安全管理中心非常重要,要構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系結(jié)構(gòu)。
(4)四要素的人機(jī)可信交互
在網(wǎng)絡(luò)安全環(huán)境中,人機(jī)交互可信作為發(fā)揮5G、數(shù)據(jù)中心等新基建動能作用的源頭和前提,必須對主體、客體、操作、環(huán)境這四個(gè)要素進(jìn)行可信度量、識別和控制,以糾正傳統(tǒng)訪問控制策略模型中只基于授權(quán)標(biāo)識屬性進(jìn)行操作。
?。?)五環(huán)節(jié)組成的可信設(shè)施
加強(qiáng)基礎(chǔ)設(shè)施全程安全管控,需要用可信密碼等技術(shù),檢測、預(yù)警、恢復(fù)等措施確保設(shè)施中的體系結(jié)構(gòu)、操作行為、數(shù)據(jù)存儲、策略管理、資源配置等五大環(huán)節(jié)安全可信。
基于對以上五環(huán)節(jié)的可信管控,最終可以達(dá)到非授權(quán)者重要信息拿不到、系統(tǒng)和信息改不了、攻擊行為毀不掉、攻擊者進(jìn)不去、竊取保密信息看不懂、系統(tǒng)工作癱不成的“六個(gè)不”的防護(hù)效果。
3
落實(shí)等級保護(hù)制度 筑牢網(wǎng)絡(luò)安全防線
等級保護(hù)的新標(biāo)準(zhǔn)就是把云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、公共系統(tǒng)全部加入在里面,用可信計(jì)算為核心技術(shù)來做安全防護(hù)。
一級防護(hù)是基礎(chǔ)軟件操作系統(tǒng)BUS固件不能篡改;
二級防護(hù)是應(yīng)用程序不能篡改;
三級防護(hù)是實(shí)時(shí)度量、實(shí)時(shí)監(jiān)控,在執(zhí)行過程中,重要點(diǎn)要可信驗(yàn)證,不能篡改,不能有異常的情況發(fā)生,而且要及時(shí)警報(bào),及時(shí)傳到管理中心;
四級防護(hù)是智能化控制,主要計(jì)算節(jié)點(diǎn)全部要進(jìn)行驗(yàn)證,進(jìn)行動態(tài)關(guān)聯(lián)感知,形成實(shí)時(shí)的態(tài)勢,解決現(xiàn)在態(tài)勢感知都是事后諸葛亮的問題,這一點(diǎn)很重要。
當(dāng)前,全球很關(guān)心5G發(fā)展。美國以5G安全為由,遏制華為發(fā)展。
我們確實(shí)要注意5G安全,并一定要與等級保護(hù)2.0的標(biāo)準(zhǔn)相關(guān)聯(lián)。網(wǎng)絡(luò)功能的云化、虛擬化、軟件化涉及的切片、邊緣計(jì)算都是新型計(jì)算的技術(shù)應(yīng)用,將使網(wǎng)絡(luò)變得更加靈活和安全。
我們要按照等級保護(hù)2.0標(biāo)準(zhǔn)對5G進(jìn)行可信建設(shè)。我們要用“可信”的方法去解決基站的問題,這樣才能解決5G發(fā)展的安全問題。此外,我們還要埋頭苦干,頂住來自國際的封鎖壓力,健康發(fā)展5G,構(gòu)建網(wǎng)絡(luò)空間安全保障體系。