自主操作系統(tǒng)與信息安全、國家安全

各位領(lǐng)導(dǎo)，各位來賓，非常高興今天有機(jī)會(huì)與大家探討一下信息安全的核心技術(shù)之一——操作系統(tǒng)。目前，我們已經(jīng)形成的共識(shí)是，網(wǎng)絡(luò)空間是繼海陸空天之外的第五大國家主權(quán)空間，保衛(wèi)網(wǎng)絡(luò)空間安全就是保衛(wèi)國家主權(quán)。

大家對(duì)棱鏡門事件印象很深，但是棱鏡門事件其實(shí)只是冰山一角，不足為奇。更為重要的是，美國在網(wǎng)絡(luò)空間上確定了霸主地位，制定游戲規(guī)則。目前網(wǎng)絡(luò)空間的安全已經(jīng)成為世界的焦點(diǎn)，也是中國面對(duì)的新挑戰(zhàn)。

XP停服的深層思考

比如近期大家廣泛關(guān)注的Windows XP停止服務(wù)就是這些挑戰(zhàn)的典型表現(xiàn)。據(jù)初步統(tǒng)計(jì)，目前我國運(yùn)行Windows XP的計(jì)算機(jī)在2億臺(tái)左右，我認(rèn)為，這不是一個(gè)事件，而是一個(gè)風(fēng)險(xiǎn)，同時(shí)帶給我們挑戰(zhàn)和機(jī)遇。

表面上看，操作系統(tǒng)老版本停止服務(wù)是非常正常的，因?yàn)樗菩行碌陌姹?，要進(jìn)行必要的升級(jí)。但實(shí)際上，擺在我們面前的并不是普通的操作系統(tǒng)升級(jí)這樣簡(jiǎn)單。我們面臨的選擇是，要么繼續(xù)使用Windows XP，要么升級(jí)到Windows 8。如果繼續(xù)使用Windows XP，由于失去了各類服務(wù)，用戶就會(huì)面臨非常大的安全風(fēng)險(xiǎn)；如果升級(jí)到Windows 8，由于Windows 8與可信平臺(tái)模塊TPM2.0綁定，該模塊可以強(qiáng)化操作系統(tǒng)對(duì)用戶的控制，同時(shí)Windows 8捆綁了微軟的殺毒軟件，為從容監(jiān)控用戶的系統(tǒng)提供了更大的可能。

出于商業(yè)目的，Windows 8會(huì)將更多的程序進(jìn)行檢查。Windows 8對(duì)安全和程序認(rèn)證方面的增強(qiáng)，可能對(duì)操作系統(tǒng)本身的安全性有所提升，但是對(duì)中國的用戶，特別是一些核心、涉密機(jī)構(gòu)來說反而更不安全了。所以，升級(jí)采購Windows 8，不僅是要花更多的錢的問題。更重要的，我們對(duì)安全的控制權(quán)將會(huì)喪失，我們要對(duì)應(yīng)用軟件進(jìn)行二次開發(fā)也會(huì)遇到很大的困難。根據(jù)這個(gè)情況，我們很明確地提出來不能采購Windows 8。

自主操作系統(tǒng)的發(fā)展目標(biāo)

當(dāng)然，我們不能光是不采購，在操作系統(tǒng)安全方面，我們還要有思路、有對(duì)策，有替代的解決方案。

針對(duì)這一問題的戰(zhàn)略思路是，要把當(dāng)前急需解決的問題與長(zhǎng)遠(yuǎn)發(fā)展的問題統(tǒng)一起來。操作系統(tǒng)的安全可信問題，既是挑戰(zhàn)，也是機(jī)遇。它給我們提供了一個(gè)自主創(chuàng)新的大好時(shí)機(jī)。一方面，我們要通過服務(wù)接管和安全加固來解決Windows XP急需解決的安全問題，使得現(xiàn)有Windows XP系統(tǒng)不受惡意代碼感染，保護(hù)國家大量運(yùn)行在Windows XP上的業(yè)務(wù)系統(tǒng)不受安全威脅。另一方面，我們同時(shí)還在加快操作系統(tǒng)國產(chǎn)化替代的步伐，為操作系統(tǒng)的國產(chǎn)化替代提供安全和服務(wù)支撐。

