至顶网安全频道 01月18日 北京报道:在传统安全领域中一般都倾向于相对被动的防御体系,比如防火墙、网关、IPS、IDS等设备。但面对当前越来越严峻的安全形势,仅依靠被动的防御已经远远不能满足我们今天对安全的要求。
在2017年6月1日正式施行的《网络安全法》中就提到要加大投入,推广安全可信的网络产品和服务。我们具体如何来落实这一政策,在2018年中国软件产业年会上,中国工程院院士沈昌祥分享了一种主动免疫的安全逻辑思维,能够变被动为主动,将安全隐患防范于未然。
中国工程院院士沈昌祥做主旨报告
沈昌祥在“科学的网络安全观与可信计算3.0”的主旨报告中指出,安全风险的实质在于人们对IT的认知逻辑存在着局限性,倡导构建主动免疫的计算架构,其中主要基于可信计算,以密码为基因,对包括身份认证在内的一系列安全措施,实现运算和防护并存的主动免疫体系结构。
沈昌祥讲到,“我们今天在遇到安全威胁时,往往是对软件系统进行升级和打补丁,其实这样做已经破坏了软件设计的原始逻辑,很可能导致更多漏洞的出现,越补越漏。所以我们应该转变这种被动防御的思维逻辑,要寻求主动免疫的方式,可信计算给了我们一种全新的思路,从芯片做起,在不破坏软件代码逻辑的前提下,将威胁防患于未然。”
其实,我国为确保核心机密安全,早在1992年就正式立项研究主动免疫的综合防护系统,经过长期攻关,军民融合,形成了自主创新的可信体系,跨入了可信计算3.0时代,其中很多规则已经被国际可信计算组织(TCG)采纳,已经形成夯实我国网络安全防线的基础。
可信计算3.0体系结构
第一,创新可信计算标准体系,主要体现在应用可信、系统配套、主机支撑和可信根底四个方面;
第二,创新可信密码体系,主要包括对密码机制创新(对称密码与公钥密码相结合)、密码算法创新(全部采用国际自主设计算法)、证书结构创新(双证书结构,简化证书管理)
第三,创新主动免疫体系结构,主要由自主创新密码体系、主动度量控制芯片、计算可信融合主板、双重系统核心软件四部分组成,而整体由可信策略安全进行管控。
沈昌祥表示,通过这样的整体创新结构设计,能够克服TCG部件TPM被动挂接调用的局限性。而可信计算3.0网络的主要特征体现在,系统免疫性、节点虚拟动态链、宿主+可信双节点,以及整体可信免疫架构这几方面。
摆脱受制于人的尴尬局面
沈昌祥讲到,“面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。目前,可信计算已经成为世界网络空间斗争的焦点,美国第三次抵消战略(对抗下一代敌人的下一代技术)已经把‘高可信网络军事系统’列为重点,未来将围绕安全可信展开新的较量。”
第一,要坚持自主可控、安全可信。国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统都将采用可信计算3.0作为基础支撑。
第二,抢占网络空间安全核心技术战略制高点。采用可信计算,可避免如微软停止服务所引起的安全风险,有力支撑了习总书记提出的:“引进必须安全可控”的重要指示。
其中,沈昌祥认为,要彻底实现安全可控,还必须要做到“五可”、“一有”:
第三,构筑主动防御、安全可信的保障体系。目前自主可信计算平台产品设备有三种形态:系统重构可信主机、主板配插PCI可信控制卡、配接USB可信控制模块。
而可信计算构建主动免疫体系平台主要由三部分组成,识别(确定可信主、客体);控制(制定可信主、客体间访问规则);报警(审计主客体访问行为,监控主客体运行时状态)
沈昌祥指出,“当确定可信状态以后,即使系统存在BUG也不会变成漏洞,使攻击无效。只要坚持纵深防御,用可信计算3.0构建网络空间安全主动免疫保障体系,就能够筑牢网络安全防线,为我国建设成为世界网络安全强国打下坚实基础。”
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面