沈昌祥院士：打造工业互联网安全可信主动免疫产业新生态

认识安全的本质

党的二十大提出加快建设网络强国战略任务， “没有网络安全就没有国家安全，安全是发展的前提。“沈昌祥表示，要认清网络安全实质，风险度= 脆弱度✖ 威胁度。安全风险源于图灵计算原理缺少攻防安全理念、冯·诺依曼体系结构缺少防护部件和重大工程应用无安全治理服务三大原始性缺失，使得网络空间极其脆弱，受网络攻击的风险性增加。“2021年5月7日发生的美国输油管道黑客攻击事件，导致科洛尼尔管道运输公司(Colonial Pipeline)被迫关闭沿海各州的管道运行。”沈昌祥院士举例说，一系列的网络安全事件频发让数字经济发展面临严重威胁。

如何处理这些安全事件，需要筑牢关键基础设施的网络安全防线，构建主动免疫的可信计算体系，抢占核心技术创新的制高点。沈昌祥表示，我们要认清安全的本质，安全是永远的命题，设计IT系统不能穷尽所有逻辑组合，必定存在逻辑不全的缺陷。因此降低脆弱性，用安全可信产品和服务，在计算同时并行进行动态的全方位整体防护，使得完成计算任务的逻辑组合不被篡改和破坏，达到预期的计算目标，相当于人体具有免疫力确保健康。

新算模式：主动免疫可信计算

杀病毒、防火墙、入侵检测的传统封堵查杀“老三样”现已难以应对人为攻击，容易被攻击者利用。一种运算同时进行安全防护的新计算模式-主动免疫可信计算应运而生。沈昌祥表示，主动免疫可信计算以密码为基因实施身份识别、状态度量、保密存储等功能，及时识别‘自己’和‘非己’成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

可信安全管理中心支持下的主动免疫三重保护框架以主动免疫可信计算技术为核心，有“安全办公室”即可信计算环境，“警卫室”即可信边界，“安全快递”即可信网络通信三个途径。构建主动自主可控、安全可信，构建完整的产业链。

主动免疫可信计算如何用 ?沈昌祥表示，“四要素”可信动态访问控制。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提，必须对人的操作访问策略四要素(主体、客体、操作、环境)进行动态可信度量、识别和控制，纠正了传统无计算环境要素的访问控制策略模型，只基于授权标识属性进行操作，而不作可信验证，难防篡改的安全缺陷。

通过“五环节”全程管控，技管并重。按照网络安全法、密码法、等级保护制度、关键信息基础设施安全保护条例的要求，全程治理，确保体系结构、资源配置、操作行为、数据存储、策略管理可信。从而达到“六不”防护效果。攻击者进不去，即便窃取了保密信息也看不懂，篡改不了系统。

打造可信计算3.0新型产业空间

20世纪80年代，可信计算概念被提出，但是当时只局限于操作系统、数据库等产品的可信计算基(安全功能集合)，未涉及计算机原理和体系结构等核心科学技术问题。2000 年，国际上可信计算组织(TCG)成立，其架构是主机通过外设接口挂接可信计算模块(TPM)，以主机调用外部设备功能(软件栈)实现可信等功能，存在单公钥密码体制和串行被动调用等缺陷。

中国可信计算源于1992年立项研制免疫的综合安全防护系统(智能安全卡)，于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用，形成了自主创新安全可信体系，开启了可信计算3.0时代。

可信计算3.0的特征包括，公钥、对称双密码主动系统免疫;终端、服务器、存储系统体系可信;宿主+可信双节点平行架构;基于网络可信服务验证;动态度量实时感知。

沈昌祥表示，我们必须抢占核心技术制高点， 摆脱受制于人情况。

《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全技术保障体系”。可信计算广泛应用于国家重要信息系统，如：增值税防伪、彩票防伪、二代居民身份证安全系统、中央电视台全数字化可信制播环境建设、国家电网电力数字化调度系统安全防护建设，按照国家法律、战略、等级保护制度要求进行推广应用。

筑牢发展工业互联网产业链安全底座

我国已初步建立以等级保护2.0和可信计算3.0为代表的网络安全技术保障体系。

沈昌祥表示，等保2.0新标准把云计算、移动互联网、物联网和工控等采用可信计算3.0作为核心要求，筑牢网络安全防线。

筑牢网络安全防线，要落实等级保护标准可信计算要求。等级保护标准可信计算要求主要分四个等级。

一级是所有计算节点都应基于可信根实现开机到操作系统启动的可信验证；

二级是所有计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证，并将验证结果形成审计纪录；

三级是所有计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证，并在应用程序的关键执行环节对其执行环境进行可信验证，并在应用程序的关键之行环节对其执行环境进行可信验证，主动抵御入侵行为，并将验证结果形成审计纪录，送到管理中心；

四级是所有计算节点都应基于可信计算技术实现开机到操作系统启动，再到应用程序启动的可信验证，并在应用程序的所有执行环节对其执行环境进行可信验证，主动抵御入侵行为。并将验证结果形成审计纪录，送到管理中心。进行动态关联感知，形成实时的态势。

沈昌祥表示，完备的可信计算3.0产品链，将形成巨大的新型产业空间。2020年10月28日，国家等级保护2.0与可信计算3.0攻关示范基地成立揭牌。

“我们既有科学，又有工程系统等保新标准安全框架，因此我们用国家等级保护的标准构成这样一个框架，使工业互联网安全可信的发展。” 沈昌祥表示，可信保障的安全管理中心支持计算环境、区域边界、通信网络三重防御多级互联技术框架。从被动防御到主动免疫，可信计算技术体系在工控系统和新一代信息系统中奠定了网络安全可信的坚实基础。