1月17日，2018中國軟件產業年會在京舉行。此次年會以“軟件，驅動智能的力量”為主題，邀請行業主管領導，以及中國工程院沈昌祥院士、倪光南院士，并聯合百度、阿里巴巴、華為、中軟國際、國網信通、廣聯達、 CSDN、博彥、易智端（中國）等企業大咖，為大家準備一場充滿激情的行業盛宴。

中國工程院院士沈昌祥發表題為《科學的網絡安全觀與可信計算3.0》的主旨報告

　　大會現場，中國工程院院士沈昌祥發表題為《科學的網絡安全觀與可信計算3.0》的主旨報告。

　　以下為現場實錄全文：

　　各位領導、各位來賓，用一點時間和大家交流一下什么是網絡安全，怎么去搞網絡安全，所以我的題目叫科學的網絡安全觀。

　　講三個問題：科學網絡安全觀；第二可信計算；第三什么自主可控、安全可信的核心技術擺脫受制于人的問題。

　　《網絡安全法》大家學了嗎？去年6月1號正式實施了，16條講的是怎么解決我們網絡的核心技術受制于人的問題。國務院、省、自治區、直轄市人民政府應當統籌規劃、加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用。推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校參與國家網絡安全技術創新項目，全面詮釋了。

　　我們國家公布的《國家網絡空間安全戰略》提出的戰略任務“夯實網絡安全基礎”里頭再次強調“加快安全可信產品推廣引用”，那么安全可信，這個詞用的不多。為什么我們要用這個呢？我們首先要有科學的網絡安全觀來理解這個法律安全可信。

　　我們說網絡安全現在是一級學科，有重大基礎理論問題。是什么呢？我們面臨著網絡空間極大的安全威脅，我們現在網絡是資產、是財富，因此黑客利用病毒來謀取財富，勒索金錢，欺詐欺騙。我們網絡空間是基礎設施，總書記也講了，反對敵對勢力，利用高強度連續攻擊來破壞我們的基礎設施達到暴恐的事件，破壞我們社會的安寧，破壞了我們經濟的發展。網絡空間，現在說國家主權，霸權國家，組建網絡司令部，打網絡戰，通過網絡侵占你的國家，控制你們國家的主權，是這樣的問題。

　　那我們有能力對抗嗎？沒有。

　　第一，我們的計算科學出了問題了，以前沒有攻防理念。比如說世界上計算水平突破500，中國好幾年第一，計算設備沒有理念去防護。當然了，從計算角度可以，但是從網絡空間這個就不對了。

　　第二個，這個理念確實講，我們安全的防護部件缺了。只想到生個孩子，生下來沒有帶免疫系統，殘疾兒，這么嚴重的問題。因此假設所有人都是健康的，不會生病的，還要開醫院嗎？在工程應用上無安全服務，這么大的缺失，我們該怎么辦？我們要認識這個風險是極大的，原因何在？原因是科學問題，我們對IT的認知邏輯是局限的。曾經世界的潮流，你們年輕人可能還沒生呢，證明軟件正確，沒有bug，后來證明來爭取去是一個偽命題。為什么？軟件邏輯組合是發散的，不是圍繞的，計算機問題不可能一個軟件沒有bug出現的。因此我們只能局限于能完全計算任務有關的邏輯組合起來去設計這個IT系統。因此我們必定存在邏輯不全的缺陷。那么再講到我們沒有攻防理念，沒有防的邏輯，所以難以應對人為利用這個缺陷進行攻擊，所以有這樣的邏輯缺陷，去尋找這個邏輯缺陷，變成漏洞，注入惡意代碼，進行攻擊，這是風險的實質。

　　那么怎么辦呢？我們不能和以前一樣去找漏洞，堵漏洞，打補丁。以前到處找壞蛋，壞蛋找不完，我們應該從正面的思維，從邏輯正確驗證，計算體系結構、計算模式等方面去科學的創新，這個問題，什么問題呢？解決邏輯有缺陷，不被攻擊所利用的問題，這就是矛盾的統一體。

　　為確保計算任務邏輯組合不被篡改和破壞，能夠實現正確計算，這是我們正確的網絡安全目標，有限目標。我們不是說建的刀槍步入，銅墻鐵壁，不可能，我們要降低風險，就是確保我們原來設計的IT系統能夠完成任務就可以了。因此以前我們也很現實，沒有帶免疫系統的孩子，無癥狀下殺病毒，沒有帶免疫系統的孩子經不起一驚一咋，能關心的，先進來不要嚇到孩子了，這么被動的封堵，能解決問題嗎？世界應該達到共識，2005年美國提出來不解決問題，重新規劃發展的規劃，我們要構建主動免疫的計算架構。

　　是什么呢？指計算運算的同時進行安全防護，計算全程可測可控，不被干擾，使計算結果總是與預期的一樣，這樣改變了片面的只講計算效率，矛盾的統一體，正反兩方面都要考慮，最終和計算并存的主動免疫的計算模式。

