□ 沈昌祥

當(dāng)前，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間。網(wǎng)絡(luò)安全是國際戰(zhàn)略在軍事領(lǐng)域的演進，對我國網(wǎng)絡(luò)安全提出了嚴峻的挑戰(zhàn)。解決信息安全核心技術(shù)設(shè)備受制于人的問題，需要創(chuàng)新發(fā)展主動免疫的可信防護體系。2013年12月20日，習(xí)近平總書記在中國工程院1份建議上的批示中指出：“計算機操作系統(tǒng)等信息化核心技術(shù)和信息基礎(chǔ)設(shè)施的重要性顯而易見，我們在一些關(guān)鍵技術(shù)和設(shè)備上受制于人的問題必須及早解決。要著眼國家安全和長遠發(fā)展，抓緊謀劃制定核心技術(shù)設(shè)備發(fā)展戰(zhàn)略并明確時間表，大力發(fā)揚‘兩彈一星’和載人航天精神，加大自主創(chuàng)新力度，經(jīng)過科學(xué)評估后選準突破點，在政策、資源等各方面予以大力扶持，集中優(yōu)勢力量協(xié)同攻關(guān)實現(xiàn)突破，從而以點帶面，整體推進，為確保信息安全和國家安全提供有力保障”。

《中華人民共和國網(wǎng)絡(luò)安全法》第16條規(guī)定，國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán)，支持企業(yè)、研究機構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項目。近期發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出的戰(zhàn)略任務(wù)“夯實網(wǎng)絡(luò)安全基礎(chǔ)”，強調(diào)“盡快在核心技術(shù)上取得突破，加快安全可信的產(chǎn)品推廣應(yīng)用”。因此，創(chuàng)新發(fā)展可信計算技術(shù)，推動其產(chǎn)業(yè)化，是將我國建設(shè)成為“技術(shù)先進、設(shè)備領(lǐng)先、攻防兼?zhèn)洹本W(wǎng)絡(luò)強國的戰(zhàn)略任務(wù)。

習(xí)近平總書記在2016年4月19日舉行的網(wǎng)絡(luò)安全與信息化工作座談會上做出了“要盡快在核心技術(shù)上取得突破”的重要指示，這就更加明確了發(fā)展可信計算技術(shù)與實施網(wǎng)絡(luò)安全等級保護制度的重要性。發(fā)展可信計算技術(shù)與實施網(wǎng)絡(luò)安全等級保護制度是構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施、確保整個網(wǎng)絡(luò)空間安全的基本保障。推廣發(fā)展中國主動免疫的可信計算技術(shù)可以筑牢我國的網(wǎng)絡(luò)安全防線。

1 重啟可信革命——主動免疫可信計算3.0

1.1 科學(xué)的網(wǎng)絡(luò)安全觀

1）網(wǎng)絡(luò)威脅是永遠主題

傳統(tǒng)的計算設(shè)備是工具，與他人利益無關(guān)，因此無需防止別人攻擊破壞。而現(xiàn)在由計算設(shè)備構(gòu)成的網(wǎng)絡(luò)空間是資產(chǎn)財富、基礎(chǔ)設(shè)施和國家主權(quán)，因此黑客用病毒獲取金錢，敵對勢力以APT實施暴恐，霸權(quán)國家進行網(wǎng)絡(luò)戰(zhàn)侵占他國，對網(wǎng)絡(luò)空間構(gòu)成重大的威脅。

2）網(wǎng)絡(luò)空間極其脆弱

網(wǎng)絡(luò)空間極其脆弱，存在以下問題：計算科學(xué)少攻防理念；體系結(jié)構(gòu)缺防護部件；工程應(yīng)用無安全服務(wù)。

3）安全風(fēng)險的實質(zhì)

因此網(wǎng)絡(luò)安全風(fēng)險極大，從科學(xué)原理上看，其實質(zhì)是人們對IT認知邏輯的局限性，由于不能窮盡所有邏輯組合，只能局限于完成計算任務(wù)去設(shè)計IT系統(tǒng)，必定存在邏輯不全的缺陷，從而形成了難以應(yīng)對人為利用缺陷進行攻擊的網(wǎng)絡(luò)安全命題，也是永遠的主題。因此，為了防御對方攻擊，必須從邏輯正確驗證理論、計算體系結(jié)構(gòu)和計算工程應(yīng)用模式等方面進行科學(xué)技術(shù)創(chuàng)新，以解決邏輯缺陷不被攻擊者利用的問題，形成攻防矛盾的統(tǒng)一體。確保為完成計算任務(wù)的邏輯組合不被篡改和破壞，實現(xiàn)正確計算，這就是主動免疫防御的相對安全目標。

當(dāng)前大部分網(wǎng)絡(luò)安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒查殺等組成，稱為“老三樣”?！胺舛虏闅ⅰ彪y以應(yīng)對利用邏輯缺陷的攻擊。首先，老三樣根據(jù)已發(fā)生過的特征庫內(nèi)容進行比對查殺，面對層出不窮的新漏洞與攻擊方法，這種消極被動應(yīng)對是防不勝防的；其次，老三樣屬于超級用戶，權(quán)限越規(guī)，違背了基本的安全原則；第三，老三樣可以被攻擊者控制，成為網(wǎng)絡(luò)攻擊的平臺。例如，“棱鏡門”就是利用世界著名防火墻收取情報，病毒庫篡改后可以導(dǎo)致系統(tǒng)癱瘓（將正常程序作為惡意程序查殺）。最近美國認為俄國利用卡巴斯基殺病毒軟件破壞了美國總統(tǒng)大選。因此，只有重建主動免疫可信體系才能有效抵御已知和未知的各種攻擊。

4）主動免疫的計算架構(gòu)

主動免疫可信計算是指計算運算的同時進行安全防護，計算全程可測可控，不被干擾，只有這樣才能使計算結(jié)果總是與預(yù)期一樣。這種主動免疫的計算模式改變了傳統(tǒng)的只講求計算效率，而不講安全防護的片面計算模式。

圖1 安全可信的計算節(jié)點雙體系結(jié)構(gòu)

在圖1所示的雙體系結(jié)構(gòu)中，采用了一種安全可信策略管控下的運算和防護并存的主動免疫的新計算節(jié)點體系結(jié)構(gòu)，以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。

5）安全可信的體系框架

網(wǎng)絡(luò)化基礎(chǔ)設(shè)施、云計算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等新型信息化環(huán)境需要安全可信作為基礎(chǔ)和發(fā)展的前提，必須進行可信度量、識別和控制。采用安全可信系統(tǒng)架構(gòu)可以確保體系結(jié)構(gòu)可信、資源配置可信、操作行為可信、數(shù)據(jù)存儲可信和策略管理可信，從而達到積極主動防御的目的。安全可信系統(tǒng)架構(gòu)如圖2所示：

圖2 安全可信系統(tǒng)架構(gòu)

在主動免疫可信計算架構(gòu)下，將信息系統(tǒng)安全防護體系劃分為安全計算環(huán)境、安全邊界、安全通信網(wǎng)絡(luò)三層，從技術(shù)和管理2個方面進行安全設(shè)計，建立安全可信管理中心支持下的主動免疫三重防護框架，如圖3所示。該框架實現(xiàn)了國家等級保護標準要求（GB/T 25070—2010），做到可信、可控、可管。

圖3 安全可信管理中心支持下的主動免疫三重防護框架

按照安全可信管理中心支持下的主動免疫三重防護框架構(gòu)建積極主動的防御體系，可以達到攻擊者進不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息篡改不了、系統(tǒng)工作癱不成和攻擊行為賴不掉的防護效果?！癢 annaC ry”、“M irai”、“黑暗力量”、“震網(wǎng)”、“火焰”、“心臟滴血”等將不查殺而自滅。

