孙道军：筑牢网络安全防线 构建清朗网络空间（3）

三、网络空间安全模式与体系

中国工程院院士沈昌祥用“123456”概括了主动免疫的可信计算体系的构建、使用及效果。

“一种”新模式。主动免疫可信计算是一种运算同时进行安全防护的新计算模式，以密码为基因抗体实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

“二重”防护体系结构。我们要打造一个以计算部件和防护部件为核心的二重防护体系结构，实行安全可信策略管控，建立免疫、反腐败子系统，实现运算同时可以进行安全防护。这就解决了之前提到的图灵计算体系缺少攻防理念、冯·诺依曼架构缺乏防护部件的问题。

“三重”防护框架。我们要建立一个可信安全管理中心支持下的主动免疫三重防护框架。它就相当于现实世界的办公大楼，楼内有“安全办公室”，就是办公室及内部的每个人都是安全的，也就是系统中的每个计算节点都安全可信，即可信计算环境。楼内有“警卫室”，负责登记、核验陌生访客的身份，即系统中的可信边界，可以说，每个系统或小环境都有边界，就好比不同楼层、不同单位都设有门禁，需要验证才能进入。楼内还有“安全快递”，保证办公室以及个人之间的联系是安全可信的，即可信网络通信。通过可信计算环境、可信边界和可信网络通信，最终到达用户终端。另外，楼内要设置“保密室”，管什么文件、什么人管，实现安全管理；还要设置“监控室”，就是摄像头中的信息传送到监控室，留下证据，系统里的有效审计。

“四要素”可信动态访问控制。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提，必须对人的操作访问策略四要素（主体、客体、操作、环境）进行动态可信度量、识别和控制，纠正传统不计算环境要素的访问控制策略模型，只基于授权标识属性进行操作，而不作可信验证，难防篡改的安全缺陷。

主体，就是每台机器、每个系统的用户或实体。在访问控制时，我们要对他进行可信验证和权限检验。客体，就是被访问控制的系统或应用。我们要给它建立访问控制规则，比如这个系统什么人能访问、什么时间可以访问等。操作，就是在访问控制规则中的具体行为。我们需要对其进行安全管理，防止被恶意篡改、泄露数据，比如网上银行的双重验证。环境，就是系统运行环境。我们对系统整体环境也要进行安全管理，保障环境安全可信，不被植入恶意代码。

“五环节”全程管控，技管并重。按照《中华人民共和国网络安全法》、《中华人民共和国密码法》、网络安全等级保护制度以及《关键信息基础设施安全保护条例》的要求，全程治理，确保体系结构、资源配置、操作行为、数据存储、策略管理可信。首先，要掌握系统的安全属性怎么样，风险分析，准确定级。定了级之后，要备案，要按照规范和标准建设。建设完了要严格测评，建成以后要进行检查，发现问题及时解决。同时，还要监督检查，消除各种威胁、隐患。最后，建立感知预警系统，对入侵行为有反制机制。

“六不”防护效果。构建这套防护体系的目的，就是要达到“六不”防护效果，即攻击者进不来，非授权者重要信息拿不到，窃取保密信息看不懂，系统和信息改不了，系统工作瘫不成，攻击行为赖不掉。我们有可信的审计记录，有据可查、可追溯，会对攻击者及其攻击行为依法追责。