《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 沈昌祥院士:開創(chuàng)安全可信數(shù)字經(jīng)濟(jì)新生態(tài)

沈昌祥院士:開創(chuàng)安全可信數(shù)字經(jīng)濟(jì)新生態(tài)

2021-10-19
來源: 信息安全與通信保密雜志社

  近日,,由聊城市人民政府等指導(dǎo),東昌府區(qū)人民政府,、河姆渡主辦,,北京物聯(lián)網(wǎng)智能技術(shù)應(yīng)用協(xié)會等協(xié)辦的第六屆(2021)中國智能建筑節(jié)在聊城圓滿落幕,來自政府及相關(guān)管理機(jī)構(gòu),、行業(yè)協(xié)會,、研究部門、頭部企業(yè)等各領(lǐng)域的近2000位行業(yè)精英蒞臨現(xiàn)場,,共話智建未來,。峰會上,中國工程院院士沈昌祥發(fā)表了題為《開創(chuàng)安全可信數(shù)字經(jīng)濟(jì)新生態(tài)》的演講,。

  以下文字根據(jù)沈昌祥院士演講內(nèi)容整理而成,。

  各位領(lǐng)導(dǎo)、各位來賓:

  大家好,!很高興來到第六屆中國智能建筑節(jié),。

  安全保障是發(fā)展數(shù)字經(jīng)濟(jì)的首要前提,所以今天我想以“開創(chuàng)安全可信數(shù)字經(jīng)濟(jì)新生態(tài)”為主題,,跟大家交流一下,,關(guān)于數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的安全保障問題。

  數(shù)字經(jīng)濟(jì)時代的機(jī)遇與挑戰(zhàn)

  新基建下萬物互聯(lián),,網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間,,這也對網(wǎng)絡(luò)安全提出嚴(yán)峻挑戰(zhàn)。

  國家十四五規(guī)劃提出加快形成以國內(nèi)大循環(huán)為主體,、國內(nèi)國際雙循環(huán)相互促進(jìn)的發(fā)展格局,,這既是統(tǒng)籌推進(jìn)疫情防控和社會經(jīng)濟(jì)發(fā)展的關(guān)鍵措施,也是推動經(jīng)濟(jì)高質(zhì)量發(fā)展的有效途徑,。

  新基建將加速推動我國數(shù)字化轉(zhuǎn)型,、網(wǎng)絡(luò)化重構(gòu)、智能化提升,、產(chǎn)業(yè)化升級,。但是新基建下萬物互聯(lián),網(wǎng)絡(luò)攻擊將從數(shù)字空間延伸到物理空間,這也對網(wǎng)絡(luò)安全提出嚴(yán)峻挑戰(zhàn),。因此,,我們必須筑牢網(wǎng)絡(luò)安全防線,有效應(yīng)對壟斷網(wǎng)絡(luò)空間霸權(quán)威懾,。

  數(shù)據(jù)“科學(xué)”的發(fā)展過程

  做好數(shù)字安全保障,,首先要弄清什么是數(shù)字化、什么是數(shù)字經(jīng)濟(jì),。我們先來看一下數(shù)據(jù)“科學(xué)”的發(fā)展過程,。

  自人類文明誕生以來,就有了數(shù)字,。最開始是用符號記錄,,這是人工處理的數(shù)據(jù);到后來發(fā)明電視,、計算機(jī),,實現(xiàn)了數(shù)據(jù)的自動化處理。隨著數(shù)據(jù)進(jìn)一步發(fā)展,,數(shù)據(jù)已經(jīng)不僅僅是簡單的文字和圖形符號,,而是多媒體的,這就產(chǎn)生了關(guān)系數(shù)據(jù)庫,、數(shù)據(jù)倉庫,。

