科学的网络安全观与可信计算3.0
《国家网络空间安全战略》中提出的战略任务是“夯实网络安全基础”,并强调“加快安全可信产品推广引用”,而安全可信这个词用的不多。为什么我们要用这个词呢?我们首先要有科学的网络安全观来理解法律安全可信。
用科学的网络安全观
理解法律安全可信
网络安全现在是一级学科,有重大基础理论问题。我们的网络空间面临着极大的安全威胁,现在网络是资产,是财富,因此黑客利用病毒来谋取财富,勒索金钱,欺诈欺骗。网络空间是基础设施,现在说国家主权,霸权国家,组建网络司令部,打网络战,通过网络侵占国家,控制国家的主权,面对这样的问题我们有能力对抗吗?没有。
第一,我们的计算科学出了问题,以前没有攻防理念。比如说世界计算水平突破500,中国好几年第一,计算设备没有理念去防护。当然了,从计算角度可以,但是从网络空间这个角度就不行了。
第二,我们的安全防护部件缺失了。在工程应用上无安全服务,这么大的缺失,我们该怎么办?我们要认识这个风险是极大的,原因何在?原因是科学问题,我们对IT的认知逻辑是局限的。软件逻辑组合是发散的,计算机软件不可能没有bug出现。基于此,我们只能局限于把计算任务有关的逻辑组合起来去设计这个IT系统。所以我们必定存在逻辑不全的缺陷。那么再讲到我们没有攻防理念,没有防的逻辑,所以难以应对人为利用这个缺陷进行的攻击,所以有这样的逻辑缺陷,去寻找这个逻辑缺陷,变成漏洞,注入恶意代码,进行攻击,这是风险的实质。
那么怎么办呢?我们不能和以前一样去找漏洞,堵漏洞,打补丁,应该从正面的思维、从正确的逻辑验证、计算体系结构、计算模式等方面去科学地创新,解决逻辑缺陷,不被攻击,这就是矛盾的统一体。
确保计算任务逻辑组合不被篡改和破坏,实现正确计算是我们正确的网络安全目标。不是说要建设得刀枪步入,铜墙铁壁,这是不可能的。我们要降低风险,就是确保我们原来设计的IT系统能完成任务。世界应该达成共识,2005年美国提出来不解决问题,重新规划发展的规划,我们要构建主动免疫的计算架构。
构建主动免疫的计算架构
主动免疫的计算架构是什么呢?是指计算机运算的同时进行安全防护,计算全程可测可控,不被干扰,使计算结果与预期的一样。这样就改变了片面的只讲计算效率,从矛盾的统一体,正反两方面都要考虑,最终构建和计算并存的主动免疫的计算模式。人的健康生活是靠免疫系统支撑的,1990年开始我就研究免疫系统用于计算机安全,并发现这是非常奇妙的。基因能把身份识别植入其中,进来以后它破坏不了这个集体,应用密码技术来保护重要的信息,这指的不是数字密码,而是身份编码。因此我们按照以密码为基因,识别自己和非自己的成分,从而破坏与排斥进入集体的有害物质,相当于为计算信息系统培育免疫能力。
这样我们才能解决云计算、大数据、物联网这样复杂的安全系统,因为我们有这样主动可信的系统能够保证体系结构、资源配置、操作行为、数据存储可信不被人家破坏,同时这种策略也不会变异,这样能构成安全管理中心支持下的三重防御体系。而这三重防御体系一个是要保证我们的计算环境,因为资源财富都在计算环境中,当然边界也很重要,我们有科学合理的高边界。这是很形象的,就像警卫员和保安员一样,要能精确到是谁,要干什么,有问题保安来解决,这就是我们国家等级保护的边界要求。通信安全大家都可以理解,我们用密码技术来进行身份验证。通信过程中通过密码保障传输,为了防止篡改调包我们开始运用密码技术来保证通信的可信安全。我们的计算机系统等于“保卫处”一样,我们在计算机安全里面叫访问控制。而对于安全控制管理的过程,我们叫安全的策略管理,简称叫安全管理。
可信计算3.0
在我国刚开始不叫可信计算,我们为了保护核心机密,用体系结构进行保护。主动免疫的综合防护系统逐渐融合形成了自主创新的可信体系,我们叫3.0。那么创新何在呢?我们更主要的是体系创新,体系的创新不是随便说的,2005年开始到2010已经起草形成了9个国家安全标准,5个军队标准,从可信根底到主机支撑、系统配套,应用可信规范了中国的可信创新,体系创新。
前面讲了密码是基因,它的创新是根本所在。我们的密码安全不光是算法,更主要是密码的实体,密码机、密码产品。我们提出了可信密码模块,因为它要计算,它要管理。可信是要有证书认证的,我们中国叫数字证书。对人主体的可信证书,对设备科技理念的证书,我们用的中国创新的证书体系——双证书,就是认证证书和奖励证书两张证书。
要解决产业的问题,我们首选要有免疫基因,密码模块,要有抗体,要有控制部件。CPU主板上增加一个CPU,这个CPU叫可信控制的CPU,叫可信控制模块。原来CPU是“党委政府”,现在我搞一个“纪委”并行,我们可以沟通,更重要的是我们要用软件盘查。可信计算组织是用外部设计接口加上功能部件组成去调控的,我们相当于并行于主测试系统的一个控制技术软件,相当于这里面的“巡视组”,可以获取操作系统核心层的工作的阐述。
网络连接也可信,我们是增加一个“巡视组”一样的管控系统,以前所有的网络都是请求者、连接者,怎么没有一种可信软件呢?我们安全的有限目标是保证能够顺利地完成计算任务的软件不被篡改,不被改变,因此我们的软件不要打补丁,打补丁就破坏了原来辛苦调试的逻辑,这是我们的根本所在。以前动不动搞一个接口,打补丁,这是错误的。还有安全设备,是按照我们确定的规律来运行的,这样就克服了可信计算组织被动防御的局面。
不用一串代码就能实现安全可信的检查,防护,我们叫可信计算3.0,用可信计算3.0,可以摆脱受制于人的局面。我们一定坚持自主可控,安全可信,中长期发展规划要以发展高可信网络为重点。
近几年,一些工程项目已经开始用可信计算,比如我们的二代身份证和彩票都通过运用可信计算来防止假冒。尤其是windows操作系统,提出用win8,停止XP的问题。如果采购2亿台的XP,我们花多少钱呢?我们想不用采购,中国有自己的可信计算,有补丁不用打,能防止攻击,确保安全,因此我们就实现了windows不采购,但是win8失败了,win10又来了。现在不仅是终端,而且跑出移动终端,服务器、大数据处理都是可信版本,如果推动它的话,对我们国家安全主权形成挑战,怎么办?我们用安全审查制度。
安全审查制度
安全体系关系到三方面,第一数字征收必须本土化。第二密码设备必须是中国的,有商业管理条例。第三可信计算必须用中国的,要达到“五可”、“一有”。“五可”是指能可控制代码,能可编,能可重构,有可信的支撑,最重要的是它是时下最安全可用的。“一有”是指我们要对知识产权的保护有征收功能,要深化国际响应和国际标准。
我们的中国可信计算为安全可信的产品和服务,以此来构建我们国家的网络安全保障体系,这样才能为我们建设网络强国做出贡献。
(本文根据沈昌祥院士在2018中国软件产业年会上的演讲整理而成,未经本人确认。)
中国工程院院士 沈昌祥