當前，網絡空間已成為陸海空天之外的第五大國家主權領域空間，也是國際戰略在軍事領域的演進，保衛網絡安全就是保衛國家主權。

4月29日，在首都網絡安全日的網絡安全高峰論壇之網絡可信體系保障國家網絡安全分論壇上，國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥做了《網絡空間安全戰略思考與啟示》的主題演講。

目前，美國將網絡空間安全由“政策”、“計劃”提升為國家戰略，而且美國網絡空間安全戰略也在進一步完善。2015年4月23日，美國五角大樓發布新版網絡安全戰略概要，首次公開要把網絡戰作為今后軍事沖突的戰術選項之一，明確提出要提高美軍在網絡空間的威懾和進攻能力。

不僅美國緊鑼密鼓執行網絡空間國際和戰爭戰略，最近北約網絡空間安全框架指出，目前世界上有一百多國家具備一定的網絡戰能力，公開發表網絡安全戰略的國家多達50多家。

沈昌祥表示：由此可見，我國網絡安全面臨嚴峻的挑戰，美國網絡空間安全戰略啟示我們應積極加快建設我國網絡安全保障體系，捍衛我國網絡安全國家主權。我們需要建設“戰略清晰”的網絡安全保障體系，需要走積極主動防御的技術路線。

構建主動防御的技術保障體系

1. 可信免疫的計算體系結構

當前大部分網絡安全系統主要是由防火墻、入侵檢測和病毒防范這“老三樣”組成，而我們必須要明白，消極被動的封堵查殺是防不勝防的，所以我們需要走創新自強之路，構建主動防御的技術保障體系，從而徹底扭轉當前網絡安全受制于人的被動局面。

(1)可信免疫的計算模式

可信計算是指計算運算的同時進行安全防護，使計算結果總是與預期一樣，計算全程可測可控，不被干擾，是一種運算和防護并存的主動免疫的新計算模式，及時識別“自己”和“非己”成份，從而破壞與排斥進入機體的有害物質，加強自我安全控制能力，改變傳統“封堵查殺”的被動局面。美國就是用可信計算技術實現本國的主動防御，同時對別國信息系統加強控制和監視，取得網絡空間行動的絕對優勢。

(2)安全可信系統框架

云計算、大數據、移動互聯網、虛擬動態異構計算環境更需要可信。安全可信的系統框架由體系結構可信、操作行為可信、資源配置可信、數據存儲可信、策略管理可信5個層面構成。

同時，要構建可信安全管理中心支持下的三重防護框架，由可信計算環境、可信邊界、可信通信網絡共同構成縱深防御的防護體系，達到“攻擊者進不去，非授權者重要信息拿不到，竊取保密信息看不懂，系統和信息篡改不了，系統工作癱不成，攻擊行為賴不掉”的安全防護效果。

2. 中國可信計算技術創新

中國可信計算經過長期攻關，形成了自主創新的體系，涉及可信計算自主密碼方案、芯片層面的主動控制、主板可信安全管理中心支持下的三重防護框架層面的計算和可信雙節點融合、軟件層面的雙系統體系結構、網絡層面三元三層對等架構等，形成主動免疫的雙體系結構，克服了TCG外部模塊掛接和被動調用的缺陷。

中國可信計算已經搭建起了以密碼技術為基礎、芯片為支柱、主板為平臺、軟件為核心、網絡為紐帶、應用成體系的可信計算技術框架。

中國可信計算創新點包括：可信計算自主密碼方案、芯片層面的主動防御、主板層面的計算和可信雙節點融合、軟件層面的雙系統體系結構以及網絡層面的三元三層對等架構。

 #p#

3. 解決核心技術受制于人問題

(1)中國可信計算產業化條件具備

《國家中長期科學技術發展(2006—2020 年)》明確提出“以發展高可信網絡為重點，開發網絡安全技術及相關產品，建立網絡安全技術保障體系”。“十二五”規劃有關工程項目都把可信計算列為發展重點。

可信計算標準系列逐步制定，研究制定單位達40多家，參與人員達400多人，標準的創新點都作了技術驗證，申報專利達40多項。不少單位和部門已按有關標準研制了芯片、整機、軟件和網絡連接等可信部件和設備，并得到了有效的應用。

2014年4月16日，中關村可信計算產業聯盟的成立將大力推進可信計算的產業化和市場化。

(2)XP 停止服務帶來的風險與契機

4月8日，微軟公司正式停止對Windows XP的服務支持，且不再提供針對該操作系統的系統安全補丁、升級以及其他相關服務，并已停止市場銷售。全國約2億臺運行XP操作系統的終端將面臨無人服務的局面。

中央國家機關政府采購中心也要求國家機關進行信息類協議供貨強制節能產品采購時，所有計算機類產品不允許安裝Windows8 操作系統。

經過20多年的攻關，我國在操作系統關鍵技術上有相當的積累和儲備，該事件給我國發展自主操作系統帶來重大機遇，加快發展我國自主可控、安全可信的操作系統已刻不容緩，基于開源技術發展自主操作系統是現實選擇。我們需要做到“五可”、“一有”。

“五可”是：可知、可編、可重構、可信以及可用，“一有”是：有自主知識產權。具體如圖所示：

(3)利用自主創新的可信計算加固XP系統

XP停止服務需要用自主創新的可信計算平臺產品對XP終端進行安全加固，并以可信服務替代補丁服務，有效抵御新的病毒、黑客的攻擊，還為加快自主操作系統產品研發和替代做好技術支持。

可信加固產品硬件上有3種形態：主板配接USB可信密碼模塊、主板配插PCI可信密碼模塊和專用主板上重構可信密碼模塊。

利用可信計算構建的系統管理、安全管理以及審計管理三大功能的可信免疫管理平臺，可以確定可信主客體，制定可信主客體間訪問規則，審計主客體訪問行為并監控主客體運行時的狀態。

(4)為全面替代國外產品打基礎

目前，利用可信計算構建的主動免疫系統已支持Windows、Linux、UNIX、Android等操作系統。

主動免疫系統主要特點為：免病毒查殺免補丁;不用修改應用軟件;用戶使用完全透明;支持異構環境、系統效率損耗不到5%。

以可信服務替代補丁服務主要有分為線上、線下兩種部署方式。其中，線上部署方式針對中小型企業以及用戶，提供免疫平臺管理服務以及軟件下載服務等。而線下部署方式重點針對高等級重要系統，適用于專網隔離。

現在，通過演示驗證驗收。測評以及設計鑒定，已經定型十余款。

總結

如今，國際網絡空間形勢日益嚴峻，對我國網絡安全提出了很大的挑戰。我國必須要立足當前國情，積極應對，自主創新，構建主動防御、安全牢固的網絡保障體系。