沈昌祥：科学的网络安全观与可信计算3.0

　　没有网络安全就没有国家安全，核心技术是国之重器，加速推动信息领域核心技术突破。如果以历史机遇、国家安全、核心技术为关键词，可信计算3.0都能够与其紧密关联。沈昌祥院士认为加快推广可信计算3.0的重要意义在于坚持自主可控、安全可信，抢占网络空间安全核心技术战略制高点，构筑主动防御、安全可信的保障体系。

　　可信计算（trusted computing）已是世界网络安全的主流技术，2003年由AMD、英特尔和微软等发起的可信计算组织（TCG）现已有190多个成员，以 Windows？10为代表的可信计算已成业界关注的焦点。由中国工程院沈昌祥院士发起成立的中关村可信计算产业联盟，在18位院士组成的科学技术指导委员会引领下，二百多家产学研用各界会员共同努力，为可信计算的技术创新和应用推广贡献力量。

　　中国革命性地开创了以主动免疫为标志的可信计算3.0，运用密码技术、信任根芯片、可信基础软件等组件搭建全新的可信计算体系结构框架，在计算节点上构建一组“宿主-可信”双节点，用逻辑上独立于传统系统之外的可信计算子系统形成可信免疫架构，将每个可信节点联系成为完整的可信体系。依托主动免疫可信技术体系，在传统应用领域、工控系统和云计算、物联网、大数据、移动智能网等现代信息系统中奠定网络安全自主可控的坚实基础。

　　在可信计算3.0的实际应用中，只需在现有的系统中加装芯片和软件即可，对现有硬软件架构影响小。既可利用现有计算资源的冗余进行扩展，也可在多核处理器内部实现可信节点，同时能够使用可信 UKey接入、可信插卡以及可信主板改造等不同的方式进行老产品改造，使新老产品融合，构成统一的可信系统，不需要修改原应用程序代码，这种防护机制不仅对业务性能影响很小，而且克服了因打补丁会产生新漏洞的困惑。

　　沈昌祥：科学的网络安全观与可信计算3.0

　　2018年1月17日，2018中国软件产业年会在京举行。此次年会以“软件，驱动智能的力量”为主题，邀请行业主管领导，以及中国工程院沈昌祥院士、倪光南院士，并联合百度、阿里巴巴、华为、中软国际、国网信通、广联达、 CSDN、博彦、易智端（中国）等企业大咖，为大家准备一场充满激情的行业盛宴。

　　中国工程院院士沈昌祥发表题为《科学的网络安全观与可信计算3.0》的主旨报告。

　　以下为现场实录全文：

　　各位领导、各位来宾，用一点时间和大家交流一下什么是网络安全，怎么去搞网络安全，所以我的题目叫科学的网络安全观。

　　讲三个问题：科学网络安全观；第二可信计算；第三什么自主可控、安全可信的核心技术摆脱受制于人的问题。

　　《网络安全法》大家学了吗？去年6月1号正式实施了，16条讲的是怎么解决我们网络的核心技术受制于人的问题。国务院、省、自治区、直辖市人民政府应当统筹规划、加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用。推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校参与国家网络安全技术创新项目，全面诠释了。

　　我们国家公布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”里头再次强调“加快安全可信产品推广引用”，那么安全可信，这个词用的不多。为什么我们要用这个呢？我们首先要有科学的网络安全观来理解这个法律安全可信。

　　我们说网络安全现在是一级学科，有重大基础理论问题。是什么呢？我们面临着网络空间极大的安全威胁，我们现在网络是资产、是财富，因此黑客利用病毒来谋取财富，勒索金钱，欺诈欺骗。我们网络空间是基础设施，总书记也讲了，反对敌对势力，利用高强度连续攻击来破坏我们的基础设施达到暴恐的事件，破坏我们社会的安宁，破坏了我们经济的发展。网络空间，现在说国家主权，霸权国家，组建网络司令部，打网络战，通过网络侵占你的国家，控制你们国家的主权，是这样的问题。

　　那我们有能力对抗吗？没有。

　　第一，我们的计算科学出了问题了，以前没有攻防理念。比如说世界上计算水平突破500，中国好几年第一，计算设备没有理念去防护。当然了，从计算角度可以，但是从网络空间这个就不对了。

　　第二个，这个理念确实讲，我们安全的防护部件缺了。只想到生个孩子，生下来没有带免疫系统，残疾儿，这么严重的问题。因此假设所有人都是健康的，不会生病的，还要开医院吗？在工程应用上无安全服务，这么大的缺失，我们该怎么办？我们要认识这个风险是极大的，原因何在？原因是科学问题，我们对IT的认知逻辑是局限的。曾经世界的潮流，你们年轻人可能还没生呢，证明软件正确，没有bug，后来证明来争取去是一个伪命题。为什么？软件逻辑组合是发散的，不是围绕的，计算机问题不可能一个软件没有bug出现的。因此我们只能局限于能完全计算任务有关的逻辑组合起来去设计这个IT系统。因此我们必定存在逻辑不全的缺陷。那么再讲到我们没有攻防理念，没有防的逻辑，所以难以应对人为利用这个缺陷进行攻击，所以有这样的逻辑缺陷，去寻找这个逻辑缺陷，变成漏洞，注入恶意代码，进行攻击，这是风险的实质。

