中国工程院院士沈昌祥:
要建主动免疫防御网络安全保障体系
昨日,中国工程院院士沈昌祥在国家网络安全宣传周“核心技术·自主创新”论坛上介绍,消极被动的封堵查杀已经过时,要建主动免疫防御网络安全保障体系。
沈昌祥院士介绍,消极被动的封堵查杀防不胜防,“就好比人没有免疫系统”,要建立一套攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成、攻击行为赖不掉的计算机免疫系统,这就是“可信计算”,一边计算一边防护,计算结果跟预期一样,全程可测可控。
沈院士介绍,国家基础设施也必须构筑防线,而我国国家电网电力调度系统,通过可信计算的保障,已达到等级保护四级技术要求。“核心技术受制于人是我们最大的命门”,沈昌祥介绍,1992年中国可信计算正式立项研究并规模应用,到目前已形成自主创新体系。(记者 李佳 贺亮)
中国科学院院士郑建华:
手机上用密钥 中国有望在此领域超越
昨日,在“核心技术·自主创新”论坛上,中国科学院院士郑建华介绍,怎么在手机上用密钥?中国有望在此领域实现超越。
郑建华介绍,过去通过个人电脑进行网络应用是基于PKI进行安全防护的,利用内置私密的USB硬件设备,解密运算不出硬件,实现身份认证和会话密钥的协商共享。而现在超过七成的网络访问都是通过移动智能终端,传统密码技术在当下的移动互联环境下遇到了巨大挑战,因为很难再外接一个这样的USB设备,私钥直接放在终端上,解密运算直接在终端上完成,其安全性很难得到保证。
郑建华介绍,较为安全的办法是将密码算法与密钥融合,利用终端密码个性化、动态更新的一人一密加一次一密保护移动互联的安全性。他说,面向手机、平板电脑、POS机等移动应用的密码技术,对于全球来说都是研究前沿,但目前还没有出现被广泛认可的解决方案。
他认为,中国的信息技术一直落后于世界发达国家,但伴随中国手机网民增多,中国通过移动终端的信息服务,比例已经高于世界发达国家。在移动互联环境下如何使用密码?全球最大的研究样本,就在中国。中国完全有可能在该方面弯道超越,做到全球领先。
“网络安全研究要面向国家需求,要有自信提出问题和新概念,形成研究领域和重点热点。当前中国信息化进程和世界完全同步,在移动互联安全技术、大数据安全技术、基于生物特征的安全技术、抗量子计算的安全技术等领域孕育着新的有重大内涵的突破,其应用背景和学科价值都很明显。”郑建华院士呼吁国内科研者多关注国家需求,面向实际应用开展研究,为国家的网络安全服务。(记者 李佳 贺亮)
中国工程院院士倪光南:
集中力量办大事突破信息核心技术
昨日,在2016国家网络安全宣传周的“协同联动 共守互联网安全”论坛上,中国工程院院士倪光南说,发扬集中力量办大事的优势,才能突破信息核心技术。
倪光南介绍,在我国网络信息技术领域,信息化和网络安全技术以往都是当成两回事,安全常常是作为保障和事后考虑的事情,导致网络安全技术相对落后。网络信息核心技术的一个特点是具有高度的垄断性。如果是属于必须依靠自己的力量自主创新的核心技术,应当发扬我国能集中力量办大事的优势。
倪光南举例说,以前我国桌面电脑领域就有过教训。这个领域本就已被由微软(拥有Windows操作系统)和英特尔(拥有x86 CPU)所组成的Wintel(文泰来)联盟及其主导的标准和生态系统所垄断。目前,国内出现五六家操作系统与CPU软硬件企业,仅操作系统和CPU两项就可能形成数十种组合,更不用说还有其他软硬件的大量适配问题了。这样,不但大大增加了国产软硬件之间、国产软件之间相互适配的工作量,而且还难以形成一个统一的、真正能用的生态系统,因而也难以与Wintel生态系统相抗衡。
他说,最近我国桌面电脑领域的产学研用各界的众多单位,通过中国智能终端操作系统产业联盟向有关部门建议:愿在政府部门指导下,发扬我国能集中力量办大事的优势,将该领域有关科技专家和有关骨干企业集中起来,整合资源,协同一致,共同制订中国桌面操作系统的统一标准,并以此为核心,营造国产桌面电脑的统一生态,这样才有可能打破桌面电脑领域被Wintel垄断的局面。(记者 陈诚 严珏)
京东集团首席安全专家Tony Lee:
网络安全产业需要建统一的行业规范
“成千上万的从业者,包括信息技术做的软件、硬件支撑设备,信息产业包含各种供应商,但却不是一个非常高度协同的社会,必然对网络安全造成较大的影响。”昨日在“协同联动 共守互联网安全”论坛上,京东集团首席安全专家Tony Lee表示,网络安全产业需要建统一的行业规范。
Tony Lee进入京东前是百度云安全部首席架构师,是国内第一家完全基于SaaS的云安全服务厂商安全的联合创始人兼CTO,此前,他还曾服务于微软美国,主管开发过企业级和家庭用户的云计算产品,产品覆盖了数十亿个人用户和数百万企业用户。
Tony Lee以京东商城为例表示,网购背后是包含供应链、物流、商城、技术供应商等多方面的配合。“从网络安全来说,这是一个看似高度协同的生态链”,但现实是一帮黑客可能侵入一个网站或公司,从一个公司泄露的信息又被用来攻击另一个公司。
Tony Lee认为,维护网络安全,需要建立一个可信赖的环境。他举例说,从电商上游的电信公共设施到下游的信息企业公司,都在做基础的安全服务,却没有一个统一的标准。各个企业要采购很多的技术产品,没有安全标准保障就无从谈起。食品有国家统一的安全测试标准,互联网产品也应该有。
“包括行业的安全、信息能力共享、立法跟执法,都需要统一的标准。”Tony Lee表示,只有行业和相关部门共同推动网络安全标准的规范制定,才能有整体网络安全水平提高的保障。(记者 陈诚 严珏)