沈昌祥院士：树立科学的网络安全观

沈昌祥：中国工程院院士，博士生导师。现任国家信息化专家咨询委员会委员、国家三网融合专家组成员、国家密码管理委员会办公室顾问、公安部特聘专家等职务。主要从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全（安全操作系统、安全数据库等）、网络安全等方面的研究工作。先后完成了重大科研项目二十多项，取得了一系列重要成果。这些成果在信息处理和安全技术上有重大创造性，多项达到世界先进水平，在全国全军广泛应用，使我国信息安全保密方面取得突破性进展。在网络安全和科技创新、咨询论证和学科专业建设、人才培养等方面做出了杰出贡献。1996年获军队首届专业技术重大贡献奖，2002年荣获国家第四届"光华工程科技奖" ，2016年获首届中国网络安全杰出人才奖。

春花烂漫的周末午后，沈昌祥院士一身布衣布鞋，健步而行、如约而至。他朴实的着装，和蔼的笑脸，让我们倍感亲切，从而让整个采访氛围非常轻松。年近八旬的他，在随后长达三个多小时的采访过程中，时而侃侃而谈，时而拿出提前写好的内容要点给我们耐心讲解，毫无倦怠——

执着推动密码事业发展

提起沈院士，也许大多数人的第一反应就是引领中国可信计算的创新发展，但不仅于此，沈院士在计算机信息系统、密码工程、信息安全体系结构、系统软件安全、网络安全等多方面都有很深的造诣，可以说是软件和硬件都精通。伴随他生命历程的，是一个又一个或辉煌或曲折的人生片段……沈院士向我们讲述道，1965年他大学学数学毕业后进入密码研究殿堂，1969年底，因文化大革命奇怪的理由，被脱军装调离密码研究岗位，复员到天津的一个工厂里当工人（二级工），有幸从事计算机通信相关工作，而且一干就是十一年。在这十一年里，沈院士一直勤勤恳恳潜心钻研，虽然辛苦，但这些知识积累的工作经验却成为了一种宝贵的财富。十一年后，沈院士由军队一纸调令，重新穿上军装，进入北京海军研究所工作，凭借自己软硬件全精通的优势，为国家和军队安全保密工作做出了很大的贡献，还被授予“海军模范科技工作者”荣誉称号。

沈院士几十年一直孜孜不倦地研究与探索，先后完成了重大科研项目二十多项，取得了一系列重要成果，还推动了我国第一部信息安全法——《电子签名法》的落地实施，并且参与起草了《商用密码管理条例》。沈院士提出并实践了安全保密的计算机化、网络化、信息化以及智能化四个里程碑式的发展。

直到采访之时我们才知道，在沈院士主导完成的重大项目里，有很多是和我们的生活息息相关的。比如彩票防伪系统、增值税防伪系统以及二代居民身份证安全系统等，都是用可信体系架构来支撑的，而且这些系统这么多年来从未出现过任何安全问题。沈院士透露，在启动二代居民身份证安全系统项目时，我国当时并没有自主的IC卡，以前全靠国外引进，沈院士当即提出，并坚持要实现“0”的突破，要做出我们国产自主的IC卡。自此，集成电路国产替代走出了可贵而坚实的一步，并推动了金融IC卡国产化。2014年，沈院士还提议成立了中关村可信计算产业联盟，将主动免疫的可信计算的科研、企业、应用单位等各方力量整合到平台上，加快技术创新、加快应用推广、加快产业发展，在他的不遗余力地牵头努力下，这个平台成为了建设自主可控、安全可信网络安全保障体系的主力军。

构建牢固的主动免疫防护体系

“密码是健康晴朗网络空间的免疫基因，而用主动免疫的可信计算可以筑牢网络安全的防线。”沈院士非常耐心地给我们讲述可信计算的起源和发展，“我国免疫的可信计算源于1992年正式立项研究‘主动免疫的综合防护系统’，经过长期攻关、军民融合，形成了自主创新的可信体系，世界上1999年成立可信计算联盟（TCPA），2003年改为可信计算组织（TCG），我们不少技术已被这个组织采纳，并成为夯实我国网络安全防线的基础。”

沈院士认为，主动免疫可信计算是针对网络空间面临黑客攻击、敌对势力网络暴恐和霸权国家网络战重大的威胁发展起来的。网络空间极其脆弱，存在计算科学少攻防理念、体系结构缺防护部件、工程应用无安全服务等问题。为了有效防御攻击，必须从逻辑正确验证理论、计算体系结构和计算工程应用模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者利用的问题，形成攻防矛盾的统一体。确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算，确保网络空间正常运行，这就是主动免疫可信计算的相对安全目标。其以密码为基因实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等组成，称为“老三样”。“封堵查杀”难以应对利用逻辑缺陷的攻击。首先，“老三样”根据已发生过的特征库内容进行比对查杀，面对层出不穷的新漏洞与攻击方法，这种消极被动应对是防不胜防；其次，“老三样”属于超级用户，权限越规，违背了基本的安全原则；第三，“老三样”可以被攻击者控制，成为网络攻击的平台。例如，“棱镜门”就是利用世界著名防火墙收取情报，病毒库篡改后可以导致系统瘫痪。因此，只有重建主动免疫可信体系才能有效抵御已知和未知的各种攻击。

那么到底何为主动免疫可信计算呢？沈院士又详细地跟我们介绍了一番，主动免疫可信计算是指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，只有这样方能使计算结果总是与预期一样。这种主动免疫的计算模式改变了传统的只讲求计算效率，而不讲安全防护的片面计算模式。而相对于国外可信计算被动调用的外挂式体系结构，中国可信计算革命性地开创了自主密码为基础、控制芯片为支柱、计算和防护双融主板为平台、可信软件为核心、可信连接为纽带、策略管控成体系、安全可信保应用的全新的可信计算体系结构框架。