　　那么怎么办呢？我们不能和以前一样去找漏洞，堵漏洞，打补丁。以前到处找坏蛋，坏蛋找不完，我们应该从正面的思维，从逻辑正确验证，计算体系结构、计算模式等方面去科学的创新，这个问题，什么问题呢？解决逻辑有缺陷，不被攻击所利用的问题，这就是矛盾的统一体。

　　为确保计算任务逻辑组合不被篡改和破坏，能够实现正确计算，这是我们正确的网络安全目标，有限目标。我们不是说建的刀枪步入，铜墙铁壁，不可能，我们要降低风险，就是确保我们原来设计的IT系统能够完成任务就可以了。因此以前我们也很现实，没有带免疫系统的孩子，无症状下杀病毒，没有带免疫系统的孩子经不起一惊一咋，能关心的，先进来不要吓到孩子了，这么被动的封堵，能解决问题吗？世界应该达到共识，2005年美国提出来不解决问题，重新规划发展的规划，我们要构建主动免疫的计算架构。

　　是什么呢？指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，使计算结果总是与预期的一样，这样改变了片面的只讲计算效率，矛盾的统一体，正反两方面都要考虑，最终和计算并存的主动免疫的计算模式。

　　大家都知道我们人的健康生活是靠免疫系统，我在1990年就研究免疫系统用于我们计算机安全，发现世界非常奇妙。有基因，并且把身份识别植入其中。第二进来以后它破坏不了我们这个集体，状态改变了，状态度量。第三个更奇妙的，应用密码技术来保护重要的信息，找不到，不是我们数字密码，而是身份编码。因此我们按照就是以密码为基因，识别自己和非自己的成分，从而破坏与排斥进入集体的有害物质，相当于为计算信息系统培育的免疫能力。改变畸形儿，健康的孩子继续过日子，要将防护空间在这个里面。左边是没有防护部件的PC结构，大家在座可能都觉得是这个，要加右边的防护部件，这样构成既计算又防护的统一体，我们叫防护体系结构，这边有管理策略，免疫的管理策略。

　　这样我们才能解决云计算、大数据、物联网、这样复杂的安全系统，因为我们有这样主动可信能够保证体系结构、资源配置、操作行为、数据存储可信，不被人家破坏，我们这种策略也不会变异。这样能够构成安全管理中心支持下的三重防御体系。一个是要保证我们计算环境，资源财富都在计算环境，当然边界也很重要，我们有科学合理的高边界。很形象的，和警卫室，警卫员一样的，保安员一样，既要能精确的是谁，证明人，能干什么。干什么呢？拿着东西没有，谁批准的，有问题，保安来解决，这就是我们国家等级保护要求的边界要求。通信安全大家都可以理解，我们用密码技术来进行身份验证。

　　第二不要偷看，泄密了，我们有密码强烈传输。第三，篡改了，调包了，我们用密码技术，（英文）这样保证我们通信的可信安全。管理很重要，但是以前没有服务的概念，一个单位都有保卫处，干什么？一个单位的人、物怎么样，因此我们计算机系统也等于保卫处一样，有系统资源单位一个单位有保密室，什么人，什么级别，什么能处理，我们在计算机安全里面叫访问控制。有没有人管，我们叫安全的策略管理，简称叫安全管理。

　　第三，一个单位有监控室，我们有摄像头监控关键地方，发现异常进行处理。我们有审计，审计点有摄像头，把审计器收到审计平台，及时处理，而且作为后面追踪证据的依据。这样才能做到首先攻击，第一关进不去，没有手续，不合法。第二进去以后没有授权，没有这个权限拿不到这个东西，尽管拿到了，你看不懂白拿，另外篡改了，改不了，我们有（英文），哪怕改一个都会被发现，所以对异常情况苗头就发现了，你想瘫痪我的系统没门，最后我们审计有可信系统，你改不了，最后是赖不掉，这个证据。

　　这样我们主动的防御，基本上所有的病毒，就是去年横扫世界的病毒，正在召开“一带一路”世界峰会构成极大的威胁，我们有可信网络，抵御住了这个病毒的入侵。我说现在世界上可信计算是一股很大很大的思潮，为什么？大家知道，有IBM，（英文）强强联合组织的上千的可信计算组织叫TCG，他们是1999年成立的可信计算联盟，后来不过瘾，2003年改名为可信计算组织，他们也是想解决主动防御问题。但是遗憾的是，他没有做到。

　　我们中国开始不叫可信计算，我们为了解决，保住核心机密，用体系结构进行保护。1992年立项，主动免疫的综合防护系统，我们成了，和军民融合形成了自主创新的可信体系，我们叫3.0。可信好多我们的创新被国际可信计算组织拿走了，采纳了，已经成为我们国家的基础。