　　大家都知道我們人的健康生活是靠免疫系統，我在1990年就研究免疫系統用于我們計算機安全，發現世界非常奇妙。有基因，并且把身份識別植入其中。第二進來以后它破壞不了我們這個集體，狀態改變了，狀態度量。第三個更奇妙的，應用密碼技術來保護重要的信息，找不到，不是我們數字密碼，而是身份編碼。因此我們按照就是以密碼為基因，識別自己和非自己的成分，從而破壞與排斥進入集體的有害物質，相當于為計算信息系統培育的免疫能力。改變畸形兒，健康的孩子繼續過日子，要將防護空間在這個里面。左邊是沒有防護部件的PC結構，大家在座可能都覺得是這個，要加右邊的防護部件，這樣構成既計算又防護的統一體，我們叫防護體系結構，這邊有管理策略，免疫的管理策略。

　　這樣我們才能解決云計算、大數據、物聯網、這樣復雜的安全系統，因為我們有這樣主動可信能夠保證體系結構、資源配置、操作行為、數據存儲可信，不被人家破壞，我們這種策略也不會變異。這樣能夠構成安全管理中心支持下的三重防御體系。一個是要保證我們計算環境，資源財富都在計算環境，當然邊界也很重要，我們有科學合理的高邊界。很形象的，和警衛室，警衛員一樣的，保安員一樣，既要能精確的是誰，證明人，能干什么。干什么呢？拿著東西沒有，誰批準的，有問題，保安來解決，這就是我們國家等級保護要求的邊界要求。通信安全大家都可以理解，我們用密碼技術來進行身份驗證。

　　第二不要偷看，泄密了，我們有密碼強烈傳輸。第三，篡改了，調包了，我們用密碼技術，（英文）這樣保證我們通信的可信安全。管理很重要，但是以前沒有服務的概念，一個單位都有保衛處，干什么？一個單位的人、物怎么樣，因此我們計算機系統也等于保衛處一樣，有系統資源單位一個單位有保密室，什么人，什么級別，什么能處理，我們在計算機安全里面叫訪問控制。有沒有人管，我們叫安全的策略管理，簡稱叫安全管理。

　　第三，一個單位有監控室，我們有攝像頭監控關鍵地方，發現異常進行處理。我們有審計，審計點有攝像頭，把審計器收到審計平臺，及時處理，而且作為后面追蹤證據的依據。這樣才能做到首先攻擊，第一關進不去，沒有手續，不合法。第二進去以后沒有授權，沒有這個權限拿不到這個東西，盡管拿到了，你看不懂白拿，另外篡改了，改不了，我們有（英文），哪怕改一個都會被發現，所以對異常情況苗頭就發現了，你想癱瘓我的系統沒門，最后我們審計有可信系統，你改不了，最后是賴不掉，這個證據。

　　這樣我們主動的防御，基本上所有的病毒，就是去年橫掃世界的病毒，正在召開“一帶一路”世界峰會構成極大的威脅，我們有可信網絡，抵御住了這個病毒的入侵。我說現在世界上可信計算是一股很大很大的思潮，為什么？大家知道，有IBM，（英文）強強聯合組織的上千的可信計算組織叫TCG，他們是1999年成立的可信計算聯盟，后來不過癮，2003年改名為可信計算組織，他們也是想解決主動防御問題。但是遺憾的是，他沒有做到。

　　我們中國開始不叫可信計算，我們為了解決，保住核心機密，用體系結構進行保護。1992年立項，主動免疫的綜合防護系統，我們成了，和軍民融合形成了自主創新的可信體系，我們叫3.0?？尚藕枚辔覀兊膭撔卤粐H可信計算組織拿走了，采納了，已經成為我們國家的基礎。

　　2015年在“沒有網絡安全就沒有國家安全”大標題下發表了我的署名文章，用可信計算構筑網絡安全。2016年新華社刊登了“可信計算：網絡安全主動防御時代”。

　　那么創新何在呢？我們更主要是體系的創新，體系的創新不是隨便說的，我們有一些標準證明我們體系創新的。我們2005年開始到2010已經起草形成了9個國家安全標準，5個軍隊標準，從可信根底，主機支撐、系統配套，應用可信規范了中國的可信創新了，體系創新了。這邊實際上是按照我們思路做的。

　　前面講了密碼是基因，它的創新是根本所在。國際可信計算組織TCG犯了一個錯誤，他們用單一的公開密碼提示，叫RSA。這個意思就是說一般公鎖鎖住大家同類容易，認證方便，但是要輸個人的秘密信息，就出現了密碼理論的確實，就不可安全理論性的缺失，這么大的問題他們沒有發現。我們1992年開始，對稱密碼，每個人一把鎖，為了認證一把公鎖，三體系的。但是我們密碼安全不光是算法，更主要是密碼的實體，密碼機、密碼產品我們提出了可信密碼模塊，因為它要計算，它要管理，這也是TCG沒有的，TCG只講算法，這是重大的工程技術的缺失。