以主動免疫防治W annaC ry勒索病毒為例。2017年5月12日W annaC ry在全球范圍大規(guī)模爆發(fā)，W annaC ry蠕蟲利用了MS 17-010漏洞進行傳播。攻擊流程是首先掃描網(wǎng)絡(luò)中機器是否開啟了445端口，利用此漏洞接管目標機器核心控制權(quán)下載W annaC ry病毒進行感染，目標機器將變成攻擊機再次主動掃描其他機器，迅速形成大范圍擴散。該病毒會釋放敲詐者程序tasksche.exe，對磁盤文件進行加密勒索。采用自主創(chuàng)新主動免疫的可信計算（即可信計算3.0）技術(shù)的系統(tǒng)（如中央電視臺可信制播環(huán)境）在內(nèi)部建立主動免疫機制，提供執(zhí)行程序?qū)崟r可信度量。保障正常的可執(zhí)行程序持續(xù)工作，同時阻止非授權(quán)和不符合預(yù)期結(jié)果的勒索病毒程序運行，從而實時阻止未知的惡意代碼的發(fā)作。即使用戶系統(tǒng)在建立主動免疫機制前已感染病毒，可信計算3.0技術(shù)也可以限制病毒軟件的越權(quán)訪問，避免病毒破壞重要資源，真正地實現(xiàn)了積極主動防御未知的攻擊。

1.2中國可信計算革命創(chuàng)新

可信計算（trusted com puting）已是世界網(wǎng)絡(luò)安全的主流技術(shù)，TCG（Trus ted Com pu ting G roup）于2003年正式成立，已有190多個成員，以W indow s 10為代表可信計算已成焦點。

我國可信計算源于1992年正式立項，研究“主動免疫的綜合防護系統(tǒng)”，經(jīng)過長期攻關(guān)、軍民融合，形成了自主創(chuàng)新的可信體系，不少已被國際可信計算組織（TCG）采納。

幾年來，國內(nèi)權(quán)威媒體對我國可信計算的創(chuàng)新發(fā)展進行了高度評價。《求是》發(fā)表了筆者的署名文章《用可信計算構(gòu)筑網(wǎng)絡(luò)安全》；新華社組織召開中國可信開放與網(wǎng)絡(luò)安全高峰論壇，《參考消息》進行了整版2版報道；新華社《中國名牌》雜志將可信計算定義為網(wǎng)絡(luò)安全的主動防御時代；《中國信息安全》、《信息安全與通信保密》分別發(fā)行了可信計算?？?/p>

1.2.1 創(chuàng)新可信計算標準體系

相對于國外可信計算被動調(diào)用的外掛式體系結(jié)構(gòu)，中國可信計算革命性地開創(chuàng)了自主密碼為基礎(chǔ)、控制芯片為支柱、雙融主板為平臺、可信軟件為核心、可信連接為紐帶、策略管控成體系、安全可信保應(yīng)用的全新的可信計算體系結(jié)構(gòu)框架，如圖4所示：

圖4 全新的可信計算體系結(jié)構(gòu)框架

在該體系結(jié)構(gòu)框架指引下，我國2010年前完成了核心的9部國家標準和5部國軍標的研究起草工作。到目前為止，已發(fā)布國家標準3項和國軍標3項，即將發(fā)布國家標準2項，已發(fā)布團體標準（中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟標準）4項，授權(quán)國家專利上百項。我國可信計算標準體系是創(chuàng)新的成果，如圖5所示。標準體系的創(chuàng)新性體現(xiàn)在第一是打基礎(chǔ)，具有自主的密碼體系；第二是構(gòu)主體，確定了4個主體標準是可信平臺控制模塊、可信平臺主板功能接口、可信基礎(chǔ)支撐軟件及可信網(wǎng)絡(luò)連接架構(gòu)；第三是搞配套，提出了4個配套標準，分別是可信計算規(guī)范體系結(jié)構(gòu)、可信服務(wù)器平臺、可信存儲及可信計算機可信性測評指南；第四是成體系，包括了管控應(yīng)用相關(guān)標準，涉及到等級保護系統(tǒng)各個方面。

圖5 創(chuàng)新可信計算標準體系

跨越了國際可信計算組織（TCG）可信計算局限性：

1）密碼體制的局限性

TCG原版本只采用了公鑰密碼算法RSA，雜湊算法只支持SHA1系列，回避了對稱密碼。由此導(dǎo)致密鑰管理、密鑰遷移和授權(quán)協(xié)議的設(shè)計復(fù)雜化（5類證書、7類密鑰），也直接威脅著密碼的安全。TPM 2.0采用了我國對稱與公鑰結(jié)合的密碼體制，并申報成為了國際標準。

2）體系結(jié)構(gòu)的不合理

TCG采用外掛式結(jié)構(gòu)，未從計算機體系結(jié)構(gòu)上作變更，把可信平臺模塊（TPM）作為外部設(shè)備掛接在外總線上。軟件上，可信軟件棧（TSS）是TPS的子程序庫，被動調(diào)用，無法動態(tài)主動度量。中國可信計算創(chuàng)新地采用了雙系統(tǒng)體系架構(gòu)，變被動模式為主動模式，使主動免疫防御成為可能。

1.2.2 創(chuàng)新可信密碼體系

可信計算平臺密碼方案的創(chuàng)新之處主要體現(xiàn)在算法、機制和證書結(jié)構(gòu)3個方面：

1）在密碼算法上，全部采用國有自主設(shè)計的算法，定義了可信計算密碼模塊（TCM）；

2）在密碼機制上，采用對稱與公鑰密碼相結(jié)合體制，提高了安全性和效率；

3）在證書結(jié)構(gòu)上，采用雙證書結(jié)構(gòu)，簡化了證書管理，提高了可用性和可管性。

公鑰密碼算法采用的橢圓曲線密碼算法SM 2，對稱密碼算法采用SM 4算法，SM 3用于完整性校驗。利用密碼機制可以保護系統(tǒng)平臺的敏感數(shù)據(jù)和用戶敏感數(shù)據(jù)。密碼對平臺功能的支撐關(guān)系如圖6所示：

圖6 密碼算法和可信功能的關(guān)系

1.2.3 創(chuàng)新主動免疫體系結(jié)構(gòu)

主動免疫是中國可信計算革命性創(chuàng)新的集中體現(xiàn)。我國自主創(chuàng)建的主動免疫體系結(jié)構(gòu)如圖7所示。在雙系統(tǒng)體系框架下，采用自主創(chuàng)新的對稱非對稱相結(jié)合的密碼體制，作為免疫基因；通過主動度量控制芯片（TPCM）植入可信源根，在TCM基礎(chǔ)上加以信任根控制功能，實現(xiàn)密碼與控制相結(jié)合，將可信平臺控制模塊設(shè)計為可信計算控制節(jié)點，實現(xiàn)了TPCM對整個平臺的主動控制；在可信平臺主板中增加了可信度量控制節(jié)點，實現(xiàn)了計算和可信雙節(jié)點融合；軟件基礎(chǔ)層實現(xiàn)宿主操作系統(tǒng)和可信軟件基的雙重系統(tǒng)核心，通過在操作系統(tǒng)核心層并接一個可信的控制軟件接管系統(tǒng)調(diào)用，在不改變應(yīng)用軟件的前提下實施對應(yīng)執(zhí)行點的可信驗證，達到主動防御效果；網(wǎng)絡(luò)層采用三元三層對等的可信連接架構(gòu)，在訪問請求者、訪問連接者和管控者（即策略仲裁者）之間進行三重控制和鑒別，管控者對訪問請求者和訪問連接者實現(xiàn)統(tǒng)一的策略驗證，解決了合謀攻擊的難題，提高了系統(tǒng)整體的可信性。

另外，特別提醒的是對應(yīng)用程序未作干預(yù)處理，這是確保能正確完成計算任務(wù)邏輯完整性所要求的，正確的應(yīng)用程序不應(yīng)打補丁，否則將形成新的漏洞。

圖7 主動免疫體系結(jié)構(gòu)

