可信计算:网络安全的主动防御时代
2016-03-21杨侠
本刊记者/杨侠
可信计算:网络安全的主动防御时代
Trusted Computing Active Defense Era In Network Security
本刊记者/杨侠
可信计算技术及可信计算系统产业的出现,颠覆了人们以往对网络安全防护的认知,变“被动防御”为“主动防御”,让信息交互平台中最难能可贵的信任基础与信任保障,驶上高速信息安全的快车道。
没有网络安全,就没有国家安全。
全球互联网大潮已势不可挡,但网络又不可能是封闭的,不论是互联网、物联网抑或是车联网,未来的趋势恰恰就是要“连”起来,才能去创造更多的价值。
可信计算技术及可信计算系统产业的出现,颠覆了人们以往对网络安全防护的认知,变“被动防御”为“主动防御”,让信息交互平台中最难能可贵的信任基础与信任保障,驶上高速信息安全的快车道。
更高级别的安全防护
封闭不等于安全。
尤其当全球都在推进开放互联的时候,要想与发展的大势相融合,封闭也会很难。
北京市经济和信息化委员会委员姜广智说,小范围的信息系统或许还有条件进行封闭管理,但对于开放的大系统来说,在信息基础技术和管理技术之上的密码机制和安全监控机制就显得尤为重要。
换言之,由此构建的信息安全可信机制既应是开放的,也应是可控的。可信计算正是这样一种让安全看得见,并创造更开放安全的机制。
信息安全领域权威专家、中国工程院院士沈昌祥认为,可信计算相当于为传统的计算机加上“免疫”系统。从专业的定义上来说,可信计算是指在计算的同时运行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。
“当前大部分网络安全系统主要是由防火墙、入侵监测和病毒防范等组成,而消极被动的封堵查杀其实防不胜防。”沈昌祥表示,“可信计算是运算和防护并存的主动免疫的新计算模式,具有身份识别、状态度量、保密存储等功能,能及时识别‘自己’和‘非己’成分,为计算机提供相对更高级别的安全防护。”
而对于可信计算的特性,在实践中致力于推进国产化高端计算系统产业体系建设的华胜天成董事长兼总裁王维航也表示:“可信计算能让计算运行的全过程不被干扰,状态不被改变,重要的数据得到保密,攻击者进不去,非授权者拿不到重要的信息,即使拿到也读不懂,从而实现主动防御的效果。”
关键领域的产业化机遇
据介绍,可信技术在中国于上世纪90年代就开始立项并应用,早已是我国自主创新技术的一部分。而随着近年来网络信息化的不断深入,可信计算在信息安全保障方面的作用愈加凸显。
“现在网络攻击已经从传统‘软攻击’阶段升级为直接攻击电力、金融、交通等核心要害系统的‘硬摧毁’阶段。随着工业化与信息化的深度融合,网络信息安全直接关系到国家经济的健康发展,一段恶意代码或者一个安全漏洞造成的损失都可能是全局性的。”中关村可信计算产业联盟副秘书长李勇表示,可信计算基于密码技术建立信息系统的主动防御机制,能更好抵御未知攻击,支撑国家经济健康有序发展。
联想云计算事业部总经理高志国说,新一轮信息系统国产化大潮带给可信产业难得的发展机遇,而国内外对于可信产业的迫切需求有望支撑起万亿级的市场份额,可信产业的春天已来临。
可信技术催生的产业生态圈正在逐步建立。2014年4月中国电子信息产业集团等国内60家企事业单位联合发起成立了中关村可信计算产业联盟,致力于推动中国可信计算产业化发展。除了较早投身可信计算领域、专业耕耘十余年的一些民族自主品牌企业外,不少国际知名的IT企业如今也纷纷将关注视角投向可信计算应用,如微软加强与国民技术公司的合作、IBM与华胜天成推进TOP项目落地等。
据介绍,中央电视台于2012年开始用可信技术对信息系统进行加固,目前运行安全稳定。运行可信系统两年的国网智能电网研究院计算及应用研究所所长高昆仑也表示,可信系统切实解决了未知恶意代码、隐蔽代码等的防范问题。
王维航指出,随着网上金融消费的发展以及可信计算在金融、电信、交通、能源等关键领域的推广及应用,可信计算还将成为保障老百姓钱袋子安全的重要力量。
不少业内人士也表示,可信计算及可信产业的发展目前已不是一个简单具体的安全产品或一套安全解决方案所能体现的,而是愈加表现为有机的全方位的网络安全架构体系,强调各类安全产品的管理机制与管理系统。
“因而更需要改变发展分散、适配性差,总体路线未清晰等问题,需要多方的协作。”姜广智说。
幸福像高铁一样?
作为自主创新技术的一个代表,可信计算在中国的发展同样经历着“简单完全的自主可控”与在“拿来”基础上“消化吸收再创新”的选择。
“建设网络强国,要有自己的技术,有过硬的技术。”国家战略制定高度重视可信计算。《国家中长期科学技术发展(2006-2020年)》明确提出,以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系。
李勇说,业界对于简单的自主可控并不等于安全已有共识,“自主可控并不能在短期内解决网络安全受制于人的问题,而可信计算技术与自主可控软硬件深度融合,可以使产品的安全缺陷不被利用,为自主可控战略保驾护航”。
是闷头盖自己的小房子,还是把人家的“钢筋水泥”拿过来,在符合科学客观规律的基础上,结合自己的经验和想法盖个高楼大厦?
不少专家都表示,可信计算系统要想实现产业化大发展,还是要走中国高铁的路子。“很多东西不去产业化应用,都不知道漏洞在哪里,更不用提怎么去解决。”姜广智说,“实现网络安全既要创新,也要采用最先进的技术。”
沈昌祥表示,高铁的精神可学,但可信计算系统由于关乎网络空间国家主权,发展过程中遇到的问题可能会更为复杂,“掌握信息控制权的核心就在于操作系统,20多年的攻关已使得我国在自主操作系统关键技术上有相当的积累和储备,未来不仅要加快可信计算与自主操作系统相结合的研究力度,还要努力督促研制具有世界领先水平的操作系统知名品牌,全面实现操作系统国产化,为构建安全可信的积极防御体系、保卫网络空间主权提供有力支撑”。