沈院士聽取平臺發(fā)展情況

絕對的安全并不存在，

傳統(tǒng)防御思路對整體安全非常不利

沈院士的培訓(xùn)從近年頻繁發(fā)生的Mirai、WannaCry等網(wǎng)絡(luò)安全事件談起，強(qiáng)調(diào)網(wǎng)絡(luò)威脅是永遠(yuǎn)的主題，對網(wǎng)絡(luò)空間產(chǎn)生著極大的威脅；由于設(shè)計(jì)IT系統(tǒng)不能窮盡所有的邏輯組合，必定會存在邏輯不全的缺陷，因此絕對的安全不存在，也沒有所謂“刀槍不入”的體系。

“目前我們還沒有能力面對強(qiáng)大的攻擊源，從計(jì)算科學(xué)問題來看，圖靈計(jì)算模型仍缺少攻防理念；從體系結(jié)構(gòu)問題來看，馮諾依曼架構(gòu)還缺少防護(hù)部件；從計(jì)算模式問題來看，目前重大工程應(yīng)用又沒有安全服務(wù)；殺病毒、防火墻、入侵檢測這些傳統(tǒng)“老三樣”防御方式早已過時(shí)，難以應(yīng)對人為攻擊，而且容易被攻擊者利用，找漏洞、打補(bǔ)丁的傳統(tǒng)思路對整體安全非常不利。”

沈院士為上海控安進(jìn)行培訓(xùn)

離開“封堵查殺”，

以“主動免疫”保障網(wǎng)絡(luò)安全

傳統(tǒng)的防御方式并不提倡，沈院士提出企業(yè)需要有“主動免疫”意識，建立“主動免疫”安全目標(biāo)，來確保計(jì)算任務(wù)能夠正確完成，邏輯組合不被篡改和破壞。

“建立主動免疫的計(jì)算架構(gòu)，就相當(dāng)于人體自身的免疫系統(tǒng)，以密碼為基因，實(shí)施身份識別、狀態(tài)度量、保密存儲等功能，及時(shí)識別“自己”和“非己”的成分，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。”

沈院士表示，安全要講體系，應(yīng)當(dāng)構(gòu)建可信安全管理中心支持下的主動免疫三重防護(hù)體系。首先，一個(gè)單位要保障對外部的安全，現(xiàn)在計(jì)算機(jī)已經(jīng)代替了手工作業(yè)，搭建可信的計(jì)算環(huán)境就很關(guān)鍵，計(jì)算環(huán)境相當(dāng)于工作環(huán)境，安全保密是第一位需要考量的因素；其次是構(gòu)建可信邊界，相當(dāng)于“警衛(wèi)室”，只有被批準(zhǔn)的才允許進(jìn)入和離開；第三是搭建可信網(wǎng)絡(luò)通信，類似“安全快遞”，確保內(nèi)容不會被人偷看，也不會被人篡改掉包。

“主動免疫安全防護(hù)的效果體現(xiàn)在：讓攻擊者“進(jìn)不去”、非授權(quán)者重要信息“拿不到”、竊取保密信息“看不懂”、系統(tǒng)和信息“改不了”、系統(tǒng)工作“癱不成”、攻擊行為“賴不掉”。”

中國可信計(jì)算的革命：網(wǎng)絡(luò)安全主動防御時(shí)代

談到可信計(jì)算的發(fā)展，沈院士介紹到，可信計(jì)算是源于1992年所立項(xiàng)的可信計(jì)算綜合安全防護(hù)系統(tǒng)，并于1995年通過測評和鑒定，經(jīng)過長期軍民融合攻關(guān)應(yīng)用，形成了自主創(chuàng)新安全可信體系。

“從面向主機(jī)的可信1.0時(shí)代，到面向PC機(jī)的可信2.0時(shí)代，再發(fā)展至面向網(wǎng)絡(luò)的可信3.0時(shí)代，已經(jīng)翻開了以中國為代表的可信計(jì)算創(chuàng)新篇章，也奠定了計(jì)算科學(xué)、體系結(jié)構(gòu)發(fā)展的里程碑。”

當(dāng)前，可信計(jì)算3.0產(chǎn)業(yè)鏈已經(jīng)形成，自主可信計(jì)算平臺產(chǎn)品設(shè)備有三種形態(tài)：系統(tǒng)重構(gòu)可信主機(jī)、主板標(biāo)配PCI可信控制卡和配接USB可信控制模塊。也就是說，可以方便地通過可信網(wǎng)絡(luò)支撐平臺把現(xiàn)有設(shè)備升級為可信計(jì)算機(jī)系統(tǒng)，而應(yīng)用系統(tǒng)不用改動，便于新老設(shè)備融為一體，構(gòu)成系統(tǒng)的安全可信。

沈院士與上海控安團(tuán)隊(duì)合影

基于可信計(jì)算的工控系統(tǒng)安全

沈院士強(qiáng)調(diào)，要以科學(xué)的網(wǎng)絡(luò)安全觀，保障工控系統(tǒng)安全。云計(jì)算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等，都是通過網(wǎng)絡(luò)以服務(wù)的方式提供給用戶的計(jì)算模式，組成新的計(jì)算環(huán)境和信息系統(tǒng)，都必須用等級保護(hù)制度進(jìn)行安全防護(hù)體系建設(shè)。

工業(yè)控制系統(tǒng)的安全架構(gòu)需要從監(jiān)控與數(shù)據(jù)采集、分布式控制系統(tǒng)、過程控制系統(tǒng)、可編程邏輯控制器、應(yīng)急管理系統(tǒng)等方面進(jìn)行考量，在可信保障的安全管理中心支持下搭建計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級技術(shù)的防御體系。

沈院士感慨，面臨日益嚴(yán)峻的國際網(wǎng)絡(luò)空間形式，我們要以創(chuàng)新驅(qū)動，解決受制于人的問題，要堅(jiān)持縱深防御，用可信計(jì)算3.0構(gòu)建網(wǎng)絡(luò)空間安全主動免疫保障體系，筑牢網(wǎng)絡(luò)安全防線。同時(shí)，沈院士也對平臺發(fā)展提出殷切希望，希望平臺公司能夠抓住時(shí)代的機(jī)遇，以可信計(jì)算為基礎(chǔ)的，以創(chuàng)新精神開創(chuàng)工控安全保護(hù)新時(shí)代。