侵权投诉
搜索
更多>> 热门搜索:
订阅
纠错
加入自媒体

六方面构建网络安全主动免疫保障体系

2020-12-10 11:50
C114通信网
关注

C114讯 12月9日消息(水易)12月7日,以“禾云神话 智护未来”为主题的“中国移动可信赋能网络研讨暨网络安全峰会”在昆明举办。峰会由中国移动研究院和中国移动云南公司共同主办,邀请到产、学、研、用等各界嘉宾,共同探讨数字经济时代新基建背景下的网络安全挑战与机遇,推动“5G+安全”体系建设,共建网络安全生态。

作为行业权威专家,中国工程院院士沈昌祥应邀出席此次峰会,并作了题为《用主动免疫可信计算 筑牢移动互联网安全防线》的主旨演讲。沈昌祥院士表示,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,面对复杂的新型网络,产业界需要采用可信计算理论、主动免疫方法,确保实现正确计算、确保网络空间正常运行。

构建网络安全主动免疫保障体系

沈昌祥院士表示,从科学技术上看,网络安全风险源于图灵机原理少攻防理念、冯.诺依曼结构缺防护部件和工程应用无安全服务的先天性脆弱缺陷。从认知科学上看,设计IT系统不能穷尽所有逻辑组合,必定存在逻辑不全的缺陷,利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。

沈昌祥院士指出,传统“封堵查杀”难以应对未知恶意攻击,而安全可信计算实施运算同时进行免疫的安全防护,使得存在缺陷不被攻击者所利用,达到预期的计算目标。按国家网络安全法律、战略及等保制度必须要构建主动免疫防护的新体系。

“一种”新模式,计算同时进行安全防护。杀病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路不利于整体安全。主动免疫可信计算是一种运算同时进行安全防护的新计算模式,以密码为基因抗体实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。

“二重”体系结构。通过计算部件+防护部件构建二重体系结构的可信计算节点,建立免疫、反腐败子系统。

“三重”防护框架。在可信安全管理中心支持下构建主动免疫三重防护框架,

“四要素”可信动态访问控制。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提,必须对人的操作访问策略四要素(主体、客体、操作、环境)进行动态可信度量、识别和控制,纠正了传统不计算环境要素的访问控制策略模型只基于授权标识属性进行操作,而不作可信验证,难防篡改的安全缺陷。

“五环节”全程管控,技管并重。按照网络安全法、密码法、等级保护制度、关键信息基础设施保护制度的要求,全程治理,确保体系结构、资源配置、操作行为、数据存储、策略管理可信。

“六不”防护效果。做到攻击者进不去,非授权者重要信息拿不到,窃取保密信息看不懂,系统和信息改不了,系统工作瘫不成,攻击行为赖不掉。

打造主动免疫可信计算3.0新型产业空间

中国可信计算源于1992年立项研制免疫的综合安全防护系统(智能安全卡),于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用,形成了自主创新安全可信体系,开启了可信计算3.0时代。

在沈昌祥院士看来,可信可用方能安全交互,主动免疫方能有效防护,自主创新方能安全可控。因而必须抢占核心技术制高点,摆脱受制于人。

沈昌祥院士表示,美国近期宣扬的零信任架构,缺少科学原理支撑,网络无边界不符合网络空间主权原则,基于身份认证的动态访问控制在国标17859早就规定,传统的调用功能模块组合难成为安全保障科学架构,也不符合我国法律、战略和制度要求推广安全可信的网络产品和服务的规定。一定要科学严谨分析研究,坚持自主创新,不能盲目跟班。

沈昌祥院士介绍,目前我国已经拥有完备的可信计算3.0产品链,将形成巨大的新型产业空间。包括具备可信计算功能的国产CPU,嵌入式可信芯片及可信根,具备可信计算3.0技术的设备。在2020年10月28日,国家等级保护2.0与可信计算3.0攻关示范基地成立揭牌。

在典型示范项目,国家电网电力调度系统安全防护建设中,电力可信计算密码平台已在几十个省级以上调度控制中心、上千套地级以上电网调度控制系统全覆盖,涉及十几万个节点,约四万座变电站和一万座发电厂,有效抵御各种网络恶意攻击,确保电力调度系统安全运行。目前,国家电网电力调度系统安全架构已经实现软硬件全国产化。实现高效处理:实时调度;不打补丁:免疫抗毒;不改代码:方便实施;精练消肿:降低成本。

按等保2.0构筑移动互联网安全防线

沈昌祥院士指出,等保2.0新标准特点包括,基本要求、测评要求和技术要求框架统一,安全管理中心支持下的三重防护结构框架;通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范;把基于可信根的可信验证列入各级别和各环节的主要功能要求。

在等保2.0新标准下也对可信计算提出新的要求。沈昌祥院士表示,所有计算节点都应基于可信计算技术实现开机到操作系统启动,再到应用程序启动的可信验证,并在应用程序的所有执行环节对其执行环境进行可信验证,主动抵御入侵行为。并将验证结果形成审计纪录,送到管理中心,进行动态关联感知,形成实时的态势。

5G时代已经来临,5G网络在传统电信云的基础上引入NFV/SDN等技术进行ICT融合,将移动通信网络云化、虚拟化和软件化,使网络变得更灵活、敏捷和开放,因而也带来了一定的安全风险,主动免疫可信计算能够确保5G骨干网、接入网和核心网的安全可信。

作者:水易来源:C114通信

声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

    通信 猎头职位 更多
    文章纠错
    x
    *文字标题:
    *纠错内容:
    联系邮箱:
    *验 证 码:

    粤公网安备 44030502002758号