您的位置  科技资讯  新闻

中国工程院院士沈昌祥:以可信计算3.0为核心技术,构建网络安全保障体系

搜狐科技讯

5月17日,全新升级的“2022搜狐科技峰会”盛大开幕,嘉宾规格创历届之最,活动内容的广度和深度实现重大突破。

上午,信息系统工程专家、中国工程院院士沈昌祥带来了以《打造网络空间安全可信主动免疫新生态》为题的主题演讲。

沈昌祥表示,一定要构建主动免疫安全可信的保护体系,因为我们要应对网络空间的各种各样严重的威胁,也可以说网络战的斗争。

他表示,以前我们有病毒就杀、有攻击用防火墙堵、有漏洞找漏洞打补丁,但这样不能根本解决问题。我们要全方位、动态、实时的安全检查服务,跟人体免疫是完全一样的,使得我们原来适应的计算任务,有关逻辑组合不被破坏、不被篡改。

如何进一步加强建设关键基础设施、安全可信的防线呢?我们国家有制度、有标准,把云计算、移动互联网、物联网和工控系统全部采用可信计算3.0作为核心技术,建立可信根,来构造安全可信的网络安全保障体系,筑牢防线。

以下为沈昌祥演讲全文:

各位来宾,大家好!我今天讲的题目是《打造网络空间安全可信主动免疫新生态》。

现在网络空间已经成为继陆、海、空、天之后的第五大国家主权空间。总书记指示,没有网络安全有没有国家安全,安全是发展的前提,发展是安全的保障,尤其是我们《网络安全法》16条非常明确地指出,国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究、开发和应用,推广安全可信的网络产品和服务,要保护网络技术知识产权,要支持产学研相结合。

我们一定搞清楚以网络安全可信来构建主动免疫的保障体系,因为我们要应对网络空间的各种各样严重的威胁,也可以说网络战的斗争。比如说勒索病毒,这个病毒有一个名字叫“永恒之蓝”,2017年5月12号,世界150多个国家全部的主流系统被勒索到停摆了,损失巨大。

后来病毒攻击了工控系统,物联系统。比如说,2018年8月3号台湾台积电半天时间台北、台中三个生产基地被勒索了,损失巨大。尤其去年5月7号,美国东海岸输油管道工控系统,也是数字化、智能化了。被勒索以后,能源不能供给了,停摆了。因此,拜登总统宣布东海岸17个州,加上华盛顿州,进入紧急状态,经常就是战备状态。所以,没有网络安全,就没有国家安全。

为什么是这样呢?我们一定要从可信技术上去弄清楚,理解安全的风险本质是什么?我们安全是生产的复杂必然产生的问题。原因在于开始的时候计算机只计算,祖师爷发明了计算机叫“图灵”。因为当时没有工业计算机,所以他在图灵机的原理上,就是缺了、少了安全理念。

因此,怎么造计算机呢?体系结构是关键的,还有个计算机的祖师爷叫冯·诺依曼,他的计算就是快,没有去仿人家共性的部件,相当于人体一样,没有免疫能力,没有免疫系统一样。因此,现在所有的信息系统、数据系统都没有安全防护的法治的保障体系,无安全服务,应该说是先天性的不足。

我们进一步认识到问题,怎么解决呢?能不能彻底解决呢?我们从科学上去认识,它是个逻辑问题,是逻辑学。我们设计个IT系统有很多逻辑,逻辑是个树,我们只能把有关于完成计算任务的逻辑组合起来,完成计算任务就可以了,大量的东西是没有处理,这就留下了bug了,留下了裂缝。现在攻击者就是利用这些逻辑缺陷,或者漏洞,做了微代码攻击。因此,网络安全是永远的命题,没完没了的。

我们没弄清本质以前,有病毒就杀,有攻击用防火墙堵,有漏洞找漏洞打补丁。这能根本解决问题吗?解决不了问题。所以,我们要安全可信。什么意思呢?跟人体免疫一样,要全方位的、动态的、实时的安全检查服务,跟我们人体免疫是完全一样的,使得我们原来适应的计算任务,有关逻辑组合不被破坏,不被篡改,实现了原来设计的目标,这就是我们说的安全可信。

怎么做呢?我们的目标什么呢?不是一下就能搞成的,我们一层一层防,一步一步做。我们说“123456”。

1、“一种”模式,计算同时进行安全防护。

首先在脱敏性原理,要用新的计算模式,要在计算的同时进行安全防护,跟我们现在抗病毒一样,以密码为免疫基因,产生抗体,实施身份识别、状态度量、保密存储等功能,能及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,这相当于为网络信息系统提供了免疫能力。

2、“二重”体系结构,计算部件+防护部件。

体系结构和冯·诺依曼体系结构不完善,我们要建立一个防护级双重体系结构,这个图左边就是冯·诺依曼体系结构,必须加右边的防护部件,下面是密码,为基因抗体,然后有免疫部件、可信控制平台模块,像大脑一样,一边工作,一边检查。

