沈昌祥：以自主創新、安全可信打造軟體産業新生態

　　國際在線消息：4月7日，由中國軟體行業協會主辦的2021中國軟體産業年會在北京舉行，大會以"數字經濟新時代——軟體産業賦能高品質發展"為主題，瞄準産業變革和時代發展趨勢，滌蕩思想與共識，匯聚知識與力量，展示中國軟體産業新成果。

　　大會現場，中國工程院院士沈昌祥發表題為“以自主創新、安全可信打造軟體産業新生態”的精彩演講。

　　以下為現場實錄全文：

　　沈昌祥：各位領導、各位來賓，今天跟大家交流一下，關於軟體産業的安全可信的問題。我們要講講什麼是安全可信，是科學的安全觀。剛才我聽到開源的也講了，我後面講的跟前面講的區別，等級保護怎麼做軟體。

　　如何發展安全的自主可控，按照企業産業，我們一定要關注法律。我們企業、專家、政府官員更加要注意按照法律辦事。《網絡安全法》第十六條國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網絡安全技術産業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡産品和服務，保護網絡技術知識産權，支持企業，研究機構和高等學校等參與國家網絡安全技術的創新項目。

　　《國家網絡空間安全戰略》有很多任務，其中有一條夯實網絡安全基礎的任務，強調儘快核心渠道的投入、加快安全可信産品的應用。因此要落實法律政策，制定等級保護是國家制度，所以我們新的標准將成為2.0，全面推廣使用安全可信産品和服務，構建安全保障體系。這個裏面軟體分量特別特別重。

　　對我們確實來説是一個機遇也是一個挑戰，大家可能都學過去年國務院8號文件，進一步強調加快發展積體電路和軟體産業的決定，在國家全方位採取推進的政策。

　　從科學技術上來看，因為基礎原理，一定要按照科學原理來看，不是一般的安全，而是圖靈機原理。圖靈是我們計算機的祖師爺，當時發明計算機沒有密碼，沒有人攻擊圖靈機，因此在理念上、模型上不可能考慮有攻防的理念，這是根本所在。第二個馮·諾依曼結構五個部件完成計算任務，因為當時沒有攻擊計算機，哪有需要防護部件呢？現在到處攻擊計算機系統，就相當於生一個孩子，現在智慧製造。現在孩子生下來殘疾人，殘疾到什麼程度？沒有帶免疫系統，這完了。因為前面的問題引起後面構建所謂的信息系統、網絡系統包括數字社會，全是功能的聚集、體系的堆積、無安全服務。怎麼解決呢？能解決嗎？我們説安全是永遠的命題。

　　我們設計IT系統是邏輯的設計，邏輯是發散的，不可能把所有邏輯都處理。人很聰明，把和計算有關的東西處理，沒關係的，關係不大，就那樣，這就留下一個bug，邏輯缺陷。現在攻擊就利用邏輯缺陷、完成漏洞做成惡意代碼進行攻擊，這是安全的本質，也是不可避免的，跟人體一樣，儘管再完善也有很多的缺陷，系統成天的被攻擊。

　　怎麼辦呢？以前“封堵查殺”不管用，要主動免疫安全可信，理論上講使得我們有邏輯缺陷不被攻擊者所利用，也就是我們設計能完成計算任務的邏輯組合不被破壞、不被篡改。更人體免疫一樣，要保護大腦能正常工作，這就是我們的安全可信，也是相對的安全目標。因此我們必須構建新的安全保障體系。

　　為了方便大家理解，我設了一二三四五六。

　　“一種”新計算理念、新的計算模式，一邊計算一邊防護。就像抗病毒一樣，我們以密碼為基因産生抗體實施身份識別、狀態肚量、保密存儲等功能。及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質。我90年代就用這個詞，相當於計算機信息系統、網絡系統培育免疫能力是根本的理念的改變。因此防火牆、殺病毒、打補丁、入侵檢測需要具備的不解決問題，而且走向反面，因為是長期用戶，可以用它作為網絡攻擊的入侵平臺，因為時間問題不展開説。

　　“二重”體系結構，這個圖左邊就是熟悉的計算機結構，一定要加上右邊的免疫系統，安全防護要可信的防護空間。下面是基因密碼，然後要産生抗體，免疫部件可信平臺控制模組。這樣左邊的計算機工作右邊並行的動態檢查，保證以前設計好的邏輯流程不會被改變，這就是免疫系統。我們以前黨委領導紀委工作組去檢查。現在調整以後，監察委、巡視組、被檢單位是並行的，按照黨的法律政策、紅頭文件，有左邊的策略檢查，有問題進行解決，是動態並行的。