通過安全管理中心支持的計算節(jié)點可信架構(gòu)，可以為計算節(jié)點的監(jiān)控提供可信支撐，及時保障計算資源不被干擾和破壞，提高計算節(jié)點自我免疫能力。如圖8所示，計算節(jié)點可信架構(gòu)中的可信鏈以物理可信根和密碼固件為平臺，實施可信基礎(chǔ)軟件為核心的可信驗證過程，以此支撐可信應(yīng)用。架構(gòu)中的可信基礎(chǔ)軟件由基本信任基、可信基準庫、支撐機制和主動監(jiān)控機制組成，主動監(jiān)控機制又包括了控制機制、度量機制和判定機制。控制機制是通過監(jiān)視接口接管操作系統(tǒng)的調(diào)用命令解釋過程，驗證主體、客體、操作和執(zhí)行環(huán)境的可信，根據(jù)此執(zhí)行點的策略要求（策略庫表達的度量機制），調(diào)用支撐機制進行度量驗證，與可信基準庫比對，由判定機制決定處置辦法?？尚呕A(chǔ)軟件通過主動監(jiān)控機制監(jiān)控應(yīng)用進程行為可信和宿主節(jié)點的安全機制和資源可信，實現(xiàn)計算節(jié)點的主動安全免疫防護。可信協(xié)作機制可以實現(xiàn)本地可信基礎(chǔ)軟件與其他節(jié)點可信基礎(chǔ)軟件之間的可信互聯(lián)，從而實現(xiàn)了信任機制的進一步擴展。安全管理中心管理各計算節(jié)點的可信基準庫，并對各個計算節(jié)點的安全機制進行總體調(diào)度。

圖8 計算節(jié)點可信架構(gòu)

1.2.4 開創(chuàng)可信計算3.0新時代

主動免疫體系結(jié)構(gòu)開創(chuàng)了以系統(tǒng)免疫性為特性的可信計算3.0新時代?；仡櫩尚庞嬎愕陌l(fā)展路徑可以分為3個階段，如圖9所示?？尚庞嬎?.0以世界容錯組織為代表，主要特征是主機可靠性，通過容錯算法、故障診查實現(xiàn)計算機部件的冗余備份和故障切換。可信計算2.0以TCG為代表，主要特征是PC節(jié)點安全性，通過主程序調(diào)用外部掛接的TPM芯片實現(xiàn)被動度量。中國的可信計算3.0的主要特征是系統(tǒng)免疫性，其保護對象是系統(tǒng)節(jié)點為中心的網(wǎng)絡(luò)動態(tài)鏈，構(gòu)成“宿主+可信”雙節(jié)點可信免疫架構(gòu)，宿主機運算的同時可信機進行安全監(jiān)控，實現(xiàn)對網(wǎng)絡(luò)信息系統(tǒng)的主動免疫防護。

圖9 可信計算發(fā)展路徑

可信計算3.0其理論基礎(chǔ)為基于密碼的計算復(fù)雜性理論以及可信驗證。它針對已知流程的應(yīng)用系統(tǒng)，根據(jù)系統(tǒng)的安全需求，通過“量體裁衣”的方式，針對應(yīng)用和流程制定策略來適應(yīng)實際安全需要，不需修改應(yīng)用程序，特別適合為重要生產(chǎn)信息系統(tǒng)提供安全保障?？尚庞嬎?.0防御特性如表1所示：

表1 可信計算3.0防御特性

可信計算3.0是傳統(tǒng)訪問控制機制在新型信息系統(tǒng)環(huán)境下的創(chuàng)新發(fā)展，在傳統(tǒng)的大型機簡化成串行PC結(jié)構(gòu)后又增加了免疫的防護部件，解決大型資源多用戶共享訪問安全可信問題，符合事物的否定之否定螺旋式上升發(fā)展規(guī)律。它以密碼為基因，通過主動識別、主動度量、主動保密存儲,實現(xiàn)統(tǒng)一管理平臺策略支撐下的數(shù)據(jù)信息處理可信和系統(tǒng)服務(wù)資源可信。可信計算3.0在攻擊行為的源頭判斷異常行為并進行防范，其安全強度較高，可抵御未知病毒、利用未知漏洞的攻擊，能夠智能感知系統(tǒng)運行過程中出現(xiàn)的規(guī)律安全問題，實現(xiàn)真正的態(tài)勢感知。

可信計算3.0通過獨特的可信架構(gòu)實現(xiàn)主動免疫，目前只加芯片和軟件即可，對現(xiàn)有硬軟件架構(gòu)影響小?？梢岳矛F(xiàn)有計算資源的冗余進行擴展，也可在多核處理器內(nèi)部實現(xiàn)可信節(jié)點，實現(xiàn)成本低、可靠性高。同時，可信計算3.0提供可信UKey接入、可信插卡以及可信主板改造等不同的方式進行老產(chǎn)品改造，使新老產(chǎn)品融合，構(gòu)成統(tǒng)一的可信系統(tǒng)；系統(tǒng)通過對應(yīng)用程序操作環(huán)節(jié)安全需求分析，制訂安全策略，由操作系統(tǒng)透明的主動可信監(jiān)控機制保障應(yīng)用可信運行，不需要修改原應(yīng)用程序代碼，這種防護機制不僅對業(yè)務(wù)性能影響很小，而且克服了因打補丁會產(chǎn)生新漏洞的困惑。

1.3 用可信計算3.0擺脫受制于人

1.3.1 堅持自主可控、安全可信

《國家中長期科學(xué)技術(shù)發(fā)展綱要（2006—2020年）》明確提出以發(fā)展高可信網(wǎng)絡(luò)為重點開展網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品，建立網(wǎng)絡(luò)安全技術(shù)保障體系?！笆濉币?guī)劃有關(guān)重大工程項目都把可信計算列為發(fā)展重點，軍方演示驗證成果用于黨政部門。國家重要信息系統(tǒng)，如增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)都采用可信計算3.0作基礎(chǔ)支撐。

中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟于2014年4月16日正式成立，經(jīng)歷3年多的運行，已有10多個專委會，發(fā)展迅速、成績顯著。中國可信計算已經(jīng)成為保衛(wèi)國家網(wǎng)絡(luò)空間主權(quán)的戰(zhàn)略核心技術(shù)，已在國家核心系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施得到規(guī)模化成功應(yīng)用，并列為國家戰(zhàn)略和法律要求。同時也是世界網(wǎng)絡(luò)空間斗爭的焦點，美國第3次“抵消戰(zhàn)略”（對抗“下一代敵人”的“下一代技術(shù)”）把“高可信網(wǎng)絡(luò)軍事系統(tǒng)”等列為重點，圍繞安全可信展開新的較量。

1.3.2 搶占網(wǎng)絡(luò)空間安全核心技術(shù)戰(zhàn)略至高點

2014年4月8日，微軟公司正式停止對W indow s XP的服務(wù)支持，強推可信的W indows 8，嚴重挑戰(zhàn)我國的網(wǎng)絡(luò)安全。如果國內(nèi)運行的2億臺終端升級為W indow s 8，不僅耗費巨資還失去了安全控制權(quán)和二次開發(fā)權(quán)。采用我國的可信計算安全增強，可避免微軟停止服務(wù)所引起的安全風(fēng)險，有力支撐了按習(xí)總書記批示精神政府不采購W indow s 8的決定落實。

2014年10月，微軟又推出了W indow s 10，宣布停止非可信的W indow s 7等所有非可信版本。W indow s 10不僅是終端可信，而且是移動終端、服務(wù)器、存儲系統(tǒng)等全面執(zhí)行可信版本，強制與硬件TPM芯片配置，并在網(wǎng)上信息加密一體化支持管理，可謂“可信全面控制，一網(wǎng)打盡”。推廣W indow s 10將直接威脅網(wǎng)絡(luò)空間國家主權(quán)。

