當(dāng)前，網(wǎng)絡(luò)空間已成為陸?？仗熘獾牡谖宕髧抑鳈?quán)領(lǐng)域空間，也是國際戰(zhàn)略在軍事領(lǐng)域的演進(jìn)，保衛(wèi)網(wǎng)絡(luò)安全就是保衛(wèi)國家主權(quán)。

4月29日，在首都網(wǎng)絡(luò)安全日的網(wǎng)絡(luò)安全高峰論壇之網(wǎng)絡(luò)可信體系保障國家網(wǎng)絡(luò)安全分論壇上，國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥做了《網(wǎng)絡(luò)空間安全戰(zhàn)略思考與啟示》的主題演講。

目前，美國將網(wǎng)絡(luò)空間安全由“政策”、“計劃”提升為國家戰(zhàn)略，而且美國網(wǎng)絡(luò)空間安全戰(zhàn)略也在進(jìn)一步完善。2015年4月23日，美國五角大樓發(fā)布新版網(wǎng)絡(luò)安全戰(zhàn)略概要，首次公開要把網(wǎng)絡(luò)戰(zhàn)作為今后軍事沖突的戰(zhàn)術(shù)選項之一，明確提出要提高美軍在網(wǎng)絡(luò)空間的威懾和進(jìn)攻能力。

不僅美國緊鑼密鼓執(zhí)行網(wǎng)絡(luò)空間國際和戰(zhàn)爭戰(zhàn)略，最近北約網(wǎng)絡(luò)空間安全框架指出，目前世界上有一百多國家具備一定的網(wǎng)絡(luò)戰(zhàn)能力，公開發(fā)表網(wǎng)絡(luò)安全戰(zhàn)略的國家多達(dá)50多家。

沈昌祥表示：由此可見，我國網(wǎng)絡(luò)安全面臨嚴(yán)峻的挑戰(zhàn)，美國網(wǎng)絡(luò)空間安全戰(zhàn)略啟示我們應(yīng)積極加快建設(shè)我國網(wǎng)絡(luò)安全保障體系，捍衛(wèi)我國網(wǎng)絡(luò)安全國家主權(quán)。我們需要建設(shè)“戰(zhàn)略清晰”的網(wǎng)絡(luò)安全保障體系，需要走積極主動防御的技術(shù)路線。

構(gòu)建主動防御的技術(shù)保障體系

1. 可信免疫的計算體系結(jié)構(gòu)

當(dāng)前大部分網(wǎng)絡(luò)安全系統(tǒng)主要是由防火墻、入侵檢測和病毒防范這“老三樣”組成，而我們必須要明白，消極被動的封堵查殺是防不勝防的，所以我們需要走創(chuàng)新自強(qiáng)之路，構(gòu)建主動防御的技術(shù)保障體系，從而徹底扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全受制于人的被動局面。

(1)可信免疫的計算模式

可信計算是指計算運算的同時進(jìn)行安全防護(hù)，使計算結(jié)果總是與預(yù)期一樣，計算全程可測可控，不被干擾，是一種運算和防護(hù)并存的主動免疫的新計算模式，及時識別“自己”和“非己”成份，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，加強(qiáng)自我安全控制能力，改變傳統(tǒng)“封堵查殺”的被動局面。美國就是用可信計算技術(shù)實現(xiàn)本國的主動防御，同時對別國信息系統(tǒng)加強(qiáng)控制和監(jiān)視，取得網(wǎng)絡(luò)空間行動的絕對優(yōu)勢。

(2)安全可信系統(tǒng)框架

云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、虛擬動態(tài)異構(gòu)計算環(huán)境更需要可信。安全可信的系統(tǒng)框架由體系結(jié)構(gòu)可信、操作行為可信、資源配置可信、數(shù)據(jù)存儲可信、策略管理可信5個層面構(gòu)成。

同時，要構(gòu)建可信安全管理中心支持下的三重防護(hù)框架，由可信計算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)共同構(gòu)成縱深防御的防護(hù)體系，達(dá)到“攻擊者進(jìn)不去，非授權(quán)者重要信息拿不到，竊取保密信息看不懂，系統(tǒng)和信息篡改不了，系統(tǒng)工作癱不成，攻擊行為賴不掉”的安全防護(hù)效果。

2. 中國可信計算技術(shù)創(chuàng)新

中國可信計算經(jīng)過長期攻關(guān)，形成了自主創(chuàng)新的體系，涉及可信計算自主密碼方案、芯片層面的主動控制、主板可信安全管理中心支持下的三重防護(hù)框架層面的計算和可信雙節(jié)點融合、軟件層面的雙系統(tǒng)體系結(jié)構(gòu)、網(wǎng)絡(luò)層面三元三層對等架構(gòu)等，形成主動免疫的雙體系結(jié)構(gòu)，克服了TCG外部模塊掛接和被動調(diào)用的缺陷。

中國可信計算已經(jīng)搭建起了以密碼技術(shù)為基礎(chǔ)、芯片為支柱、主板為平臺、軟件為核心、網(wǎng)絡(luò)為紐帶、應(yīng)用成體系的可信計算技術(shù)框架。