　　2015年在“没有网络安全就没有国家安全”大标题下发表了我的署名文章，用可信计算构筑网络安全。2016年新华社刊登了“可信计算：网络安全主动防御时代”。

　　那么创新何在呢？我们更主要是体系的创新，体系的创新不是随便说的，我们有一些标准证明我们体系创新的。我们2005年开始到2010已经起草形成了9个国家安全标准，5个军队标准，从可信根底，主机支撑、系统配套，应用可信规范了中国的可信创新了，体系创新了。这边实际上是按照我们思路做的。

　　前面讲了密码是基因，它的创新是根本所在。国际可信计算组织TCG犯了一个错误，他们用单一的公开密码提示，叫RSA。这个意思就是说一般公锁锁住大家同类容易，认证方便，但是要输个人的秘密信息，就出现了密码理论的确实，就不可安全理论性的缺失，这么大的问题他们没有发现。我们1992年开始，对称密码，每个人一把锁，为了认证一把公锁，三体系的。但是我们密码安全不光是算法，更主要是密码的实体，密码机、密码产品我们提出了可信密码模块，因为它要计算，它要管理，这也是TCG没有的，TCG只讲算法，这是重大的工程技术的缺失。

　　第三我们中国的数字证书，可信是有证书的。对人主体的可信证书，对设备科技理念的证书，我们用的中国创新的证书体系，双证书，就是说认证证书和奖励证书（音）两张证书。这个东西我们在发布之后，可信计算组织马上吸取我们正确的架构，不仅他们废除了以前，代价很大，TPM1.0，TPM1.200版（音）推出了TPM2.0。现在windows8，windows10就是TPM2.0采用的我们这个体系的架构。不仅如此，而且申报ISO国际标准，现在TCM密码国际标准是我们的创新，我们国家所有密码都是自主研究SM3构筑的主动免疫的体系，所以讲体系结构非常重要。

　　要解决产业的问题，因此我们首选要有免疫基因，密码模块，不行，要有抗体，要有控制部件，CPU主板上增加一个CPU，这个CPU叫可信控制的CPU，叫可信控制模块。原来CPU是党委政府，我现在搞一个纪委并行的，我们可以沟通。更重要我们要盘查，有软件。可信计算组织是用外部设计接口加上功能部件要组成去调控的，我们相当于并行于主测试系统的一个控制技术软件，相当于我们这里面的巡视组，可以获取操作系统核心层的工作的阐述，重要的度程这些度量检查，获取党委的材料有没有违规一样。因此我们是主动的。

　　网络连接也可信，我们是增加一个巡视组一样的管控系统，以前所有的网络都是请求者、连接者，怎么没有一种可信软件呢，我现在讲了我们安全的有限目标是保证能够完成计算任务的软件不被篡改，不被改变，因此我们软件不要打补丁，打补丁破坏原来辛辛苦苦调试的逻辑破坏了，这是我们的根本所在。以前动不动搞一个接口，打补丁，这是错误的。还有安全设备，是按照我们确定的规律，中央决定党的纪律、政府的法律来进行检查控制，这样我们克服了可信计算组织被动防御的局面。

　　这个图你们搞技术可以看看，可以不给你运营一串代码能实现安全可信的检查，防护，因此我们叫可信计算3.0，大家问，那2.0是什么？很显然TCG是2.0，那么这种可信的容错（音）组织是1.0，因此我们科学性更强，我们用可信计算3.0摆脱受制于人的局面。我们一定坚持自主可控，安全可信，中长期发展规划已经写如以发展高可信网络为重点。

　　我们“十二五”规划有关工程项目已经用可信，以及我们二代身份证以及彩票都用可信防止假冒。尤其是windows操作系统，提出win8，停止XP的问题。如果采购2亿台的XP，我们花多少钱呢？我们想不用，中国有自己可信计算，有补丁不用打，能防止攻击，确保安全，因此我们就实现了windows不采购，但是win8失败了，win10又来了。现在不仅是终端，而且跑出移动终端，服务器、大数据处理都是可信版本，如果推动它的话，对我们国家安全主权形成挑战，怎么办？我们用安全审查制度。

　　上午倪院士已经讲了，我讲讲我们安全体系本土化可以。安全体系三条，第一数字征收必须本土化，有《电子签名法》。第二密码设备必须是中国的，有商业管理条例。第三可信计算必须用中国的，要达到“五可”“一有”。我们能够控制代码，更能够可编，更能够重构，更重要是我们有可信的支撑，我们本土化以后产生新的缺陷，为什么时下最安全，可用。“一有”我们要对知识产权的保护，要有征收功能，要深化国际响应，要深化国际标准。我们有东西吗？有东西，我们军民融合，军方也做了很多细致的定性产品。比如说主机，各种信息融为一体，这样不同的领域，我们有漏洞也不被别人所利用，这样才能实现我们等级保护世界标准。

　　两个案例，一个是中央电视台现在完全多媒体的辨识（音）系统。大家知道吗？如果5月12号我们“一带一路”峰会，14号、15号开，中央电视台被掐灭了以后，我们怎么开会。我们顶住了，你看多复杂的系统，中央电视台有600台数据服务器，我们在每个环节上可信锁定了，确保了会议安全的召开。