我國按照網(wǎng)絡(luò)安全審查制度成立安全審查組，按照W TO“尊重銷售國有關(guān)法律法規(guī)和有關(guān)標準”的規(guī)則，開展對W indow s 10的安全審查。堅持要遵守我國《電子簽名法》和《商用密碼管理條例》，必須進行本土化改造，其中數(shù)字證書、可信計算、密碼設(shè)備必須是國產(chǎn)自主的，這是底線。而且我國有完整的技術(shù)、產(chǎn)品和服務(wù)，完全具備國產(chǎn)化替代條件。為此，以改革開放、合作開發(fā)、互利共贏的原則成立的合資公司，開始了一場新的博弈，“引進必須安全可控”。

要做到“五可一有”：可知，即對合作方開放全部源代碼，要心里有數(shù)，不能盲從；可編，要基于對開源代碼的理解，能自主編寫代碼；可重構(gòu)，面向具體的應(yīng)用場景和安全需求，對核心技術(shù)要素進行重構(gòu)，形成定制化的新的體系架構(gòu)；可信，通過自主的可信計算技術(shù)增強本土化系統(tǒng)免疫性，防范漏洞影響系統(tǒng)安全性，使國產(chǎn)化替代真正落地；可用，做好應(yīng)用程序與操作系統(tǒng)的適配工作，確保自主系統(tǒng)能夠替代國外產(chǎn)品；有自主知識產(chǎn)權(quán)，要對最終的系統(tǒng)擁有自主知識產(chǎn)權(quán)，保護好自主創(chuàng)新的知識產(chǎn)權(quán)及其安全，堅持核心技術(shù)創(chuàng)新專利化、專利標準化、標準推進市場化。要走出國門，成為世界品牌。

1.3.3 用可信計算3.0產(chǎn)品和服務(wù)構(gòu)筑了國家重要信息系統(tǒng)高安全等級防護體系。

根據(jù)長期攻關(guān)、滾動發(fā)展，形成了安全可信的系列產(chǎn)品和服務(wù)，對于增量設(shè)備可采購可信控制芯片直接嵌入主板的方式的可信整機；對于存量設(shè)備可采用主板配插可信控制卡的方式構(gòu)建可信系統(tǒng)；對于不便于插卡的設(shè)備可配接USB可信控制模塊實現(xiàn)可信增強，構(gòu)成可信計算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)三重防護架構(gòu)，再通過可信安全管理平臺實現(xiàn)系統(tǒng)資源、安全策略和審計追蹤三權(quán)分立監(jiān)控，構(gòu)筑了安全管理中心支撐下的三重主動免疫防護框架?？茖W(xué)管理再加上可信計算控制平臺提供資源可信度量、數(shù)據(jù)可信存儲、行為可信鑒別、主客體的可信認證，能及時發(fā)現(xiàn)異常行為和環(huán)境的非法改變，以及主要信息破壞，并立即采取措施，使攻擊無效。即使有Bug，也不會變成漏洞，無法實施攻擊，保證系統(tǒng)安全運行。

部署可信計算3.0平臺后，在原有信息系統(tǒng)建立可信免疫的主動防御安全防護體系，實現(xiàn)高安全等級結(jié)構(gòu)化保護，改變原被動防護的局面，使等級保護制度科學(xué)實施，如圖10所示。

基于可信計算3.0構(gòu)建的主動免疫體系運用網(wǎng)絡(luò)化部署方式，將主動免疫系統(tǒng)軟件裝載在安全管理平臺，再通過網(wǎng)絡(luò)分發(fā)部署到各計算節(jié)點，并實施網(wǎng)絡(luò)化管理與控制。

1.3.4 重要核心系統(tǒng)規(guī)模化建設(shè)應(yīng)用

1）中央電視臺可信制播環(huán)境建設(shè)

中央電視臺播出42個頻道節(jié)目，面向全球提供中、英、西、法、俄、阿等語言電視節(jié)目，在沒有互聯(lián)網(wǎng)物理隔離的計算機網(wǎng)絡(luò)環(huán)境下，構(gòu)建了網(wǎng)絡(luò)制播的可信計算安全技術(shù)體系，如圖11所示。中央電視臺可信制播環(huán)境建立了可信、可控、可管的網(wǎng)絡(luò)制播環(huán)境，達到等級保護第四級安全要求，確保節(jié)目安全播出。尤其是經(jīng)受住了永恒之藍勒索病毒攻擊的考驗，勝利完成了一帶一路世界峰會的保障任務(wù)。

2）國家電網(wǎng)電力調(diào)度系統(tǒng)安全防護建設(shè)

2014年8月，國家發(fā)改委印發(fā)了〔2014〕第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，并且同步修訂了《電力監(jiān)控系統(tǒng)安全防護總體方案》等配套技術(shù)文件。新版本的總體方案要求生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應(yīng)用可信計算技術(shù),實現(xiàn)計算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信，建立對惡意代碼的免疫能力，實現(xiàn)等級保護的第四級要求。圖12是國家電網(wǎng)電力調(diào)度系統(tǒng)可信加固方案，不修改原D 5000控制管理系統(tǒng)的代碼，不加裝殺毒軟件和IDS，以可信計算為核心技術(shù)，通過對系統(tǒng)實施逐級度量認證，實現(xiàn)系統(tǒng)的主動免疫。

圖10 高安全等級可信防護體系框架

圖11 中央電視臺可信制播環(huán)境建設(shè)示意圖

圖12 國家電網(wǎng)電力調(diào)度系統(tǒng)可信加固方案

電力可信計算密碼平臺已在34個省級以上調(diào)度控制中心和59個地級調(diào)度控制中心上線運行，覆蓋了上萬臺服務(wù)器，運行情況良好，達到等級保護第四級技術(shù)要求，整體系統(tǒng)對性能的影響小于3%。國家電網(wǎng)電力調(diào)度系統(tǒng)中可信計算加固對性能的影響如表2所示：

表2 可信計算對性能的影響

2 我國網(wǎng)絡(luò)安全等級保護制度創(chuàng)新和發(fā)展

2.1 信息安全等級保護2.0——網(wǎng)絡(luò)安全等級保護

信息安全等級保護實施十幾年來，是我國信息安全保障的基本制度性工作，是網(wǎng)絡(luò)空間安全保障體系的重要支撐，是應(yīng)對強敵APT的有效措施。2016年我國對網(wǎng)絡(luò)安全等級保護制度提出了新的要求，信息安全等級保護已進入2.0時代?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第21條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

2.1.1 我國等級保護工作創(chuàng)新發(fā)展過程

我國的等級保護工作是有序推進的。在20世紀80年代興起了計算機信息系統(tǒng)安全保護研究基礎(chǔ)上，1994年國務(wù)院發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院令第147號），為我國信息系統(tǒng)實行等級保護提供法律依據(jù)，也是世界上第一個等級保護國家法規(guī)。依據(jù)國務(wù)院147號令制定發(fā)布了強制性國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859—1999），為等級劃分和保護奠定了技術(shù)基礎(chǔ)。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）進一步明確要求抓緊建立信息安全等級保護制度。近年來國家有關(guān)部委多次聯(lián)合發(fā)文，明確了等級保護的原則、基本內(nèi)容、工作流程和方法、實施要求和計劃等。目前國家各部門都按信息系統(tǒng)定級備案、整改建設(shè)和測評進行推進，國家重點工程的驗收要求必須通過信息安全等級保護的測評和驗收。2017年6月1日正式執(zhí)行的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了國家實行網(wǎng)絡(luò)安全等級保護制度。

2.1.2 超越國外等級保護

美國國防部早在20世紀80年代就推出“安全等級劃分準則”。2003 年，美國發(fā)布《保護網(wǎng)絡(luò)空間國家戰(zhàn)略》，提出按重要程度不同分五級保護，并通過了《聯(lián)邦信息安全管理法案》（FISMA），要求NIST 制定分類分級標準。2005 年變成強制性標準（FIPS200），要求聯(lián)邦機構(gòu)無條件執(zhí)行。2013 年2 月12 日，奧巴馬發(fā)布了《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令，按此令NIST 于2014 年2月12 日提出了《美國增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，按風(fēng)險程度不同分為四個等級，實行識別、保護、監(jiān)測、響應(yīng)、恢復(fù)全過程的風(fēng)險管理。

