中国工程院院士沈昌祥：主动免疫可信计算为网信系统打疫苗

“新基建下万物互联网络攻击将从数字空间延伸到物理空间，对网络安全提出严峻挑战，必须有效应对垄断网络空间霸权威慑，筑牢网络安全防线。”近日在北京召开的首届中央企业数字化转型峰会之“数字化转型下的网络安全”分论坛上，中国工程院院士、中央网信办专家咨询委员会顾问、国家集成电路产业发展咨询委员会委员、国家三网融合专家组成员沈昌祥发表了《开创安全可信数字化转型新生态》的演讲。

沈昌祥在演讲。

沈昌祥从数字化时代的机遇与挑战出发，围绕网络安全的重要性和战略规划、制度要求，提出要以基础原理、核心技术和工程应用创新为依托，用安全可信网络产品和服务构建主动免疫防护的保障体系。

“大数据是钻石矿。”沈昌祥指出，大数据是指无法用现有软件工具进行处理的海量复杂的数据集合，具有多源异构、非结构化、低价值度、快速处理等特点。“我们假定矿里头没有钻石，也就是说没有现成的数据，因此要收集、开采。”这就相当于数据废品和垃圾收集处理，来从中发掘知识和本质规律。

沈昌祥表示，大数据再处理、再加工产生新的产品，即数字产业化。而随着海量数据的进一步集中和信息技术的进一步发展，信息安全成为大数据快速发展的瓶颈。网络空间的脆弱性呈现在我们眼前，由于利用逻辑缺陷对计算机系统进行攻击获取利益成为永远命题，这就是网络安全的本质。这相当于人的身体没有免疫系统不能防御病毒入侵一样。

在论坛上，沈昌祥再次提起2017年爆发的“WannaCry”勒索病毒这个著名的网络攻击例子。该病毒通过将系统中的数据信息加密，使数据变得不可用，借机勒索钱财，病毒席卷近150个国家，教育、交通、医疗、能源网络成为本轮攻击的重灾区。

“我们要如何对付？”沈昌祥说，要构建主动免疫的可信计算体系，这样才能筑牢基础设施网络安全防线。

什么是主动免疫可信计算？沈昌祥解释，我们通常所理解的杀病毒、防火墙、入侵检测等“老三样”，并不是科学的网络安全概念，难以应对人为攻击，且容易被攻击者利用。而主动免疫的可信计算是一种运算同时进行安全防护的新计算模式，以密码为基因抗体实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

该模式构建“计算+保护”并行的双轮驱动体系结构，形成动态的模式，对计算过程进行正确性的核研，发现异常及时处理，达到主动的防护效果。沈昌祥指出，将信息系统安全防护体系从系统资源、安全策略、审计方面进行三层防护，从而建立主动免疫三重防护框架，达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉等“六不”防护效果。

据悉，可信计算是世界网络安全的主流技术，我国可信计算源于1992年正式立项研究免疫的综合安全防护系统（智能安全卡），并于1995年2月底通过测评和鉴定，经过长期军民融合攻关应用，制订发布了国家和军队的可信计算系列标准及专利，形成了自主创新安全可信体系，并跨入了主动免疫可信计算3.0新时代。

目前，可信计算广泛应用于国家重要信息系统，如：增值税防伪、彩票防伪、二代居民身份证安全系统，它不可能假冒，也不可能篡改，已成为国家法律、战略、等级保护制度要求，推广应用。依托主动免疫可信技术体系，在传统应用领域、工控系统和云计算、物联网、大数据、移动智能网等现代信息系统中奠定网络安全可信的坚实基础。

“落实关键基础设施等级保护要求，将保障数字化转型健康发展。”沈昌祥说，完备的可信计算3.0产品链，也将形成巨大的新兴产业空间。

南都见习记者 陈秋圆 发自北京