沈昌祥：创造自主可控安全可信的系统

第十五届中国信息安全论坛今日在北京召开，中国工程院院士沈昌祥发表主题演讲，他认为要创造自主可控安全可信的系统。现场演讲整理如下：

各位领导，各位来宾，今天有机会与大家探讨一下有关网络安全、信息安全的核心技术之一，操作系统。

要讲这个，首先得讲讲，刚才刘总讲了，信息安全现在叫网络安全，当然名字有所区别，但是内涵是一样的。也就是说，我们目前已经形成的共识是，网络空间是继海陆空天之外的第五大国家主权空间，保卫网络空间安全就是保卫国家主权。因此，总书记说，没有网络安全就没国家安全。

大家对棱镜门事件印象很深，当时我们也有很重大的关注，但是棱镜门只是冰山一角，不足为奇。更多的是美国围绕网络空间上确定霸主，制定游戏规则。他们发布了国际网络安全战略，一面说和平共立、共享、自由发展，但是它马上宣布，如果谁侵犯了美国网络空间，就等于侵犯我们美国国家主权，就要动用军队、外交一切手段来保卫，要保卫它的主权空间。

今天，成立网络司令部，到今天司令部已经非常完善了，到2016年，司令部要组建133支部队，跟国家国防是一体化的。要把这些部队成为保卫国家社会的基础设施。25支部队是供给部队。4支部队是保卫国防的部队，是这样建立的。可见目前网络空间的安全、网络安全已经成为世界构成的焦点，也是新的对中国国内的挑战。

下面重点讲讲，XP停止服务以后，我们怎么看，怎么办。

XP停止服务，给我们带来的风险、挑战。我不认为这是一个事件，是一个风险，带有一种挑战和机遇。为什么这么说呢？因为停止服务以后，它的安全补丁、升级都停止了，因此病毒更加泛滥，XP系统更加不安全，甚至被利用。

我国运行XP初步统计还有2亿台左右，这2亿台面临着新的挑战。它停止服务，在2009年的时候就宣布了一部分停止服务，功能性的停止服务。它在技术上不再进一步扩张它的产能了，但是在安全上负有一定的责任。到2014年，四面八方一起停止服务，包括安全服务。

这个很简单，如果在电脑上不服务了，好像是非常正常的，它要推行新的版本。但是我们看，他们认为新版本功能安全，有一些安全功能都更强了，从表面上看是对的。如果我们继续使用，显然不采取新的措施是不行的。

引起我们反思的，我们怎么办。我们如果继续使用，显然会有很多的安全问题，不使用，我们就涉及到WIN8，还有新的版本WIN8.1，WIN8.1可运算语言的绑定，我们会失去安全的控制权，他们在加强安全控制权。

2006年，微软推出了VISTA操作系统，这个系统会使用户电脑被微软高度掌控。我向国家建议不要采购VISTA，到现在为止，国家也没有采购，VISTA在国家是没有的。

我们要采购WIN8，不仅要花更多的钱，而且每个版本都宣布了，每个都有。我不再细说了，差不多每一台电脑要花一千块钱左右，我们两亿台是什么数字。更重要的不是钱，而是我们的安全控制权将会丧失掉。我们的安全数字加不进去了，改一个代码，加一个安全软件是不允许的，要经过可信的认证，前面再加一个确认。

如果这种情况下，我们要二次开放我们的应用软件，也是有很大的困难。根据这个情况，很明确地提出来不能采购WIN8。还有一个，WIN8认为更安全了，把更多的程序加在里面了，可以进行检查。当然它有商业目的，赛门铁克、卡巴斯基下面的市场，占领了这个防毒市场。但是VISTA进入中国的时候，我们探讨过，侵犯了我们中国的主权。它认为有可信以后，并不是免杀了，可信，病毒会变异，如果病毒马上检查出来感染了，感染被破坏了，这个就可以了，不要去查找。可是WIN8安全性更强了，为什么还不用呢，大家损失的，如果我们用了WIN8以后，市场宣布更安全了，但是对中国的网络市场是更不安全。

