2020年1月4日,在部省共同推进安徽智能语音产业发展领导小组办公室、 国家工业信息安全发展研究中心、中国电子学会的指导下,由安徽省经济和信息化厅主办,华云数据有限公司、安徽省信息产业投资控股有限公司等承办,合肥高新区管委会等协办的“中国云计算生态发展峰会·安徽省信息技术应用创新产业联盟揭牌仪式”在合肥举行。包括政府领导、专家院士、政企客户、合作伙伴在内的千余位嘉宾参会,超百家企业参展。
本次峰会,邀请到国家集成电路产业发展咨询委员会委员、国家信息化专家咨询委员会委员、国家三网融合专家组成员,中国工程院院士沈昌祥莅临现场,以《推广安全可信产品,保障云产业发展》为主题进行主旨演讲,以下为演讲全文:
各位领导、各位来宾,今天和大家交流一下关于云的生态环境。我们说什么是安全?大家说那还用说吗,防火墙、找漏洞、打补丁,这是表面现象,所以我想科学的网络安全观应该是安全可信。
“没有网络安全,就没有国家安全”。如果数据没有保障,不安全,就像什么?例子很多。2017年5月12日爆发的“WannaCry”的勒索病毒席卷近150个国家,教育、交通、医疗、能源网络成为本轮攻击的重灾区。2018年8月3日台积电遭到勒索病毒入侵,几个小时之内,台积电在中国台湾地区的北、中、南三个重要生产基地全部停摆。这个病毒很厉害,大面积的勒索,交钱?太丢脸了。不交钱?把信息公布了更可怕。
怎么办?中国还有法律,《网络安全法》16条讲的是国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术和研究开发和应用。保护知识产权,产学研相结合,由此我们国家颁布了《网络空间安全战略》,夯实网络安全基础再次强调加快核心技术突破,也是加快安全可信产品推广应用。法律要求战略要求,因此等级保护制度2.0标准要求把安全可信作为基础的支撑来保护国家关键信息技术设施。
安全是什么?没有网络安全就没有国家安全,具有极大的挑战和威胁。
那怎么办?存在科学网络问题,计算是计算谁?图灵很伟大,他是英国的科学家,发明了很多计算工具,得图灵奖相当于计算机界的诺贝尔奖金。他的理论没有考虑攻击的问题。由此延伸到体系结构问题,因为没部件,没需求,所以也没有考虑防攻击的部件,这太可怕了,智能制造都是围绕计算思路,没有防控部件,像生个孩子生下来没有免疫系统的人一样非常可怕。由此延伸第三个问题我们搞计算机系统,搞信息化系统,没有安全距离就是无序社会。我写了一本书,当时有讲虚拟机,虚拟机不是由云产生的,虚拟机堆了以后成云了,考虑到安全问题了吗?怎么解决?所以我们遇到这样的问题一定要弄清安全实质是必然存在的,是因为和人体一样,能够带下来很多很多的缺陷漏洞,存在安全风险。计算任务的逻辑组合,没有考虑攻击,因此大量的部件缺陷被攻击所利用。
所以我们设计的逻辑组合能够实现安全正确的计算是我们的安全目标,因此防护墙、扫漏洞、打补丁还是生下来没有免疫系统,只能生活在无菌环境中,杀病毒、杀细菌,隔离起来,找漏洞打补丁不解决问题。
所以我们一定要调整,主动免疫可信计算。是指计算运算的同时进行安全防护,及时识别“自己和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
因此第二个问题安全可信的计算节点双体系结构。必须加上可信密码模块,就像抗体一样,可信平台控制模块和淋巴结一样了,然后在工作的时候开始白细胞巡查,保证预先设计的软件逻辑不会被篡改、破坏,能够实现正确的计算,这相当于免疫系统,又相当于反腐败子系统。
下面我要说的是按照国家要求的等级保护制度所要求的所有系统要解决可信安全管理中心支持下的主动免疫三重防护框架。一个单位的安全系统是由手工被计算代替了,所以要有“安全办公室”。第二个我们要用“警卫室”知道哪些人进来了,干了什么,要审查,要处理,第三个“安全快递”。到了终端密码一次性篡改不了。管理很重要,一个单位有保密室,保密室是干嘛的?文件由什么样的人保管要有规矩,计算机信息系统里叫访问控制也是什么样的人能够访问处理什么样的文件。送到审计平台,留下证据。