相比較而言，我國網(wǎng)絡(luò)安全等級保護制度已經(jīng)超越了國外等級保護。創(chuàng)造世界5個第一：1）第1個以國務(wù)院條例立法；2）第1個提出信息系統(tǒng)安全保護，世界上都是計算部件保護；3）第1個提出分五級保護，美國比我們晚10年；4）第1個提出從業(yè)務(wù)信息和系統(tǒng)服務(wù)2個維度來定級，符合現(xiàn)在網(wǎng)絡(luò)空間的定義；5）第1個實行定級（風(fēng)險感知）、建設(shè)（防護）、測評（整改）、監(jiān)督檢查和應(yīng)急恢復(fù)全過程防護。我們國家網(wǎng)絡(luò)空間安全的等級保護制度是適用于新型技術(shù)條件下的信息安全保護需求的，《中華人民共和國網(wǎng)絡(luò)安全法》第30條規(guī)定：國家對關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上實行重點保護。我國的等級保護制度具有科學(xué)性、創(chuàng)新性和前瞻性。

2.1.3 等級保護2.0的時代特征

我國的等級保護已經(jīng)從之前的1.0傳統(tǒng)的防御時代開始進入到了主動防御2.0時代，等級保護2.0具有新的時代特征。法律支撐層面，我國的計算機系統(tǒng)等級保護條例提升為國家基礎(chǔ)性法律制度，即《中華人民共和國網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全等級保護制度；科學(xué)技術(shù)層面，由分層被動防護發(fā)展到了科學(xué)安全框架下的主動免疫防護；工程應(yīng)用層面，由傳統(tǒng)的計算機信息系統(tǒng)防護轉(zhuǎn)向了新型計算環(huán)境下的網(wǎng)絡(luò)空間主動防御體系建設(shè)。等級保護2.0時代重點對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進行全面安全防護，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。等級保護2.0的全過程繼續(xù)堅持風(fēng)險感知、防護建設(shè)、測評整改、監(jiān)督檢查和應(yīng)急恢復(fù)5個環(huán)節(jié)。

2.2 全面建設(shè)，全程防護

當(dāng)前網(wǎng)絡(luò)安全等級保護制度需要全面建設(shè)、全程防護。

2.2.1 分析風(fēng)險,準確定級

定級很重要，在體系保障里，首先感知分析威脅和脆弱何在，從而確定風(fēng)險程度。在定級指南指導(dǎo)下，準確劃分定級系統(tǒng)，從保護業(yè)務(wù)信息和系統(tǒng)服務(wù)兩維資源出發(fā)，根據(jù)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及系統(tǒng)遭受破壞后的危害程度等因素確定等級。定級過程依然適用于網(wǎng)絡(luò)空間的云計算等安全風(fēng)險分析，而且有助于科學(xué)界定復(fù)雜系統(tǒng)的風(fēng)險和準確定級。

對一個系統(tǒng)的定級應(yīng)該具有4個特征：第一，業(yè)務(wù)處理流程的完整性；第二，軟硬件設(shè)備相對的獨立性；第三，安全管理責(zé)權(quán)的統(tǒng)一性；第四，多級互聯(lián)隔離性。例如云計算里聚集了好多不同級別的系統(tǒng)，不同級別的系統(tǒng)之間要隔離。

在我國的網(wǎng)絡(luò)安全等級保護中，按重要程度不同分為五級，三級以上是國家重要信息系統(tǒng)。定級的時候要填寫2張表：第1張表是業(yè)務(wù)信息等級；第2張表是系統(tǒng)服務(wù)等級。是根據(jù)定級系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，即業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到信息破壞和運行中斷后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定，等級劃分如表3所示：

表3 我國網(wǎng)絡(luò)安全等級保護的劃分

2.2.2 主動免疫,全程保障

第一級是用戶自主保護級，訪問策略自己定；第二級是安全審計保護級， 相當(dāng)于辦公室辦公，由小組織確定訪問策略，但誰做了什么需要審計； 第三級為安全標記保護級， 信息重要性和訪問者資格分級別，由上級單位專門機構(gòu)給予標記，叫強制性訪問標記保護，規(guī)定了什么級別的主體能訪問什么級別的客體； 第四級是結(jié)構(gòu)化保證級，相當(dāng)于保密室三鐵一器一定要嚴嚴密密的，防止有隱蔽通道；第五級是實時監(jiān)控級， 每時每刻驗證防護，滴水不漏。每個級別都有相應(yīng)的監(jiān)管制度和可信保障要求，如表4所示：

表4 等級保護及可信保障要求

現(xiàn)有的等級保護是以訪問控制功能為核心。自主訪問控制、強制訪問控制是基于訪問者（主體）的權(quán)限來判定能否訪問資源（客體），沒有對主客體的真實性進行驗證，標記標識沒有與實體可信綁定，難以防止篡改和假冒的攻擊。例如：打印輸出驅(qū)動程序被篡改為網(wǎng)絡(luò)接口驅(qū)動等攻擊時有發(fā)生。更為嚴重的是當(dāng)執(zhí)行環(huán)境受攻擊破壞（如操作系統(tǒng)），在毫無感知情況下，導(dǎo)致操作訪問失敗，局限于訪問控制模型沒有防系統(tǒng)攻擊的能力。因此必須對主體、客體、操作和執(zhí)行環(huán)境進行可信驗證。由此可見，可信計算3.0是等級保護的關(guān)鍵支撐技術(shù)（如圖13所示），對落實網(wǎng)絡(luò)安全等級保護制度發(fā)揮著重要作用。按等級保護實施可信驗證如表5所示。

2.2.3 規(guī)范建設(shè),嚴密管控

圖13 可信計算3.0對等級保護的關(guān)鍵支撐技術(shù)

表5 按等級保護實施可信驗證

網(wǎng)絡(luò)安全等級保護制度按照《信息安全等級保護管理辦法》《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859—1999）和參照《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T 25070—2010），設(shè)計制定建設(shè)方案。并且參照《網(wǎng)絡(luò)安全等級保護實施指南》《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等技術(shù)標準，從技術(shù)和管理2個方面進行安全建設(shè)。做到可信、可控、可管。1）可信是針對計算資源（軟硬件）構(gòu)建保護環(huán)境，以可信計算基（TCB）為基礎(chǔ)，層層擴充，對計算資源進行保護，確保系統(tǒng)服務(wù)安全；2）可控是針對信息資源（數(shù)據(jù)及應(yīng)用）構(gòu)建業(yè)務(wù)流程控制鏈，以訪問控制為核心，實行主體（用戶）按策略規(guī)則訪問客體（信息資源），確保業(yè)務(wù)信息安全；3）可管是保證資源安全必須實行科學(xué)管理，強調(diào)最小權(quán)限管理，高等級系統(tǒng)實行三權(quán)分離管理體制，不許設(shè)超級用戶。

續(xù) 表

2.2.4 等級測評,整改完善

網(wǎng)絡(luò)安全等級保護制度在實施的過程中謹防剩余風(fēng)險。首先要求嚴格按照有關(guān)的標準選擇資質(zhì)的等級測評機構(gòu)；等級測評機構(gòu)依據(jù)《網(wǎng)絡(luò)安全等級保護測評要求》等標準對定級系統(tǒng)制定測評方案；開展測評工作時要確保測評過程在安全可控的前提下規(guī)范化實施，對照相應(yīng)等級安全保護要求進行分析；然后依據(jù)測評結(jié)果出具等級測評報告；最后對等級測評中發(fā)現(xiàn)的問題，要及時采取防范措施加以防控或者緩解，并進一步制定和落實相應(yīng)的整改方案，并且需要由專家評審確認。按基本要求綜合評定定級對象的保護水平，確定符合、基本符合或不符合的測評結(jié)果。

2.2.5 監(jiān)督檢查,應(yīng)急恢復(fù)