　　“三重”防護框架，構建一個系統，不能功能堆積，要科學合理。很好理解，所有的信息系統都是現實社會的映射，因此安全問題也是現實社會的映射。這個圖給中央黨校講課也説了，一個單位的安全首先是辦公室的安全，“辦公室”相當於是網絡計算或者是説叫計算環境的安全可信。辦公室有一個辦公大樓，應該有警衛室、保安室，既要管外面的人進去誰、幹什麼的，誰批准的。又要管出去的人，幹了什麼，拿東西沒有，這才是真正的可信的。第三個是快遞，快遞很好理解，第一調包了，第二東西爛了，第三拆了以後可能是一個定時炸彈。所以三個關係必須按照可信。

　　管理很重要，一個單位一定有保衛部門，管這個單位的，我們計算機信息統籌也就是人主體、物客體，也要發出入證書的，和單位的保衛室一樣，有系統資源按照管理。第二個管理保密室，這個文件什麼級別，什麼人處理，要檢查，我們有訪問控制，也是什麼角色能訪問什麼。因此像保密室一樣有安全策略的管理。第三個監控室，安裝攝像頭，現在有審計，審計相當於攝像頭一樣，這個地方什麼時候，誰幹了什麼，形成審計系統，相當於攝像頭形成影像信息是完全一樣的。送到審計平臺，一些送到監管平臺，及時處理、留下證據可以追查，這套系統才是合理。

　　系統建成怎麼用很重要。人是第一要素，可信的人機交互太重要，我們提出“四要素”，以前是“三要素”。主體人、被訪問是客體。怎麼操作三要素，沒有網絡攻擊的情況下三要素是對的，高等級不能往低等級的流。但是攻擊情況下規則對的沒用，人可以假冒、被上傳的文件可以篡改，所以我們一定要可信保障，不能假冒、不能篡改。還有一個要素：代碼、介面，這是邏輯的要保護的對象。我們這個會場沒事，是安全的。第四個要素，代碼介面一定要可信檢查，這樣才能使得我們設計的邏輯不會被改變。

　　“五環節”全程管控。第一，風險要定級，定級以後按照定級的規則進行建設，建設以後要測評，要改進完善。系統建設以後，應用功能是動態的，所以必須定期進行檢測，消除隱患。還有一個很重要，對抗條件下信息系統很多被違法分子攻擊破壞，我們要審視。更為嚴重是網絡端對抗，我們一定要有措施、一定要有應急反應的基礎設施和手段，有反治手段、整治手段，這五個環節很重要。

　　這樣可以得到“六不”的防護效果。第一攻擊者“進不去”，進去沒用，身份不對，拿不到東西。拿到東西以後白拿，“看不懂”加密保護。我想篡改破壞“改不了”。而且大批的有備份、有恢復，因此異常情況及時發現，提高可靠性。“癱不成”，最後“賴不掉”。審計如果沒有可信手段是虛設。大家看過電影，犯罪現場抹的乾乾淨淨，我們審計系統有可信手段很簡單，兩條命令就恢復現場了，所以有可信手段是賴不掉的。不是吹牛，這樣的系統不裝殺病毒程式，也不用打補丁，國家按照病毒庫預驗證，更為嚴峻我們遇到無窮無盡的挑戰，新的病毒、新的攻擊都可以，比如説勒索病毒確實在重要系統中無效。

　　中國有東西沒有？有東西。這個東西是逼出來的，因為要解決國家的重要系統、核心繫統、密碼系統，所以1992年提出可信計算綜合安全防護系統（智慧安全卡），1995年2月底通過測評、鑒定。經過長期軍民融合攻關應用，形成了自主創新安全可信體系，開啟了可信計算3.0時代。1995年2月25日解放軍保密委員會，國家監測辦公室還沒有，對我們智慧安全卡做了嚴格的佈局性的措施，添加四條：第一的基因是密碼：對稱密碼+公鑰密碼；第二智慧控制與安全執行雙重體系結構；第三是不裝殺病毒程式，我們是環境免疫抗病毒機理。環境免疫是免疫系統真正重要的，抗癌症的免疫就是環境免疫，我們不是那麼重要的系統不能用這麼強的，叫主動免疫。第四個是數字定義規則，和應用程式代碼沒有關係，我們檢查用戶是透明的，減輕了負擔。

　　世界可信計算組織TCG，現在代表著windows8、windows10是可信，但是他們的可信沒有我們的從原理上改進，它還是全新的，接了這個可信平臺控制模組TPM，和外部識別一樣，有一個介面。這個很糟糕，在介面上可以測試頻率，就可以把密碼保密求出來，不是吹牛的。這個事情我們在並行基礎上不可能測我們，因為並行的把工作頻率和保密頻率攪在一塊分辨不出來的。果然，去年win8、win10可信TPM受側信道攻擊，危及先全球十幾億節點。1.0提出了提高可靠性，容錯處理，全是概念。因此3.0既有2.0傳統功能，也有提高可靠性功能。