　　第二个系统，调度系统，是我们的命根子。2015年，2016年大面积这种调度系统的供给，我们用14号令要求可信等级保护是四级，现在市以上都用了，地区正在推广，我们确保了“一带一路”峰会的召开，这个图是相当复杂的。左边是框架，右边一项一项的验证措施，效率不能影响太大了。这个都免疫了，他们也搞管理软件，400来号代码不允许我们改一条指令，我们做到了，这样确保了我们电网安全的运行，也确保了我们G20等等国家的一系列重大活动，因此我们有技术。

　　我们中国可信计算为安全可信的产品和服务，来构建我们国家的网络安全保障体系，这样才能为我们建设网络强国做出贡献，时间到了，谢谢大家！

　　沈昌祥：重启可信革命——主动免疫可信计算3.0

　　沈昌祥院士在“中关村可信计算产业联盟第三期培训班”上的讲话。详细内容如下：

　　沈昌祥：各位专家，我们这个学习班不是一般的提高班，要求架构师以上来听，我们讲的问题是比较深层次的。名字叫“重启可信革命，主动免疫可信计算3.0”。这个名字不是我起的，是院士专家们给起的，也可以说是《求是》新华社起的。为什么说我们是革命呢？是3.0时代呢？因为习主席强调了没有网络安全就没有国家安全。最近公布的《网络安全法》第16条讲怎么解决网络环境安全的技术、设备，大家注意没有提“自主可控”四个字，强调了推广安全可信的网络产品和服务。“自主可控”不一定安全，但是“自主可控”应该是先解决受制于人问题的基本点，还有一个有可能引起不同的看法，WTO认为自主可控排外了，对世界影响很大的，现在提出挑战。

　　安全可信。具体的技术创新有我们的技术体系和产品服务，还有21条专门讲了要实行网络安全等级保护制度，也就是法律。如何把我们国家等级保护制度落到实处，真正能起到构建我国积极主动防御的体系，这是新的要求。因此，我第二个部分就要讲等级保护制度，我们中国怎么搞，现在有什么新情况，我们应该怎么办？这个名字不是我取的，给我戴了高帽，《求是》发表技术性文章很少，不是我投稿的，是他们主动约稿，请我写篇文章，很为难。其实这个文章给我提供了一些初稿，是《求是》高级编辑们写成的。没有网络安全就没有国家安全，怎么办？用可信计算构建网络安全，这个帽子太大了。可信可用方能够安全交互，主动免疫方能有效防护，自主创新方能安全可控。为什么说重大问题？而且我们现在网络空间安全已经列为一级学科了，可是同志们在座的很可能你们在安全解释，有各种各样的，我们以前都认为安全很重要，安全怎么做，反复强调IDS，杀病毒，我说不是，它是一个可信技术问题，说白了，它是计算科学问题。这个是体系结构问题，这是一个技术模式问题。这三大问题，对应着科学科学核心技术与工程应用。

　　那么我们怎么统一我们的网络安全的概念呢？我们也从科学角度去认知，去统一看法。我认为安全问题是客观存在的，而且是永远存在的，为什么？因为人们对IT的认识逻辑是科学问题，有局限性，而不可能穷尽所有的组合，那怎么办呢？只能局限于完成计算任务去设计有关的逻辑组合，构成能解决问题的安全系统。因此，它必定存在逻辑不全的缺陷，怎么应对呢？人为的利用缺陷进行攻击，因此应该解决不了一个系统是绝对安全的，总是存在逻辑不全的情况。尤其我们现在计算机IT范围内，设计逻辑又出现一个大问题，什么问题呢？就是追求它的工作能力，工作效率，没有考验它怎么顺利完成这个任务的逻辑，都没有了。以前大家知道有啊，可靠性，我说可靠性是必要的逻辑组成，为完成任务所必要的逻辑，不能缺陷，是这个问题。因此，我们按照设计逻辑进行调试、考核，有可能在运行过程中条件出了问题，这个安全是客观问题引起的，可是现在学科里不是，是人为的利用逻辑不全进行攻击，这个和可靠性是两种不同性质的。因此，我们必须从逻辑正确验证、计算体系结构和计算模式等科学技术创新去解决逻辑缺陷被攻击者所利用的问题。利用不了，网络就安全了。再说白一点，网络安全是为了确保为完成计算任务的逻辑不被篡改和破坏，这样就是主动免疫防御，针对性很强。

　　这样看来，我们盲目封堵查杀，我们称之为被动防御已经过时了。这是老三样，没有全部否定老三样，有用。按照是被动封堵查杀，我讲了很多，因为你们都没有听过，不知道网上还有没有。那么封堵查杀没有针对实际逻辑考虑问题，根本解决不了问题。更为重要的是，不仅它目前解决问题，而且它可能出现新的问题，当时2000年的时候我说过，我再强调，大家可能在座的没有听过，是超级权限用户，超级权限用户是违背安全原则的，我们搞安全，相当于共产党反腐败，不许超级用户，有超级用户，有特权，一定腐败。我们安全是分权管理，跟现实社会完全一样，这是个原则，可能现在没有讲这个事了。以前讲这个事的，我们的等级保护非常明确提的，高安全等级必须减少特权，那什么是超级用户呢？比如杀病毒，杀病毒装在什么地方，权限怎么样？是装在操作系统核心层最底层，具有核心操作权限的，相当于中南海招个安全保密检查员，总书记办公室绝密文件拿出来，一个字一个字比对，他要什么拿什么，你们分析过杀病毒软件没有，而且要求及时更新，更可怕的超级检查员不是中国人，洋鼻子。