　　第三我們中國的數字證書，可信是有證書的。對人主體的可信證書，對設備科技理念的證書，我們用的中國創新的證書體系，雙證書，就是說認證證書和獎勵證書（音）兩張證書。這個東西我們在發布之后，可信計算組織馬上吸取我們正確的架構，不僅他們廢除了以前，代價很大，TPM1.0，TPM1.200版（音）推出了TPM2.0?，F在windows8，windows10就是TPM2.0采用的我們這個體系的架構。不僅如此，而且申報ISO國際標準，現在TCM密碼國際標準是我們的創新，我們國家所有密碼都是自主研究SM3構筑的主動免疫的體系，所以講體系結構非常重要。

　　要解決產業的問題，因此我們首選要有免疫基因，密碼模塊，不行，要有抗體，要有控制部件，CPU主板上增加一個CPU，這個CPU叫可信控制的CPU，叫可信控制模塊。原來CPU是黨委政府，我現在搞一個紀委并行的，我們可以溝通。更重要我們要盤查，有軟件?？尚庞嬎憬M織是用外部設計接口加上功能部件要組成去調控的，我們相當于并行于主測試系統的一個控制技術軟件，相當于我們這里面的巡視組，可以獲取操作系統核心層的工作的闡述，重要的度程這些度量檢查，獲取黨委的材料有沒有違規一樣。因此我們是主動的。

　　網絡連接也可信，我們是增加一個巡視組一樣的管控系統，以前所有的網絡都是請求者、連接者，怎么沒有一種可信軟件呢，我現在講了我們安全的有限目標是保證能夠完成計算任務的軟件不被篡改，不被改變，因此我們軟件不要打補丁，打補丁破壞原來辛辛苦苦調試的邏輯破壞了，這是我們的根本所在。以前動不動搞一個接口，打補丁，這是錯誤的。還有安全設備，是按照我們確定的規律，中央決定黨的紀律、政府的法律來進行檢查控制，這樣我們克服了可信計算組織被動防御的局面。

　　這個圖你們搞技術可以看看，可以不給你運營一串代碼能實現安全可信的檢查，防護，因此我們叫可信計算3.0，大家問，那2.0是什么？很顯然TCG是2.0，那么這種可信的容錯（音）組織是1.0，因此我們科學性更強，我們用可信計算3.0擺脫受制于人的局面。我們一定堅持自主可控，安全可信，中長期發展規劃已經寫如以發展高可信網絡為重點。

　　我們“十二五”規劃有關工程項目已經用可信，以及我們二代身份證以及彩票都用可信防止假冒。尤其是windows操作系統，提出win8，停止XP的問題。如果采購2億臺的XP，我們花多少錢呢？我們想不用，中國有自己可信計算，有補丁不用打，能防止攻擊，確保安全，因此我們就實現了windows不采購，但是win8失敗了，win10又來了?，F在不僅是終端，而且跑出移動終端，服務器、大數據處理都是可信版本，如果推動它的話，對我們國家安全主權形成挑戰，怎么辦？我們用安全審查制度。

　　上午倪院士已經講了，我講講我們安全體系本土化可以。安全體系三條，第一數字征收必須本土化，有《電子簽名法》。第二密碼設備必須是中國的，有商業管理條例。第三可信計算必須用中國的，要達到“五可”“一有”。我們能夠控制代碼，更能夠可編，更能夠重構，更重要是我們有可信的支撐，我們本土化以后產生新的缺陷，為什么時下最安全，可用?！耙挥小蔽覀円獙χR產權的保護，要有征收功能，要深化國際響應，要深化國際標準。我們有東西嗎？有東西，我們軍民融合，軍方也做了很多細致的定性產品。比如說主機，各種信息融為一體，這樣不同的領域，我們有漏洞也不被別人所利用，這樣才能實現我們等級保護世界標準。

　　兩個案例，一個是中央電視臺現在完全多媒體的辨識（音）系統。大家知道嗎？如果5月12號我們“一帶一路”峰會，14號、15號開，中央電視臺被掐滅了以后，我們怎么開會。我們頂住了，你看多復雜的系統，中央電視臺有600臺數據服務器，我們在每個環節上可信鎖定了，確保了會議安全的召開。

　　第二個系統，調度系統，是我們的命根子。2015年，2016年大面積這種調度系統的供給，我們用14號令要求可信等級保護是四級，現在市以上都用了，地區正在推廣，我們確保了“一帶一路”峰會的召開，這個圖是相當復雜的。左邊是框架，右邊一項一項的驗證措施，效率不能影響太大了。這個都免疫了，他們也搞管理軟件，400來號代碼不允許我們改一條指令，我們做到了，這樣確保了我們電網安全的運行，也確保了我們G20等等國家的一系列重大活動，因此我們有技術。

　　我們中國可信計算為安全可信的產品和服務，來構建我們國家的網絡安全保障體系，這樣才能為我們建設網絡強國做出貢獻，時間到了，謝謝大家！

責任編輯：韓希宇