“万物互联时代,网络攻击将从数字空间延伸到物理空间,国家网络空间安全战略制度要求我们推广安全可信产品和服务,筑牢网络安全防线。”3月28日在北京举行的2023年北京教育数字化高峰论坛上,中国工程院院士沈昌祥结合自身实践发表主题演讲,从三个方面系统论述了可信计算技术在保障大数据、人工智能健康发展的重要作用。
从网络安全到数据安全 抢占核心技术的制高点
《网络安全法》自2017年6月1日施行以来,我国对守护网络安全防线、构建安全可信网络体系提出了更高要求。沈昌祥院士在介绍网络安全防护体系建设时说,“网络空间已成为国家的主权空间,没有网络安全就没有国家安全,安全是发展的前提;网络安全是建设的底座,也是推动经济高质量发展的有效途径。”
沈昌祥院士长期从事计算机信息系统、信息安全体系结构、网络安全等方面的研究工作,可信计算技术等多项科研成果达到了世界先进水平,使我国信息安全保密方面取得突破性进展。
“大数据是钻石矿产,随着海量数据进一步集中和信息技术产业的发展,安全已成为大数据快速发展的瓶颈。”沈昌祥院士介绍说,大数据具有多源异构、非结构化、低价值度、快速处理等特点,对海量数据进行价值分析并从中挖掘知识和本质规律,需要在网络安全、系统安全、个人设备安全、供应链安全和数据安全五大安全体系进行重点建设。
当前,我国有关网络空间安全领域的法律法规体系已逐步完善,网络安全产业发展有法可依、有章可循。沈昌祥院士表示,网络安全的实质是风险度,安全风险源于图灵计算原理缺少攻防安全理念、冯·诺依曼体系结构缺少防护部件和重大工程应用无安全治理服务三大原始性缺失,使得网络空间极其脆弱,受网络攻击的风险性增加。
“2021年5月7日发生的美国输油管道黑客攻击事件,导致科洛尼尔管道运输公司(Colonial Pipeline)被迫关闭沿海各州的管道运行。”沈昌祥院士举例说,一系列的网络安全事件频发让数字经济发展面临严重威胁,如何处理这些安全事件,需要筑牢关键基础设施的网络安全防线,构建主动免疫的可信计算体系,抢占核心技术创新的制高点。
从被动防御到主动免疫 可信计算体系守护安全
在沈昌祥院士看来,IT系统设计不能穷尽所有逻辑,利用逻辑缺陷挖掘漏洞进行攻击的风险一直存在,传统“封堵查杀”难以应对未知恶意攻击,找漏洞、打补丁的思路也不利于整体网络安全,要利用安全可信的产品和服务,通过由被动防御转为主动免疫的方式实现安全可控。
“密码是安全的免疫基因,以密码为基因的可信计算模型改变了传统计算机封堵查杀式的被动防御,有效降低了安全风险。”沈昌祥院士告诉记者,零信任架构缺少科学原理支撑,网络无边界不符合网络空间主权原则,也不符合我国推广安全可信的网络产品和服务的法律制度要求。建立健全可信计算标准体系,才能够积极引导并推广安全可信的网络产品和服务应用。
据悉,我国已初步建立以等级保护2.0和可信计算3.0为代表的网络安全技术保障体系。由沈昌祥院士提议发起成立的中关村可信计算产业联盟现已完成30多款可信产品的可信计算3.0技术研发适配,搭建满足等保2.0三级要求的办公示范系统,能够为关键基础设施安全防护提供有力支撑,同时带动可信计算企业发展。
沈昌祥院士介绍,可信计算的核心是指通过在硬件设备上引入可信芯片,从结构上解决计算机体系结构简化带来的脆弱性问题。目前,可信计算3.0采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,将可信计算技术与访问控制机制结合,建立计算环境的免疫体系。
“从被动防御到主动免疫,可信计算技术体系在传统应用、工控系统和云计算、大数据等新一代信息系统中奠定了网络安全可信的坚实基础。”沈昌祥院士最后说,在教育数字化、智能化的升级过程中,须落实好教育行业关键基础设施等级保护要求,可信计算安全产品和服务广泛应用,仍需加强全方位的网络安全人才培养力度。