沈昌祥：以自主创新、安全可信打造软件产业新生态

　　国际在线消息：4月7日，由中国软件行业协会主办的2021中国软件产业年会在北京举行，大会以"数字经济新时代——软件产业赋能高质量发展"为主题，瞄准产业变革和时代发展趋势，涤荡思想与共识，汇聚知识与力量，展示中国软件产业新成果。

　　大会现场，中国工程院院士沈昌祥发表题为“以自主创新、安全可信打造软件产业新生态”的精彩演讲。

　　以下为现场实录全文：

　　沈昌祥：各位领导、各位来宾，今天跟大家交流一下，关于软件产业的安全可信的问题。我们要讲讲什么是安全可信，是科学的安全观。刚才我听到开源的也讲了，我后面讲的跟前面讲的区别，等级保护怎么做软件。

　　如何发展安全的自主可控，按照企业产业，我们一定要关注法律。我们企业、专家、政府官员更加要注意按照法律办事。《网络安全法》第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业，研究机构和高等学校等参与国家网络安全技术的创新项目。

　　《国家网络空间安全战略》有很多任务，其中有一条夯实网络安全基础的任务，强调尽快核心渠道的投入、加快安全可信产品的应用。因此要落实法律政策，制定等级保护是国家制度，所以我们新的标准将成为2.0，全面推广使用安全可信产品和服务，构建安全保障体系。这个里面软件分量特别特别重。

　　对我们确实来说是一个机遇也是一个挑战，大家可能都学过去年国务院8号文件，进一步强调加快发展集成电路和软件产业的决定，在国家全方位采取推进的政策。

　　从科学技术上来看，因为基础原理，一定要按照科学原理来看，不是一般的安全，而是图灵机原理。图灵是我们计算机的祖师爷，当时发明计算机没有密码，没有人攻击图灵机，因此在理念上、模型上不可能考虑有攻防的理念，这是根本所在。第二个冯·诺依曼结构五个部件完成计算任务，因为当时没有攻击计算机，哪有需要防护部件呢？现在到处攻击计算机系统，就相当于生一个孩子，现在智能制造。现在孩子生下来残疾人，残疾到什么程度？没有带免疫系统，这完了。因为前面的问题引起后面构建所谓的信息系统、网络系统包括数字社会，全是功能的聚集、体系的堆积、无安全服务。怎么解决呢？能解决吗？我们说安全是永远的命题。

　　我们设计IT系统是逻辑的设计，逻辑是发散的，不可能把所有逻辑都处理。人很聪明，把和计算有关的东西处理，没关系的，关系不大，就那样，这就留下一个bug，逻辑缺陷。现在攻击就利用逻辑缺陷、完成漏洞做成恶意代码进行攻击，这是安全的本质，也是不可避免的，跟人体一样，尽管再完善也有很多的缺陷，系统成天的被攻击。

　　怎么办呢？以前“封堵查杀”不管用，要主动免疫安全可信，理论上讲使得我们有逻辑缺陷不被攻击者所利用，也就是我们设计能完成计算任务的逻辑组合不被破坏、不被篡改。更人体免疫一样，要保护大脑能正常工作，这就是我们的安全可信，也是相对的安全目标。因此我们必须构建新的安全保障体系。

　　为了方便大家理解，我设了一二三四五六。

　　“一种”新计算理念、新的计算模式，一边计算一边防护。就像抗病毒一样，我们以密码为基因产生抗体实施身份识别、状态肚量、保密存储等功能。及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质。我90年代就用这个词，相当于计算机信息系统、网络系统培育免疫能力是根本的理念的改变。因此防火墙、杀病毒、打补丁、入侵检测需要具备的不解决问题，而且走向反面，因为是长期用户，可以用它作为网络攻击的入侵平台，因为时间问题不展开说。

　　“二重”体系结构，这个图左边就是熟悉的计算机结构，一定要加上右边的免疫系统，安全防护要可信的防护空间。下面是基因密码，然后要产生抗体，免疫部件可信平台控制模块。这样左边的计算机工作右边并行的动态检查，保证以前设计好的逻辑流程不会被改变，这就是免疫系统。我们以前党委领导纪委工作组去检查。现在调整以后，监察委、巡视组、被检单位是并行的，按照党的法律政策、红头文件，有左边的策略检查，有问题进行解决，是动态并行的。

