2018中国软件产业年会现场，中国工程院院士沈昌祥发表题为《科学的网络安全观与可信计算3.0》的主旨报告。

　　以下为现场实录全文：

　　各位领导、各位来宾，用一点时间和大家交流一下什么是网络安全，怎么去搞网络安全，所以我的题目叫科学的网络安全观。

　　讲三个问题：科学网络安全观；第二可信计算；第三什么自主可控、安全可信的核心技术摆脱受制于人的问题。

　　《网络安全法》大家学了吗？去年6月1号正式实施了，16条讲的是怎么解决我们网络的核心技术受制于人的问题。国务院、省、自治区、直辖市人民政府应当统筹规划、加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用。推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校参与国家网络安全技术创新项目，全面诠释了。

　　我们国家公布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”里头再次强调“加快安全可信产品推广引用”，那么安全可信，这个词用的不多。为什么我们要用这个呢？我们首先要有科学的网络安全观来理解这个法律安全可信。

　　我们说网络安全现在是一级学科，有重大基础理论问题。是什么呢？我们面临着网络空间极大的安全威胁，我们现在网络是资产、是财富，因此黑客利用病毒来谋取财富，勒索金钱，欺诈欺骗。我们网络空间是基础设施，总书记也讲了，反对敌对势力，利用高强度连续攻击来破坏我们的基础设施达到暴恐的事件，破坏我们社会的安宁，破坏了我们经济的发展。网络空间，现在说国家主权，霸权国家，组建网络司令部，打网络战，通过网络侵占你的国家，控制你们国家的主权，是这样的问题。

　　那我们有能力对抗吗？没有。

　　第一，我们的计算科学出了问题了，以前没有攻防理念。比如说世界上计算水平突破500，中国好几年第一，计算设备没有理念去防护。当然了，从计算角度可以，但是从网络空间这个就不对了。

　　第二个，这个理念确实讲，我们安全的防护部件缺了。只想到生个孩子，生下来没有带免疫系统，残疾儿，这么严重的问题。因此假设所有人都是健康的，不会生病的，还要开医院吗？在工程应用上无安全服务，这么大的缺失，我们该怎么办？我们要认识这个风险是极大的，原因何在？原因是科学问题，我们对IT的认知逻辑是局限的。曾经世界的潮流，你们年轻人可能还没生呢，证明软件正确，没有bug，后来证明来争取去是一个伪命题。为什么？软件逻辑组合是发散的，不是围绕的，计算机问题不可能一个软件没有bug出现的。因此我们只能局限于能完全计算任务有关的逻辑组合起来去设计这个IT系统。因此我们必定存在逻辑不全的缺陷。那么再讲到我们没有攻防理念，没有防的逻辑，所以难以应对人为利用这个缺陷进行攻击，所以有这样的逻辑缺陷，去寻找这个逻辑缺陷，变成漏洞，注入恶意代码，进行攻击，这是风险的实质。

　　那么怎么办呢？我们不能和以前一样去找漏洞，堵漏洞，打补丁。以前到处找坏蛋，坏蛋找不完，我们应该从正面的思维，从逻辑正确验证，计算体系结构、计算模式等方面去科学的创新，这个问题，什么问题呢？解决逻辑有缺陷，不被攻击所利用的问题，这就是矛盾的统一体。

　　为确保计算任务逻辑组合不被篡改和破坏，能够实现正确计算，这是我们正确的网络安全目标，有限目标。我们不是说建的刀枪步入，铜墙铁壁，不可能，我们要降低风险，就是确保我们原来设计的IT系统能够完成任务就可以了。因此以前我们也很现实，没有带免疫系统的孩子，无症状下杀病毒，没有带免疫系统的孩子经不起一惊一咋，能关心的，先进来不要吓到孩子了，这么被动的封堵，能解决问题吗？世界应该达到共识，2005年美国提出来不解决问题，重新规划发展的规划，我们要构建主动免疫的计算架构。

　　是什么呢？指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，使计算结果总是与预期的一样，这样改变了片面的只讲计算效率，矛盾的统一体，正反两方面都要考虑，最终和计算并存的主动免疫的计算模式。

　　大家都知道我们人的健康生活是靠免疫系统，我在1990年就研究免疫系统用于我们计算机安全，发现世界非常奇妙。有基因，并且把身份识别植入其中。第二进来以后它破坏不了我们这个集体，状态改变了，状态度量。第三个更奇妙的，应用密码技术来保护重要的信息，找不到，不是我们数字密码，而是身份编码。因此我们按照就是以密码为基因，识别自己和非自己的成分，从而破坏与排斥进入集体的有害物质，相当于为计算信息系统培育的免疫能力。改变畸形儿，健康的孩子继续过日子，要将防护空间在这个里面。左边是没有防护部件的PC结构，大家在座可能都觉得是这个，要加右边的防护部件，这样构成既计算又防护的统一体，我们叫防护体系结构，这边有管理策略，免疫的管理策略。

