会上,中国工程院院士、中心网信办专家咨询委员会顾问、国家集成电路家当发展咨询委员会委员沈昌祥带来了名为《首创安全可信集成电路家当新生态》的主题演讲,着重提出了中国当前应创建安全可信的打算模式和体系框架、加快安全可信架构硬软领悟家当创新发展,同时呼吁要捉住可信打算的主要机遇,进而有力促进和保障我国数字经济和信创家当生态发展。
创建安全可信的打算模式和体系框架
“推广安全可信的网络产品和做事是我们的历史义务、计策任务,”沈昌祥首先表示,党的二十大报告提出加快培植网络强国计策任务,没有网络安全就没有国家安全,安全是发展的条件。同时,多部国家法规均指出,应推广、加快或全面利用安全可信的网络产品和做事。
个中,《国家网络空间安全计策》强调应坚持创新驱动发展,积极创造有利于技能创新的政策环境,统筹资源和力量,以企业为主体,产学研用相结合,协同攻关、以点带面、整体推进,尽快在核心技能上取得打破。重视软件安全,加快安全可信产品推广运用。
众所周知,网络安全已经成为国际焦点议题。沈昌祥指出,“网络安全的本色是风险度=薄弱度威胁度。个中薄弱度是指网络空间在打算科学、体系构造和打算模式等方面极其薄弱,包括图灵打算事理少攻防理念,冯诺伊曼架构缺防护部件以及重大工程运用无安全做事。在威胁度方面,例如人工智能在赋能人类社会加快发展的同时,正逐渐衍生出可危及国家安全和人类安全的重大风险。多位著名科学家警告,人工智能发展将毁灭人类社会。”
对付如何应对网络安全风险,沈昌祥称,设计IT系统不能穷尽所有逻辑,利用逻辑毛病挖掘漏洞,进行攻击的风险始终存在。而降落薄弱性,用安全可信产品和做事,在打算同时并行进行动态的全方位整体防护,使得完成打算任务的逻辑组合不被修改和毁坏,达到预期的打算目标。这相称于人体具有免疫力确保康健。
“要推进实现这一计策任务,须要按照国家网络安全法律、计策及等级保护制度哀求用安全可信网络产品和做事构建主动免疫防护保障体系。”他说。
中国工程院院士、中心网信办专家咨询委员会顾问、国家集成电路家当发展咨询委员会委员沈昌祥院士
至于如何构建主动免疫防护保障体系,沈昌祥表示,个中紧张有三条路径。第一,“一种”新模式,即主动免疫可信打算,使打算同时进行安全防护。第二,“二重”体系机构,通过打算部件+防护部件建立免疫、反腐败的子系统和可信打算节点。第三,“三重”防护框架,即可信安全管理中央支持下的主动免疫三重防护框架——“安全办公室(可信打算环境)”“警卫室(可信边界)”“安全快递(可信网络通信)”。
他还称,可信打算广泛运用于国家主要信息系统,如增值税防伪、彩票防伪、二代居民身份证安全系统、中心电视台全数字化可信制播环境培植、国家电网电力数字化调度系统安全防护培植等,按照国家法律、计策、等级保护制度哀求进行推广运用。由此,完备的可信打算3.0产品链将形成巨大的新型家当空间,个中包括具备可信打算功能的国产CPU、嵌入式可信芯片及可信根,具备可信打算3.0技能的设备等均具有广阔前景。
加快安全可信架构硬软领悟家当创新发展
随着网络安全风险持续呈现,各种干系漏洞不断呈现。个中,硬件固件的“熔断”漏洞内容包括,CPU乱序实行技能设计毛病,受影响实体涵盖所有的英特尔CPU和部分ARM CP。而“幽灵”漏洞内容则是CPU推测实行技能设计毛病,受影响实体涵盖所有的英特尔CPU、AMD CPU,以及部分ARM CPU。
沈昌祥称,集成电路是计策性、根本性和先导性家当,对信息安全至关主要。对此,应主动免疫肃清“熔断”“幽灵”等CPU总线漏洞威胁。安全可信的打算节点双体系(打算+防护)构造下的平台掌握模块不仅可以进行动态监控,还可以打消“熔断”等漏洞。
与此同时,加快安全可信架构硬软领悟家当创新发展至关主要,个中关键举措是加快PKS产品体系开拓运用。沈昌祥表示,这是由于可信打算肃清“熔断”漏洞,在OS的领悟下即可实现。同时,其它处理器漏洞如specture的研究表明:攻击利用机制更繁芜,很难打补丁;涌现呈加速趋势,漏洞利用方法不断创新。但到目前为止,都必须利用“侧信道”机制实现攻击,并行架构可信打算仍处在最佳监管位置,可以用可信机制软硬深度领悟,以极小的代价填补微构造自身毛病,避免打补丁等性能的大幅低落的风险。
据先容,可信打算平台由可信节点和可信管理软件中央组建可信系统,个中可信节点包括软件层、硬件层以及TPCM可信根的三种构建办法。而在采购支持TPCM内置CPU的整机设备有两种方案,即片内异构办法和片内同构办法,双方差异在于异构办法运算性能较弱、资源配置固化,而同构办法运算性能强、资源配置灵巧。
沈昌祥称,基于飞腾多核架构的可信打算双体系架构(同构)是主动免疫防御的主要根本,由TPCM和TCM构成打算平台的可信根,并拥有独立于主机的软硬件资源,能够主动访问主机所有资源支撑可信验证机制的履行,是全体主动免疫防御体系的信赖源点。此外,基于海光CPU的内置可信双体系架构(异构)内置安全处理器,不仅具有可信物理度量根,担保可信勾引源头安全,采取国算法进走运算,而且集成TPCM可信模块,从源头有效抵抗造孽攻击。
长远来看,安全可信家当生态大有可为,可以推动浩瀚干系家当领域发展,个中包括可信主板、可信操作系统、TPCM固件、TSB、可信策略管理平台、可信网络连接、可信密码平台、可信虚拟机等。沈昌祥表示,“我们一定要捉住可信打算的主要机遇,在新技能和集成电路的关键支撑和带动下,切实打造出安全可信的打算模式和体系框架,加快安全可信架构硬软领悟家当创新发展,从而有力促进和保障我国信息家当和数字经济的发展。”
