物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

中國(guó)工程院院士沈昌祥:信息化全面深化 促進(jìn)物聯(lián)網(wǎng)新型領(lǐng)域

作者:姜濤
來源:搜狐IT
日期:2012-07-05 08:32:05
摘要:7月4日消息,2012年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)今日在西安舉行,中國(guó)工程院院士沈昌祥在大會(huì)上了發(fā)布"做好新型信息技術(shù)發(fā)展應(yīng)用的信息安全等級(jí)保護(hù)工作"的報(bào)告。

  7月4日消息,2012年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)今日在西安舉行,中國(guó)工程院院士沈昌祥在大會(huì)上了發(fā)布"做好新型信息技術(shù)發(fā)展應(yīng)用的信息安全等級(jí)保護(hù)工作"的報(bào)告。當(dāng)前,我國(guó)信息化發(fā)展正進(jìn)入全面深化的新階段,促進(jìn)了一些新領(lǐng)域,比如說工業(yè)控制信息化、三網(wǎng)融合、物聯(lián)網(wǎng),尤其是云計(jì)算很熱。

  以下為演講實(shí)錄:

  各位領(lǐng)導(dǎo)、各位來賓,有機(jī)會(huì)跟各位交流一下新的信息技術(shù)應(yīng)用。大家問我信息安全保障工作怎么做,我說還要讓我們國(guó)家信息安全保障體系統(tǒng)一來貫徹執(zhí)行等級(jí)保護(hù)制度。

  當(dāng)前,我國(guó)信息化發(fā)展正進(jìn)入全面深化的新階段,促進(jìn)了一些新領(lǐng)域,比如說工業(yè)控制信息化、三網(wǎng)融合、物聯(lián)網(wǎng),尤其是云計(jì)算很熱。這些新型信息技術(shù)發(fā)展應(yīng)用,給我國(guó)網(wǎng)絡(luò)與信息安全保障工作提出了新的任務(wù)。以前信息安全的理念與做法,對(duì)我們信息安全等級(jí)保護(hù)工作也提出了新的挑戰(zhàn)。比如說工業(yè)控制系統(tǒng),2010年伊朗發(fā)生了鎮(zhèn)驚世界的網(wǎng)震,它把伊朗的核設(shè)施震壞了。新的信息安全保障我們信息系統(tǒng)的安全運(yùn)行,現(xiàn)已經(jīng)提升到定位和空間,保衛(wèi)網(wǎng)絡(luò)空間國(guó)家主旋律的問題。三網(wǎng)融合。電信網(wǎng)、廣電網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合后,信息安全風(fēng)險(xiǎn)將主要來自于網(wǎng)絡(luò)開放性、終端復(fù)雜性、信息可信性等方面。

  互聯(lián)網(wǎng)。物聯(lián)網(wǎng)將傳感、通信和信息處理整合成網(wǎng)路系統(tǒng)。把物品與互聯(lián)網(wǎng)連接起來,實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤監(jiān)控和管理,這必然會(huì)成為影響社會(huì)穩(wěn)定、國(guó)家安全的重要因素之一。物聯(lián)網(wǎng)跟以前的網(wǎng)絡(luò)區(qū)別在什么地方呢?在組成上是有明顯區(qū)別。物聯(lián)網(wǎng)運(yùn)用大量感知節(jié)點(diǎn),將成為竊取情報(bào)、盜竊隱私的攻擊對(duì)象,而且龐大節(jié)點(diǎn)以集群方式連接將對(duì)網(wǎng)絡(luò)通信的依賴更加敏感,對(duì)分布式的物聯(lián)網(wǎng)核心網(wǎng)絡(luò)的管理平臺(tái)安全性、可信性要求更高。另外,對(duì)數(shù)據(jù)傳輸?shù)陌踩院蜕矸菡J(rèn)證的可信性提出了更高的要求。

