可信计算3.0：为互联网竖起安全“盾牌”

第二看台

“可信计算3.0可让攻击者‘进不去’，让非授权者‘拿不到’重要信息，让窃取机密者‘看不懂’。”近日，在由山东信息通信技术研究院管理中心、山东乾云启创信息科技公司联合主办的“可信云助力新动能”论坛上，中国工程院倪光南院士和沈昌祥院士如是描述了可信计算3.0的“威力”。

可信计算3.0是什么？它在我国有何应用？

云服务瘫痪一次损失950亿，“心脏滴血”仍未远去

若世界级云服务提供商遭遇严重的网络攻击，可能导致其服务器瘫痪3到6天，造成150亿美元（约合人民币950亿元）的经济损失。

这不是危言耸听，在英国最大的保险组织劳合社与美国风险管理和自然灾害模型开发公司AIR Worldwide于今年1月23日发布的报告上，就记录了此事。

臭名昭著的“心脏滴血”事件，就是攻击者利用OpenSSL软件库中的安全漏洞窃取目标设备上的密码等敏感信息。

“心脏滴血”已成为过去式了吗？没有！在“可信云助力新动能”论坛上，沈昌祥用具体实例阐述了他的观点。

按照国际网络空间搜索引擎Shodan的统计，“心脏滴血”仍对全球20万的网络设备构成威胁，其中有11300台设备来自中国。

沈昌祥以勒索病毒网络攻击为例。他表示，中国自主创制的可信计算3.0可有效抵御“WannaCry”勒索病毒攻击。采用可信计算3.0技术的操作系统免疫平台能在计算机信息系统上形成对未知木马病毒的防御能力。

“老三样”被动防御已过时，“新三样”让攻击者无处可逃

在沈昌祥看来，在“高深莫测”的网络攻击面前，防火墙、入侵监测和病毒查杀等“老三样”被动防御手段已经过时。

“我国信息基础设施及软硬件服务大量来自国外跨国公司，由此构建的基础设施和信息系统就像沙滩上的建筑，在遭受攻击时会‘土崩瓦解’。”倪光南向科技日报记者强调的是另一点是自主性，“瞄准网络攻击，构建安全可控的信息技术体系，最关键的核心技术必须由自己研发，才能不受制于人。”

倪光南看重的“最关键的核心技术”便是可信计算。“主动免疫可信计算，是指在运算的同时进行安全防护，计算全程可测可控，不被干扰，只有这样方能使计算结果总是与预期一致。这也改变了只讲求计算效率，而不讲安全防护的片面计算模式。”倪光南说。

目前国内最先进的可信计算3.0效果如何？

“首先，在可信计算的主动免疫防护下，攻击者很难入侵。即便攻进去了，由于强制访问控制，非授权者也拿不到重要信息；即使窃取了重要数据，因为有加密保护，窃取者也看不懂。其次，攻击者很难篡改系统和信息，系统工作就不会瘫痪。最后，利用可信计算的审计功能，能发现并保护证据，使攻击者无处可逃。”沈昌祥说。

大事件证明可信计算可靠，建设网络强国指日可待

网络安全核心技术要经过“不可用——可用——好用”三个发展阶段。在倪光南看来，可信计算3.0无疑正奔向“好用”阶段。

2017年5月14日，我国举办了“一带一路”国际合作高峰论坛。该论坛是在2017年5月12日勒索病毒网络攻击席卷全球的严峻情势下召开的。作为建设者和亲历者，沈昌祥说，以可信计算3.0为核心的中央电视台可信制播环境在此期间经受住了考验，最终抵御了这次网络攻击。而类似考验可信计算3.0的事件，在国内还有不少。

从世界容错组织的可信计算1.0到以国际可信计算组织TCG为代表的可信计算2.0，再到以中国为代表的可信计算3.0，中国研制的“自主可控、安全可信”技术最终站到了世界前列。

沈昌祥说：“中国可信计算已成为保卫国家网络空间主权的战略核心技术，已在国家核心系统和关键信息基础设施领域得到规模化应用，并被列入国家战略。”

（本版图片除标注外来源于网络）