數字經濟時代下新機遇與網絡安全

沈昌祥

數字經濟時代對人類發展是極好的機遇，也是重大的挑戰。十九大報告指出，建設現代化經濟體系，在深化供給側的結構改革的同時，更重要的是加快建設創新型國家，尤其是對網絡強國、數字中國的建設。

數字經濟時代的機遇與挑戰

進入新時代，以互聯網、大數據為代表的數字革命正深刻改變著經濟形態和生活方式，建設數字中國，發展大數據產業，已經成為戰略發展重點。

大數據給現有信息技術體系帶來了新挑戰，需要投入與創新，還需要營造有利于大數據產業健康有序發展良好環境，因此數據安全已成為大數據產業生態系統發展的必要條件。

數據是一門科學，有其自身發展的規律。在發明計算機之后，分為三個大的階段，即數值計算、數據工程和數字經濟。

隨著海量數據的進一步集中和信息技術的進一步發展，信息安全成為大數據快速發展的瓶頸。大數據信息安全主要集中體現在多個方面，包括網絡安全、系統安全、個人設備安全、供應鏈安全和數據安全，由此引發的數據安全事件頻發。

2016年10月21日，美國東海岸（世界最發達地區）發生世界上癱瘓面積最大（大半個美國）、時間最長（6個多小時）的分布式拒絕服務（DDoS）攻擊。

2017年5月12日爆發的“WannaCry”的勒索病毒，通過將系統中數據信息加密，使數據變得不可用，借機勒索錢財。病毒席卷近150個國家，教育、交通、醫療、能源網絡成為本輪攻擊的重災區。

2018年8月3日，臺積電遭到勒索病毒入侵，幾個小時之內，致使臺積電在中國臺灣地區的北、中、南三個重要生產基地全部停擺，造成約2.55億美元的營業損失。

可信計算筑牢安全防線

針對以上這些安全威脅，國家網絡安全法中指出國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。

《國家網絡空間安全戰略》提出的戰略任務“夯實網絡安全基礎”，強調“盡快在核心技術上取得突破，加快安全可信的產品推廣應用”。

網絡安全等級保護制度2.0標準要求全面使用安全可信的產品和服務來保障關鍵基礎設施安全。

要實現“安全可信”，首先要認識安全的實質：設計IT系統不能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。因此我們主動免疫的安全目標是確保為完成計算任務的邏輯組合不被篡改和破壞，實現正確計算。

傳統的殺病毒、防火墻、入侵檢測的傳統“老三樣”難以應對人為攻擊，且容易被攻擊者利用，找漏洞、打補丁的傳統思路不利于整體安全。

此刻“主動免疫可信計算”也就應運而生，它是指在計算運算的同時進行安全防護，以密碼為基因實施身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為網絡信息系統培育了免疫能力。這也相當于為網絡信息系統培育了免疫能力，這是安全的根本出路。

因此，在體系結構上要解決雙體系結構，一邊計算一邊防護，必須讓計算與防護部件并立。人體免疫也是這樣，一邊完成生活的主要部件，還有免疫系統損失的補償。

如圖2所示的防護部件（免疫系統），可信密碼模塊是“基因”，可信軟件基石“抗體”，開機以后對組件進行審查，可信應用軟件像白細胞一樣循環在整個血液中，按照設定的安全策略進行比對、檢測，這如同反腐敗，在不打亂單位流程的同時，按照紅頭文件進行比對，發現問題及時解決、防止腐敗。因此真正的主動防御是：既是免疫的，又是反腐敗的，構成等級保護的三重防御體系。

具象到現實社會，安全辦公室中的可信應用、計算節點及可信節點對應保衛部的人、物管理，警衛室中的可信邊界對應保密室，最后一個是監控室，與審計類似，保證新型數據經濟時代各種系統能做到體系結構 、資源配置、操作行為、數據存儲、策略管理不被篡改、不被破壞，保持可信。最后實現的效果是：攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不成、攻擊行為賴不掉。

這項源于1992年立項研制的中國可信計算經過長期的軍民融合攻關應用，已經形成了自主創新安全可信體系，開啟了可信計算3.0時代。如今，可信計算已經廣泛應用于國家重要信息系統，如增值稅防偽、彩票防偽、二代居民身份證安全系統。

大數據主動免疫三重防護安全架構

對于現階段廣受關注的大數據系統，大多是基于云計算平臺實現數據各種環節的梳理計算，可分為業務信息處理和系統服務保障來定安全等級，應該按（GB/T 25070-2010）進行設計安全架構。

首先是獲取數據，數據采集完成后要進行打包、處理，接下來送數據處理平臺（云計算平臺），然后清洗數據形成有規律的上下文語義，恢復其結構化，再進一步通過數據工程、數據庫、數據挖掘這些工具，把數據變成產品，最后進行引用、處理變成商品，這就是一個完整的數字經濟處理的過程。

如今我國經過20多年的聯合攻關，已經形成了完整的產業鏈/產品鏈。自主可信計算平臺產品設備主要有三種形態，可以方便地通過可信網絡支撐平臺把現有設備升級為可信計算機系統，而應用系統不用改動，便于新老設備融為一體，構成全系統安全可信。

舉例來說，中央電視臺的可信制播環境建設：中央電視臺播出42個頻道節目，面向全球提供中、英、西、法、俄、阿等語言電視節目，在不能與互聯網物理隔離的環境下，建立了可信、可控、可管的網絡制播環境，達到四級安全要求，確保節目安全播出。經受住了“永恒之藍”勒索病毒攻擊的考驗，勝利完成了“一帶一路”世界峰會的保障任務。

另一個更具代表性的例子是國家電網電力調度系統安全防護建設：電力可信計算密碼平臺已在三十四個省級以上調度控制中心使用，覆蓋上千套地級以上電網調度控制系統，涉及十幾萬個節點，約四萬座變電站和一萬座發電廠，有效抵御各種網絡惡意攻擊，確保電力調度系統安全運行。實現了四大目標：高效處理實現實時調度、不打補丁實現免疫抗毒、不改代碼實現方便實施、精練消腫實現降低成本。

面臨日益嚴峻的國際網絡空間形勢，立足國情，創新驅動，彎道超車，聚全國之力用可信計算3.0構建網絡空間安全主動免疫保障體系，筑牢網絡安全防線，為把我國建設成為世界網絡安全強國而努力奮斗！（本文根據2019中國IT市場年會速記整理）