　　因此，我们说主动免疫可信计算才能有效抵御攻击，这是革命性的。我2000年说的，2005年美国小布什总统IT顾问委员会，给小布什写了紧急信，说网络安全是迫在眉睫的危机，美国我们认为是最最好的，他认为美国没有搞好。过去十几年中美国保护国家信息技术基础建设工作是失败的，短期弥补修复不解决根本问题，因此他们调整了计划态度14个技术优先研究领域，34个重要投入领域，尤其是加强密码现代化计划。我们提出了是计算结构与计算模式问题是什么呢？以前说计算模式是只讲究计算效率，怎么快怎么来，我们说可信计算是指计算运算的同时，进行安全防护，使计算结构总是与预期一样，计算全程可测可控，不被干扰。尽管这个很简单，但是做起来是相当难的。因为它是要很多的机理来解决安全防护问题，因此新的计算模式，跟人体一样，只不过我们用密码作为基因来实施身份识别、状态度量、保密存储，这样能及时识别是自己还是不是自己的，从而破坏与排斥进入机体的有害物质。

　　有人质疑什么叫免疫，各说各的样，当然也有不同学派。我们可以查最权威的辞海字典，我在1990年的时候就查过很多字典，也访问过很多搞医学的学者们，也就是说，人体尽管很完整，但是有很多的缺陷，因此，病毒细菌利用这个缺陷来进行攻击。那么怎么使得它攻击无效呢？要利用人体的免疫基因，构建他的抗体，产生免疫的细胞应对攻击者，病毒细菌。那么怎么来识别呢？就是利用它的基因识别能力，人体和外来的，这也不是万能的，还可能进来，进来以后它要繁殖，它要破坏正常的机体，马上发现，马上采取措施。还有一个很重要的，细菌病毒要繁殖，要攻击对象，需要了解机体里是什么部件，对象是什么。因此我们在什么免疫里也很科学，形成一种防护的编码，什么编码？使得攻击者看不见，摸不着，这就是我们的基因，人们也不知道排序，是因为它有身份编码保护的，后来身份编码破了，排出来了。最近我们河北科技大学韩教授又解了一些码，发现了什么什么，引起了很大争议，这里面身份编码很起作用的。因此，密码作为基因实现身份鉴别、状态度量、保密存储，发现坏东西就破坏它，排斥它。

　　我们是把为完成任务的必要逻辑组合起来，来达到我们设计的目的，这是基础的出发点。大家前面讲过了，我们计算机设计体系上有缺失，只讲究计算效率，而缺失了保障的逻辑。计算机原来体系结构不是这样的，可惜你们在座学的都是微机原理，微机原理是微机，而不是整个计算机结构，微机是原来计算机简化的一种变态的东西，也就是说，单用户串行的，计算机结构一开始就是多用户并行使用的，当时人们感到太复杂了，能不能简化一点。随着半导体技术发展，给每个人计算机，这样使用方便了，成本降低了，便于推广了。但是它的假设出了问题，在个人环境下，个人条件下，完成事不顾别人，因此我们程序PC机，上次培训班我复印了一本七十年代写的书，那时候叫虚拟机，虚拟内存，不是云计算叫虚拟，就是由计算机要充分发挥它的效率，大家共同使用。但是一个时刻，一个地方使用，一个人使用，因此就有调度。一会儿给他用，一会儿给他用，这叫虚拟化。虚拟化就像我们今天的报告厅就是虚拟化，今天我们报告，昨天不知道谁在报告，明天不知道谁在报告，但这个会议室不是你的，就是虚拟的，就是分时使用共同的资源就是虚拟化。现在个人计算机没必要虚拟化了，自己干自己的。因此，把防止共同使用一个资源，并发使用的资源，防止相互打架，相互干扰，全都砍掉了。

　　大家都是学计算机的，我们原来一个用户计算，一个程序计算，程序只能落在内存空间，数据也只能落在一个程序空间，不能跑到外面去。由硬件、软件来保障，硬件做到指令，能确定这个指令是不是跑到外面去了，这条数据是不是落在指定的空间，就这个技术措施，你们想想现在黑客攻击，所有的东西能攻击得了吗？攻击不了。现在你们学的C有这个吗？所以现在PC机结构是计算机计算的变异，是一个怪胎，相当于生下的孩子没有免疫系统一样，为什么？假设孩子生下来以后没有病，没关系的，独立空间自己生存，因此不需要病毒防御机理，也不需要跟人家打交道，关起门来干，这个假设不对。联网以后，你的是我的，我的也是你的，因此我们根本问题是计算机结构的缺失，是这个科学问题，而不是黑客能力大，而我们程序设计有漏洞。因此，我们还应该把结构缺失补起来，原来有很多的计算机硬件、软件的措施，比如操作系统，操作系统原理和教材没有变。信号灯、PV操作、发消息，这就解决了一个用户的程序不能直接到其他用户空间拿数据，指令也是由信号灯，红灯停，绿灯走，使这套设备社会机制，现在不需要了，个人了，所以我们一定要从体系结构中进一步完整我们缺失的问题。也就是说，我们要在硬件上、部件上，要有这方面的硬件，软件也要有，网络上也要有。

