2016年,美國東海岸發(fā)生了世界上癱瘓面積最大、長達(dá)6個多小時的分布式拒絕服務(wù)(DDoS)攻擊;2017年爆發(fā)的“WannaCry”的勒索病毒席卷了近150個國家,教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)。2018年8月,臺積電遭到勒索病毒入侵,短短幾個小時內(nèi),臺積電在中國臺灣地區(qū)的三個重要生產(chǎn)基地全部停擺,造成約十幾億美元的營業(yè)損失……這一系列事實表明,網(wǎng)絡(luò)安全已經(jīng)成為國家安全層面的要務(wù),與社會公眾的利益息息相關(guān)。
如何建構(gòu)牢固的網(wǎng)絡(luò)安全防線,中國工程院院士沈昌祥在“2019網(wǎng)絡(luò)安全可信峰會”上給出了詮釋。他表示,網(wǎng)絡(luò)空間已經(jīng)變得“無處不在、無時不在、無所不包”,基于可信計算建立主動免疫的網(wǎng)絡(luò)安全可信策略管控十分關(guān)鍵。
網(wǎng)絡(luò)空間威脅升級 我國已高度重視
網(wǎng)絡(luò)空間不僅是以計算機作為主要終端的虛擬世界,正與物理空間和現(xiàn)實空間快速融合,與社會公眾的一切利益息息相關(guān)。網(wǎng)絡(luò)空間象征著財產(chǎn)財富,是我國的基礎(chǔ)設(shè)施,與我國的國家主權(quán)密不可分。而網(wǎng)絡(luò)空間安全隨時有可能面臨極大的威脅,它有利可圖,有遭到全方位攻擊的風(fēng)險。這一方面是由于網(wǎng)絡(luò)空間本身較為脆弱,攻防理念薄弱導(dǎo)致網(wǎng)絡(luò)空間存在計算科學(xué)的問題,缺乏防護(hù)部件使得網(wǎng)絡(luò)空間體系架構(gòu)有一定缺陷;另一方面則是由于網(wǎng)絡(luò)空間缺乏主動、有效、創(chuàng)新升級的安全防護(hù)服務(wù),計算模式本身易被攻擊。
沈昌祥表示,由于設(shè)計IT系統(tǒng)并不能窮盡所有的邏輯組合,必定存在邏輯不全的缺陷,黑客很容易利用缺陷挖掘進(jìn)行攻擊。因此,我們必須要實施主動免疫構(gòu)建網(wǎng)絡(luò)安全空間,以確保計算任務(wù)的邏輯組合不被篡改和破壞,實施正確計算。
在沈昌祥看來,傳統(tǒng)的“封堵查殺”早已過時,殺病毒、防火墻、入侵檢測這“老三樣”基本無法應(yīng)對人為的攻擊,且容易被攻擊者反利用,不利于整體安全。
國家層面已經(jīng)出臺了一系列政策法規(guī),以應(yīng)對治理難度、維度升級的網(wǎng)絡(luò)空間。自2017年起實施的《網(wǎng)絡(luò)安全法》規(guī)定了國務(wù)院、省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃、加大投入,扶持重點網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目,支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用。推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán),支持企業(yè)、研究機構(gòu)和高等學(xué)校參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項目?!秶揖W(wǎng)絡(luò)空間安全戰(zhàn)略》也提出了“夯實網(wǎng)絡(luò)安全基礎(chǔ)”的戰(zhàn)略任務(wù),再次強調(diào)要盡快在核心技術(shù)上取得突破,加快安全可信產(chǎn)品的推廣應(yīng)用。
用主動免疫的可信計算筑牢網(wǎng)絡(luò)安全
主動免疫的可信計算是指計算運算的同時進(jìn)行安全防護(hù),以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保存存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進(jìn)入系統(tǒng)的有害物質(zhì),相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。
沈昌祥表示,安全可信的計算節(jié)點雙體系結(jié)構(gòu)是基于可信密碼模塊,將計算部件和防護(hù)部件進(jìn)行連接,建立起主動免疫的三重防護(hù)架構(gòu),實現(xiàn)“保衛(wèi)室”、“保密室”和“監(jiān)控室”協(xié)同安全管理,讓攻擊者進(jìn)不去、非授權(quán)者拿不到、竊取保密信息者看不懂、篡改系統(tǒng)信息者改不了、攻擊行為賴不掉。基于此,“WannaCry、Mirai、黑暗力量、震網(wǎng)、心臟滴血”等攻擊病毒不查殺而自滅。
沈昌祥說:“2017年,我國召開一帶一路峰會的前一天,‘永恒之藍(lán)’勒索病毒在一天時間內(nèi)席卷了全球150個國家和地區(qū),‘危難之時’是我們中國自己的主動免疫可信計算機頂住了。中央電視臺播出的42個頻道節(jié)目,面向全球提供中、英、西、法、俄、阿等語言電視節(jié)目,在不能與互聯(lián)網(wǎng)物理隔離的環(huán)境下,建立了可信、可控、可管的網(wǎng)絡(luò)制播環(huán)境,經(jīng)受住了病毒的侵襲,勝利完成了一帶一路世界峰會的保障任務(wù)。”
網(wǎng)絡(luò)可信身份驗證還需合法合規(guī)
作為網(wǎng)絡(luò)可信體系的核心內(nèi)容和確保網(wǎng)絡(luò)安全的首要抓手,可信驗證和管理可以確保網(wǎng)絡(luò)活動人員身份真實性,也是網(wǎng)絡(luò)安全認(rèn)證的前提和支撐,其中既有強有力的法律支撐,也得益于新興信息技術(shù)的推動。從法律方面來看,《國家安全法》第二十四條規(guī)定,國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略,支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù),推動不同電子身份認(rèn)證之間的互認(rèn)。從技術(shù)支撐方面來看,基于人工智能的人臉識別、指紋聲紋的身份生物特征驗證技術(shù)有效解決了身份信息確認(rèn)問題。“然而,如果人工智能倫理把握不當(dāng),則極易出現(xiàn)新的安全問題,美國舊金山已經(jīng)立法禁止了全市53個部門使用人臉識別技術(shù)。”沈昌祥說。
基于此,沈昌祥表示,網(wǎng)絡(luò)身份可信驗證應(yīng)堅持把握“三據(jù)、四不”原則,即執(zhí)法的依據(jù)、認(rèn)證的根據(jù)、追蹤的證據(jù),以及不危機實體身份隱私、不改變現(xiàn)有各種認(rèn)證協(xié)議流程、不影響國家法律證件系統(tǒng)安全、不重建國家利用法律證件認(rèn)證系統(tǒng)基礎(chǔ)信息平臺。該技術(shù)已經(jīng)在政務(wù)、交通、醫(yī)療、司法等九大行業(yè)、140多家單位推廣試點應(yīng)用,取得顯著成果。
“我相信未來中國的可信計算創(chuàng)新,一定能與時代同行。”沈昌祥激動地說。