對重要信息系統(tǒng)按規(guī)定進行定期的監(jiān)督檢查，發(fā)現(xiàn)問題及時整改，并要制訂本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，在應(yīng)對事件和災(zāi)難發(fā)生時立即啟動應(yīng)急預(yù)案以減少損失。同時采取必要的應(yīng)急和備份措施，發(fā)生事件及時恢復(fù)。

2.3 主動免疫、積極防御的特點

2.3.1 整體防御,可信隔離

加強定級對象系統(tǒng)整體防護，建設(shè)管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護體系結(jié)構(gòu)，實施多層隔離和保護，以防止某薄弱環(huán)節(jié)影響整體安全。在可信計算技術(shù)支持下確保資源配置、操作行為等可信。在可信計算技術(shù)支持下做到：有邏輯設(shè)計缺陷，也不能利用漏洞實施有效攻擊，有效凈化網(wǎng)絡(luò)環(huán)境。

2.3.2 主動防御,內(nèi)外兼防

重點做好操作人員使用的可信防護，把住攻擊發(fā)起的源頭關(guān)。嚴格執(zhí)行可信條件下的訪問控制，有效防止非法操作。

2.3.3 積極防御,多層控制

可信環(huán)境內(nèi)保護資源主動免疫，使非法攻擊者進不去，進去后拿不到，拿到后看不懂，想篡改也改不了，想賴也賴不掉。避免網(wǎng)絡(luò)封堵的被動局面。

2.3.4 縱深防御,技管并重

加強技術(shù)平臺支持下的安全策略管理，實現(xiàn)人性化和與業(yè)務(wù)流程有關(guān)的管理。對系統(tǒng)資源、人員授權(quán)、審計追蹤進行全面管理。實現(xiàn)人、技術(shù)、管理的縱深防御。具有預(yù)警、應(yīng)急處理能力。

3 關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護

《中華人民共和國網(wǎng)絡(luò)安全法》第31條規(guī)定，國家對關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上實行重點保護。

3.1 問題與挑戰(zhàn)

云計算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)、區(qū)塊鏈等，都是通過網(wǎng)絡(luò)以服務(wù)的方式提供給用戶的計算模式，組成了新的計算環(huán)境和信息系統(tǒng)，都必須用等級保護制度進行安全防護體系建設(shè)。這些新應(yīng)用系統(tǒng)涉及到社會每個角落、樣式龐雜、數(shù)據(jù)海量，面臨著新問題與新挑戰(zhàn)，必須以改革創(chuàng)新精神來開創(chuàng)等級保護新時代。

新應(yīng)用系統(tǒng)與傳統(tǒng)的信息系統(tǒng)相比，新應(yīng)用更依賴于移動互聯(lián)網(wǎng)，而且是關(guān)鍵信息基礎(chǔ)設(shè)施和主要場景。防護深入到嵌入式設(shè)備部件、多源異構(gòu)、資源共享、虛擬化，必須研究總體框架指導(dǎo)下的具體架構(gòu)、流程、功能、機制等。

構(gòu)建主動免疫、安全可信的主動防御體系，對原等級保護有關(guān)標準及時進行修改和增補。尤其是對基本要求和測評要求作框架性修改，另按GB/T 25070—2010要求，對新型計算環(huán)境下系統(tǒng)制定相應(yīng)標準規(guī)范。

3.2 新型信息技術(shù)應(yīng)用的安全防護架構(gòu)

3.2.1 云計算可信安全架構(gòu)

信息系統(tǒng)云化是指其信息處理流程在云計算中心完成。因此云計算中心負責(zé)定級系統(tǒng)的系統(tǒng)服務(wù)防護，信息系統(tǒng)用戶負責(zé)業(yè)務(wù)信息安全保護，是典型的賓館服務(wù)模式。用戶自己不用建機房，把業(yè)務(wù)信息程序（如門戶網(wǎng)站、開發(fā)軟件、定制應(yīng)用）遷移到云計算中心機房，由云中心負責(zé)服務(wù)運行（即Saa S，Paa S，Iaa S）。相當(dāng)于傳統(tǒng)招待所的點菜吃飯、開會研究事和小型商店服務(wù)等都沒有必要經(jīng)營，去賓館接受服務(wù)更價廉物美。

圖14 云中心組成架構(gòu)

云計算中心可以同時運行多個不同安全級別的信息系統(tǒng)。云計算中心安全防護能力不低于承運最高等級信息系統(tǒng)的級別。

云中心一般由用戶網(wǎng)絡(luò)接入、訪問應(yīng)用邊界、計算環(huán)境和管理平臺組成（如圖14所示）。成為聚集式的應(yīng)用軟件、計算節(jié)點以及計算環(huán)境的計算中心，形成用戶通過通信網(wǎng)絡(luò)連接到前置機（邊界），再接入到計算節(jié)點組成的計算環(huán)境以及后臺有運維業(yè)務(wù)等管理的典型架構(gòu)。由此去構(gòu)建可信計算安全主體架構(gòu)。

云計算可信安全架構(gòu)也是在安全管理中心支撐下的可信計算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)三重防護架構(gòu)，如圖15所示。

可信云計算環(huán)境：可信鏈傳遞從基礎(chǔ)設(shè)施可信根出發(fā)，度量基礎(chǔ)設(shè)施、計算平臺，驗證虛擬計算資源可信，支持應(yīng)用服務(wù)的可信，確保計算環(huán)境可信。業(yè)務(wù)信息安全應(yīng)由用戶確定主體/客體關(guān)系，制定訪問控制策略，實現(xiàn)控制流程安全。系統(tǒng)服務(wù)安全由中心負責(zé)計算資源可信保障，還要對訪問實體和操作環(huán)境進行可信驗證，確保服務(wù)安全可信?？尚艆^(qū)域邊界驗證用戶請求和連接的計算資源可信?？尚磐ㄐ啪W(wǎng)絡(luò)確保用戶服務(wù)通信過程的安全可信。

安全管理中心（如圖16所示）分工與傳統(tǒng)的信息系統(tǒng)有所區(qū)別，系統(tǒng)管理以云中心為主，保證資源可信；安全（策略）管理以用戶為主，負責(zé)安全可信策略制訂和授權(quán)；審計管理以云中心和用戶協(xié)同處理，負責(zé)應(yīng)急和追蹤處置。

圖15 云計算可信安全架構(gòu)

圖16 云計算可信安全架構(gòu)中的安全管理中心

圖17 可信云計算資源組成

圖17概要表達了可信云計算所需的有關(guān)資源及相互連接關(guān)系。云計算中心（環(huán)境）由大量的宿主機節(jié)點（集群）組成計算資源，為了充分發(fā)揮基礎(chǔ)軟硬件資源作用，采取虛擬化資源調(diào)度管理，虛擬機管理器（VMM）按用戶服務(wù)的需求，分配必要的計算資源，創(chuàng)建、就緒、運行虛擬機（VM）（虛擬計算節(jié)點），當(dāng)服務(wù)完成后終止虛擬機，收回資源，再分配給其他服務(wù)的虛擬機使用。這樣形成了無數(shù)個動態(tài)的虛擬機映射使用宿主機群的基礎(chǔ)（物理）計算資源的體系架構(gòu)?？尚旁朴嬎慵纫ＷC基礎(chǔ)計算資源的可信，也要保證虛擬機資源和運行的可信，于是產(chǎn)生了虛擬可信根和虛擬機安全可信機制要求。當(dāng)然，安全可信機制要求由管理中心制訂的策略而定。

云計算邊界平臺一般由計算中心的前置處理機組成，可信云計算邊界平臺要把前置處理機設(shè)計成安全可信的計算環(huán)境，只不過規(guī)模小一些。由可信根支撐下的可信軟件基實施邊界處理的安全可信檢測，按管理中心制訂的安全策略進行安全可信驗證。

可信通信網(wǎng)絡(luò)由交換機、路由器等設(shè)備組成，因此由計算機軟硬件實現(xiàn)的通信網(wǎng)絡(luò)設(shè)備必須可信，可信根、可信軟件基和可信監(jiān)管是不可缺少的。

