近日，在第八屆互聯網安全大會推出的5G安全與發展論壇上，中國工程院院士沈昌祥發表演講，探討了新基建時代網絡安全的實質以及如何筑牢網絡安全防線等問題。

　　作為國家經濟發展戰略，新基建正在顯示出強大的動能，但對網絡安全也提出了更嚴峻的挑戰。我們必須積極應對壟斷網絡空間的霸權威脅，筑牢網絡安全防線。

　　1

　　樹立安全可信的網絡安全觀

　　網絡空間已經成為繼陸海空天之后的第五大主權空間。“沒有網絡安全就沒有國家安全”，筑牢網絡安全防線是我們的歷史使命。

　　2017年5月12日，永恒之藍勒索病毒用一天時間，使全球150多個國家的教育衛生系統癱瘓。

　　2018年，全球最大集成電路制造廠商臺積電的臺北、臺東、臺南三個基地被勒索病毒入侵至停擺，一天損失十幾億美元。

　　我們必須要推廣安全可信的網絡產品和服務，按照國家網絡安全空間的戰略，加快安全可信產品的推廣應用。根據網絡安全等級保護制度2.0標準，全面推廣安全可信的產品來保障關鍵基礎設施的安全。

　　2

　　認清網絡安全實質 化解網絡安全風險

　　現在一些敵對勢力通過網絡暴恐擾亂社會，破壞國家穩定，同時，美國霸權要制造網絡“核武器”，實行網絡“核訛詐”。在這些方面，我們有一些脆弱性。我們要降低網絡空間的威脅性，才能提高安全性。

　　世界上所有的安全系統都不可能把所有邏輯都包含在內，因此還存在邏輯不全的缺陷。攻擊者利用邏輯缺陷抓住漏洞獲取利益，所以安全是永遠的命題。

　　我們要構建主動免疫的防護新體系，完成主動領域的計算目標，確保完成計算任務的邏輯組合不被篡改，不被破壞，實現正確計算。

　　主動免疫的防護新體系有以下特性：

　　（1）計算同時進行安全防護的新模式

　　主動免疫可信計算是一種在運算的同時進行安全防護的新計算模式。以密碼為基因抗體實現身份識別、狀態度量、保密存儲等功能，及時識別“自己”和“非己”成分，相當于為網絡信息系統培育了免疫能力。

　　（2）計算部件+防護部件組成的二重體系結構

　　這一結構打破了馮·諾依曼的單體系結構，增加了可信密碼模塊、可信控制平臺TPCM等，形成典型的免疫系統。

　　（3）可信安全管理中心支持下的主動免疫三重防護體系結構

　　三重防護體系結構，和防范新冠肺炎病毒是一樣的。首先要保證人體安全、辦公室安全，辦公室安全就相當于是計算環境安全。其次要保證邊界安全，這就相當于進大樓和小區都要接受檢查，以控制人們的來往安全，不能讓病毒到處擴散。

　　此外，一個單位的保衛部門相當于系統的資源管理中心，用來保證信息不被泄露。因此，在可信的網絡通訊中，安全管理中心非常重要，要構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防護體系結構。

　　（4）四要素的人機可信交互

　　在網絡安全環境中，人機交互可信作為發揮5G、數據中心等新基建動能作用的源頭和前提，必須對主體、客體、操作、環境這四個要素進行可信度量、識別和控制，以糾正傳統訪問控制策略模型中只基于授權標識屬性進行操作。

　　（5）五環節組成的可信設施

　　加強基礎設施全程安全管控，需要用可信密碼等技術，檢測、預警、恢復等措施確保設施中的體系結構、操作行為、數據存儲、策略管理、資源配置等五大環節安全可信。

　　基于對以上五環節的可信管控，最終可以達到非授權者重要信息拿不到、系統和信息改不了、攻擊行為毀不掉、攻擊者進不去、竊取保密信息看不懂、系統工作癱不成的“六個不”的防護效果。

　　3

　　落實等級保護制度 筑牢網絡安全防線

　　等級保護的新標準就是把云計算、移動互聯網、物聯網、公共系統全部加入在里面，用可信計算為核心技術來做安全防護。

　　一級防護是基礎軟件操作系統BUS固件不能篡改；

　　二級防護是應用程序不能篡改；

　　三級防護是實時度量、實時監控，在執行過程中，重要點要可信驗證，不能篡改，不能有異常的情況發生，而且要及時警報，及時傳到管理中心；

　　四級防護是智能化控制，主要計算節點全部要進行驗證，進行動態關聯感知，形成實時的態勢，解決現在態勢感知都是事后諸葛亮的問題，這一點很重要。

　　當前，全球很關心5G發展。美國以5G安全為由，遏制華為發展。

　　我們確實要注意5G安全，并一定要與等級保護2.0的標準相關聯。網絡功能的云化、虛擬化、軟件化涉及的切片、邊緣計算都是新型計算的技術應用，將使網絡變得更加靈活和安全。

　　我們要按照等級保護2.0標準對5G進行可信建設。我們要用“可信”的方法去解決基站的問題，這樣才能解決5G發展的安全問題。此外，我們還要埋頭苦干，頂住來自國際的封鎖壓力，健康發展5G，構建網絡空間安全保障體系。