  云計(jì)算。云計(jì)算的問題非常熱鬧,云是自然形成的,云計(jì)算是一種能夠動(dòng)態(tài)伸縮的虛擬化資源,通過網(wǎng)絡(luò)以服務(wù)的方式提供給用戶的計(jì)算模式,用戶不需要知道如何管理那些支持云計(jì)算的基礎(chǔ)設(shè)施。類似賓館服務(wù)模式。以前我們開發(fā)軟件,自己搭建一個(gè)平臺(tái),后來找一個(gè)系統(tǒng),自己搞個(gè)信息中心,現(xiàn)在全部寄托在大的云計(jì)算中間,我們有系統(tǒng)資源、信息資源,由不可控、不可信的云經(jīng)營(yíng)商統(tǒng)管IT資源和計(jì)算基礎(chǔ)設(shè)施。另外,更大規(guī)模異構(gòu)共享和虛擬動(dòng)態(tài)的運(yùn)營(yíng)環(huán)境難以控制。虛擬,你用的時(shí)候是真實(shí)的物理軟件,不是虛的。另外,如何保證云中IT資源安全、用戶隱私保護(hù)以及云計(jì)算環(huán)境的可信可靠,已成為阻礙云計(jì)算進(jìn)一步發(fā)展的主要因素。另外,制定相應(yīng)的云計(jì)算法律法規(guī),明確擁護(hù)和運(yùn)營(yíng)商法律責(zé)任也是發(fā)展云計(jì)算必不可少的。我們從短期來看這個(gè)問題,信息安全等級(jí)保護(hù)制度適用于新型信息技術(shù)應(yīng)用的信息安全保障,新型信息技術(shù)應(yīng)用系統(tǒng)都是依托網(wǎng)絡(luò)技術(shù)構(gòu)建不同應(yīng)用模式的計(jì)算環(huán)境。比如工業(yè)控制系統(tǒng),盡管把我們計(jì)算機(jī)的控制信息生產(chǎn)設(shè)施過程,它只要有計(jì)算決策,網(wǎng)絡(luò)傳輸,最后就可以控制,這個(gè)也是一個(gè)系統(tǒng)工程。物聯(lián)網(wǎng),傳感器域,網(wǎng)絡(luò)通信,應(yīng)用處理環(huán)境。

  我重點(diǎn)講一下云計(jì)算。云計(jì)算打破了原來獨(dú)立分割的計(jì)算平臺(tái)一個(gè)實(shí)驗(yàn)室,機(jī)房,甚至計(jì)算中心,所以它現(xiàn)在提出軟件即服務(wù)(SaaS)(行業(yè)應(yīng)用、工具應(yīng)用等)相當(dāng)于賓館吃飯的模式、住店的模式,你里是需要點(diǎn)擊選擇餐飲,就相當(dāng)于賓館的點(diǎn)菜吃飯住店。平臺(tái)即服務(wù)(PaaS)(可擴(kuò)展的運(yùn)行環(huán)境、數(shù)據(jù)儲(chǔ)存等)?;A(chǔ)架構(gòu)即服務(wù)(IaaS)(虛擬服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)),這些都是硬件設(shè)施。信息安全等級(jí)保護(hù)是按信息處理系統(tǒng)的計(jì)算資源和信息資源重要程度不同,實(shí)施不同保護(hù)強(qiáng)度的保障措施。安全保護(hù)等級(jí)劃分準(zhǔn)則(GB/17859—1999)核心是對(duì)信息系統(tǒng)從三個(gè)方面實(shí)施保護(hù)。第一,可信。針對(duì)計(jì)算資源(軟硬件)構(gòu)建保護(hù)環(huán)境,以可信計(jì)算基(TCB)為基礎(chǔ),層層擴(kuò)充,對(duì)計(jì)算資源進(jìn)行保護(hù)。
去年7月16號(hào)美國(guó)國(guó)防部發(fā)布了L空間(音)戰(zhàn)略,新的防御有四點(diǎn):第一是要構(gòu)建可信的網(wǎng)絡(luò)環(huán)境;第二,內(nèi)外供給;第三,要多層次的主動(dòng)防御;第四,要科學(xué)計(jì)算架構(gòu)與計(jì)算技術(shù)。第二,可控。針對(duì)信息資源(數(shù)據(jù)及應(yīng)用)構(gòu)建業(yè)務(wù)流程控制鏈,以訪問控制為核心,實(shí)行主體(用戶)策略則訪問客體(信息資源)。第三,可管。保證資源安全必須實(shí)行科學(xué)管理,強(qiáng)調(diào)最小權(quán)限管理,尤其是高等級(jí)系統(tǒng)實(shí)行三權(quán)分離管理體制,不許設(shè)超級(jí)用戶。所以我們現(xiàn)在要理解我們的等級(jí)保護(hù),我們國(guó)家所提出來的保護(hù),本質(zhì)是可信、可控、可管。