在沈院士的不断研究探索下，主动免疫可信计算开创了可信计算3.0时代。早期的以世界容错组织为代表，主要特征为主机可靠性，通过容错算法、故障诊查实现计算机部件的冗余备份和故障切换称为可信计算1.0；以TCG为代表，主要特征为PC节点安全性，通过主程序调用外部挂接的TPM芯片实现被动度量的称为可信计算2.0；可信计算3.0主要特征为系统免疫性，其保护对象以系统节点为中心的网络动态链，构成“宿主+可信”双节点可信免疫架构，宿主机运算同时，可信机进行安全监控，实现对网络信息系统的主动免疫防护，它含盖了可信计算1.0和2.0。

沈院士介绍道，可信计算3.0是传统访问控制机制在新型信息系统环境下的创新发展，在传统的大型机简化成串行PC结构后又增加了免疫的防护部件，解决大型资源多用户共享访问安全可信问题，符合事物的否定之否定螺旋式上升发展规律。它以密码为基因，通过主动识别、主动度量、主动保密存储,实现统一管理平台策略支撑下的数据信息处理可信和系统服务资源可信。可信计算3.0在攻击行为的源头判断异常行为并进行防范，其安全强度较高，可抵御未知病毒、利用未知漏洞的攻击，能够智能感知系统运行过程中出现的规律性安全问题，实现真正的态势感知。

沈院士强调，可信计算3.0通过独特的可信架构实现主动免疫，目前只加芯片和软件即可，对现有硬软件架构影响小。可以利用现有计算资源的内总线共享进行扩展，也可在多核处理器内部实现可信节点，实现成本低，可靠性高。同时，可信计算3.0提供可信UKey接入、可信插卡以及可信主板改造等不同的方式进行老产品改造，使新老产品融合，构成统一的可信系统；系统通过对应用程序操作环节安全需求分析，制订安全策略，由操作系统级透明的主动可信监控机制保障应用可信运行，不需要修改原应用程序代码，这种防护机制不仅对业务性能影响很小，而且克服了因打补丁会产生新漏洞的困惑。

坚决筑牢网络安全防线

面临日益严峻的国际网络空间形势，沈院士表示，我们要立足国情，创新驱动，解决受制于人的问题。坚持纵深防御，用可信计算3.0构建网络空间安全主动免疫保障体系，筑牢网络安全防线。

“作为我国信息安全保障的基本制度性工作、网络空间安全保障体系的重要支撑以及应对强敌APT的有效措施，网络安全等级保护制度需要全面建设、全程防护。”谈起网络安全等级保护，沈院士依旧滔滔不绝，相比较而言，我国的网络安全等级保护制度已经超越了国外等级保护。创造了世界5个第一：第一个以国务院条例立法；第一个提出信息系统安全保护，世界上都是计算部件保护；第一个提出分5级保护，美国比我们晚10年；第一个提出从业务信息和系统服务两个维度来定级，符合现在网络空间的定义；第一个实行定级（风险感知）、建设（防护）、测评（整改）、监督检查和应急恢复全过程防护。我们国家网络空间安全的等级保护制度是适用于新型技术条件下的信息安全保护需求的，《中华人民共和国网络安全法》第三十一条规定：国家对关键信息基础设施，在网络安全等级保护制度基础上实行重点保护。我国的等级保护制度具有科学性、创新性和前瞻性。

沈院士谈到，现有的等级保护是以访问控制功能为核心。自主访问控制、强制访问控制是基于访问者（主体）的权限来判定能否访问资源（客体），没有对主客体的真实性进行验证，标记标识没有与实体可信绑定，难以防御篡改和假冒的攻击。例如：打印输出驱动程序被篡改为网络接口驱动等攻击时有发生。更为严重的是当执行环境受攻击破坏在毫无感知情况下，导致操作访问失败。如果只局限于访问控制模型是没有防系统主动攻击能力的。因此必须对主体、客体、操作和执行环境进行可信验证。

同时，云计算、大数据、工业控制、物联网、区块链等，都是通过网络以服务的方式提供给用户的计算模式，组成了新的计算环境和信息系统，都必须用等级保护制度进行安全防护体系建设。这些新应用系统涉及到社会每个角落、样式庞杂、数据海量，面临着新问题与新挑战，必须以改革创新精神来开创等级保护新时代。

沈院士还强调，新应用系统与传统的信息系统相比，新应用更依赖于移动互联网，而且是关键信息基础设施的主要场景。防护深入到嵌入式设备部件、多源异构、资源共享、虚拟化，必须研究总体框架指导下的具体架构、流程、功能、机制等。构建主动免疫、安全可信的主动防御体系，对原等级保护有关标准及时进行修改和增补。尤其是对基本要求和测评要求作框架性修改，另按GB/T 25070-2010要求，对新型计算环境下系统制定相应标准规范。由此可见，可信计算3.0是等级保护的关键核心技术，对落实网络安全等级保护制度发挥着重要的支撑作用。

每一次跟沈院士交流，听沈院士演讲，看沈院士做事，都对沈院士无限钦佩。沈院士精力之充沛，甚至是年少许多的我们所不及的。那是源于他对密码技术的执着探索、对网络安全产业的拳拳系念、以及为国家和人民的无私奉献，还有数十年从未间断的辛勤工作磨炼的习惯以及意志。我们衷心祝愿沈昌祥院士这位令人崇敬的科学家，带领我们的密码事业与网络安全产业迈上更高新境界。