　　这样我们才能解决云计算、大数据、物联网、这样复杂的安全系统，因为我们有这样主动可信能够保证体系结构、资源配置、操作行为、数据存储可信，不被人家破坏，我们这种策略也不会变异。这样能够构成安全管理中心支持下的三重防御体系。一个是要保证我们计算环境，资源财富都在计算环境，当然边界也很重要，我们有科学合理的高边界。很形象的，和警卫室，警卫员一样的，保安员一样，既要能精确的是谁，证明人，能干什么。干什么呢？拿着东西没有，谁批准的，有问题，保安来解决，这就是我们国家等级保护要求的边界要求。通信安全大家都可以理解，我们用密码技术来进行身份验证。

　　第二不要偷看，泄密了，我们有密码强烈传输。第三，篡改了，调包了，我们用密码技术，（英文）这样保证我们通信的可信安全。管理很重要，但是以前没有服务的概念，一个单位都有保卫处，干什么？一个单位的人、物怎么样，因此我们计算机系统也等于保卫处一样，有系统资源单位一个单位有保密室，什么人，什么级别，什么能处理，我们在计算机安全里面叫访问控制。有没有人管，我们叫安全的策略管理，简称叫安全管理。

　　第三，一个单位有监控室，我们有摄像头监控关键地方，发现异常进行处理。我们有审计，审计点有摄像头，把审计器收到审计平台，及时处理，而且作为后面追踪证据的依据。这样才能做到首先攻击，第一关进不去，没有手续，不合法。第二进去以后没有授权，没有这个权限拿不到这个东西，尽管拿到了，你看不懂白拿，另外篡改了，改不了，我们有（英文），哪怕改一个都会被发现，所以对异常情况苗头就发现了，你想瘫痪我的系统没门，最后我们审计有可信系统，你改不了，最后是赖不掉，这个证据。

　　这样我们主动的防御，基本上所有的病毒，就是去年横扫世界的病毒，正在召开“一带一路”世界峰会构成极大的威胁，我们有可信网络，抵御住了这个病毒的入侵。我说现在世界上可信计算是一股很大很大的思潮，为什么？大家知道，有IBM，（英文）强强联合组织的上千的可信计算组织叫TCG，他们是1999年成立的可信计算联盟，后来不过瘾，2003年改名为可信计算组织，他们也是想解决主动防御问题。但是遗憾的是，他没有做到。

　　我们中国开始不叫可信计算，我们为了解决，保住核心机密，用体系结构进行保护。1992年立项，主动免疫的综合防护系统，我们成了，和军民融合形成了自主创新的可信体系，我们叫3.0。可信好多我们的创新被国际可信计算组织拿走了，采纳了，已经成为我们国家的基础。

　　2015年在“没有网络安全就没有国家安全”大标题下发表了我的署名文章，用可信计算构筑网络安全。2016年新华社刊登了“可信计算：网络安全主动防御时代”。

　　那么创新何在呢？我们更主要是体系的创新，体系的创新不是随便说的，我们有一些标准证明我们体系创新的。我们2005年开始到2010已经起草形成了9个国家安全标准，5个军队标准，从可信根底，主机支撑、系统配套，应用可信规范了中国的可信创新了，体系创新了。这边实际上是按照我们思路做的。

　　前面讲了密码是基因，它的创新是根本所在。国际可信计算组织TCG犯了一个错误，他们用单一的公开密码提示，叫RSA。这个意思就是说一般公锁锁住大家同类容易，认证方便，但是要输个人的秘密信息，就出现了密码理论的确实，就不可安全理论性的缺失，这么大的问题他们没有发现。我们1992年开始，对称密码，每个人一把锁，为了认证一把公锁，三体系的。但是我们密码安全不光是算法，更主要是密码的实体，密码机、密码产品我们提出了可信密码模块，因为它要计算，它要管理，这也是TCG没有的，TCG只讲算法，这是重大的工程技术的缺失。