這個(gè)工程很有意義，我們非常需要為以后創(chuàng)造自主可控、安全可信的操作系統(tǒng)打好基礎(chǔ)。我把這個(gè)工程的近期、中期和遠(yuǎn)期目標(biāo)都給大家介紹一下。

在近期目標(biāo)中，我們希望通過自主可控、安全可信的操作系統(tǒng)安全加固方案來加固Windows XP系統(tǒng)，我們會(huì)嚴(yán)格按照要求和標(biāo)準(zhǔn)，經(jīng)過第三方測(cè)試，向社會(huì)公布推薦的加固解決方案。當(dāng)然，這只是被動(dòng)的解決方案。我們沒有任何改變Windows XP的能力，沒有辦法打補(bǔ)丁，這并不是因?yàn)槲覀儾宦斆?，而是因?yàn)槲覀冇龅搅颂魬?zhàn)。

其實(shí)，要擺脫被動(dòng)局面，我們可以換一個(gè)思路。我們可以從可信計(jì)算的角度，一邊計(jì)算一邊檢查，也做和Windows 8類似的事情?？尚庞?jì)算在中國不是沒有，中國其實(shí)做得非常多，很有特色和創(chuàng)新。盡管漏洞、病毒仍然存在，但是如果我們能進(jìn)行安全加固，這些后門、漏洞不會(huì)被別人利用，就可以降低安全風(fēng)險(xiǎn)。

在中期目標(biāo)中，我們要通過協(xié)同攻關(guān)，到2020年形成所謂的智能操作系統(tǒng)，包含PC終端、手機(jī)、嵌入式的操作系統(tǒng)，出現(xiàn)一兩款具有一定規(guī)模、成熟的國產(chǎn)操作系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)國外操作系統(tǒng)的替代。而長(zhǎng)期來看，不僅是要解決替代的問題，更重要的我們要在國際上創(chuàng)立屬于中國的操作系統(tǒng)品牌和產(chǎn)品，它不僅要在中國應(yīng)用，還應(yīng)該在世界上占有一席之地。

用可信計(jì)算解決操作系統(tǒng)安全問題

在可信計(jì)算領(lǐng)域，中國已經(jīng)做了將近20年。2005年，中國就制定了相關(guān)的國家標(biāo)準(zhǔn)，現(xiàn)在已經(jīng)擁有了主要的、核心的產(chǎn)品。

可信計(jì)算平臺(tái)上的產(chǎn)品有三種形態(tài)，分別是在專用主板上嵌入可信密碼模塊，主板配插PCI可信密碼模塊，主板配接USB可信密碼模塊，后面的方法更為方便。我們現(xiàn)在其實(shí)已經(jīng)有了很多這樣的案例。

大家知道，這樣的操作雖然非常簡(jiǎn)單，但可以有效解決計(jì)算機(jī)所面臨的安全問題。因?yàn)橥ㄟ^可信計(jì)算體系，我們可以實(shí)現(xiàn)計(jì)算機(jī)的免疫。第一，可信計(jì)算平臺(tái)要進(jìn)行識(shí)別，確定可信的主、客體；第二，可信計(jì)算平臺(tái)會(huì)基于識(shí)別的結(jié)果，對(duì)屬于自己的進(jìn)行保護(hù)，不屬于自己的進(jìn)行排斥，有害的還要消滅，這就是可信計(jì)算的主動(dòng)控制、主動(dòng)度量、主動(dòng)采取措施；第三，它發(fā)現(xiàn)問題后還要報(bào)警，從而實(shí)現(xiàn)及時(shí)免疫的功能。

在Windows XP停止服務(wù)以后，根據(jù)上面講的三種模式，將新的可信計(jì)算系統(tǒng)引入到老的Windows XP平臺(tái)上，就能夠?qū)崿F(xiàn)即使系統(tǒng)中有Bug、有漏洞，攻擊者也無法實(shí)施攻擊。這樣就可以有效保證主客體的可信認(rèn)證，源代碼的保護(hù)不被篡改，應(yīng)用程序不被破壞等。此外，還可以實(shí)現(xiàn)信息保護(hù)，系統(tǒng)可以分辨是“好人”還是違規(guī)的“壞人”，從而實(shí)現(xiàn)資源可信度量，行為可信鑒定等。

