科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全沈昌祥院士:科学的网络安全观与可信计算3.0

沈昌祥院士:科学的网络安全观与可信计算3.0

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在传统安全领域中一般都倾向于相对被动的防御体系,比如防火墙、网关、IPS、IDS等设备。但面对当前越来越严峻的安全形势,仅依靠被动的防御已经远远不能满足我们今天对安全的要求。

来源:至顶网安全频道【原创】 2018年1月18日

关键字: 网络安全法 可信计算3.0 网络安全 网络空间安全

  • 评论
  • 分享微博
  • 分享邮件

至顶网安全频道 01月18日 北京报道:在传统安全领域中一般都倾向于相对被动的防御体系,比如防火墙、网关、IPS、IDS等设备。但面对当前越来越严峻的安全形势,仅依靠被动的防御已经远远不能满足我们今天对安全的要求。

在2017年6月1日正式施行的《网络安全法》中就提到要加大投入,推广安全可信的网络产品和服务。我们具体如何来落实这一政策,在2018年中国软件产业年会上,中国工程院院士沈昌祥分享了一种主动免疫的安全逻辑思维,能够变被动为主动,将安全隐患防范于未然。

中国工程院院士沈昌祥:科学的网络安全观与可信计算3.0

中国工程院院士沈昌祥做主旨报告

沈昌祥在“科学的网络安全观与可信计算3.0”的主旨报告中指出,安全风险的实质在于人们对IT的认知逻辑存在着局限性,倡导构建主动免疫的计算架构,其中主要基于可信计算,以密码为基因,对包括身份认证在内的一系列安全措施,实现运算和防护并存的主动免疫体系结构。

沈昌祥讲到,“我们今天在遇到安全威胁时,往往是对软件系统进行升级和打补丁,其实这样做已经破坏了软件设计的原始逻辑,很可能导致更多漏洞的出现,越补越漏。所以我们应该转变这种被动防御的思维逻辑,要寻求主动免疫的方式,可信计算给了我们一种全新的思路,从芯片做起,在不破坏软件代码逻辑的前提下,将威胁防患于未然。”

其实,我国为确保核心机密安全,早在1992年就正式立项研究主动免疫的综合防护系统,经过长期攻关,军民融合,形成了自主创新的可信体系,跨入了可信计算3.0时代,其中很多规则已经被国际可信计算组织(TCG)采纳,已经形成夯实我国网络安全防线的基础。

可信计算3.0体系结构

第一,创新可信计算标准体系,主要体现在应用可信、系统配套、主机支撑和可信根底四个方面;

第二,创新可信密码体系,主要包括对密码机制创新(对称密码与公钥密码相结合)、密码算法创新(全部采用国际自主设计算法)、证书结构创新(双证书结构,简化证书管理)

第三,创新主动免疫体系结构,主要由自主创新密码体系、主动度量控制芯片、计算可信融合主板、双重系统核心软件四部分组成,而整体由可信策略安全进行管控。 

沈昌祥表示,通过这样的整体创新结构设计,能够克服TCG部件TPM被动挂接调用的局限性。而可信计算3.0网络的主要特征体现在,系统免疫性、节点虚拟动态链、宿主+可信双节点,以及整体可信免疫架构这几方面。

摆脱受制于人的尴尬局面

沈昌祥讲到,“面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。目前,可信计算已经成为世界网络空间斗争的焦点,美国第三次抵消战略(对抗下一代敌人的下一代技术)已经把‘高可信网络军事系统’列为重点,未来将围绕安全可信展开新的较量。”

第一,要坚持自主可控、安全可信。国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统都将采用可信计算3.0作为基础支撑。

第二,抢占网络空间安全核心技术战略制高点。采用可信计算,可避免如微软停止服务所引起的安全风险,有力支撑了习总书记提出的:“引进必须安全可控”的重要指示。

其中,沈昌祥认为,要彻底实现安全可控,还必须要做到“五可”、“一有”:

  • 可知:对合作方开放全部源代码,要心里有数,不能盲从;
  • 可编:要基于对源代码的理解,能自主编写代码;
  • 可重构:面向具体的应用场景和安全要求,对核心技术要素进行重构,形成定制化的新的体系结构;
  • 可信:通过可信计算技术增强自主系统免疫性,防范漏洞影响系统安全性,使国产化真正落地;
  • 有自主知识产权:要对最终的系统拥有自主知识产权,保护好自主创新的知识产权及其安全。坚持核心技术创新专利化,专利标准化,标准推进市场化。要走出国门,成为世界品牌。

第三,构筑主动防御、安全可信的保障体系。目前自主可信计算平台产品设备有三种形态:系统重构可信主机、主板配插PCI可信控制卡、配接USB可信控制模块。

而可信计算构建主动免疫体系平台主要由三部分组成,识别(确定可信主、客体);控制(制定可信主、客体间访问规则);报警(审计主客体访问行为,监控主客体运行时状态)

沈昌祥指出,“当确定可信状态以后,即使系统存在BUG也不会变成漏洞,使攻击无效。只要坚持纵深防御,用可信计算3.0构建网络空间安全主动免疫保障体系,就能够筑牢网络安全防线,为我国建设成为世界网络安全强国打下坚实基础。”

4折票,仅售10天 | 报名智能合约与区块链培训讲座,获世界智能大会参会特权

科技行者:每条内容都是头条的新闻客户端 扫码立即下载

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    往期文章
    最新文章