沈昌祥（中国工程院）

1 网络安全的重要意义

没有网络安全就没有国家安全，习总书记强调，安全是发展的前提，发展是安全的保障，安全和发展要同步推进。2016年10月21日，美国东海岸（世界最发达地区）发生世界上瘫痪面积最大（大半个美国）、时间最长（6个多小时）的分布式拒绝服务（DDOS）攻击，而且更有进一步攻击，升级为PDOS（永久拒绝服务攻击），清除设备里的所有文件。这警示我们，关键信息基础设施的安全防护至关重要。

《中华人民共和国网络安全法》第16条规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。近期发布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。因此，创新发展可信计算技术，推动其产业化，是将我国建设成为“技术先进、设备领先、攻防兼备”网络强国的战略任务。

习近平总书记在2016年4月19日举行的网络安全与信息化工作座谈会上做出了“要尽快在核心技术上取得突破”的重要指示，这就更加明确指明了发展可信计算技术与实施网络安全等级保护制度的重要性。发展可信计算技术与实施网络安全等级保护制度是构建国家关键信息基础设施、确保整个网络空间安全的基本保障。

2 科学的网络安全观

网络空间是国家第五大主权空间，网络空间安全是一级学科，很多核心技术需要解决。目前网络空间极其脆弱，存在计算科学少攻防理念、体系结构缺防护部件、工程应用无安全服务等问题。从科学原理上看，其实质是人们对IT认知逻辑的局限，由于不能穷尽所有逻辑组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而形成了难以应对人为利用缺陷进行攻击的网络安全命题，也是永远的主题。因此，为了防御对方攻击，必须从逻辑正确验证理论、计算体系结构和计算工程应用模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者利用的问题，形成攻防矛盾的统一体。

当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等组成，称为“老三样”。“封堵查杀”难以应对利用逻辑缺陷的攻击。首先，“老三样”根据已发生过的特征库内容进行比对查杀，面对层出不穷的新漏洞与攻击方法，这种消极被动应对是防不胜防的；其次，“老三样”属于超级用户，权限越规，违背了基本的安全原则；第三，“老三样”可以被攻击者控制，成为网络攻击的平台。例如，“棱镜门”就是利用世界著名防火墙收取情报，篡改病毒库后导致系统瘫痪（将正常程序作为恶意程序查杀）。最近美国认为俄国利用卡巴斯基杀病毒软件破坏了美国总统大选。因此，只有重建主动免疫可信体系才能有效抵御已知和未知的各种攻击。

3 如何构建主动免疫的计算架构？

主动免疫可信计算是指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，只有这样方能使计算结果总是与预期一样。这种主动免疫的计算模式改变了传统的只讲求计算效率，而不讲安全防护的片面计算模式。要采用科学办法构建主动免疫的计算架构，以密码为基因实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”的成分，从而破坏与排斥进入机体的有害物质，为网络信息系统培育免疫能力。

网络化基础设施、云计算、大数据、工业控制、物联网等新型信息化环境需要安全可信作为基础和发展的前提，必须进行可信度量、识别和控制。采用安全可信系统架构可以确保体系结构可信、资源配置可信、操作行为可信、数据存储可信和策略管理可信，从而达到积极主动防御的目的。

在主动免疫可信计算架构下，将信息系统安全防护体系划分为安全计算环境、安全边界、安全通信网络三层，从技术和管理两个方面进行安全设计，建立安全可信管理中心支持下的主动免疫三重防护框架，通过实施三重防护主动防御框架，能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。

中国可信计算源于1992年正式立项研究主动免疫的综合防护系统，经过长期攻关，军民融合，形成自主创新的可信体系，跨入可信计算“3.0时代”。它具有全新的双体系架构、自主的公钥与对称密码体制、基于安全策略的软件定义可信、主动免疫的可信软件基等创新点。

4 采用可信计算3.0技术解决核心技术受制于人的困境

《国家中长期科学技术发展纲要（2006—2020年）》明确提出以发展高可信网络为重点开展网络安全技术及相关产品，建立网络安全技术保障体系。“十二五”规划有关重大工程项目都把可信计算列为发展重点，军方演示验证成果用于党政部门。国家重要信息系统，如增值税防伪、彩票防伪、二代居民身份证安全系统都采用可信计算3.0作基础支撑。

中国可信计算已经成为保卫国家网络空间主权的战略核心技术，已在国家核心系统和关键信息基础设施得到规模化成功应用，并列为国家战略和法律要求。同时，可信计算也是世界网络空间斗争的焦点，美国军方第三次“抵消战略”（对抗“下一代敌人”的“下一代技术”），把“高可信网络军事系统”等列为重点，围绕安全可信展开新的较量。

2014年4月8日，微软停止对Windows XP的服务支持，强推可信的Windows 8，严重威胁我国的网络安全。采用可信计算，可以避免微软停止服务所引起的安全风险，支撑政府不采购Windows8的决定，执行习总书记“引进必须安全可控”的指示。

要彻底实现安全可控，还必须要做到“五可”“一有”：

可知：对合作方开放全部源代码，要心里有数，不能盲从；

可编：要基于对源代码的理解，能自主编写代码；

可重构：面向具体的应用场景和安全要求，对核心技术要素进行重构，形成定制化的新的体系结构；

可信：通过可信计算技术增强自主系统免疫性，防范漏洞影响系统安全性，使国产化真正落地；

可用：做好应用程序与操作系统的适配工作，确保自主系统能够替代国外产品。

有自主知识产权：要对最终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全。坚持核心技术创新专利化，专利标准化，标准推进市场化。要走出国门，成为世界品牌。

面临日益严峻的国际网络空间形势，立足国情，创新驱动，弯道超车，聚全国之力用可信计算3.0构建网络空间安全主动免疫保障体系，筑牢网络安全防线，为把我国建设成为世界网络安全强国而努力奋斗！