沈昌祥院士：重启可信革命，夯实网络安全等级保护基础

 

沈昌祥，中国工程院院士，“首届网络安全杰出人才奖”获得者，教育部网络空间安全教学指导委员会名誉主任，国家信息化专家咨询委员会委员，国家三网融合专家组成员，国家集成电路产业发展咨询委员会委员，国家保密战略专家咨询委员会主任委员，国家信息安全等级保护专家委员会主任委员，国家密码管理委员会办公室顾问，公安部特聘专家和“金盾工程”首席顾问。

本次授课主题：

重启可信革命，夯实网络安全等级保护基础

2019年4月25日，沈昌祥院士应【网安大讲堂】的邀请，面向河南省公安战线、省直机关、企业单位等380余位负责网络安全的领导和专业技术人员，展开《重启可信革命，夯实网络安全等级保护基础》的培训。

01

科学的网络安全观

没有网络安全，信息社会将会成为黑暗中的废墟。近年来，DDoS攻击、WannaCry勒索病毒等网络安全事件频发的原因是网络空间是基础设施，网络是资产、是财富，黑客利用病毒来谋取财富、勒索金钱。所以国家相继颁布出台各项有关网络安全法律法规，《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用。” 国家等级保护制度2.0标准要求全面使用安全可信的产品和服务来保障关键基础设施安全。我们要用科学的网络安全观来理解法律安全可信。

他强调，网络威胁是永恒的主题，网络空间比我们想象的脆弱很多。类似于防火墙、病毒查杀、入侵检测之类的传统式“封堵查杀”老三样已经难以应对攻击，我们必须建立起主动免疫的计算架构，通过构建可信安全管理中心支持下的主动免疫三重防护框架，达到计算全程可测可控，防护与计算并存的主动免疫计算模式。

 

02

中国可信创新：可信计算3.0

可信3.0的特点包含：公钥、对称双密码主动系统免疫，终端、服务器、存储系统体系可信，宿主+可信双节点平行架构，基于网络可信服务验证，动态度量实时感知等。

自主可信计算平台产品设备现有三种形态：系统重构可信主机、主办配插PCI可信控制卡、配节USB可信控制模块，可通过可信网络支撑平台把现有设备升级为可信计算机系统，而应用系统不用改动，便于新老设备融为一体，构成全系统安全可信。例如，中央电视台播出42个频道节目，面向全球提供中、英、西、法、俄等语言电视节目，在不能与互联网物理隔离的环境下，建立了可信、可控、可管的网络制播环境，达到四级安全要求，确保节目安全播出。经受住了永恒之蓝勒索病毒攻击的考验，胜利完成了一带一路世界峰会的保障任务。

 

可信计算广泛应用于国家重要信息系统，如：增值税防伪、彩票防伪、二代居民身份证安全系统，已成为国家法律、战略、等级保护制度要求，推广应用。

03

网络安全等级保护2.0

网络安全等级保护制度是我国的一项基本制度，是国家对基础信息网络和重要信息系统实施重点保护的关键措施。

等级保护2.0的时代特征是要确保关键信息基础设施安全，主要分为三个层面。第一个层面是法律支撑，即我国的计算机系统等级保护条例提升为国家基础性法律制度，即“网络安全法”中的网络安全等级保护制度；第二个层面是科学技术层面，由分层被动防护发展到了科学安全框架下的主动免疫防护；第三个层面为工程应用层面，由传统的计算机系统防护转向了新型计算环境下的网络空间主动防护体系建设。

网络安全等级保护新标准的特点，第一，等级保护的基本要求、测评要求和技术要求需框架统一，安全管理中心支持下的三重防护结构框架；第二，通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制等列入标准规范；第三，把可信验证列入各级别和各环节的主要功能要求。基于此，等保2.0时代，应重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护，确保关键信息基础设施安全。