　　2005年起草《國家中長期科學技術發展》已經寫上“以發展高可信網絡為重點，開發網絡安全技術及相關産品，建立網絡安全技術保障體系”。和法律一樣，不是拍腦袋，是幹出來的。大家還要回憶一下，因此在國家重要信息系統，比如説增值稅防偽、彩票防偽、福利彩票、二代居民身份證多少票據，篡改成功有沒有？假冒有沒有，什麼原因？我們系統上安全可信主動免疫。因此按照可信成為法律、戰略是理所當然、行之有效的。

　　我們20多年軟體發展，CPU是可信的多核的。以前所有都是並行計算核，現在我們計算核裏面分出來並行的可信核，並行計算和過程保障，可信並行檢查。

　　這個照片是去年10月28日國家成立等級保護2.0與可信計算3.0攻關示範基地的樣品，因此我們構成完整的可信商業體系，伺服器、移動終端，各種外部設備是印表機，圖靈機是計算機化的，可信以後根本上改變這個問題，已經到這個程度了，希望大家一定要安裝可信的，這裡面大量是軟體。

　　五大核心技術已經被人家拿走：密碼、序列，另外是雙節點的X86，第四是基於可信平臺主動下載安裝的，win10是一樣的，win8不是這樣的。第五是動態感知，卡巴斯基宣佈不再殺病毒為主，搞免疫網絡、網絡免疫，和我們的做法是一樣的。

　　我們堅持著安全可信，這是裏面建設的“五、三、一”原則，開源軟體一定有用，但必須有“五、三、一”原則。

　　“五”開發的軟體，引進的軟體要心裏有數，不能盲從。可編，要基於原代碼的理解，就自主編寫代碼。過程要可重構，性能提升要可信保障，我們改了以後，可能會引起新的信息根本安全，我們按照可信主動免疫，可信計算保障，使得我們國産化真正落地，保駕護航。可用，我們一般國産化軟體做的不太好用，可信上一定要下功夫。

　　“三”堅持三條基本原則：可信計算要用中國的；數字證書要用中國的；密碼基因要有中國基因。很有用，國家的有關法律規定，《安全法》《密碼法》等等都有。

　　“一”要有實際的採取，不能空談。我們要真正解決問題，要走出國門，要成為世界的品牌。

　　我們有東西，安全可信構建保障體系就是等級保護，這是對我們發展安全可信對軟體産業是極好的機遇。

　　這個裏面主要體現，第一等級是基本軟體可信，預裝程式不能篡改、作業系統不能篡改軟體。二級應用軟體可信，現在APP都是這樣的。怎麼治理？只有安全可信治理，APP前面要驗證誰都改不了，這樣可以解決安全可信二級。三級在一二級基礎上動態並行檢查，實時發現問題。四級是嚴加排查，形成態勢感知。要解決態勢感知馬後炮的問題，我們全國的省市連起來以後，至少分級能解決出現信用問題。

　　案例很多，電網現在世界上都有問題，我們有嗎？其實我們10年前發改委有令利用安全可信實現電網調度控制系統幾十個省以上多中央，安全可信保證長期的供電問題。

　　第一有檢查，效率怎麼樣，我們是並行的效率問題不大。實時調度系統，全國電網秒級都不能延時的，我們做到了。第二，管用嗎？有一些做過實驗吹牛了，我們不是，我們是實打實的。第三，方便不方便，做起來不好做，恰恰相反，我們前面講的原理，不改代碼。供電調度系統一個系統代碼400多萬行，你們改的了嗎？他們改一條要重新考核、測試，改不起。一條沒有改。第四成本怎麼樣，防火牆也很貴，殺病毒很賺錢的，幾百兆的病毒庫有程式安裝的，多少錢？不用了。現在可信的CPU核裏面，一個核多少成本投入呢？1萬塊人民幣一個核，不是給大家降低成本、效率高、利潤空間大了，給大家發現機會。

　　下面講5G，5G是安全軟體定義，是三個層次：基站，200、300米一個基站，北京市至少幾百萬個基站才能5G覆蓋。問題是軟體定義的。邊緣計算、後臺核心網雲計算，都軟體定義虛擬化的，而且是動態的。怎麼解決？只有安全可信才能解決，全世界都困惑，防火牆往哪裝，殺病毒怎麼裝，那個裝的完嗎？這個圖就可以主動免疫解決5G三個層面的安全問題，基站很重要，因為基站是軟體已經固化，所以我們策劃也有一些變化。邊緣計算，後臺雲計算安全可信，等級保護有硬性要求，我們自己啟動的不太快，現在産業化落實還有一些距離，希望大家往這邊做。不能光拿軟體來説事，結合我們的需求，世界上是創新的。5G的安全可信問題只有中國人能解決，希望大家努力，安全可信的軟體産業，為我們建設網絡強國做貢獻，為我們企業尋找機會，謝謝大家！

　　（聲明：所有會議實錄均為現場速記整理，未經演講者審閱，國際在線登載此文出於傳遞更多信息之目的，並不意味著贊同其觀點或證實其描述。）