所以我们非常明确，也向总书记建议，不能采购WIN8。不采购怎么办呢？要有对策，要有思路。

我们考虑问题，要根据当前的产业发展统一起来，统一部署。这是一个挑战，也是一个机遇，也给我们提供了自主创新一个大好时机。总书记要求我们，涉及到人的问题，必须积极解决，这就是对我们提出了历史性的任务。为什么解决当前的问题，XP没有服务了，它不服务了，我们要服务。它不安全了，我们管安全。也就是说，我们要安全兼顾，尽快服务，这样来解决。

这个工程很有意义，但是我们更重要是为以后创造自主可控安全可信的系统打好基础，做好基础。

近期目标，我们写得非常明确，希望通过自主可控安全可信的安全加固方案，来加固XP系统，这是一个市场的竞争问题，我们严格按照要求，经过第三方测试，向社会公布推荐。我们打补丁，驱逐它的病毒程序等等的，这个使不得，而且也实现不了，尽管中国按照共享源代码的机制，但是这个做法仅仅是市场行为，对于中国来讲没有任何控制权，它不让我们下载源代码，因为我们中国被XP，我们是白板，没有任何的改变能力。因此我们中国想从那里下载补丁是做不到的，并不是我们不聪明，是因为我们遇到了挑战。尽管我们要有服务，我们来打补丁，这个可能不行。

也可以换个思路，如果这么走，永远摆脱不了被动的经验。换一个思路，我们从免疫计算的角度，一边计算一边检查，也是跟WIN8、VISTA一样做的。这样不是中国没有，中国做得也非常多，很有原始特色，很有创新，我们可以做到这点，因此服务也是配套，根据我们可信计算配套，建立一个新的法律体系。

我们这样做，尽管漏洞多了、病毒多了，但是我们如果进行安全加固以后，这些后门、漏洞，不会被别人所利用，降低安全风险。

这样做可以解决当务之急，有很多案例，后面也会提到。但是我们更重要是建立自己的自主可控安全可信的操作系统，我们通过协同攻关，到2020年形成所谓智能操作系统，PC终端的、手机的、嵌入式的这样操作系统，有规模地成熟的一两款主流的国产操作系统，能够实现替代。所谓替代是两步走。第一步，我们现有的体系，如果要更换功能，升级，我们不再用XP这样的操作系统，用我们自己的。另一个，新的操作系统更好解决，有我们自己的操作系统。

长期不仅是要解决替代的问题，更重要要有我们国家创世界名牌的产品，不仅在中国占领，而且在世界上也要有一席之地。

我们怎么去做呢，讲一讲目前具备的条件。我们在可信计算上，国家已经快做20年了，正式启动国家标准的话，2005年就制定了标准，到现在已经建立了主要的、核心的产品。

在产品上有三种模式，一种是在芯片上、主办上嵌入可信密码模块，实现整机的计算机产品，整机有了，面对老的计算机环境怎么办，我们有一个改造，叫加固，这个部分我们一定要做，不是XP可以做的。可以有两种办法，一种办法是插个卡，代替了可信计算的控制模块，再一个通过USB接口加一个可信计算密码模块，这样更方便。这样做，不仅产品有了，技术上解决了，而且有很多的使用案例。

这个很简单，这样做了以后，我们有免疫的功能，第一个，要进行识别，确定可信主、客体。第二个，自己的要保护，不是自己的要排斥，甚至有害的要消灭它，这个就是可信计算的主动控制，主动度量，主动采取措施。第三个，发现问题以后要报警，及时达到免疫的功能。

因此，我们停止XP服务以后，根据上面讲的三种模式，加新的系统在老的平台上，能够做到即使有BUG，即使有漏洞，但是没法攻击我们，攻击无效。这样可以保证主客体的可信认证，源代码的保护不会被篡改破坏，包括程序等等的，而且重要的信息保护，你是好人，还有你们违规的坏人，我们都可以知道，我们要做到资源可信度量，行为可信鉴定等等。

这样做，主动免疫系统使得源代码改变全县，系统调用，创建进程，达到动态度量、客观的验证，实时的拦截，达到主动免疫，实时免疫的功能，通过免疫、警告、报警，发现异常情况。这样做，比去找病毒还要简单，遇到一般情况，我报警对它的行为进行控制，可以百分之百发现病毒，而不要盲目去扫描了。