　　总结来讲，只有这样，才能使得我们向大型计算，云计算，大数据，物联网等等，如果计算机结构不去弥补的话，是解决不了安全问题的。所以，我们只能用可信计算才能解决体系结构，操作行为，资源配置，数据存储的可用。 等级保护最重要的标准，我们叫可信安全管理中心支持下的免疫三重防护框架。首先要保护计算环境，非网络化的时候也有这个问题，安全保密问题一样有，我们现在都在计算机上面了，因此，计算环境相当于和工作环境一样，安全保密是第一位要保护的，一定要可信计算。第二，可信边界，我们的防火墙，很多IDS，很多的边界设备都是不符合逻辑的，不符合科学常规的。我们要可信编辑，我们要讲规则，用边界很好理解。门卫，进来你是谁，干什么去，谁证明，出去拿什么东西出去，谁批准的，如果有问题是传达室还是保密人员来裁决，这个结构叫做网络边界，以前也是这样，通信，挂号信，而且保密信息是机要交通。密码认证，不让人家偷看，密码加密，或者不要篡改掉包，一致性检查，一样一样的。

　　我们现在管理中心，你们可以想你们单位不是有管理中心，你们产品有没有管理中心，没有管理就没有规约。我们日常管理一样，第一，保卫工作，保卫部门干什么呢？就是管单位的资源，人、物怎么弄，还有保密室干什么？管信息的密级定位，人们什么权限，保密室文件打印。第三，审计，相当于我们一个单位的监控室，摄像头。所以三个管理相当于系统管理相当于保卫部，安全管理相当于保卫室，审计管理相当于保密室，非常科学，非常合理。这样做达到什么效果呢？攻击进不去，进去了首先拿不到东西，窃取的东西看不懂，系统信息改不了，系统工作瘫不成，攻击行为赖不掉。

　　最近美国东海岸上个月21号，美国最先进的、最安全的，网络安全搞得最好的国家，大面积瘫痪，什么毛病？是摄像头，摄像头变成了跳板，变成了肉鸡，摄像头同时发出上网指令，而且是连续发，网络全部瘫痪，你们想想用我们可信，摄像头也是微机，图像处理的软件，这个也是上网处理的，有限定制化的系统，这个系统白名单一下，就把它制了。进去一个攻击程序，没有在原来可信列表里的，就制了。进不去待不住，如果没发现的话，这个发出指令，原来是有网络连接的，或者应该去的网站，也就是摄像头搜集信息的网站，现在里面变了，不可信了，不能发，它能成功吗，就这么简单。像“震网”，伊朗的核设施，参数一改，就把它震坏了。心脏滴血很有意思，心脏滴血你们回去再做点功课，最典型的利用逻辑不全的攻击，不可能避免的，心脏滴血案例非常生动，不是因为程序上有明显漏洞缺陷，不是，本来不应该是问题的问题。

　　你们都是搞安全的，SSL协议，终端和服务器要连接，终端发起请求，要相互认证，请求发什么指令？首先发一个，用对方服务器的公钥加密，用他的私钥解密，再用对方终端的公开令公钥加密以后，传过去，传到终端，终端用自己私钥解开，解开以后核对，我原来发的随机数是不是一样。因此存在随机数加密解密处理，有两个参数，一个是参数的实际长度，还有一个协议格式上标尺多少k，利用这一点没有核对，我们一般做了以后，写了多少长度，把长度写在指针那儿去，马上核对。它利用没有核对的，就把发出去的实际长度是0，表针长度是64k，服务器傻乎乎拿到以后，就把64k的内存，把对方拿过64k数据拷到内存里去，拷的过程中，按照实际长度去拷的。可是实际上一点都没有拷，同样它不知道。又把64k内存加密了，加密以后传过去，等于把自己的64k内存，对方的公钥加密传过去以后送给终端，终端拿到以后一脱密就是服务器的内存。我讲的是利用正常的工作目标的逻辑，就可以小小的缺失，你们防得过来吗，能避免吗？所以我们一定不要去找漏洞，不要着眼于找漏洞，找也可以，找到漏洞就解决安全了吗？未必，所以我们还应该从正常的工作，不被变异。

　　我们要进行可信核对，终端是不是可信的程序，要核对。就这一条，终端程序就不能被篡改，很简单。 因此，我们要重启可信革命，这个世界怎么起来的呢？就是因为计算机结构的变化，我是从大型机、小型机、微机、PC机全搞过来的。我们在八十年代末出现PC机，到处都是又便宜，又好，军队核心的密码，也用PC机，都是非常想不通的事，但是这是现实。因此，必须解决它的体系结构问题，才能保证秘密信息的安全。当时我们92年立项的，叫主动免疫的，或者当时叫环境免疫的综合保护系统，当时也称之为智能安全卡，经过长期攻关，我们解决了军队的核心秘密。

