三、網(wǎng)絡(luò)空間安全模式與體系

中國工程院院士沈昌祥用“123456”概括了主動(dòng)免疫的可信計(jì)算體系的構(gòu)建、使用及效果。

“一種”新模式。主動(dòng)免疫可信計(jì)算是一種運(yùn)算同時(shí)進(jìn)行安全防護(hù)的新計(jì)算模式，以密碼為基因抗體實(shí)施身份識(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能，及時(shí)識(shí)別“自己”和“非己”成分，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。

“二重”防護(hù)體系結(jié)構(gòu)。我們要打造一個(gè)以計(jì)算部件和防護(hù)部件為核心的二重防護(hù)體系結(jié)構(gòu)，實(shí)行安全可信策略管控，建立免疫、反腐敗子系統(tǒng)，實(shí)現(xiàn)運(yùn)算同時(shí)可以進(jìn)行安全防護(hù)。這就解決了之前提到的圖靈計(jì)算體系缺少攻防理念、馮·諾依曼架構(gòu)缺乏防護(hù)部件的問題。

“三重”防護(hù)框架。我們要建立一個(gè)可信安全管理中心支持下的主動(dòng)免疫三重防護(hù)框架。它就相當(dāng)于現(xiàn)實(shí)世界的辦公大樓，樓內(nèi)有“安全辦公室”，就是辦公室及內(nèi)部的每個(gè)人都是安全的，也就是系統(tǒng)中的每個(gè)計(jì)算節(jié)點(diǎn)都安全可信，即可信計(jì)算環(huán)境。樓內(nèi)有“警衛(wèi)室”，負(fù)責(zé)登記、核驗(yàn)?zāi)吧L客的身份，即系統(tǒng)中的可信邊界，可以說，每個(gè)系統(tǒng)或小環(huán)境都有邊界，就好比不同樓層、不同單位都設(shè)有門禁，需要驗(yàn)證才能進(jìn)入。樓內(nèi)還有“安全快遞”，保證辦公室以及個(gè)人之間的聯(lián)系是安全可信的，即可信網(wǎng)絡(luò)通信。通過可信計(jì)算環(huán)境、可信邊界和可信網(wǎng)絡(luò)通信，最終到達(dá)用戶終端。另外，樓內(nèi)要設(shè)置“保密室”，管什么文件、什么人管，實(shí)現(xiàn)安全管理；還要設(shè)置“監(jiān)控室”，就是攝像頭中的信息傳送到監(jiān)控室，留下證據(jù)，系統(tǒng)里的有效審計(jì)。

“四要素”可信動(dòng)態(tài)訪問控制。人機(jī)交互可信是發(fā)揮5G、數(shù)據(jù)中心等新基建動(dòng)能作用的源頭和前提，必須對(duì)人的操作訪問策略四要素（主體、客體、操作、環(huán)境）進(jìn)行動(dòng)態(tài)可信度量、識(shí)別和控制，糾正傳統(tǒng)不計(jì)算環(huán)境要素的訪問控制策略模型，只基于授權(quán)標(biāo)識(shí)屬性進(jìn)行操作，而不作可信驗(yàn)證，難防篡改的安全缺陷。

主體，就是每臺(tái)機(jī)器、每個(gè)系統(tǒng)的用戶或?qū)嶓w。在訪問控制時(shí)，我們要對(duì)他進(jìn)行可信驗(yàn)證和權(quán)限檢驗(yàn)。客體，就是被訪問控制的系統(tǒng)或應(yīng)用。我們要給它建立訪問控制規(guī)則，比如這個(gè)系統(tǒng)什么人能訪問、什么時(shí)間可以訪問等。操作，就是在訪問控制規(guī)則中的具體行為。我們需要對(duì)其進(jìn)行安全管理，防止被惡意篡改、泄露數(shù)據(jù)，比如網(wǎng)上銀行的雙重驗(yàn)證。環(huán)境，就是系統(tǒng)運(yùn)行環(huán)境。我們對(duì)系統(tǒng)整體環(huán)境也要進(jìn)行安全管理，保障環(huán)境安全可信，不被植入惡意代碼。

“五環(huán)節(jié)”全程管控，技管并重。按照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國密碼法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的要求，全程治理，確保體系結(jié)構(gòu)、資源配置、操作行為、數(shù)據(jù)存儲(chǔ)、策略管理可信。首先，要掌握系統(tǒng)的安全屬性怎么樣，風(fēng)險(xiǎn)分析，準(zhǔn)確定級(jí)。定了級(jí)之后，要備案，要按照規(guī)范和標(biāo)準(zhǔn)建設(shè)。建設(shè)完了要嚴(yán)格測評(píng)，建成以后要進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)解決。同時(shí)，還要監(jiān)督檢查，消除各種威脅、隱患。最后，建立感知預(yù)警系統(tǒng)，對(duì)入侵行為有反制機(jī)制。

“六不”防護(hù)效果。構(gòu)建這套防護(hù)體系的目的，就是要達(dá)到“六不”防護(hù)效果，即攻擊者進(jìn)不來，非授權(quán)者重要信息拿不到，竊取保密信息看不懂，系統(tǒng)和信息改不了，系統(tǒng)工作癱不成，攻擊行為賴不掉。我們有可信的審計(jì)記錄，有據(jù)可查、可追溯，會(huì)對(duì)攻擊者及其攻擊行為依法追責(zé)。