圖18 大數(shù)據(jù)可信安全架構(gòu)

3.2.2 大數(shù)據(jù)環(huán)境安全架構(gòu)

數(shù)據(jù)是對客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進行記載的符號集合，含數(shù)字、文字、圖形、聲音、視頻等各種集合。如今信息化時代，人類活動數(shù)據(jù)化，數(shù)據(jù)是社會資源，尤其是數(shù)量爆炸，形成大數(shù)據(jù)環(huán)境。

大數(shù)據(jù)是指無法用現(xiàn)有的軟件工具進行處理的海量復(fù)雜的數(shù)據(jù)集合，具有多源異構(gòu)、非結(jié)構(gòu)化、低價值度、快速處理等特點。“大數(shù)據(jù)是鉆石礦”，相當(dāng)于數(shù)據(jù)廢品和垃圾收集處理，來從中發(fā)掘知識和本質(zhì)規(guī)律。大數(shù)據(jù)是數(shù)據(jù)科技發(fā)展的必然階段，也是追求發(fā)展的過程：數(shù)字參數(shù)=>文件系統(tǒng)=>關(guān)系數(shù)據(jù)庫=>數(shù)據(jù)倉庫=>大數(shù)據(jù)=>……。

大數(shù)據(jù)階段，安全問題也與之前大不一樣了。就傳統(tǒng)數(shù)據(jù)本身是精確結(jié)構(gòu)化的，其丟失、損壞等有可能造成系統(tǒng)性破壞。在大數(shù)據(jù)環(huán)境下采用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段對分布于網(wǎng)絡(luò)中異構(gòu)海量數(shù)據(jù)進行映射、歸納處理。所涉及的網(wǎng)絡(luò)環(huán)境、計算平臺、存儲等載體，分屬不同的信息系統(tǒng)，處理全過程涉及網(wǎng)絡(luò)空間資源安全，因而加劇了網(wǎng)絡(luò)空間中防御與攻擊的不對稱性。面對這種新形勢下的安全問題，傳統(tǒng)的信息安全防護措施多集中在“封堵查殺”層面，難以應(yīng)對大數(shù)據(jù)時代的信息安全挑戰(zhàn)。因此，要堅持積極防范，構(gòu)建基于等級保護的大數(shù)據(jù)縱深防御防護體系架構(gòu)。大數(shù)據(jù)處理系統(tǒng)大多是基于云計算平臺實現(xiàn)數(shù)據(jù)各種環(huán)節(jié)的梳理計算，也可分為業(yè)務(wù)信息處理和系統(tǒng)服務(wù)保障來定安全等級，應(yīng)該按（GB/T 25070—2010更新版）進行設(shè)計安全架構(gòu)。大數(shù)據(jù)可信安全架構(gòu)如圖18所示，數(shù)據(jù)采集源通過多方式采集數(shù)據(jù)，如通過搜索引擎扒數(shù)據(jù)等。形成特殊的文件系統(tǒng)或數(shù)據(jù)倉庫，在采集過程中，要經(jīng)過可信網(wǎng)絡(luò)通信簡易協(xié)議進行數(shù)據(jù)匯集存儲，這也就是大數(shù)據(jù)和傳統(tǒng)數(shù)據(jù)交互的改變，用非傳統(tǒng)交互協(xié)議對采集的數(shù)據(jù)進行打包。打包的數(shù)據(jù)送到可信計算環(huán)境中完成數(shù)據(jù)處理過程。第1步，數(shù)據(jù)節(jié)點要規(guī)約清理，對雜亂無章的數(shù)據(jù)進行歸納和映射，搜索數(shù)據(jù)相互的關(guān)聯(lián)，恢復(fù)結(jié)構(gòu)。第2步，計算節(jié)點變換挖掘發(fā)現(xiàn)數(shù)據(jù)的內(nèi)部聯(lián)系，分析評估出有價值的分類，形成特殊的數(shù)據(jù)倉庫。目的是達到可信應(yīng)用的知識表達、共享交易，也就是從數(shù)據(jù)中發(fā)掘知識智慧，發(fā)現(xiàn)本質(zhì)的規(guī)律，把原始的多源異構(gòu)化數(shù)據(jù)變成有價值的信息，這是傳統(tǒng)數(shù)據(jù)處理達不到的目的。

在構(gòu)建大數(shù)據(jù)應(yīng)用業(yè)務(wù)信息系統(tǒng)安全方面：一是要加強數(shù)據(jù)采集、數(shù)據(jù)匯聚、計算環(huán)境的整體防護，建設(shè)多重防護、多級互聯(lián)體系結(jié)構(gòu)，確保大數(shù)據(jù)處理環(huán)境安全可信；二是要加強處理流程控制，防止內(nèi)部攻擊，提高計算節(jié)點自我免疫能力；三是要加強高價值數(shù)據(jù)安全機制，制定安全可信訪問控制策略，梳理數(shù)據(jù)處理控制流程，建立安全可信的數(shù)據(jù)處理新模式；四是要加強技術(shù)平臺支持下的安全管理，基于安全策略，與業(yè)務(wù)處理、監(jiān)控及日常管理制度有機結(jié)合。

在大數(shù)據(jù)系統(tǒng)服務(wù)安全方面，傳統(tǒng)的數(shù)據(jù)資源處理能力已經(jīng)不適應(yīng)迅速增大的數(shù)據(jù)量級，原有的計算環(huán)境也在隨著數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)技術(shù)的發(fā)展而變化，必須構(gòu)建超大計算能力的云計算平臺。大數(shù)據(jù)計算平臺實現(xiàn)并行虛擬動態(tài)資源調(diào)度與分配，這方面系統(tǒng)服務(wù)的安全與云計算中的系統(tǒng)服務(wù)安全要求一樣。因此，以可信、可控、可管為目的構(gòu)建大數(shù)據(jù)等級保護技術(shù)框架，按我國網(wǎng)絡(luò)安全法的網(wǎng)絡(luò)安全等級保護制度加強大數(shù)據(jù)環(huán)境和處理過程的安全保障能力，是解決大數(shù)據(jù)安全的唯一出路。

圖19 工業(yè)控制系統(tǒng)的三重防御多級互聯(lián)技術(shù)架構(gòu)

3.2.3 工業(yè)控制系統(tǒng)可信安全架構(gòu)

工業(yè)控制系統(tǒng)（ICS）是對多種控制系統(tǒng)的總稱，典型形態(tài)包括監(jiān)控與數(shù)據(jù)采集（SCADA）、分布式控制系統(tǒng)（distributed contro l system,DCS）、過程控制系統(tǒng)（p rocess contro l system,PCS）、可編程邏輯控制器（PLC）和應(yīng)急管理系統(tǒng)( em ergency m anagem ent system, EMS)等。普遍應(yīng)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域。相對于一般的信息系統(tǒng)，工業(yè)控制系統(tǒng)具有實時性通信、系統(tǒng)不允許重啟、人和控制過程安全、加入安全功能后不影響控制流程、通信協(xié)議多種多樣、設(shè)備不易更換且生命周期為15～20年等特殊要求。傳統(tǒng)的“封堵查殺”安全防護技術(shù)難以解決工控系統(tǒng)安全問題，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)是依托網(wǎng)絡(luò)技術(shù)，將控制計算節(jié)點構(gòu)建成為工業(yè)生產(chǎn)過程控制的技術(shù)環(huán)境，是屬于等級保護信息系統(tǒng)范圍。

基于以上幾點，可信計算技術(shù)能更好地解決工控安全問題，通過實施可信保障的安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級互聯(lián)技術(shù)框架，能夠達到主動免疫的防護效果，滿足等級保護要求。工業(yè)控制系統(tǒng)的三重防御多級互聯(lián)技術(shù)框架如圖19所示：

