《國家網(wǎng)絡空間安全戰(zhàn)略》中提出的戰(zhàn)略任務是“夯實網(wǎng)絡安全基礎”，并強調(diào)“加快安全可信產(chǎn)品推廣引用”，而安全可信這個詞用的不多。為什么我們要用這個詞呢？我們首先要有科學的網(wǎng)絡安全觀來理解法律安全可信。

用科學的網(wǎng)絡安全觀

理解法律安全可信

網(wǎng)絡安全現(xiàn)在是一級學科，有重大基礎理論問題。我們的網(wǎng)絡空間面臨著極大的安全威脅，現(xiàn)在網(wǎng)絡是資產(chǎn)，是財富，因此黑客利用病毒來謀取財富，勒索金錢，欺詐欺騙。網(wǎng)絡空間是基礎設施，現(xiàn)在說國家主權，霸權國家，組建網(wǎng)絡司令部，打網(wǎng)絡戰(zhàn)，通過網(wǎng)絡侵占國家，控制國家的主權，面對這樣的問題我們有能力對抗嗎？沒有。

第一，我們的計算科學出了問題，以前沒有攻防理念。比如說世界計算水平突破500，中國好幾年第一，計算設備沒有理念去防護。當然了，從計算角度可以，但是從網(wǎng)絡空間這個角度就不行了。

第二，我們的安全防護部件缺失了。在工程應用上無安全服務，這么大的缺失，我們該怎么辦？我們要認識這個風險是極大的，原因何在？原因是科學問題，我們對IT的認知邏輯是局限的。軟件邏輯組合是發(fā)散的，計算機軟件不可能沒有bug出現(xiàn)?；诖耍覀冎荒芫窒抻诎延嬎闳蝿沼嘘P的邏輯組合起來去設計這個IT系統(tǒng)。所以我們必定存在邏輯不全的缺陷。那么再講到我們沒有攻防理念，沒有防的邏輯，所以難以應對人為利用這個缺陷進行的攻擊，所以有這樣的邏輯缺陷，去尋找這個邏輯缺陷，變成漏洞，注入惡意代碼，進行攻擊，這是風險的實質(zhì)。

那么怎么辦呢？我們不能和以前一樣去找漏洞，堵漏洞，打補丁，應該從正面的思維、從正確的邏輯驗證、計算體系結構、計算模式等方面去科學地創(chuàng)新，解決邏輯缺陷，不被攻擊，這就是矛盾的統(tǒng)一體。

確保計算任務邏輯組合不被篡改和破壞，實現(xiàn)正確計算是我們正確的網(wǎng)絡安全目標。不是說要建設得刀槍步入，銅墻鐵壁，這是不可能的。我們要降低風險，就是確保我們原來設計的IT系統(tǒng)能完成任務。世界應該達成共識，2005年美國提出來不解決問題，重新規(guī)劃發(fā)展的規(guī)劃，我們要構建主動免疫的計算架構。

構建主動免疫的計算架構

主動免疫的計算架構是什么呢？是指計算機運算的同時進行安全防護，計算全程可測可控，不被干擾，使計算結果與預期的一樣。這樣就改變了片面的只講計算效率，從矛盾的統(tǒng)一體，正反兩方面都要考慮，最終構建和計算并存的主動免疫的計算模式。人的健康生活是靠免疫系統(tǒng)支撐的，1990年開始我就研究免疫系統(tǒng)用于計算機安全，并發(fā)現(xiàn)這是非常奇妙的?；蚰馨焉矸葑R別植入其中，進來以后它破壞不了這個集體，應用密碼技術來保護重要的信息，這指的不是數(shù)字密碼，而是身份編碼。因此我們按照以密碼為基因，識別自己和非自己的成分，從而破壞與排斥進入集體的有害物質(zhì)，相當于為計算信息系統(tǒng)培育免疫能力。

這樣我們才能解決云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)這樣復雜的安全系統(tǒng)，因為我們有這樣主動可信的系統(tǒng)能夠保證體系結構、資源配置、操作行為、數(shù)據(jù)存儲可信不被人家破壞，同時這種策略也不會變異，這樣能構成安全管理中心支持下的三重防御體系。而這三重防御體系一個是要保證我們的計算環(huán)境，因為資源財富都在計算環(huán)境中，當然邊界也很重要，我們有科學合理的高邊界。這是很形象的，就像警衛(wèi)員和保安員一樣，要能精確到是誰，要干什么，有問題保安來解決，這就是我們國家等級保護的邊界要求。通信安全大家都可以理解，我們用密碼技術來進行身份驗證。通信過程中通過密碼保障傳輸，為了防止篡改調(diào)包我們開始運用密碼技術來保證通信的可信安全。我們的計算機系統(tǒng)等于“保衛(wèi)處”一樣，我們在計算機安全里面叫訪問控制。而對于安全控制管理的過程，我們叫安全的策略管理，簡稱叫安全管理。