　　第三我们中国的数字证书，可信是有证书的。对人主体的可信证书，对设备科技理念的证书，我们用的中国创新的证书体系，双证书，就是说认证证书和奖励证书（音）两张证书。这个东西我们在发布之后，可信计算组织马上吸取我们正确的架构，不仅他们废除了以前，代价很大，TPM1.0，TPM1.200版（音）推出了TPM2.0。现在windows8，windows10就是TPM2.0采用的我们这个体系的架构。不仅如此，而且申报ISO国际标准，现在TCM密码国际标准是我们的创新，我们国家所有密码都是自主研究SM3构筑的主动免疫的体系，所以讲体系结构非常重要。

　　要解决产业的问题，因此我们首选要有免疫基因，密码模块，不行，要有抗体，要有控制部件，CPU主板上增加一个CPU，这个CPU叫可信控制的CPU，叫可信控制模块。原来CPU是党委政府，我现在搞一个纪委并行的，我们可以沟通。更重要我们要盘查，有软件。可信计算组织是用外部设计接口加上功能部件要组成去调控的，我们相当于并行于主测试系统的一个控制技术软件，相当于我们这里面的巡视组，可以获取操作系统核心层的工作的阐述，重要的度程这些度量检查，获取党委的材料有没有违规一样。因此我们是主动的。

　　网络连接也可信，我们是增加一个巡视组一样的管控系统，以前所有的网络都是请求者、连接者，怎么没有一种可信软件呢，我现在讲了我们安全的有限目标是保证能够完成计算任务的软件不被篡改，不被改变，因此我们软件不要打补丁，打补丁破坏原来辛辛苦苦调试的逻辑破坏了，这是我们的根本所在。以前动不动搞一个接口，打补丁，这是错误的。还有安全设备，是按照我们确定的规律，中央决定党的纪律、政府的法律来进行检查控制，这样我们克服了可信计算组织被动防御的局面。

　　这个图你们搞技术可以看看，可以不给你运营一串代码能实现安全可信的检查，防护，因此我们叫可信计算3.0，大家问，那2.0是什么？很显然TCG是2.0，那么这种可信的容错（音）组织是1.0，因此我们科学性更强，我们用可信计算3.0摆脱受制于人的局面。我们一定坚持自主可控，安全可信，中长期发展规划已经写如以发展高可信网络为重点。

　　我们“十二五”规划有关工程项目已经用可信，以及我们二代身份证以及彩票都用可信防止假冒。尤其是windows操作系统，提出win8，停止XP的问题。如果采购2亿台的XP，我们花多少钱呢？我们想不用，中国有自己可信计算，有补丁不用打，能防止攻击，确保安全，因此我们就实现了windows不采购，但是win8失败了，win10又来了。现在不仅是终端，而且跑出移动终端，服务器、大数据处理都是可信版本，如果推动它的话，对我们国家安全主权形成挑战，怎么办？我们用安全审查制度。

　　上午倪院士已经讲了，我讲讲我们安全体系本土化可以。安全体系三条，第一数字征收必须本土化，有《电子签名法》。第二密码设备必须是中国的，有商业管理条例。第三可信计算必须用中国的，要达到“五可”“一有”。我们能够控制代码，更能够可编，更能够重构，更重要是我们有可信的支撑，我们本土化以后产生新的缺陷，为什么时下最安全，可用。“一有”我们要对知识产权的保护，要有征收功能，要深化国际响应，要深化国际标准。我们有东西吗？有东西，我们军民融合，军方也做了很多细致的定性产品。比如说主机，各种信息融为一体，这样不同的领域，我们有漏洞也不被别人所利用，这样才能实现我们等级保护世界标准。

　　两个案例，一个是中央电视台现在完全多媒体的辨识（音）系统。大家知道吗？如果5月12号我们“一带一路”峰会，14号、15号开，中央电视台被掐灭了以后，我们怎么开会。我们顶住了，你看多复杂的系统，中央电视台有600台数据服务器，我们在每个环节上可信锁定了，确保了会议安全的召开。

　　第二个系统，调度系统，是我们的命根子。2015年，2016年大面积这种调度系统的供给，我们用14号令要求可信等级保护是四级，现在市以上都用了，地区正在推广，我们确保了“一带一路”峰会的召开，这个图是相当复杂的。左边是框架，右边一项一项的验证措施，效率不能影响太大了。这个都免疫了，他们也搞管理软件，400来号代码不允许我们改一条指令，我们做到了，这样确保了我们电网安全的运行，也确保了我们G20等等国家的一系列重大活动，因此我们有技术。

　　我们中国可信计算为安全可信的产品和服务，来构建我们国家的网络安全保障体系，这样才能为我们建设网络强国做出贡献，时间到了，谢谢大家！

(文章来源：国际在线)