  與此同時,在數(shù)字應(yīng)用方面也有了極大的飛躍,,數(shù)字成為我們相互鏈接,、對話的工具,數(shù)據(jù)工程也由此產(chǎn)生,,對傳統(tǒng)產(chǎn)業(yè)帶來了革命性變革。用數(shù)字來處理傳統(tǒng)產(chǎn)業(yè),、提升產(chǎn)業(yè)效率的過程,,就叫做產(chǎn)業(yè)數(shù)字化。無處不在數(shù)據(jù)蘊含了巨大的價值,,已經(jīng)成為重要生產(chǎn)要素,。將這些數(shù)據(jù)生產(chǎn)要素收集起來,再處理再加工,,創(chuàng)造新的產(chǎn)品,,就是數(shù)字產(chǎn)業(yè)化。

  大數(shù)據(jù)是鉆石礦

  國務(wù)院總理李克強(qiáng)將大數(shù)據(jù)稱為“鉆石礦”,,大數(shù)據(jù)是指無法用現(xiàn)有的軟件工具(如數(shù)據(jù)模型,、數(shù)據(jù)庫還有各種網(wǎng)絡(luò)協(xié)議等)進(jìn)行處理的海量復(fù)雜的數(shù)據(jù)集合,具有多源異構(gòu)、非結(jié)構(gòu)化,、低價值度,、快速處理等特點。

  大數(shù)據(jù)處理需要像采礦一樣重新挖掘,、開采和提煉,,才能變成擁有巨大價值的珍貴產(chǎn)品。隨著海量數(shù)據(jù)的進(jìn)一步集中和信息技術(shù)的進(jìn)一步發(fā)展,,信息安全成為大數(shù)據(jù)快速發(fā)展的瓶頸,。

  典型案例:網(wǎng)絡(luò)空間面臨嚴(yán)重威脅

  2017年5月12日爆發(fā)的“WannaCry”的勒索病毒,通過將系統(tǒng)中數(shù)據(jù)信息加密,,使數(shù)據(jù)變得不可用,,借機(jī)勒索錢財。病毒席卷近150個國家,,教育,、交通、醫(yī)療,、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū),。

  2018年8月3日,臺積電遭到勒索病毒入侵,,幾個小時之內(nèi),,臺積電在中國臺灣地區(qū)的北、中,、南三個重要生產(chǎn)基地全部停擺,,造成約十幾億美元的營業(yè)損失。

  2021年5月7日,,美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊,,被迫關(guān)閉其美國東部沿海各州供油網(wǎng)絡(luò),美國政府宣布美國17個州和華盛頓特區(qū)進(jìn)入緊急狀態(tài),。

  構(gòu)建網(wǎng)絡(luò)安全主動免疫保障體系

  網(wǎng)絡(luò)空間已經(jīng)成為繼陸,、海、空,、天之后的第五大主權(quán)領(lǐng)域空間,,“沒有網(wǎng)絡(luò)安全就沒有國家安全”。

  面對網(wǎng)絡(luò)安全面臨的威脅和挑戰(zhàn),,所以我們必須構(gòu)建新型的保障體系,。

  1、“一種”新模式,,計算同時進(jìn)行安全防護(hù)

  殺病毒,、防火墻,、入侵檢測的傳統(tǒng)“老三樣”難以應(yīng)對人為攻擊,且容易被攻擊者利用,,找漏洞,、打補(bǔ)丁的傳統(tǒng)思路不利于整體安全。所以我們必須構(gòu)建新型的保障體系,。

  主動免疫可信計算是一種運算同時進(jìn)行安全防護(hù)的新計算模式,,以密碼為基因抗體實施身份識別、狀態(tài)度量,、保密存儲等功能,,及時識別“自己”和“非己”成分,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì),,相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力,。

  2、“二重”體系結(jié)構(gòu),,計算部件+防護(hù)部件

  人體通過各個免疫器官組成免疫系統(tǒng)來實現(xiàn)防護(hù),,機(jī)器也需要構(gòu)建自身免疫系統(tǒng)。通過構(gòu)建二重體系結(jié)構(gòu),,由計算部件和防護(hù)部件協(xié)調(diào)工作,,為網(wǎng)絡(luò)信息系統(tǒng)增強(qiáng)免疫能力。