　　有案例，94年出了重大的案例。这个技术后来用于民间的，大家每个人都有关系，二代居民身份证是我组织做的，就利用了可信的技术，不能篡改，伪造更不可能。还有增值税发票系统，还有体育彩票，都采用了可信体系，简化了系统，防止了伪造篡改，到现在增值税发票十几年来，多少张发票，没有说一张发票是假的，只是发现了增值税发票假开的事情。因此，我们军转民，后来这个技术我们军方又演示验证，要1：1的部队装备。可是我们在这个过程中不可能保密，我们的技术被外国人拿走了，被国际可信计算组织TCG拿走了。 自主密码为基础，控制芯片为支柱，双融主板为平台，可信软件为核心，可信连接为纽带，策略管控成体系，安全可信保应用。

　　我们确实做了很多非常科学的事，首先从2005年列入国家的安标委体系，制定的一系列的中国可信计算标准。第一，05年启动了自主密码体系的标准制定。第二，我们构筑主体，架子搭起来，控制的芯片、主板、软件、网络，然后还要配套。比如服务器、存储器以及平台，而且对结构要做规范标准的起草，什么叫可信？评估很重要，参加的标准单位有上百个，非常热闹，我们标准搞得还是相当科学，成体系的标准后来没有启动。 那么我们用标准说话，我们搞得怎么样呢？比TCG有什么好的地方？我说有，从根本上比TCG强。那TCG有什么问题呢？当时这也是2000年左右的一个稿子，我们没有说它怎么样，有局限性，给它留了很多面子。一、密码的体制局限性。它是用了单一的RSA公钥体制，回避了对称密码。这样出现什么问题呢？存在密码不可安全证明性的问题，简单来说，一个密码既用认证，又用加密，就存在被破译的危险。写密码的同志知道，这样讲你们就清楚了，存在这个重大问题。为了弥补这个问题，采取很多措施，细化认证，密钥搞得很细，还是解决不了问题。因此我们提出颠覆性的意见，要采用对称非对称相结合的密码体系，可惜我们还没有全部实现推广，就被他们拿走了，我们06年发布公开以后，07、08年人家拿走了，而且用了，挺好用。然后以后申报ISO国际标准，现在TPM2.0国际标准采用了我国的可信密码体制，并成为国际标准。

　　体系结构不合理，什么不合理呢？在工程层面上，功能调用上解决问题，比如TPM可信密码模块，是外部设备挂接在外总线上，BIOS进行管理，子程序TSS软件栈，没有改变体系结构，被动调用被动挂机，因此构不成双体系，构不成主动免疫的体系。主动免疫是融合的，大脑也要有免疫体系来保护，不受大脑指挥的。人们换个肝，大脑高兴了，但是免疫系统不干，排异。我们的密码采用了自主设计的，更重要的是，定位TCM，到现在TCG没有这个词。有人写文章写错了，中国的TPM就是TCM，不对，密码模块的定义就是创新，我们把密码定位于基础核心的支撑，有名有姓有管理。密码换了不重要，重要的是怎么实现的，模块怎么回事，TCM中国的可信密码计算模块，不是中国的TPM，请注意，这一点就是创新。 那么我们更重要的，第二个，采用对称非对称相结合的密码体制，就是解决了TCG单一公钥体制的缺陷，我们的更简便，更方便。我们跟有关领导汇报很简单，把一个链链起来以后，大家用公钥就可以兑付，很方便。

　　但是解决个人就有风险了，因此我用公锁认证，私锁解决个人保密问题。我们公开以后，反映良好，现在申报国际标准，进展也是挺顺利的。所以我们在非保密条件下，用这个密码体系是很好的，我们军工不军工，对于国家秘密体系不用这个，对于可信保证是完全可以解决问题的。因此，我们下面的标准也是，国军标起很大的作用，我们多方面的创新，密码已经讲过了，更重要的是可信的、主动度量的控制模块，也就是控制芯片，叫TPCM。这是中国的创新核心所在，下面我们专门要讲标准，这个标准最核心的，就是用最核心的，我们起草完了以后，翻来覆去军民融合都是用这个标准，而且芯片也流片了，证明是对的。但是我们起草完了有多少年了？08年起草完到现在没有发布，我们要求今年立项，赶紧发布，但是遇到一些障碍，障碍是谁？第一是美国人，因为IBM、微软参加了我们国标委的成员。不要紧，国军标已经立项，不受影响。

