网络空间安全战略思考与启示

26.11.2014  20:05

  国家信息化专家咨询委员会委员中国工程院院士 沈昌祥

  简介:我们应积极应对网络空间新形势,加快建设我国网络安全保障体系,捍卫网络安全国家主权。

  习总书记指出,没有网络安全就没有国家安全,没有信息化就没有现代化。国际上,美国依据其霸主地位制定规则,在网络空间安全上占据绝对优势,给我国的网络空间安全提出了严峻的挑战。

  一、美国网络空间安全战略启示

  (一)美国将网络空间安全由“政策”、“计划”提升为国家战略

  美国在网络空间战略是一个认识发展的过程。首先是1998年发布的第63号总统令《克林顿政府对关键基础设施保护的政策》(PDD63),紧接着2000年发布了《信息系统保护国家计划v1.0》。布什政府在2001年911事件后马上发布的第13231号行政令《信息时代的关键基础设施保护》,并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责国家的网络空间安全工作。并研究起草国家战略,于2003年2月正式发布《保护网络空间的国家战略》,又于2008年发布机密级的第54号国家安全总统令,设立“综合性国家网络安全计划”,该计划以“曼哈顿”(二战研制原子弹)命名,具体内容以“爱因斯坦”一、二、三组成,目的是全面建设联邦政府和主要信息系统的防护工程,建立全国统一的安全态势信息共享和指挥系统。

  (二)美国网络空间安全战略进一步完善

  2008年4月,布什总统发布了《提交第44届总统的保护网络空间安全的报告》,建议美国下一届政府如何加强网络空间安全。

  2009年2月,奥巴马政府经过全面论证后,公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》报告,将网络空间安全威胁定位为“举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“数字基础设施将被视为国家战略资产,保护这一基础设施将成为国家安全的优先事项”,全面规划了保卫网络空间的战略措施。

  2009年6月,美国国防部长罗伯特.盖茨正式发布命令建立美国“网络空间司令部”以统一协调保障美军网络安全和开展网络战等军事行动。该司令部隶属于美国战略司令部,编制近千人,2010年5月,美国网络司令部正式启动工作。

  (三)网络空间国际和战争战略

  2011年5月,美国白宫网络安全协调员施密特发布了美国《网络空间国际战略》,其战略意图明显,即确立霸主,制定规则,谋求优势,控制世界;同年7月,美国国防部发布《网络空间行动战略》,提出5大战略措施,用于捍卫美国在网络空间的利益,使得美国及其盟国和国际合作伙伴可以继续从信息时代的创新中获益。

  2012年10月,奥巴马签署《美国网络行动政策》(PDD21),在法律上赋予美军具有进行非传统作战权力,明确从网络中心战扩展到网络空间作战行动等。

  2013年2月,奥巴马发布第13636号行政命令《增强关键基础设施网络安全》,明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。

  2013年4月,奥巴马向国会提交《2014财年国防预算优先项和选择》提出至2016年整编成133支网络部队,其中国家任务部队68支,作战任务部队25支,网络防御部队40支。

  2014年2月,美国国家标准与技术研究所针对《增强关键基础设施网络安全》提出《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并按网络安全风险程度不同分为四个等级,组织风险管理进程。

  不仅美国紧锣密鼓执行网络空间国际和战争战略,最近颁布的北约网络空间安全框架表明,目前世界上有一百多个国家具备一定的网络战能力,公开发表网络安全战略的国家达56家之多。

  由此可见,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进。这对我国网络安全提出了严峻的挑战,我们应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。

  二、构建主动防御的技术保障体系

  (一)可信免疫的计算体系结构

  现在使用的计算机体系结构在设计时只追求计算速度并没有考虑安全因素,如系统任务难以隔离、内存无越界保护等,这直接导致了网络化环境下的计算服务存在大量安全问题,如源配置可被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击、非法接管系统管理员权限等。

  可信计算是信息科学发展的结果,是一种新的可信免疫计算模式。可信计算采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。