  針對(duì)上述四類新應(yīng)用,怎么管理、怎么保護(hù),按GB/17859要求,構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò),三重防御體系是必要的,可行的,具體設(shè)計(jì)可參照(GB/T25070—2010)。我們要堅(jiān)持正確的技術(shù)路線,從國(guó)情出發(fā),按需適度安全,逐步發(fā)展完善。要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù),建設(shè)管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系結(jié)構(gòu)。防內(nèi)為主,內(nèi)外兼防,提高計(jì)算節(jié)點(diǎn)自身防護(hù)能力,減少?gòu)耐獠咳肟谏系姆舛隆<訌?qiáng)技術(shù)平臺(tái)支持下的安全管理,應(yīng)與業(yè)務(wù)處理、監(jiān)控及日常安全管理制度相結(jié)合。為便于技術(shù)方案實(shí)施,整改時(shí)不改或少改原有的應(yīng)用系統(tǒng)。以信息處理流程制定安全策略,實(shí)施訪問控制。

  新型信息技術(shù)應(yīng)用的等級(jí)保護(hù)技術(shù)框架。下面以云計(jì)算為例,介紹等級(jí)保護(hù)技術(shù)框架。信息系統(tǒng)云化是指其信息處理流程在云計(jì)算中心完成。因此云計(jì)算中心負(fù)有安全保障責(zé)任,也有信息系統(tǒng)用戶的行為安全責(zé)任。云計(jì)算中心可以同時(shí)運(yùn)行多個(gè)不同安全級(jí)別的信息系統(tǒng)。云計(jì)算中心安全級(jí)別不低于承運(yùn)最高等級(jí)信息系統(tǒng)的級(jí)別。所以云計(jì)算中心應(yīng)該有等級(jí)保護(hù)的概念。云中心一般由用戶網(wǎng)絡(luò)接入、訪問應(yīng)用邊界、計(jì)算環(huán)境和管理平臺(tái)組成,可形成虛擬應(yīng)用、虛擬計(jì)算節(jié)點(diǎn)以及虛擬計(jì)算環(huán)境,由此構(gòu)建可信計(jì)算安全主體結(jié)構(gòu)??尚庞?jì)算是指:計(jì)算處理結(jié)果與預(yù)期的相一致,中間過程可控制管理、可度量驗(yàn)證。云中心組成架構(gòu),接受用戶的請(qǐng)求,我們叫接入邊界,然后分配到各城市去組織,來完成它的服務(wù),然后進(jìn)來以后一層一層往下做。這是可信云計(jì)算體系安全架構(gòu),應(yīng)用程序虛擬化,虛擬化在三個(gè)層次都可能虛擬化,虛擬化就是通過邏輯的分配,使用的時(shí)候是實(shí)實(shí)在在的物理的設(shè)施,但是使用完了以后就不是你的了,就該下一個(gè)用戶使用。所以這樣一種云計(jì)算架構(gòu)來看,完全符合三重管理體系,但是這里面有所區(qū)別。另外,PC機(jī)解決的安全問題,是我們整個(gè)計(jì)算機(jī)信息系統(tǒng)體系機(jī)制的缺陷,所以我們要用可信保障的辦法來彌補(bǔ)這個(gè)缺陷。由用戶確定主體/客體關(guān)系,制定訪問控制策略,確保控制流程可信。可信云計(jì)算應(yīng)用邊界??尚旁朴?jì)算通信網(wǎng)絡(luò),云計(jì)算中心一定要判別,加強(qiáng)態(tài)勢(shì),保證用戶與云中心通信安全可信??尚旁朴?jì)算安全管理,基于策略的管理,既要管云計(jì)算中心資源的安全,又要管用戶的流程安全,所以我們提出三個(gè)管理平臺(tái)不變,系統(tǒng)管理保證資源可信(中心);安全管理負(fù)責(zé)授權(quán)和策略(用戶),木馬程序一定要變成可執(zhí)行的代碼,在這些代碼里面會(huì)增加新面目,如果系統(tǒng)檢查以后馬上發(fā)現(xiàn)異常的執(zhí)行程序。審計(jì)管理負(fù)責(zé)追蹤和應(yīng)急處理(雙方),在云計(jì)算管理下審計(jì)太重要了,要保證用戶流程的一些情況,在安全過程中怎么辦呢?誰來整合,如果大家按照標(biāo)準(zhǔn)規(guī)范來做,安全管理中心管理就是服務(wù),大家可以從這方面去產(chǎn)業(yè)化,同時(shí)發(fā)現(xiàn)問題及時(shí)處理。我就講這么多,謝謝大家。

人物訪談