网络空间安全战略思考与启示
沈昌祥
习近平总书记指出,没有网络安全就没有国家安全,没有信息化就没有现代化。2013年12月20日,习总书记《在中国工程院一份建议上的批示》上指出:“计算机操作系统等信息化核心技术和信息基础设施的重要性显而易见,我们在一些关键技术和设备上受制于人的问题必须及早解决。要着眼国家安全和长远发展, 抓紧谋划制定核心技术设备发展战略并明确时间表,大力发扬‘两弹一星’和载人航天精神,加大自主创新力度,经过科学评估后选准突破点,在政策、资源等各方 面予以大力扶持,集中优势力量协同攻关实现突破,从而以点带面,整体推进,为确保信息安全和国家安全提供有力保障。”
美国网络空间安全战略启示
1.美国将网络空间安全由“政策”、“计划”提升为国家战略
美国在网络空间战略是一个认识发展的过程。1998年5月,当时的克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策 》,
成为直至现在美国政府建设网络空间安全的指导性文档。
2000年1月,克林顿政府发布了《信息系统保护国家计划v1.0》,提出了美国政府在21世纪之初若干年的网络空间安全发展规划。
2001年10月16日,布什政府意识到了“911”之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”(简称PCIPB),代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。该委员会与2002年9月18日制定发布了《保护网络空间的国家战略》(草案),并于2003年2月正式发布。
2003年12月17日发布了《第7号国土安全总统令》,重新对关键基础设施和资源进行标识、优先级排序和防护,要求国防部建立合适的系统、机制和流程与其他部门进行协调和沟通。以反恐名义立法,全面监控网络信息。
2006年4月信息安全研究委员会发布的《联邦网络空间安全及信息保障研究与发展计划(CSIA)》确定了14个技术优先研究领域,13个重点投入领域。改变无穷无尽打补丁和封堵的被动防御策略。
2008年发布机密级的第54号国家安全总统令,设立“综合性国家网络安全计划”,该计划以“曼哈顿”(二战研制原子弹)命名,具体内容以“爱因斯坦”一、
二、三组成,目的是全面建设联邦政府和主要信息系统的防护工程,建立全国统一的安全态势信息共享和指挥系统。
2.美国网络空间安全战略进一步完善
美国在2007年8月成立了第44届总统网络空间安全委员会,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。报告引言为暗战,以二战时期“阿尔法和英格码”事件为警示,提出:网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一。“在网络空间,战争已经开始”,美国国防部已进行了广泛的部署,为网络空间可能发生的冲突做准备。并指出网络空间(相对于常规战争),防御比攻击更加重要。
2008年12月,为了加深美国政府对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。演习结果认为,美国在网络攻击前抵抗能力很差,这为奥巴马政府敲响了警钟。
2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告,并发表重要讲话。奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。
2010年5月21日,美国网络司令部正式启动,隶属于美国战略司令部,编制近千人,很快投入全面运作。
3.网络空间国际和战争战略2010年9月底,美国举行了为期三天的“网络风暴III”的大规模网络攻击应对演习。美国拟实施“先发制人”网络打击战略。这项战略提出了军队计算机系统的“积极防御”措施,是美国网络战防御措施的根本性变化。
2010年10月,美国国防部与国土安全局签署了网络安全的合作备忘录,明确了两个部门在网络安全事务中的职责。建立了常设合作机构,确定了长效合作机制,并构建国家网络靶场,升级网络战规模。
2011年2月,美国国防信息局宣布“网络空间计划”,创建“非军事区”,严格控制敏感IP路由接入,军民联防,保证美国网络安全。
2011年7月14日,美国国防部发布了《网络空间行动战略》再次强调:“网络安全威胁是我们作为一个国家所面临的最严重的国家安全、公共安全和经济安全挑战”。
2012年10月16日,奥巴马签署了《美国网络行动政策》(PDD21),在法律上赋予美军具有进行非传统作战权力,明确从网络中心战扩展到网络空间作战行动等。
2013年4月10日,奥巴马向国会提交《2014财年国防预算优先项和选择》提出,至2016年整编成133支网络部队。
2014年2月12日,美国国家标准与技术研究所针对《增强关键基础设施网络安全》,提出了《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并考虑网络安全风险作为组织风险管理进程的一部分。
美国于2014年10月21日正式对外颁布《JP 3-12 联合网络作战条例》,界定了美国的网络空间、网络空间作战、信息作战等相关概念的内涵和相互关系。
美国网络空间战略表明,网络空间已经成为陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,对我国网络安全提出了严峻的挑战。我们应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。
可信免疫的计算体系结构
1.可信免疫的计算模式