  3,、“三重”防護(hù)框架

  在“三重”防護(hù)框架中,,可信計算環(huán)境就相當(dāng)于“安全辦公室”,保障內(nèi)部環(huán)境的安全,;可信邊界就相當(dāng)于“警衛(wèi)室”,,對進(jìn)入內(nèi)部環(huán)境的人員進(jìn)行檢查,就像疫情期間需要出示健康碼等,;可信的網(wǎng)絡(luò)通信就相當(dāng)于“安全快遞”,,確保外部送進(jìn)來的東西沒有破損、沒有炸彈等危險物品,。通過“三重”防護(hù)框架對人的操作訪問進(jìn)行動態(tài)可信度量,、識別和控制,確保體系結(jié)構(gòu),、資源配置,、操作行為,、數(shù)據(jù)存儲,、存儲管理可信。

  4,、“四要素”可信動態(tài)訪問控制

  那么系統(tǒng)建成以后該怎么用了,,我們提出了“四要素”可信動態(tài)訪問控制,。人機(jī)交互可信是發(fā)揮5G、數(shù)據(jù)中心等新基建動能作用的源頭和前提,,必須對人的操作訪問策略四要素(主體,、客體、操作,、環(huán)境)進(jìn)行動態(tài)可信度量,、識別和控制,這也糾正了傳統(tǒng)不計算環(huán)境要素的訪問控制策略模型只基于授權(quán)標(biāo)識屬性進(jìn)行操作而不作可信驗證,,難防篡改的安全缺陷,。

  5、“五環(huán)節(jié)”全程管控,、技管并重

  在網(wǎng)絡(luò)條件下,,系統(tǒng)是動態(tài)的。因此需要通過準(zhǔn)確定級,、規(guī)范建設(shè),、嚴(yán)格測評、監(jiān)督檢查,、感知預(yù)警構(gòu)建全程管控,、技管并重的完整體系來實現(xiàn)。

  6,、“六不”防護(hù)效果

  通過以上“五環(huán)節(jié)”構(gòu)建安全可信管控體系,,最終可以實現(xiàn)“攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到,、竊取保密信息看不懂,、系統(tǒng)和信息改不了、系統(tǒng)工作癱不成,、攻擊行為賴不掉”的“六不”防護(hù)效果,。

  落實等級保護(hù)要求保障數(shù)字經(jīng)濟(jì)健康發(fā)展

  美國近期宣揚的零信任架構(gòu),缺少科學(xué)原理支撐,,也不符合我國法律,、戰(zhàn)略和制度要求推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的規(guī)定。一定要科學(xué)嚴(yán)謹(jǐn)分析研究,,堅持自主創(chuàng)新,,不能盲目跟風(fēng)。

  那么我們該如何落實等級保護(hù),,構(gòu)建以上保障體系呢,?

  1、搶占核心技術(shù)制高點,,擺脫受制于人

  等級保護(hù)是科學(xué)合理的,、經(jīng)過實際科學(xué)驗證的,。早在十幾年前《國家中長期科學(xué)技術(shù)發(fā)展(2006-2020年)》就明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點,開發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品,,建立網(wǎng)絡(luò)安全技術(shù)保障體系”,。

  可信計算已經(jīng)廣泛應(yīng)用于國家重要信息系統(tǒng),如:增值稅防偽,、彩票防偽,、二代居民身份證安全系統(tǒng)、中央電視臺全數(shù)字化可信制播環(huán)境建設(shè),、國家電網(wǎng)電力數(shù)字化調(diào)度系統(tǒng)安全防護(hù)建設(shè),。

  美國近期宣揚的零信任架構(gòu),缺少科學(xué)原理支撐,,網(wǎng)絡(luò)無邊界不符合網(wǎng)絡(luò)空間主權(quán)原則,,基于身份認(rèn)證的動態(tài)訪問控制在國標(biāo)17859早就規(guī)定,傳統(tǒng)的調(diào)用功能模塊組合難成為安全保障科學(xué)架構(gòu),,也不符合我國法律,、戰(zhàn)略和制度要求推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的規(guī)定。一定要科學(xué)嚴(yán)謹(jǐn)分析研究,,堅持自主創(chuàng)新,,不能盲目跟風(fēng)。