中國可信計算創(chuàng)新點包括：可信計算自主密碼方案、芯片層面的主動防御、主板層面的計算和可信雙節(jié)點融合、軟件層面的雙系統(tǒng)體系結(jié)構(gòu)以及網(wǎng)絡(luò)層面的三元三層對等架構(gòu)。

 #p#

3. 解決核心技術(shù)受制于人問題

(1)中國可信計算產(chǎn)業(yè)化條件具備

《國家中長期科學(xué)技術(shù)發(fā)展(2006—2020 年)》明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點，開發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品，建立網(wǎng)絡(luò)安全技術(shù)保障體系”。“十二五”規(guī)劃有關(guān)工程項目都把可信計算列為發(fā)展重點。

可信計算標(biāo)準(zhǔn)系列逐步制定，研究制定單位達(dá)40多家，參與人員達(dá)400多人，標(biāo)準(zhǔn)的創(chuàng)新點都作了技術(shù)驗證，申報專利達(dá)40多項。不少單位和部門已按有關(guān)標(biāo)準(zhǔn)研制了芯片、整機(jī)、軟件和網(wǎng)絡(luò)連接等可信部件和設(shè)備，并得到了有效的應(yīng)用。

2014年4月16日，中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟的成立將大力推進(jìn)可信計算的產(chǎn)業(yè)化和市場化。

(2)XP 停止服務(wù)帶來的風(fēng)險與契機(jī)

4月8日，微軟公司正式停止對Windows XP的服務(wù)支持，且不再提供針對該操作系統(tǒng)的系統(tǒng)安全補丁、升級以及其他相關(guān)服務(wù)，并已停止市場銷售。全國約2億臺運行XP操作系統(tǒng)的終端將面臨無人服務(wù)的局面。

中央國家機(jī)關(guān)政府采購中心也要求國家機(jī)關(guān)進(jìn)行信息類協(xié)議供貨強(qiáng)制節(jié)能產(chǎn)品采購時，所有計算機(jī)類產(chǎn)品不允許安裝Windows8 操作系統(tǒng)。

經(jīng)過20多年的攻關(guān)，我國在操作系統(tǒng)關(guān)鍵技術(shù)上有相當(dāng)?shù)姆e累和儲備，該事件給我國發(fā)展自主操作系統(tǒng)帶來重大機(jī)遇，加快發(fā)展我國自主可控、安全可信的操作系統(tǒng)已刻不容緩，基于開源技術(shù)發(fā)展自主操作系統(tǒng)是現(xiàn)實選擇。我們需要做到“五可”、“一有”。

“五可”是：可知、可編、可重構(gòu)、可信以及可用，“一有”是：有自主知識產(chǎn)權(quán)。具體如圖所示：

(3)利用自主創(chuàng)新的可信計算加固XP系統(tǒng)

XP停止服務(wù)需要用自主創(chuàng)新的可信計算平臺產(chǎn)品對XP終端進(jìn)行安全加固，并以可信服務(wù)替代補丁服務(wù)，有效抵御新的病毒、黑客的攻擊，還為加快自主操作系統(tǒng)產(chǎn)品研發(fā)和替代做好技術(shù)支持。

可信加固產(chǎn)品硬件上有3種形態(tài)：主板配接USB可信密碼模塊、主板配插PCI可信密碼模塊和專用主板上重構(gòu)可信密碼模塊。

利用可信計算構(gòu)建的系統(tǒng)管理、安全管理以及審計管理三大功能的可信免疫管理平臺，可以確定可信主客體，制定可信主客體間訪問規(guī)則，審計主客體訪問行為并監(jiān)控主客體運行時的狀態(tài)。

(4)為全面替代國外產(chǎn)品打基礎(chǔ)

目前，利用可信計算構(gòu)建的主動免疫系統(tǒng)已支持Windows、Linux、UNIX、Android等操作系統(tǒng)。

主動免疫系統(tǒng)主要特點為：免病毒查殺免補丁;不用修改應(yīng)用軟件;用戶使用完全透明;支持異構(gòu)環(huán)境、系統(tǒng)效率損耗不到5%。

以可信服務(wù)替代補丁服務(wù)主要有分為線上、線下兩種部署方式。其中，線上部署方式針對中小型企業(yè)以及用戶，提供免疫平臺管理服務(wù)以及軟件下載服務(wù)等。而線下部署方式重點針對高等級重要系統(tǒng)，適用于專網(wǎng)隔離。

現(xiàn)在，通過演示驗證驗收。測評以及設(shè)計鑒定，已經(jīng)定型十余款。

總結(jié)

如今，國際網(wǎng)絡(luò)空間形勢日益嚴(yán)峻，對我國網(wǎng)絡(luò)安全提出了很大的挑戰(zhàn)。我國必須要立足當(dāng)前國情，積極應(yīng)對，自主創(chuàng)新，構(gòu)建主動防御、安全牢固的網(wǎng)絡(luò)保障體系。