  对比当前大部分网络安全系统,其主要是由防火墙、入侵监测和病毒防范等组成,称为“老三样”。形象的说,这些消极被动的封堵查杀治标不治本,而可信计算实现了计算机体系结构的主动免疫,与人体免疫一样,能及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质,使有缺陷和漏洞不被攻击者利用。

  云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境等新型信息技术应用都需要可信免疫体系作为其基础支撑。构建可信安全管理中心支持下的三重防护框架能够保障体系结构,确保操作行为、资源配置、数据存储盒策略管理的可信,达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果,如果有可信机制,“震网”、“火焰”、“心脏滴血”等恶意代码可不杀自灭。

  (二)中国可信计算技术创新

  中国可信计算于1992年正式立项研究并规模应用,早于国际可信计算组织(TCG,2000年成立)。

  研究TCG可信计算方案发现其体系存在的问题有:(1)密码体制的局限性:TCG公钥密码算法只采用了RSA,杂凑算法只支持SHA1系列,回避了对称密码,由此导致密钥管理、密钥迁移和授权协议的设计复杂化,也直接威胁着密码的安全;(2)体系结构不合理:TCG的TPM外挂调用是一种被动体系结构,无法执行动态主动度量。

  中国可信计算经过长期攻关,不仅解决了TCG的上述问题,还形成了自主创新的体系,其创新点包括:

  (1)可信计算平台密码方案创新

  采用国家自主设计的算法,提出了可信计算密码模块(TCM),以对称密码与非对称密码相结合体制,提高了安全性和效率;采用双证书结构,简化证书管理,提高了可用性和可管性。

  (2)可信平台控制模块创新

  提出了可信平台控制模块(TPCM),TPCM作为自主可控的可信节点植入可信源根,在TCM基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;TPCM先于CPU启动并对BIOS进行验证,由此改变了TPM作为被动设备的传统思路,实现了TPCM对整个平台的主动控制。

  (3)可信主板创新

  在可信平台主板中增加可信度量节点(TPCM+TCM),构成了宿主加可信的双节点,实现到操作系统的信任传递,为上层提供可信硬件环境平台;对外设资源实行总线级的硬件可信控制,在CPU上电前TPCM主动对BootROM进行度量,使得信任链在“加电第一时刻”开始建立;并利用多度量代理建立信任链,为动态和虚拟度量提供支撑。

  (4)可信基础支撑软件创新

  采用宿主软件系统+可信软件基的双系统体系结构,,可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,对宿主软件系统提供主动可信度量、存储、报告等保障。

  (5)可信网络连接创新

  采用基于三层三元对等的可信连接架构,进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别;对三元集中控管,提高架构的安全性和可管理性;并对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。

  (三)解决核心技术受制于人问题

  (1)中国可信计算产业化条件具备。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,“十二五”规划有关工程项目都把可信计算列为发展重点,可信计算标准系列逐步制定,研究制定单位达40多家,参加人员达400多,标准的创新点都作了技术验证,申报专利达40多项。不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并在国家电网调度等重要系统中得到了有效的应用。2014年4月16日,成立了中关村可信计算产业联盟,大力推进产业化、市场化。

  (2)为全面替代国外产品打基础。2014年4月微软公司停止对WindowsXP的服务支持,全国约2亿台运行XP操作系统的终端将面临无人服务的局面;而Windows8和Vista(2006年政府明确不采购)是同类架构,升级为Windows8不仅耗费巨资,还会失去安全控制权和二次开发权。利用自主创新的可信计算加固XP系统可以方便的把现有设备升级为可信计算机系统,以可信服务替代打补丁服务,应用系统不用改动,便于推广应用。

  同时,在我国实施国产化替代战略的过程中,可信防护体系全面支持国产化的硬件、软件,尽管国产化产品存在更多的缺陷和漏洞,可信保障能使得缺陷和漏洞不被攻击利用,确保比国外产品更安全,为国产化自主可控、安全可信保驾护航。

  面对日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。坚持纵深防御,构建牢固的网络安全保障体系,为我国建设成为世界网络安全强国而努力奋斗