　　“三重”防护框架，构建一个系统，不能功能堆积，要科学合理。很好理解，所有的信息系统都是现实社会的映射，因此安全问题也是现实社会的映射。这个图给中央党校讲课也说了，一个单位的安全首先是办公室的安全，“办公室”相当于是网络计算或者是说叫计算环境的安全可信。办公室有一个办公大楼，应该有警卫室、保安室，既要管外面的人进去谁、干什么的，谁批准的。又要管出去的人，干了什么，拿东西没有，这才是真正的可信的。第三个是快递，快递很好理解，第一调包了，第二东西烂了，第三拆了以后可能是一个定时炸弹。所以三个关系必须按照可信。

　　管理很重要，一个单位一定有保卫部门，管这个单位的，我们计算机信息统筹也就是人主体、物客体，也要发出入证书的，和单位的保卫室一样，有系统资源按照管理。第二个管理保密室，这个文件什么级别，什么人处理，要检查，我们有访问控制，也是什么角色能访问什么。因此像保密室一样有安全策略的管理。第三个监控室，安装摄像头，现在有审计，审计相当于摄像头一样，这个地方什么时候，谁干了什么，形成审计系统，相当于摄像头形成影像信息是完全一样的。送到审计平台，一些送到监管平台，及时处理、留下证据可以追查，这套系统才是合理。

　　系统建成怎么用很重要。人是第一要素，可信的人机交互太重要，我们提出“四要素”，以前是“三要素”。主体人、被访问是客体。怎么操作三要素，没有网络攻击的情况下三要素是对的，高等级不能往低等级的流。但是攻击情况下规则对的没用，人可以假冒、被上传的文件可以篡改，所以我们一定要可信保障，不能假冒、不能篡改。还有一个要素：代码、接口，这是逻辑的要保护的对象。我们这个会场没事，是安全的。第四个要素，代码接口一定要可信检查，这样才能使得我们设计的逻辑不会被改变。

　　“五环节”全程管控。第一，风险要定级，定级以后按照定级的规则进行建设，建设以后要测评，要改进完善。系统建设以后，应用功能是动态的，所以必须定期进行检测，消除隐患。还有一个很重要，对抗条件下信息系统很多被违法分子攻击破坏，我们要审视。更为严重是网络端对抗，我们一定要有措施、一定要有应急反应的基础设施和手段，有反治手段、整治手段，这五个环节很重要。

　　这样可以得到“六不”的防护效果。第一攻击者“进不去”，进去没用，身份不对，拿不到东西。拿到东西以后白拿，“看不懂”加密保护。我想篡改破坏“改不了”。而且大批的有备份、有恢复，因此异常情况及时发现，提高可靠性。“瘫不成”，最后“赖不掉”。审计如果没有可信手段是虚设。大家看过电影，犯罪现场抹的干干净净，我们审计系统有可信手段很简单，两条命令就恢复现场了，所以有可信手段是赖不掉的。不是吹牛，这样的系统不装杀病毒程序，也不用打补丁，国家按照病毒库预验证，更为严峻我们遇到无穷无尽的挑战，新的病毒、新的攻击都可以，比如说勒索病毒确实在重要系统中无效。

　　中国有东西没有？有东西。这个东西是逼出来的，因为要解决国家的重要系统、核心系统、密码系统，所以1992年提出可信计算综合安全防护系统（智能安全卡），1995年2月底通过测评、鉴定。经过长期军民融合攻关应用，形成了自主创新安全可信体系，开启了可信计算3.0时代。1995年2月25日解放军保密委员会，国家监测办公室还没有，对我们智能安全卡做了严格的布局性的措施，添加四条：第一的基因是密码：对称密码+公钥密码；第二智能控制与安全执行双重体系结构；第三是不装杀病毒程序，我们是环境免疫抗病毒机理。环境免疫是免疫系统真正重要的，抗癌症的免疫就是环境免疫，我们不是那么重要的系统不能用这么强的，叫主动免疫。第四个是数字定义规则，和应用程序代码没有关系，我们检查用户是透明的，减轻了负担。

　　世界可信计算组织TCG，现在代表着windows8、windows10是可信，但是他们的可信没有我们的从原理上改进，它还是全新的，接了这个可信平台控制模块TPM，和外部识别一样，有一个接口。这个很糟糕，在接口上可以测试频率，就可以把密码保密求出来，不是吹牛的。这个事情我们在并行基础上不可能测我们，因为并行的把工作频率和保密频率搅在一块分辨不出来的。果然，去年win8、win10可信TPM受侧信道攻击，危及先全球十几亿节点。1.0提出了提高可靠性，容错处理，全是概念。因此3.0既有2.0传统功能，也有提高可靠性功能。