3、“三重”防护框架。

我们要构建一个安全管理中心支持下的三重防护体系的框架,跟我们现在抗病毒是一样的,首先要办公室安全,办公室的每个人,也就是计算机的每个节点要安全可信,相互之间联系要安全可信。还要有警卫室,我们叫区域边界,一不能掉包,二不能被砸烂,三不要有害物质送到你这儿,炸死你。

第二个保密室,管什么文件,什么人管,什么人处理,我们也一样,访问控制有策略,安全管理。

第三个监控室,我们的系统有“审计”,某时某刻某地谁干了什么事,相当于摄像中的影像信息一样,送到监控室。我们审计平台及时处理,解决问题,这样才能留下证据,可以追查。

4、“四要素”可信动态访问控制。

我们是人、操作对象要可信,以前没有人为攻击的情况下,就不讲可信不可信,只要规矩对了就行。但是现在人为攻击,人可以假冒,访问的东西可以破坏、篡改,操作也可以乱来。还有一个,以前没有攻击,环境没问题,现在有攻击,可能放定时炸弹,代码也可能是恶意代码。

5、“五环节”全程管控,技管并重。

首先要掌握系统的安全属性怎么样,要定级。定了级以后,我们要备案,要按照规定去建设,建设完了要严格的测评,建成以后应该及时地进行检查,有问题及时解决。更为重要的是,要防止违法分子的捣乱破坏,我们要及时反应,才能达到“六不”的防护效果。

6、“六不”防护效果。

第一进不去,第二有访问控制,即使进去后也不够资格、拿不到东西。第三是保护加密,看不懂白搭。第四,遇到篡改破坏,及时发现可以修正,提前发现。最后赖不掉,做到安全审计的可信。这样的系统不用打补丁,也不用走识别的程序,我们对现有病毒库和病毒一一的验证,比如说 “永恒之蓝”对我们系统是无效的。

大家会问了,有东西没有,有技术没有,有产品没有,能解决问题吗?我们的回答是,用可信计算3.0和等级保护2.0来构造新型的产业空间。早在1992年,我们立项研制免疫的综合安全防护系统。2020年10月28号,国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地。

如何进一步去加强建设关键基础设施、安全可信的防线呢?我们国家有制度,有标准,把云计算、移动互联网、物联网和工控系统全部要求采用可信计算3.0作为核心技术,建立可信根,来构造安全可信的网络安全保障体系,筑牢防线。

案例有很多,我们国家电网是世界第一大电网,最核心的是调度系统,也就是指挥系统,这个系统如果被攻击以后,数字化系统瘫痪了以后,会引起全国性的大面积停电。我们因为安全可信,抵御了所有目前已知的、未知的病毒攻击,34个省、1000多个地调度中心完全是按照可信主动免疫的,确保了我们国家供电的长期稳定。

那么,如何证明我们是可信的呢?我们解决了四个问题:1.实时性,我们这个系统那么大,秒级延时都不用,我们并行的话,不受影响。2.真有效吗?我们是至少几万万台级的设备不打补丁,不装杀病毒程序,真正达到主动免疫。3.难不难?这么大的系统,我们可以不改一条程序。4.成本很重要,用得起吗?我们现在强调精练消肿,降低成本。防火墙很贵可以不用,杀病毒很花钱,也可以不用。我们现在做的CPU一个核,一两块人民币。所以,这样给企业、国家节省了大量的成本。

谢谢大家!

站在全球巨变的十字路口,人类对未来的探索从未停止。

在“十四五”规划的指导下,数字经济与实体经济的虚实融合发展成为业界共识,加快建设信息网络基础设施、增强网络安全防护能力成为重要目标。科技发展日新月异,人工智能、5G技术由“虚”向“实”,元宇宙、智能汽车等新商业生态随之孕育,万物互联的智慧社会初具雏形。

聚焦新技术、新商业下的新趋势,搜狐科技广邀学术泰斗、行业大咖与头部企业,为观众呈现十余场精彩纷呈的主题演讲和高端对话。除本篇外,搜狐科技还会通过多种方式全方位呈现此次峰会与会嘉宾关于产业新变局的思考,为广大读者带来技术演进与行业热点的详情报道。

了解更多“2022搜狐科技峰会”信息,请关注大会专题:WAP专题链接PC专题链接

文章来源:环球网

文章链接:https://biz.huanqiu.com/article/482hc80GxPd

天猫店交易网,上海贷款网,玛克纳尔必须死, http://www.xinzhiliao.com/zx/jiankang/54220.html
免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186
  • 标签:被爱妄想,宝贝我想你了我的都大了,宁波今日食品有限公司,
  • 编辑:刘卓
  • 相关文章