4月24日����,中國(guó)工程院院士沈昌祥蒞臨上?����?匕惨暡?,上?���?匕部偨?jīng)理蒲戈光、首席運(yùn)營(yíng)官劉毅、技術(shù)總監(jiān)劉虹陪同接待�����。沈院士在指導(dǎo)平臺(tái)工作的同時(shí)��,更為上??匕驳男』锇檫M(jìn)行了一場(chǎng)網(wǎng)絡(luò)安全培訓(xùn),讓我們受益匪淺����。
沈院士聽(tīng)取平臺(tái)發(fā)展情況
絕對(duì)的安全并不存在,
傳統(tǒng)防御思路對(duì)整體安全非常不利
沈院士的培訓(xùn)從近年頻繁發(fā)生的Mirai��、WannaCry等網(wǎng)絡(luò)安全事件談起�����,強(qiáng)調(diào)網(wǎng)絡(luò)威脅是永遠(yuǎn)的主題���,對(duì)網(wǎng)絡(luò)空間產(chǎn)生著極大的威脅�����;由于設(shè)計(jì)IT系統(tǒng)不能窮盡所有的邏輯組合�,必定會(huì)存在邏輯不全的缺陷,因此絕對(duì)的安全不存在�,也沒(méi)有所謂“刀槍不入”的體系。
“目前我們還沒(méi)有能力面對(duì)強(qiáng)大的攻擊源����,從計(jì)算科學(xué)問(wèn)題來(lái)看,圖靈計(jì)算模型仍缺少攻防理念��;從體系結(jié)構(gòu)問(wèn)題來(lái)看���,馮諾依曼架構(gòu)還缺少防護(hù)部件;從計(jì)算模式問(wèn)題來(lái)看��,目前重大工程應(yīng)用又沒(méi)有安全服務(wù)�����;殺病毒�、防火墻、入侵檢測(cè)這些傳統(tǒng)“老三樣”防御方式早已過(guò)時(shí)�����,難以應(yīng)對(duì)人為攻擊�,而且容易被攻擊者利用��,找漏洞���、打補(bǔ)丁的傳統(tǒng)思路對(duì)整體安全非常不利?���!?/span>
沈院士為上海控安進(jìn)行培訓(xùn)
離開(kāi)“封堵查殺”���,
以“主動(dòng)免疫”保障網(wǎng)絡(luò)安全
傳統(tǒng)的防御方式并不提倡����,沈院士提出企業(yè)需要有“主動(dòng)免疫”意識(shí)��,建立“主動(dòng)免疫”安全目標(biāo)����,來(lái)確保計(jì)算任務(wù)能夠正確完成,邏輯組合不被篡改和破壞��。
“建立主動(dòng)免疫的計(jì)算架構(gòu)����,就相當(dāng)于人體自身的免疫系統(tǒng)��,以密碼為基因��,實(shí)施身份識(shí)別����、狀態(tài)度量��、保密存儲(chǔ)等功能�����,及時(shí)識(shí)別“自己”和“非己”的成分�,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì),相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力�����?��!?/span>
沈院士表示,安全要講體系���,應(yīng)當(dāng)構(gòu)建可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)體系���。首先���,一個(gè)單位要保障對(duì)外部的安全,現(xiàn)在計(jì)算機(jī)已經(jīng)代替了手工作業(yè)�,搭建可信的計(jì)算環(huán)境就很關(guān)鍵,計(jì)算環(huán)境相當(dāng)于工作環(huán)境����,安全保密是第一位需要考量的因素;其次是構(gòu)建可信邊界���,相當(dāng)于“警衛(wèi)室”��,只有被批準(zhǔn)的才允許進(jìn)入和離開(kāi)�����;第三是搭建可信網(wǎng)絡(luò)通信�����,類似“安全快遞”���,確保內(nèi)容不會(huì)被人偷看��,也不會(huì)被人篡改掉包����。