当前大部分网络安全系统主要是由防火墙、入侵监测和病毒防范等组成,称为“老三样”。信息安全问题是由设计缺陷而引起的,消极被动的封堵查杀是防不胜防的。为此,我们提出了可信计算模式。
可信计算是指计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。它是一种运算和防护并存的主动免疫的新计算模式,具有身份识别、状态度量、保密存储等功能。及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质。我们成立了可信的架构来解决一系列问题,如图1所示。
云计算、大数据、移动互联网、虚拟动态异构计算环境更需要可信度量、识别和控制,包括体系结构可信、操作行为可信、资源配置可信、数据存储可信和策略管理可信五个方面。通过构建可信安全管理中心支持下的积极主动三重防护框架,能够达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了等多种安全防护效果。
中国可信计算技术创新
中国可信计算于1992年正式立项研究并规模应用,早于由惠普、微软、Intel等公司牵头组织的可信计算组织(TCG),经过长期攻关,形成了自主创新的体系。
可信计算技术结构框架以密码为基础、芯片为支柱、主板为平台、软件为核心、网络为纽带、应用成体系,由它们构成可信计算的主体标准。首先要搞好主体标准的制定工作,而后围绕主体标准丰富相应的标准,形成我国可信计算标准体系。
TCG可信计算方案的局限性表现在以下两个方面:一是密码体制的局限性,原TCG公钥密码算法只采用了RSA,杂凑算法只支持SHA1系列,回避了对称密码。由此导致密钥管理、密钥迁移和授权协议的设计复杂化(五类证书,七类密钥),也直接威胁着密码的安全。现在采用了我国的密码体制,并成为标准;二是体系结构不合理,目前还主要停留在工程层面,尚缺乏比较完善的理论模型,TPM外挂,子程序调用被动模式。
中国可信计算经过长期攻关,不仅解决了TCG的上述问题,还形成了自主创新的体系,其创新点包括:
一是,可信计算平台密码方案创新。采用国家自主设计的算法,提出了可信计算密码模块(TCM),以对称密码与非对称密码相结合体制,提高了安全性和效率;采用双证书结构,简化证书管理,提高了可用性和可管性。
二是,可信平台控制模块创新。提出了可信平台控制模块(TPCM),TPCM作为自主可控的可信节点植入可信源根,在TCM基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;TPCM先于CPU启动并对BIOS进行验证,由此改变了TPM作为被动设备的传统思路,实现了TPCM对整个平台的主动控制。
三是,可信主板创新。在可信平台主板中增加可信度量节点(TPCM+TCM),构成了宿主加可信的双节点,实现到操作系统的信任传递,为上层提供可信硬件环境平台;对外设资源实行总线级的硬件可信控制,在CPU上电前TPCM主动对Boot ROM进行度量,使得信任链在“加电第一时刻”开始建立;并利用多度量代理建立信任链,为动态和虚拟度量提供支撑。
四是,可信基础支撑软件创新。采用宿主软件系统+可信软件基的双系统体系结构,可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,对宿主软件系统提供主动可信度量、存储、报告等保障。
五是,可信网络连接创新。采用基于三层三元对等的可信连接架构,进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别;对三元集中控管,提高架构的安全性和可管理性;并对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。
用可信计算构筑网络安全防护体系
目前,中国可信计算产业化条件已经具备。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,“十二五”规划有关工程项目都把可信计算列为发展重点,可信计算标准系列逐步制定,核心技术设备形成体系。由中国工程院多名院士提议,中国电子信息产业集团、中国信息安全研究院、北京工业大学、中国电力科学研究院等60家单位发起,经北京市民政局批准、具有法人资格的社会团体——中关村可信计算产业联盟于2014年4月16日正式成立。运行以来,发展迅速,成绩显著。
可信计算是网络空间战略最核心技术之一,要坚持“五可”“一有”技术路线。“五可”包括以下几个方面:一是可知,即对开源系统完全掌握其细节,不能有1%的代码未知;二是可编,要基于对开源代码的理解,完全自主编写代码;三是可重构,面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系结构;四是可信,通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;五是可用,做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。“一有”是要有自主知识产权,要对最终的自主操作系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。开源技术要受到GPL协议的约束,目前我国现有基于开源的操作系统尚未遇到知识产权方面的明显纠纷,但仅仅是因为这些系统尚无规模应用,一旦我国自主操作系统形成气候,必然会面临这方面的挑战。
面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,军民协调发展,解决受制于人的问题。坚持纵深防御,构建牢固的网络安全保障体系。
(本文根据国家信息化专家咨询委员会委员、中国工程院院士沈昌祥在“2016高等教育信息化创新论坛”上的演讲整理,未经本人审阅)