工联网消息(IItime) 网络空间已经成为续陆、海、空、天之后的第五大主权领域空间,没有网络安全就没有国家安全,安全是发展的前提。
9月27日,在工业互联网和数据安全高峰论坛上,中国工程院院士沈昌祥指出,国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
如今,数据安全面临挑战,网络空间面临严重威胁。2017年5月12日爆发的“WannaCry”的勒索病毒,通过将系统中数据信息加密,使数据变得不可用,借机勒索钱财。病毒席卷近150个国家,教育、交通、医疗、能源网络成为本轮攻击的重灾区。
会上,沈昌祥分别从科学技术及认知科学方面分析了网络安全风险来源。
从科学技术上看,网络安全风险源于图灵机原理少攻防理念,冯诺依曼结构缺防护部件和工程应用无安全服务的先天性脆弱缺陷。
从认知科学上看,设计IT系统不能穷尽所有的逻辑组合,必定存在逻辑不全的缺陷。利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。传统“封堵查杀”难以应对未知恶意攻击。
对此,沈昌祥提出以下几点举措进行安全防护:
“一种”新模式,计算同时进行安全防护。主动免疫可信计算是一种运算同时进行安全防护的新计算模式,以密码为基因抗体实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
“二重”体系结构,计算部件+防护部件。这是二重体系结构的可信计算节点,建立免疫、反腐败子系统。
“三重”防护框架。可信安全管理中心支持下的主动免疫三重防护框架。这是现实社会的映射,一个是单位的安全,一个是系统的安全,要可信,要免疫,联合起来行动。
“四要素”可信动态访问控制。人机交互可信是发挥5G,数据中心等新基建动能作用的源头和前提,必须对人的操作访问策略四要素,即主体、客体、操作、环境,进行动态可信度量、识别和控制。
“五环节”全程管控,技管并重。按照网络安全法、密码法、等级保护制度、关键信息基础设施保护制度的要求,全程治理,确保体系结构,资源配制,操作行为,数据存储,策略管理可信。
“六不”防护效果,一是攻击者进不去,二是非授权者重要信息拿不到,三是窃取保密信息看不懂,四是系统和信息改不了,五是系统工作瘫不成,六是攻击行为赖不掉。
沈昌祥讲到:“我国1992年就立项免疫的综合安全防护系统,当时叫智能安全卡,1995年2月底通过测评和鉴定,经过长期军民融合攻关应用,形成了自主创新安全可信体系,开启了可信计算3.0时代,摆脱受制于人的困境。”
《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”。可信计算广泛应用于国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统、中央电视台全数字化可信制播环境建设、国家电网电力数字化调度系统安全防护建设,已成为国家法律、战略、等级保护制度要求进行推广应用。
“我们有把握,有技术,有产品,可以构建工业控制系统的标准,三重防御体系,可信保障的安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架。”沈昌祥表示。