近日,在第八届互联网安全大会推出的5G安全与发展论坛上,中国工程院院士沈昌祥发表演讲,探讨了新基建时代网络安全的实质以及如何筑牢网络安全防线等问题。传播君摘编发言部分内容,一起来看。
作为国家经济发展战略,新基建正在显示出强大的动能,但对网络安全也提出了更严峻的挑战。我们必须积极应对垄断网络空间的霸权威胁,筑牢网络安全防线。
树立安全可信的网络安全观
网络空间已经成为继陆海空天之后的第五大主权空间。“没有网络安全就没有国家安全”,筑牢网络安全防线是我们的历史使命。
2017年5月12日,永恒之蓝勒索病毒用一天时间,使全球150多个国家的教育卫生系统瘫痪;
2018年,全球最大集成电路制造厂商台积电的台北、台东、台南三个基地被勒索病毒入侵至停摆,一天损失十几亿美元。
我们必须要推广安全可信的网络产品和服务,按照国家网络安全空间的战略,加快安全可信产品的推广应用。根据网络安全等级保护制度2.0标准,全面推广安全可信的产品来保障关键基础设施的安全。
认清网络安全实质,化解网络安全风险
现在一些敌对势力通过网络暴恐扰乱社会,破坏国家稳定,同时,美国霸权要制造网络“核武器”,实行网络“核讹诈”。在这些方面,我们有一些脆弱性。我们要降低网络空间的威胁性,才能提高安全性。
世界上所有的安全系统都不可能把所有逻辑都包含在内,因此还存在逻辑不全的缺陷。攻击者利用逻辑缺陷抓住漏洞获取利益,所以安全是永远的命题。
我们要构建主动免疫的防护新体系,完成主动领域的计算目标,确保完成计算任务的逻辑组合不被篡改,不被破坏,实现正确计算。
主动免疫的防护新体系有以下特性:
计算同时进行安全防护的新模式
主动免疫可信计算是一种在运算的同时进行安全防护的新计算模式。以密码为基因抗体实现身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,相当于为网络信息系统培育了免疫能力。
计算部件+防护部件组成的二重体系结构
这一结构打破了冯·诺依曼的单体系结构,增加了可信密码模块、可信控制平台TPCM等,形成典型的免疫系统。
可信安全管理中心支持下的主动免疫三重防护体系结构
三重防护体系结构,和防范新冠肺炎病毒是一样的。首先要保证人体安全、办公室安全,办公室安全就相当于是计算环境安全。其次要保证边界安全,这就相当于进大楼和小区都要接受检查,以控制人们的来往安全,不能让病毒到处扩散。
此外,一个单位的保卫部门相当于系统的资源管理中心,用来保证信息不被泄露。因此,在可信的网络通讯中,安全管理中心非常重要,要构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构。
四要素的人机可信交互
在网络安全环境中,人机交互可信作为发挥5G、数据中心等新基建动能作用的源头和前提,必须对主体、客体、操作、环境这四个要素进行可信度量、识别和控制,以纠正传统访问控制策略模型中只基于授权标识属性进行操作。
五环节组成的可信设施
加强基础设施全程安全管控,需要用可信密码等技术,检测、预警、恢复等措施确保设施中的体系结构、操作行为、数据存储、策略管理、资源配置等五大环节安全可信。
基于对以上五环节的可信管控,最终可以达到非授权者重要信息拿不到、系统和信息改不了、攻击行为毁不掉、攻击者进不去、窃取保密信息看不懂、系统工作瘫不成的“六个不”的防护效果。
落实等级保护制度,筑牢网络安全防线
等级保护的新标准就是把云计算、移动互联网、物联网、公共系统全部加入在里面,用可信计算为核心技术来做安全防护。
一级防护是基础软件操作系统BUS固件不能篡改;
二级防护是应用程序不能篡改;
三级防护是实时度量、实时监控,在执行过程中,重要点要可信验证,不能篡改,不能有异常的情况发生,而且要及时警报,及时传到管理中心;
四级防护是智能化控制,主要计算节点全部要进行验证,进行动态关联感知,形成实时的态势,解决现在态势感知都是事后诸葛亮的问题,这一点很重要。
当前,全球很关心5G发展。美国以5G安全为由,遏制华为发展。
我们确实要注意5G安全,并一定要与等级保护2.0的标准相关联。网络功能的云化、虚拟化、软件化涉及的切片、边缘计算都是新型计算的技术应用,将使网络变得更加灵活和安全。
我们要按照等级保护2.0标准对5G进行可信建设。我们要用“可信”的方法去解决基站的问题,这样才能解决5G发展的安全问题。此外,我们还要埋头苦干,顶住来自国际的封锁压力,健康发展5G,构建网络空间安全保障体系。
附1:国脉“一网通办”核心支撑系统(GDBOS),助力数字政府建设
数字政府2.0操作系统、政务数据体系2.0基础标配、政务服务一体化升级方案。又名“政府数据业务操作系统”(GDBOS), 是基于国家有关政策要求、各地实践经验、数据体系理论、微服务技术架构,围绕“大数据、大系统、大平台”融合一体思路,为各地数字政府升级而量身打造的一套作业平台。运用数据体系、标准治理、业务再造、组织进化等工具和方式,可从结构、标准、模块架构上对当前政务服务平台体系进行优化、重组和升级。有效适配部委、省、市、县(区)不同层次需求,支撑数据整合共享、政务流程再造和服务模式升级,全面提升政务服务能力,夯实数字政府基础,为国家治理能力现代化提供重要支撑。
依托"产品+数据+标准"框架,构建"标准支撑、数据体系、业务再造、数据治理、管理赋能"五大体系,无缝衔接既有业务系统,有效驱动政务服务整体运作:①落脚在“办成”,把政务数据归集到一个功能性平台,企业和群众只进一扇门就能办成不同领域事项;②综合提升政府政务服务、数据整合与治理能力,并最终实现数字化转型升级与智慧组织进化。
附2:国脉政策通(又名“国脉一体化惠企政策服务平台”),是对标中央关于“各项惠企政策落实到位、易于知晓、一站办理”要求,打通政策服务、优化营商环境的帮手级产品。以“惠企政策精准送、补贴申报一次办”为核心,提供政策“发布、汇聚、查看、送达、办理、督查、评价”全套解决方案。基于市场主体、民生服务和营商环境优化,从最小颗粒化、数源标准化、数据共享化、组织协同化、业务融合化五个方面着手打造,实现群众与企业真正“知政策、懂政策、享政策”,依托政策红利更好发展。截至目前,该系统已于深圳市、杭州市、佛山市、浦东新区、南山区等地应用,获企业群众普遍好评。