　　业务处理表，还是迁移，还是应用单位说了算，哪位各个地方怎么保护的，哪一点参数防控是什么，四要素是用户应用系统说了算的，每个点怎么描述，怎么保护。接入平台要求更严一点，不仅要验证用户是可信的，用户也要验证云可信不可信，所以要加强可信连接。通信更要注意，因此管理中心，架构不变，但是以前是自己负责，现在系统实现管理，以资源服务的计算中心为主。安全管理第二张表安全管理中心为主的，对信息流程怎么控制，对应与策略制定，安全管理，这以用户为主。审计管理负责追踪和应急处理，服务流程的审计，业务处理过程要审计，以免产生问题扯皮，比如我们在宾馆开会，会议没有开好，我们找宾客说是宾馆不好，宾馆说你会议开不好，是因为中间有人进去捣乱是我的事吗，会扯皮，因此要进行第三方裁决。

　　大数据。大数据是指无法用现有的软件工具进行处理的海量复杂的数据集合，首先数据量大不是光海量，是多源异构，数据量大，是构成多源异构搅在一块，成为非结构化。一、搜集来的数据是低价值度的，因此我们应该快速处理，根据这些情况，相当于数据废品和垃圾再收集，再处理。垃圾数据处理就是大数据，我讲了好几年了，在贵阳每年大数据会上都讲，因为原来都搞不清楚，都建数据中心，不是，我讲了以后他们讲不要建大数据中心，要快进快出。二、一定是由常规数据处理工具，也就是一些关系数据库的工具不能解决问题，因此一定是非结构化。三、丢掉一些东西没有关系，因为李总理在今年互联网大会上讲是钻石矿，采钻石的时候大量的是岩石，运行不好钻石就丢了。所以要寻找它的规律，才能发现钻石。所以我们要从大量的废料当中，寻找它最有价值的东西。在大量废料矿石当中，可能会出现钻石。因此，我们要从中发掘知识智慧，也要发现本质的规律。因此这样的东西，更珍贵，更高层次了。这是社会的财富，一般每家每户的数据是解决不了的，我们的数据都是资源，资源用完了以后，废料不要轻易扔掉，要回收回去，因为它能卖点钱，再进行处理。所以有些大数据的单位，数据不开发，我说不对，你理念不对，你一定要收购人家，人家的数据收购回来做买卖，不要等着人家给你，有些等着政府数据开放，不可能，但是政府有可能扔掉不要，请你不要放在那个地方，你给我，我换成一点钱，要回收垃圾，回收废料的经营模式来收购。因此，我们要处理多环节，还是用计算环境来做。

　　一个系数据采集源，多方式采集，采集过程当中，要网络通信，要汇集，这也就是大数据的改变，打包。打包完了以后要在数据处理过程当中，我们分为数据处理过程，数据计算节点，从采集到汇集，然后要规约清理，因为没有经过垃圾处理的人可能不清楚，见过垃圾处理，是先粉碎，然后精拣出有效物质，再进行清理。所以我们要规约清理，要搜索它们相互的关联，这是第一步。第二步，要变换挖掘，还要分析评估，这是结算环节的，进入第二个大工序，跟手机买卖一样，来了以后先打包，放在仓库里面，垃圾袋里面，现在要规约清理，搜索关联，然后进一步去发掘它内部的东西，分析评估，哪些有价值的分类。目的是达到应用的知识表达，知识表达很重要，这是什么样的东西，让大家能用，能表达清楚，再后来是买卖，要共享交易，要卖钱。你搜集来那么多东西，处理以后要卖给谁，所以一定要找到出路，把废料变成有价值的东西，这才是我们真正的大数据理念。

　　因此在这个环节当中，完全符合三层管理体系，安全管理中心也是吻合的。请注意，制定标准的时候要注意，重点是在业务信息维，怎么保证，怎么达到密级定级，因为不同的垃圾处理，我处理中央办公厅的处理，都是国家秘密性的，处理老百姓垃圾不是这样的。所以也要定级。所以第一、是要保证大数据应用业务系统安全，加强环境整体多重防护，多级互联体系结构，确保大数据处理环境可信。第二、要加强处理流程控制，如果处理不好，一个人给你捣乱一下，某个环节就慢了，所以防止内部攻击，提高计算节点自我免疫能力非常重要。第三、加强全局层面安全机制，制定数据控制策略，梳理数据处理流程，建立安全的数据处理新模式。第四，要加强技术平台支持下的安全管理。 那么大数据计算服务平台安全，应该说都不是单独去建一个计算机机房，原有的信息处理已经不能用了，怎么办呢？虚拟动态，都是在操作系统平台上完成的，为什么？单个建是不可能的，现在大部分都是用云计算中心做的，阿里云也一样，因此我们强调结构图，或者三层防御体系，重点保护在业务处理流程的安全，系统服务虚拟化动态资源要调度与分配，这方面的安全与云计算中的要求一样。所以这主要是解决大数据计算服务平台安全，我们这个也是两张表，一个是计算服务的表，以及业务处理的表，这样就搞清楚了。 等级保护是创新的，等级保护不仅适用以前，对于我们现在有现实意义的，一定要按照国家法律进行等级保护。总的来说，我们国家可信计算是创新的，某种意义上也是，我们非常有信心建设成为世界网络安全强国，我们一定要推广我们相应的可信计算，来构造我们国家网络空间安全保障体系，为我们建设成为世界网络安全强国做出贡献。