可信計算3.0

在我國剛開始不叫可信計算，我們?yōu)榱吮Ｗo核心機密，用體系結構進行保護。主動免疫的綜合防護系統(tǒng)逐漸融合形成了自主創(chuàng)新的可信體系，我們叫3.0。那么創(chuàng)新何在呢？我們更主要的是體系創(chuàng)新，體系的創(chuàng)新不是隨便說的， 2005年開始到2010已經(jīng)起草形成了9個國家安全標準，5個軍隊標準，從可信根底到主機支撐、系統(tǒng)配套，應用可信規(guī)范了中國的可信創(chuàng)新，體系創(chuàng)新。

前面講了密碼是基因，它的創(chuàng)新是根本所在。我們的密碼安全不光是算法，更主要是密碼的實體，密碼機、密碼產(chǎn)品。我們提出了可信密碼模塊，因為它要計算，它要管理?？尚攀且凶C書認證的，我們中國叫數(shù)字證書。對人主體的可信證書，對設備科技理念的證書，我們用的中國創(chuàng)新的證書體系——雙證書，就是認證證書和獎勵證書兩張證書。

要解決產(chǎn)業(yè)的問題，我們首選要有免疫基因，密碼模塊，要有抗體，要有控制部件。CPU主板上增加一個CPU，這個CPU叫可信控制的CPU，叫可信控制模塊。原來CPU是“黨委政府”，現(xiàn)在我搞一個“紀委”并行，我們可以溝通，更重要的是我們要用軟件盤查。可信計算組織是用外部設計接口加上功能部件組成去調(diào)控的，我們相當于并行于主測試系統(tǒng)的一個控制技術軟件，相當于這里面的“巡視組”，可以獲取操作系統(tǒng)核心層的工作的闡述。

網(wǎng)絡連接也可信，我們是增加一個“巡視組”一樣的管控系統(tǒng)，以前所有的網(wǎng)絡都是請求者、連接者，怎么沒有一種可信軟件呢？我們安全的有限目標是保證能夠順利地完成計算任務的軟件不被篡改，不被改變，因此我們的軟件不要打補丁，打補丁就破壞了原來辛苦調(diào)試的邏輯，這是我們的根本所在。以前動不動搞一個接口，打補丁，這是錯誤的。還有安全設備，是按照我們確定的規(guī)律來運行的，這樣就克服了可信計算組織被動防御的局面。

不用一串代碼就能實現(xiàn)安全可信的檢查，防護，我們叫可信計算3.0，用可信計算3.0，可以擺脫受制于人的局面。我們一定堅持自主可控，安全可信，中長期發(fā)展規(guī)劃要以發(fā)展高可信網(wǎng)絡為重點。

近幾年，一些工程項目已經(jīng)開始用可信計算，比如我們的二代身份證和彩票都通過運用可信計算來防止假冒。尤其是windows操作系統(tǒng)，提出用win8，停止XP的問題。如果采購2億臺的XP，我們花多少錢呢？我們想不用采購，中國有自己的可信計算，有補丁不用打，能防止攻擊，確保安全，因此我們就實現(xiàn)了windows不采購，但是win8失敗了，win10又來了。現(xiàn)在不僅是終端，而且跑出移動終端，服務器、大數(shù)據(jù)處理都是可信版本，如果推動它的話，對我們國家安全主權形成挑戰(zhàn)，怎么辦？我們用安全審查制度。

安全審查制度

安全體系關系到三方面，第一數(shù)字征收必須本土化。第二密碼設備必須是中國的，有商業(yè)管理條例。第三可信計算必須用中國的，要達到“五可”、“一有”。“五可”是指能可控制代碼，能可編，能可重構，有可信的支撐，最重要的是它是時下最安全可用的?！耙挥小笔侵肝覀円獙χR產(chǎn)權的保護有征收功能，要深化國際響應和國際標準。

我們的中國可信計算為安全可信的產(chǎn)品和服務，以此來構建我們國家的網(wǎng)絡安全保障體系，這樣才能為我們建設網(wǎng)絡強國做出貢獻。

（本文根據(jù)沈昌祥院士在2018中國軟件產(chǎn)業(yè)年會上的演講整理而成，未經(jīng)本人確認。）