2016年,美国东海岸发生了世界上瘫痪面积最大、长达6个多小时的分布式拒绝服务(DDoS)攻击;2017年爆发的“WannaCry”的勒索病毒席卷了近150个国家,教育、交通、医疗、能源网络成为本轮攻击的重灾区。2018年8月,台积电遭到勒索病毒入侵,短短几个小时内,台积电在中国台湾地区的三个重要生产基地全部停摆,造成约十几亿美元的营业损失……这一系列事实表明,网络安全已经成为国家安全层面的要务,与社会公众的利益息息相关。
如何建构牢固的网络安全防线,中国工程院院士沈昌祥在“2019网络安全可信峰会”上给出了诠释。他表示,网络空间已经变得“无处不在、无时不在、无所不包”,基于可信计算建立主动免疫的网络安全可信策略管控十分关键。
网络空间威胁升级 我国已高度重视
网络空间不仅是以计算机作为主要终端的虚拟世界,正与物理空间和现实空间快速融合,与社会公众的一切利益息息相关。网络空间象征着财产财富,是我国的基础设施,与我国的国家主权密不可分。而网络空间安全随时有可能面临极大的威胁,它有利可图,有遭到全方位攻击的风险。这一方面是由于网络空间本身较为脆弱,攻防理念薄弱导致网络空间存在计算科学的问题,缺乏防护部件使得网络空间体系架构有一定缺陷;另一方面则是由于网络空间缺乏主动、有效、创新升级的安全防护服务,计算模式本身易被攻击。
沈昌祥表示,由于设计IT系统并不能穷尽所有的逻辑组合,必定存在逻辑不全的缺陷,黑客很容易利用缺陷挖掘进行攻击。因此,我们必须要实施主动免疫构建网络安全空间,以确保计算任务的逻辑组合不被篡改和破坏,实施正确计算。
在沈昌祥看来,传统的“封堵查杀”早已过时,杀病毒、防火墙、入侵检测这“老三样”基本无法应对人为的攻击,且容易被攻击者反利用,不利于整体安全。
国家层面已经出台了一系列政策法规,以应对治理难度、维度升级的网络空间。自2017年起实施的《网络安全法》规定了国务院、省、自治区、直辖市人民政府应当统筹规划、加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用。推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校参与国家网络安全技术创新项目。《国家网络空间安全战略》也提出了“夯实网络安全基础”的战略任务,再次强调要尽快在核心技术上取得突破,加快安全可信产品的推广应用。
用主动免疫的可信计算筑牢网络安全
主动免疫的可信计算是指计算运算的同时进行安全防护,以密码为基因实施身份识别、状态度量、保存存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入系统的有害物质,相当于为网络信息系统培育了免疫能力。
沈昌祥表示,安全可信的计算节点双体系结构是基于可信密码模块,将计算部件和防护部件进行连接,建立起主动免疫的三重防护架构,实现“保卫室”、“保密室”和“监控室”协同安全管理,让攻击者进不去、非授权者拿不到、窃取保密信息者看不懂、篡改系统信息者改不了、攻击行为赖不掉。基于此,“WannaCry、Mirai、黑暗力量、震网、心脏滴血”等攻击病毒不查杀而自灭。
沈昌祥说:“2017年,我国召开一带一路峰会的前一天,‘永恒之蓝’勒索病毒在一天时间内席卷了全球150个国家和地区,‘危难之时’是我们中国自己的主动免疫可信计算机顶住了。中央电视台播出的42个频道节目,面向全球提供中、英、西、法、俄、阿等语言电视节目,在不能与互联网物理隔离的环境下,建立了可信、可控、可管的网络制播环境,经受住了病毒的侵袭,胜利完成了一带一路世界峰会的保障任务。”
网络可信身份验证还需合法合规
作为网络可信体系的核心内容和确保网络安全的首要抓手,可信验证和管理可以确保网络活动人员身份真实性,也是网络安全认证的前提和支撑,其中既有强有力的法律支撑,也得益于新兴信息技术的推动。从法律方面来看,《国家安全法》第二十四条规定,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。从技术支撑方面来看,基于人工智能的人脸识别、指纹声纹的身份生物特征验证技术有效解决了身份信息确认问题。“然而,如果人工智能伦理把握不当,则极易出现新的安全问题,美国旧金山已经立法禁止了全市53个部门使用人脸识别技术。”沈昌祥说。
基于此,沈昌祥表示,网络身份可信验证应坚持把握“三据、四不”原则,即执法的依据、认证的根据、追踪的证据,以及不危机实体身份隐私、不改变现有各种认证协议流程、不影响国家法律证件系统安全、不重建国家利用法律证件认证系统基础信息平台。该技术已经在政务、交通、医疗、司法等九大行业、140多家单位推广试点应用,取得显著成果。
“我相信未来中国的可信计算创新,一定能与时代同行。”沈昌祥激动地说。