“主動(dòng)免疫安全防護(hù)的效果體現(xiàn)在:讓攻擊者“進(jìn)不去”���、非授權(quán)者重要信息“拿不到”���、竊取保密信息“看不懂”、系統(tǒng)和信息“改不了”�、系統(tǒng)工作“癱不成”、攻擊行為“賴不掉”����。”
中國(guó)可信計(jì)算的革命:網(wǎng)絡(luò)安全主動(dòng)防御時(shí)代
談到可信計(jì)算的發(fā)展�����,沈院士介紹到����,可信計(jì)算是源于1992年所立項(xiàng)的可信計(jì)算綜合安全防護(hù)系統(tǒng)����,并于1995年通過(guò)測(cè)評(píng)和鑒定�,經(jīng)過(guò)長(zhǎng)期軍民融合攻關(guān)應(yīng)用�����,形成了自主創(chuàng)新安全可信體系��。
“從面向主機(jī)的可信1.0時(shí)代��,到面向PC機(jī)的可信2.0時(shí)代����,再發(fā)展至面向網(wǎng)絡(luò)的可信3.0時(shí)代,已經(jīng)翻開(kāi)了以中國(guó)為代表的可信計(jì)算創(chuàng)新篇章���,也奠定了計(jì)算科學(xué)�����、體系結(jié)構(gòu)發(fā)展的里程碑�?!?/span>
當(dāng)前,可信計(jì)算3.0產(chǎn)業(yè)鏈已經(jīng)形成����,自主可信計(jì)算平臺(tái)產(chǎn)品設(shè)備有三種形態(tài):系統(tǒng)重構(gòu)可信主機(jī)�����、主板標(biāo)配PCI可信控制卡和配接USB可信控制模塊�。也就是說(shuō)����,可以方便地通過(guò)可信網(wǎng)絡(luò)支撐平臺(tái)把現(xiàn)有設(shè)備升級(jí)為可信計(jì)算機(jī)系統(tǒng),而應(yīng)用系統(tǒng)不用改動(dòng)����,便于新老設(shè)備融為一體,構(gòu)成系統(tǒng)的安全可信��。
沈院士與上?���?匕矆F(tuán)隊(duì)合影
基于可信計(jì)算的工控系統(tǒng)安全
沈院士強(qiáng)調(diào),要以科學(xué)的網(wǎng)絡(luò)安全觀����,保障工控系統(tǒng)安全����。云計(jì)算��、大數(shù)據(jù)����、工業(yè)控制����、物聯(lián)網(wǎng)等,都是通過(guò)網(wǎng)絡(luò)以服務(wù)的方式提供給用戶的計(jì)算模式���,組成新的計(jì)算環(huán)境和信息系統(tǒng)��,都必須用等級(jí)保護(hù)制度進(jìn)行安全防護(hù)體系建設(shè)�。
工業(yè)控制系統(tǒng)的安全架構(gòu)需要從監(jiān)控與數(shù)據(jù)采集�����、分布式控制系統(tǒng)���、過(guò)程控制系統(tǒng)����、可編程邏輯控制器、應(yīng)急管理系統(tǒng)等方面進(jìn)行考量��,在可信保障的安全管理中心支持下搭建計(jì)算環(huán)境���、區(qū)域邊界���、通信網(wǎng)絡(luò)三重防御多級(jí)技術(shù)的防御體系。
沈院士感慨�����,面臨日益嚴(yán)峻的國(guó)際網(wǎng)絡(luò)空間形式��,我們要以創(chuàng)新驅(qū)動(dòng)���,解決受制于人的問(wèn)題�����,要堅(jiān)持縱深防御�����,用可信計(jì)算3.0構(gòu)建網(wǎng)絡(luò)空間安全主動(dòng)免疫保障體系��,筑牢網(wǎng)絡(luò)安全防線��。同時(shí)����,沈院士也對(duì)平臺(tái)發(fā)展提出殷切希望����,希望平臺(tái)公司能夠抓住時(shí)代的機(jī)遇,以可信計(jì)算為基礎(chǔ)的�����,以創(chuàng)新精神開(kāi)創(chuàng)工控安全保護(hù)新時(shí)代�。