這樣可以讓主動(dòng)免疫系統(tǒng)介入到系統(tǒng)調(diào)用、進(jìn)程創(chuàng)建的過程中，達(dá)到動(dòng)態(tài)度量、客觀驗(yàn)證、實(shí)時(shí)攔截的主動(dòng)、實(shí)時(shí)的免疫功能，在免疫過程中，發(fā)現(xiàn)異常情況的同時(shí)還會(huì)發(fā)出警告、報(bào)警。其實(shí)，這種做法比傳統(tǒng)的查殺病毒的方式更簡(jiǎn)單，因?yàn)槿绻坏┯龅角闆r，系統(tǒng)會(huì)報(bào)警并對(duì)惡意的行為進(jìn)行控制，這種主動(dòng)的控制要比被動(dòng)的掃描更加有效。

此外，我還建議大家關(guān)注信息安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)不是寫出來的，而是通過實(shí)驗(yàn)得出來的。這個(gè)標(biāo)準(zhǔn)包括安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)三個(gè)層面，這三個(gè)層面還需要安全管理中心的支持。而安全管理中心又包括資源和系統(tǒng)管理、安全管理、審計(jì)管理等方面。我認(rèn)為，用可信計(jì)算的思想和技術(shù)來實(shí)施信息安全等級(jí)保護(hù)是非常必要的。

有了可信計(jì)算，我們可以做到免病毒查殺、免打補(bǔ)丁、不用修改應(yīng)用軟件，不給用戶的使用增加麻煩。而且，可信計(jì)算體系是可以支持各種異構(gòu)環(huán)境的，它不光針對(duì)Windows XP，在Linux等系統(tǒng)上同樣適用。

這個(gè)體系既可以在離線的情況下實(shí)施服務(wù)配置，也可以在網(wǎng)絡(luò)環(huán)境中實(shí)施配置，不僅可以在移動(dòng)網(wǎng)絡(luò)上實(shí)現(xiàn)服務(wù)支持，在互聯(lián)網(wǎng)上也可以實(shí)現(xiàn)安全服務(wù)支持。當(dāng)然，在互聯(lián)網(wǎng)上的可信安全還是有區(qū)別的，在這方面我們已經(jīng)做了充分的實(shí)驗(yàn)，有些產(chǎn)品也已經(jīng)發(fā)布。

Windows系統(tǒng)被廣泛使用，全世界都在幫它找Bug。而自主的產(chǎn)品應(yīng)用不夠廣、投資少又缺乏經(jīng)驗(yàn)，在這種情況下我們自主的操作系統(tǒng)的Bug會(huì)比人家的少嗎？肯定要多！那怎么辦呢？只有采用即使有Bug但不被人家所利用的免疫系統(tǒng)，才能使得我們自主可控的路子走下去，為中國IT系統(tǒng)的自主可控、安全可信保駕護(hù)航。

可喜的是，中國已經(jīng)做了十幾年的可信計(jì)算，在某種意義上，我們比國外早了將近十年。我們有自己的創(chuàng)新，現(xiàn)在主要的計(jì)算機(jī)廠商已有可信計(jì)算的產(chǎn)品，包括硬件和軟件，在一些主機(jī)系統(tǒng)，自動(dòng)化辦公系統(tǒng)上有充分的使用。比如在國家電網(wǎng)，可信計(jì)算就經(jīng)過了嚴(yán)格的測(cè)試并得到應(yīng)用，可信計(jì)算已經(jīng)開始為我們的電網(wǎng)系統(tǒng)進(jìn)行等級(jí)保護(hù)、安全保護(hù)，同時(shí)免去了系統(tǒng)升級(jí)所帶來的復(fù)雜問題，節(jié)約了大量的成本。

希望通過Windows XP停服，促使我們攜手攻關(guān)，解決操作系統(tǒng)自主可控、安全可信的問題。謝謝大家?。ū疚母鶕?jù)沈昌祥院士在第十五屆中國信息安全大會(huì)上的演講編輯整理，未經(jīng)本人確認(rèn)。標(biāo)題為編者加。）endprint