所以应该有可信计算3.0来构造我们的网络体系。我们是干出来的,我们一直坚持自主可控、安全可信,已经构建完整产业链,在1992年就立项研制了智能安全卡,1995年2月底鉴定。经过长期军民融合攻关、应用,形成了自主创新安全可信体系,开启的可信计算3.0时代。公钥密码身份识别、对成密码加密存储,身份证、加密保护我们已经做了。第二个智能控制与安全执行双体系结构,第三个环境免疫抗病毒原理,那个时候没有对外公开,数字定义。现在的可信计算非常热门,他们有可信计算组织,2003年IBM等巨头公司整理,现在中国的华为、联想也是成员,他们有个可信的模块去检查,但是没有改变体系结构,作为外部设备由主程序调用检查,像党委纪委一样的,因此它并不是在依靠窗口系统自主检查,横扫世界一百个国家主要的Windows系统,Win8,Win10同样被横扫。1.0就是早期80年代末的时候主机可靠性,替换代价性很大,能不能在发现苗头就开始处理。《国家中长期科学技术发展(2006-2020)年》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”。所以现在的法律是有继承性的,稳步发展,解决了很多问题。经过长时间的创新攻关,形成了完整的可信计算3.0产业链。是一个体系,不是某一个硬件,不是某一个软件。
比如电力计算也是大量运算的网络,中国在十几年前发改委14号令决定以可信计算架构实现国家电网电力调度系统等级保护四级,四级是目前最高的,覆盖4万座大型变电站和一万座发电站,有效低于各种网络恶意攻击。停电有没有?一个都没有,什么原因?就是发改委14号令建设的主动可信计算支撑的,就是现在等级保护要求的框架。等级保护2.0经过十几年二十多年的反复试验形成,因此实现高效处理:实时调度,不打补丁:免疫抗毒;不改代码:方便实施,精练消肿:降低成本。原理上不需要改代码,防火墙也很贵,杀病毒要有空间的。
因此等级保护要落实法律战略,把所有的框架统一起来,基本要求、测评要求和技术要求框架统一,安全管理中心支撑下的重防护结构框架;第二个通用安全要求+新型应用安全扩展要求,现在云计算、移动互联、物联网、工业控制都要用等级保护实施它,这也是创新的特点;第三个就是把基于可信根的可信验证列入各级别和各环节的主要功能要求。因此很好理解等级,全部要可信,但是等级不一样,硬件软件都要可信验证。第三级很重要,我们已经实现了很多动态保护,我们在动态执行工作当中一边工作,一边检查,每个都要免疫检查,直接解决现在态势改造马后炮的问题,我们第一手就获得异常情况,几秒级就可以产生一个异常情况的过程发现,一定要用安全可信的等级保护来做,搞好主动的免疫体系。
云计算就是“宾馆服务模式”,以前每家自己买床买空调,不用的,信用系统云化是指其信息处理流程在云计算中心完成。因此云计算中心负责定级系统的系统服务防护,信息系统用户负责业务信息安全保护。你把开发的数据资料融入到云计算中心,把现有的系统迁移到云计算平台,等级保护有两张表,迁移到云计算中心里也是两张表,这个云计算中心和以前的配置中心没有什么区别,区别就是三个S。前段时间写了一本书就写了虚拟化,这个图就是等级保护要求的三级管理体系通过网络传输到前台处理器再到后台进行处理,红线画的就是把应用程序迁移到那边去,因此云计算要承接很多的定级系统,它自身能力应该达到能保护最高等级定级系统。
因此我们还是要坚持安全管理中心管理体系结构,云计算中心就要资源保障、服务保障,满足计算任务的完成,特别强调“虚拟化”。我们国家有一个重大研发项目叫可信链架构,搞链的机构可以和我们对接,我们这个技术可以给你们用,解决可信的问题。云服务中心必须要提供虚拟化条件的可信保障,和以前不一样的就是虚拟化。第二用户同样有责任按照等级保护,由用户决定谁是主角、谁是配角、谁是访问权限等等,不管运用程序的过程。虽然服务由宾馆服务,由云计算中心为主体,然后安装配置管理以用户为主,审计过程双方要融合,融合要产生矛盾,要打官司,可能这个问题可以解决。
这就是我们要求等级保护支撑下的云计算生态环境,只有这样才能实现云计算的健康发展,解决传统问题。
谢谢大家。
专家解读
沈昌祥
2021-02-25 中国工程院院士沈昌祥:等级保护支撑云计算生态环境健康发展