我们有等级保护，安全技术信息安全，25070这个标准是2009年发布的，后来搞错了，改为2010年。这个标准是公安部花了一千万的人民币做出来的，实验出来的，不是写出来的，希望大家深刻关注这个标准，这个标准包括安全计算环境、区域边界防护、通信网络安全三重保护，这三重保护在安全管理中心支持下的，安全管理中心下面有三个，一个是保卫部里面管资源的，系统管理。第二个是跟日常单位保密是一切的，管安全保密，制定人的访问特点，确定人、文件的等级等等。这个我们叫安全管理中心。还有一个，我们叫审计平台，这个就是监控平台。审计平台及时地录取这个点、这个时间，什么人干什么事儿。送到审计平台，谁出现异常，进行报告。这个就是等级安全保护的要求，用可信的办法来实施安全信息防护体系的三种体系，是最重要的。

这样我们可以做到免病毒查杀，免打补丁，不用修改应用软件，使用户用起来不感觉很麻烦，是透明的，而且我们一定支持各种异构环境，不光是XP，LINUX，UNIX，这样的安全终端都可以支持。经过支持之后，系统效率损耗不到3%。

这样能不能成体系配套呢，我们可以。我们可以在离线情况下实施服务配置，在网络制式下的实现配置，不仅在移动网络上实现服务支持，而且在互联网上也可以实现安全服务支撑，但是它的可信安全是有区别的，这个已经做了充分实验，有些产品已经发布了。

我们做这个，必须覆盖面广，解决XP系统，要支持或者把它替代。

我多说一句，为什么要实现替代呢，现在的信息安全不仅是预留后门的问题，更重要的是在信息安全方面有缺陷，有BUG，你不知道，别人知道了，利用这个BUG就事实攻击了。

从认识科学来讲，信息安全方面不可以说没有BUG，因此说，安全是永远的主题，我们自己设计一个自主的，不会予以后门是我们主观愿望，但是在设计过程当中，缺陷可能比人家更多，为什么？VISTA一个BUG透支了快一百亿美元，现在证明政府出了60亿美元。为什么出了这么个事儿？它这样做，为了使它更成熟，更少有BUG，更重要的，全世界帮它找BUG。我们有这个挑战吗，我们产地小，投资经验少，我们的BUG比人家少吗，肯定要多。那怎么办呢？只有采用这个BUG不被人家所利用的免疫的系统，才能使得我们自主可控的路线走下去，为我们自主可控安全可信保驾护航。

可喜的是，我们国家做了十几年的可信计算，在某种意义上讲，比国外早了快十年，我们有自己的创新，我们现在主要的计算机厂商，已有可信计算的产品，硬件、软件。在我们主力系统，自动化办公系统上有充分的使用。国家电网经过严格测试，国家电网等级保护也是非常严格的，按照命令模式来测试的5号令，用可信计算来加强放在我们电网系统的等级保护、安全保护。

这个就是电网的实际保护情况，按照我们原来的纵向认证，横向的各种模式，进一步进行免疫。经过严格测试，他们满意了。第一个，安全功能确实能够达到主动的免疫的保护。第二，它的安全测试，功率的损耗达到3%左右，检查的程度不一样，可能还会提高一点，应该在5%左右。这个可取之处是，他们现有的运行系统是安全的，如果要修改一条指令，从软件工程来讲，要整个系统重新调试，这个受不了的。所以，不是有些媒体说的，直接达到WIN8的情况，我不相信，很多程序需要修改，这是一个非常不简单的事儿。我们科学实验的加固可以不修改，直接设定指令。为什么呢？我们核心的操作系统里面可以做文章，应用系统不需要改变。我们通过管理平台测试这个情况，有目标、有对象进行保护，不是盲目的。所以，他们的决定是非常有实战性的。

下面，经过我们中国人的努力，XP停止服务对我们个人带来了重大的威胁，更重要的通过这个事情，使得我们进一步携手攻关，解决操作系统自主可控安全可信的问题，谢谢大家！