  2020年10月28日,,國家等級保護(hù)2.0與可信計算3.0攻關(guān)示范基地成立揭牌,。經(jīng)過20多年的發(fā)展,我國可信計算已形成完整的產(chǎn)業(yè)體系,。我們通過將可信免疫系統(tǒng)植入CPU或者增加免疫系統(tǒng)模塊來構(gòu)建免疫系統(tǒng),;其他老式機(jī)器則可以通過嵌入式可信芯片及可信根來實現(xiàn)。

  2,、等級保護(hù)標(biāo)準(zhǔn)可信計算要求

  等級保護(hù)2.0新標(biāo)準(zhǔn)把云計算,、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工控等采用可信計算3.0作為核心要求,,筑牢網(wǎng)絡(luò)安全防線,。這能夠解決,目前預(yù)警預(yù)報被認(rèn)為是“馬后炮”的問題,。等級保護(hù)標(biāo)準(zhǔn)可信計算要求主要分四個等級:

  一級:所有計算節(jié)點都應(yīng)基于可信根實現(xiàn)開機(jī)到操作系統(tǒng)啟動的可信驗證,。

  二級:所有計算節(jié)點都應(yīng)基于可信根實現(xiàn)開機(jī)到操作系統(tǒng)啟動,再到應(yīng)用程序啟動的可信驗證,,并將驗證結(jié)果形成審計紀(jì)錄,。

  三級:所有計算節(jié)點都應(yīng)基于可信根實現(xiàn)開機(jī)到操作系統(tǒng)啟動,再到應(yīng)用程序啟動的可信驗證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)對其執(zhí)行環(huán)境進(jìn)行可信驗證,,主動抵御入侵行為。并將驗證結(jié)果形成審計紀(jì)錄,,送到管理中心,。

  四級:所有計算節(jié)點都應(yīng)基于可信計算技術(shù)實現(xiàn)開機(jī)到操作系統(tǒng)啟動,再到應(yīng)用程序啟動的可信驗證,,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)對其執(zhí)行環(huán)境進(jìn)行可信驗證,,主動抵御入侵行為。并將驗證結(jié)果形成審計紀(jì)錄,,送到管理中心,,進(jìn)行動態(tài)關(guān)聯(lián)感知,形成實時的態(tài)勢,。

  典型示范:中央電視臺可信制播環(huán)境建設(shè)

  中央電視臺播出42個頻道節(jié)目,,面向全球提供中、英,、西,、法、俄,、阿等語言電視節(jié)目,,在不能與互聯(lián)網(wǎng)物理隔離的環(huán)境下,建立了可信,、可控,、可管的網(wǎng)絡(luò)制播環(huán)境,達(dá)到四級安全要求,,確保節(jié)目安全播出,。經(jīng)受住了永恒之藍(lán)勒索病毒攻擊的考驗,勝利完成了“一帶一路”世界峰會的保障任務(wù),。

  3,、大數(shù)據(jù)主動免疫三重防護(hù)安全框架

  大數(shù)據(jù)處理系統(tǒng)大多是基于云計算平臺實現(xiàn)數(shù)據(jù)各種環(huán)節(jié)的梳理計算,也可分為業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來定安全等級,,應(yīng)該按(GB/T 25070-2019)進(jìn)行設(shè)計安全框架,。

  這就是國家等級保護(hù)2.0安全管理支撐下的三重防護(hù)體系,從采集,、傳輸,、保障、到清洗,、提煉,,最終成為高品質(zhì)、高價值的數(shù)字產(chǎn)品,。這樣,,我們大數(shù)據(jù)的產(chǎn)業(yè)化,、我們的大數(shù)據(jù)產(chǎn)品才是安全的。

  我們一定要按照國家的法律戰(zhàn)略制度,,通過計算環(huán)境,、區(qū)域邊界、網(wǎng)絡(luò)傳輸三重防護(hù),,安全可信地保障我們數(shù)據(jù)經(jīng)濟(jì)的轉(zhuǎn)型,,保障我們信息社會的發(fā)展。

  謝謝大家,!




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]