　　2005年起草《国家中长期科学技术发展》已经写上“以发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全技术保障体系”。和法律一样，不是拍脑袋，是干出来的。大家还要回忆一下，因此在国家重要信息系统，比如说增值税防伪、彩票防伪、福利彩票、二代居民身份证多少票据，篡改成功有没有？假冒有没有，什么原因？我们系统上安全可信主动免疫。因此按照可信成为法律、战略是理所当然、行之有效的。

　　我们20多年软件发展，CPU是可信的多核的。以前所有都是并行计算核，现在我们计算核里面分出来并行的可信核，并行计算和过程保障，可信并行检查。

　　这个照片是去年10月28日国家成立等级保护2.0与可信计算3.0攻关示范基地的样品，因此我们构成完整的可信商业体系，服务器、移动终端，各种外部设备是打印机，图灵机是计算机化的，可信以后根本上改变这个问题，已经到这个程度了，希望大家一定要安装可信的，这里面大量是软件。

　　五大核心技术已经被人家拿走：密码、序列，另外是双节点的X86，第四是基于可信平台主动下载安装的，win10是一样的，win8不是这样的。第五是动态感知，卡巴斯基宣布不再杀病毒为主，搞免疫网络、网络免疫，和我们的做法是一样的。

　　我们坚持着安全可信，这是里面建设的“五、三、一”原则，开源软件一定有用，但必须有“五、三、一”原则。

　　“五”开发的软件，引进的软件要心里有数，不能盲从。可编，要基于原代码的理解，就自主编写代码。过程要可重构，性能提升要可信保障，我们改了以后，可能会引起新的信息根本安全，我们按照可信主动免疫，可信计算保障，使得我们国产化真正落地，保驾护航。可用，我们一般国产化软件做的不太好用，可信上一定要下功夫。

　　“三”坚持三条基本原则：可信计算要用中国的；数字证书要用中国的；密码基因要有中国基因。很有用，国家的有关法律规定，《安全法》《密码法》等等都有。

　　“一”要有实际的采取，不能空谈。我们要真正解决问题，要走出国门，要成为世界的品牌。

　　我们有东西，安全可信构建保障体系就是等级保护，这是对我们发展安全可信对软件产业是极好的机遇。

　　这个里面主要体现，第一等级是基本软件可信，预装程序不能篡改、操作系统不能篡改软件。二级应用软件可信，现在APP都是这样的。怎么治理？只有安全可信治理，APP前面要验证谁都改不了，这样可以解决安全可信二级。三级在一二级基础上动态并行检查，实时发现问题。四级是严加排查，形成态势感知。要解决态势感知马后炮的问题，我们全国的省市连起来以后，至少分级能解决出现信用问题。

　　案例很多，电网现在世界上都有问题，我们有吗？其实我们10年前发改委有令利用安全可信实现电网调度控制系统几十个省以上多中央，安全可信保证长期的供电问题。

　　第一有检查，效率怎么样，我们是并行的效率问题不大。实时调度系统，全国电网秒级都不能延时的，我们做到了。第二，管用吗？有一些做过实验吹牛了，我们不是，我们是实打实的。第三，方便不方便，做起来不好做，恰恰相反，我们前面讲的原理，不改代码。供电调度系统一个系统代码400多万行，你们改的了吗？他们改一条要重新考核、测试，改不起。一条没有改。第四成本怎么样，防火墙也很贵，杀病毒很赚钱的，几百兆的病毒库有程序安装的，多少钱？不用了。现在可信的CPU核里面，一个核多少成本投入呢？1万块人民币一个核，不是给大家降低成本、效率高、利润空间大了，给大家发现机会。

　　下面讲5G，5G是安全软件定义，是三个层次：基站，200、300米一个基站，北京市至少几百万个基站才能5G覆盖。问题是软件定义的。边缘计算、后台核心网云计算，都软件定义虚拟化的，而且是动态的。怎么解决？只有安全可信才能解决，全世界都困惑，防火墙往哪装，杀病毒怎么装，那个装的完吗？这个图就可以主动免疫解决5G三个层面的安全问题，基站很重要，因为基站是软件已经固化，所以我们策划也有一些变化。边缘计算，后台云计算安全可信，等级保护有硬性要求，我们自己启动的不太快，现在产业化落实还有一些距离，希望大家往这边做。不能光拿软件来说事，结合我们的需求，世界上是创新的。5G的安全可信问题只有中国人能解决，希望大家努力，安全可信的软件产业，为我们建设网络强国做贡献，为我们企业寻找机会，谢谢大家！

　　（声明：所有会议实录均为现场速记整理，未经演讲者审阅，国际在线登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。）