“新基建”的提出,是黨中央高瞻遠矚、審時度勢作出的重大戰略部署,將大力推動數字化轉型、網絡化重構、智能化提升、產業化升級,為高質量發展提供有力支撐。同時,“新基建”下的網絡安全成為新的戰略挑戰。安全是發展的前提,新型基礎設施以數據和網絡為核心,其發展前提是用主動免疫的可信計算筑牢安全防線。
發展主動免疫安全產業
著名科學家圖靈創建了現代電子計算機,當時是為了解決科學計算問題,缺少了攻防原理。由此,馮·諾依曼體系結構缺少防護部,再加上工程應用無安全服務,于是利用邏輯缺陷對計算機系統進行攻擊獲取利益成為永遠命題,這就是網絡安全的本質,相當于人的身體沒有免疫系統不能防御病毒入侵。主動免疫可信計算采用運算和防護并存、以防利用邏輯缺陷進行攻擊的新計算模式,以密碼基因產生抗體實施身份識別、狀態度量、保密存儲等主動免疫機制,及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質,相當于為計算機信息系統培育了免疫能力。
新計算模式構建新體系框架,實施安全管理支撐下的計算環境、區域邊界和通信網絡三重主動免疫防御框架,實現攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、計算資源改不了、系統工作癱不成和攻擊行為賴不掉的安全防護效果。
主動免疫框架內的節點必須有獨立的可信檢測的軟硬件,并與計算資源的軟硬件并行形成雙體系結構,實施計算運算的同時進行安全檢測,就像人體的免疫功能一樣,抗體每時每刻對機體進行監控,也是雙并行結構。我國裝備了免疫可信計算產品的系統,比如,中央電視臺制播環境系統和國網電力調度系統等信息基礎設施,可以免受勒索病毒等各種各樣的惡意攻擊。事實證明,我們只有構建主動免疫的網絡空間安全保障體系,才能確保“新基建”的健康發展。
“新基建”以網絡數據為核心,應該做到全程可測可控、不被干擾,消除安全隱患,確保計算結果與預期一致,而傳統的防火墻、殺病毒、入侵檢測“老三樣”不能防御利用 邏輯缺陷的主動攻擊。這就要求工程建設必須與主動免疫安全保障建設同步進行,做到同步規劃、同步設計、同步實施、同步運維,以確保新型基礎設施安全可信。目前,國外沒有能夠滿足上述要求的技術產品,我國應抓住機遇,加快國產化安全可信產品的推廣應用,為“新基建”發展保駕護航。
堅持自主創新安全可信
“新基建”采購什么樣的網絡信息產品和設備必須科學決策。我國網絡安全法第十六條規定,推廣安全可信的網絡產品和服務。國家網絡空間安全戰略要求,加快推廣安全可信的網絡產品。面對復雜的國際市場環境,我們必須積極應對。
我國免疫的可信計算研究源于上世紀90年代初,為擺脫傳統的可信計算局限于操作系統等部件功能集而不能抵御病毒攻擊的被動局面,于1992年正式立項研制免疫殺病毒的綜合安全防護系統(智能安全卡),1995年2月底通過測評鑒定,肯定了具有公鑰與對稱密碼雙體制、免疫抗病毒機理、計算和防護并行雙結構等重大創新,居世界先進水平,經軍民融合大規模推廣應用,制訂發布了國家和軍隊的可信計算系列標準及專利,跨入了主動免疫可信計算3.0新時代。《國家中長期科學和技術發展規劃綱要(2006-2020年)》明確要求發展高可信網絡為重點,開發網絡安全技術及相關產品,建立網絡安全保障體系。在綱要的指導下,經過長期攻關突破,形成了完整的產業鏈,為構建關鍵信息基礎設施安全保障體系夯實了基礎。例如,國網電力調度系統和中央電視臺制播環境等核心基礎設施,完全實現了主動免疫積極防御,達到等保四級,抵御了勒索病毒等各種惡意攻擊。可信計算3.0的不少核心技術已被國外重要企業和機構采用,比如,國際可信計算組織(TCG)采用了公鑰與對稱密碼體制,俄羅斯卡巴斯基宣布不做殺病毒軟件而轉向研發免疫網絡,AMD的CPU的多核增加了并行的防護核等,都與我們的主動免疫可信計算是異曲同工之舉。
構筑主動免疫安全防線
《中華人民共和國網絡安全法》規定,國家實行網絡安全等級保護制度,國家對關鍵信息基礎設施在網絡安全等級保護制度基礎上實行重點保護。“新基建”應當按照新的網絡安全等級標準(簡稱“等保2.0標準”)實施高等級保護。新的等保2.0標準是經過20多年等級保護工作創新發展而形成,將主動免疫可信計算3.0的核心技術產品和服務逐步升級,構建了各級主動免疫可信架構。“新基建”是關鍵信息基礎設施中的核心部分,應按等保2.0標準加快推進安全保障體系建設,可分為五個步驟推進:第一,風險分析準確定級;第二,按級要求確定方案;第三,規范施工嚴密管理;第四,嚴格測評整改完善;第五,監督檢查應急恢復。
“新基建”按照等保2.0標準建成后,再按照國家《關鍵信息基礎設施保護條例》進一步加強防護,使其具有主動免疫、技管并重、內外兼防、縱深防御的牢不可破的網絡安全防線。
(沈昌祥 作者為中國工程院院士)
來 源: 經濟參考報
編 輯:liuy