可信計算環(huán)境由可信計算節(jié)點組成，使應(yīng)用系統(tǒng)在可信計算資源支持下安全運行，確?，F(xiàn)場控制、生產(chǎn)監(jiān)控調(diào)度、企業(yè)管理過程的安全可信?？尚艖?yīng)用區(qū)域邊界子系統(tǒng)通過對進入和流出計算環(huán)境的信息流進行可信度量和安全檢查，確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界。可信通信網(wǎng)絡(luò)子系統(tǒng)通過對通信對象的可信驗證，并對通信數(shù)據(jù)包的保密性和完整性進行保護，確保其在傳輸過程中不會被非授權(quán)竊聽和篡改，確保通信雙方準確可信，與區(qū)域邊界結(jié)合，實現(xiàn)可信接入。安全管理中心是對工控系統(tǒng)的計算環(huán)境、應(yīng)用區(qū)域邊界和通信網(wǎng)絡(luò)上的安全機制實現(xiàn)統(tǒng)一安全可信管理的人機操作平臺。內(nèi)部又分為系統(tǒng)資源管理、安全控制和審計3部分?？尚殴芾硎侵笇﹃P(guān)鍵資源可信度量策略和基準庫進行管理。

3.2.4 物聯(lián)網(wǎng)可信安全架構(gòu)

物聯(lián)網(wǎng)將傳感、通信和信息處理整合成網(wǎng)路系統(tǒng)。把物品與互聯(lián)網(wǎng)連接起來，實現(xiàn)智能化識別、定位、跟蹤監(jiān)控和管理。物聯(lián)網(wǎng)主要由感知計算環(huán)境、應(yīng)用計算環(huán)境和網(wǎng)絡(luò)通信環(huán)境組成。物聯(lián)網(wǎng)組成架構(gòu)如圖20所示，物聯(lián)網(wǎng)感知和應(yīng)用計算域都由完成計算任務(wù)的計算環(huán)境和連接網(wǎng)絡(luò)通信域的區(qū)域邊界組成。

圖20 物聯(lián)網(wǎng)組成架構(gòu)

物聯(lián)網(wǎng)運用大量感知節(jié)點（智能設(shè)備和傳感器），將成為竊取情報、盜竊隱私的攻擊對象。計算傳感節(jié)點可信是基礎(chǔ)，龐大節(jié)點以集群方式連接將對網(wǎng)絡(luò)通信的依賴更加敏感，對分布式的物聯(lián)網(wǎng)核心網(wǎng)絡(luò)的管理平臺安全性、可信性要求更高。另外，物聯(lián)網(wǎng)對數(shù)據(jù)傳輸?shù)陌踩院蜕矸菡J證的可信性提出了更高的要求。2016年10月21日美國東海岸網(wǎng)絡(luò)的大面積癱瘓，就是大量的攝像頭做肉雞進行的DDoS攻擊。

可信計算技術(shù)同樣可以更好地解決物聯(lián)網(wǎng)安全問題，和工業(yè)控制系統(tǒng)的可信安全解決方案相似，通過實施可信保障的安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級互聯(lián)技術(shù)框架，達到主動免疫的防護效果。物聯(lián)網(wǎng)可信安全架構(gòu)如圖21所示：

圖21 物聯(lián)網(wǎng)可信安全架構(gòu)

可信計算環(huán)境一般由對物聯(lián)網(wǎng)系統(tǒng)感知和應(yīng)用的信息進行存儲、處理及實施安全策略的相關(guān)部件組成?？煞譃閼?yīng)用服務(wù)軟件、計算節(jié)點平臺和基礎(chǔ)設(shè)施3部分。可信區(qū)域邊界實施安全策略控制下的物聯(lián)網(wǎng)系統(tǒng)的計算環(huán)境之間以及與通信網(wǎng)絡(luò)之間可信連接?？尚磐ㄐ啪W(wǎng)絡(luò)實施安全策略控制下的物聯(lián)網(wǎng)系統(tǒng)的計算環(huán)境之間的安全信息傳輸。安全管理中心對物聯(lián)網(wǎng)系統(tǒng)的計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)實現(xiàn)統(tǒng)一安全可信管理。內(nèi)部又分為系統(tǒng)資源管理、安全控制和審計3部分。

3.2.5 區(qū)塊鏈安全架構(gòu)

區(qū)塊鏈是一種利用密碼學(xué)技術(shù)，將系統(tǒng)內(nèi)有效交易進行編碼的可附加賬本。且滿足每次交易必須有效，系統(tǒng)必須對數(shù)字資產(chǎn)的歸屬達成共識和過往歷史不能篡改。簡單來講，區(qū)塊鏈是一種共享的分布式數(shù)據(jù)庫，記錄各方都認定的交易數(shù)據(jù)，增強透明度和安全性，并且能提高處理效率。去中心化沒有人工干預(yù)，但是依賴于密碼加密驗證的技術(shù)，這個技術(shù)使得交易數(shù)據(jù)塊連起來，來表達交易的過程，形成一個鏈，就是區(qū)塊鏈。

區(qū)塊鏈的安全與其他重要信息系統(tǒng)等同，它由網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、系統(tǒng)平臺層、資產(chǎn)交互層、行業(yè)應(yīng)用層組成。區(qū)塊鏈安全風(fēng)險在于網(wǎng)絡(luò)傳輸，計算節(jié)點基礎(chǔ)軟硬件、開發(fā)的業(yè)務(wù)軟件、工作量證明算法以及密碼部件和密鑰等存在大量的安全缺陷被攻擊所利用，在業(yè)務(wù)應(yīng)用信息安全方面保證交易有效、達成共識，必須確保資產(chǎn)交互和行業(yè)應(yīng)用安全可信，在系統(tǒng)服務(wù)資源安全方面要做到不能篡改、不能中斷，必須確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)平臺安全可信。區(qū)塊鏈本身的安全性，是用密碼來保證交易過程不能導(dǎo)致篡改，確保分布式數(shù)據(jù)庫賬本公開透明可信。但是系統(tǒng)如果共建以后，系統(tǒng)安全是一樣的無法保障，必須構(gòu)建安全可信的體系架構(gòu)。

區(qū)塊鏈是公開、透明、公共的交易賬本，去中心化的傳統(tǒng)人工處理，顯然是計算機數(shù)據(jù)處理系統(tǒng)，因此為保證數(shù)據(jù)和處理過程安全可信，必須用主動免疫可信計算技術(shù)以有效保護區(qū)塊鏈業(yè)務(wù)信息的應(yīng)用安全。在計算資源系統(tǒng)服務(wù)可信方面，必須實現(xiàn)區(qū)塊鏈計算過程不被惡意干擾，主動免疫防止惡意攻擊。在交易數(shù)據(jù)可控方面，應(yīng)做到比特幣等區(qū)塊鏈數(shù)據(jù)能夠安全可信存儲與傳輸。在交易過程可管方面，確保交易過程真實可信，不可偽造，可信共管。安全可信區(qū)塊鏈組成如圖22所示：

圖22 安全可信區(qū)塊鏈組成

系統(tǒng)管理平臺安全開發(fā)組為可信的硬件、軟件和安全策略提供度量基準值。安全服務(wù)商為區(qū)塊鏈計算環(huán)境提供可信保障策略。大量的區(qū)塊鏈計算節(jié)點向區(qū)塊鏈審計平臺提供可信報告，可根據(jù)可信報告確定區(qū)塊鏈的異常情況，及時處理。只有基于可信計算技術(shù)構(gòu)建出的安全可信的保障體系才能保證區(qū)塊鏈健康的發(fā)展。

4 結(jié)束語

面臨日益嚴峻的國際網(wǎng)絡(luò)空間形勢，我們要立足國情，創(chuàng)新驅(qū)動，解決受制于人的問題。堅持縱深防御，用可信計算3.0構(gòu)建網(wǎng)絡(luò)空間安全主動免疫保障體系，筑牢網(wǎng)絡(luò)安全防線，為把我國建設(shè)成為世界網(wǎng)絡(luò)安全強國而努力奮斗！