沈昌祥：讓微軟在中國市場守法

日前，中國工程院院士、海軍計算技術研究所高階工程師沈昌祥在第三屆國家網路安全宣傳週上獲頒“2016年網路安全傑出人才獎”。

對這位76歲的科學家而言，榮譽並不罕見。他曾獲得國家科技進步一等獎2項、二等獎3項、三等獎3項，軍隊科技進步獎十多項。但有關網路安全的國家級人才獎，還是沈昌祥的第一個，也是全國的第一個。

“不要以為網路安全就是個人身份資訊在網上被洩露、銀行卡錢丟了，從去年烏克蘭遭遇的大面積停電來看，資訊化時代網路安全還有可能會讓飛機掉了、火車撞了、供電停了、生活工作一片黑暗和混亂。”談及網路安全，沈昌祥說，其實在平靜的網際網路背後，是尖銳的鬥爭。

可信計算

構建“主動免疫”網路

停電了！2015年12月23日，烏克蘭伊萬諾-弗蘭科夫斯克州，沒有任何徵兆，140萬居民突然陷入黑暗。

種種跡象顯示，這次停電不同尋常：烏克蘭全國的135個變電站中，至少有30個癱瘓。有居民給電力公司打電話通報故障，始終佔線。排程員無法遠端監控變電站的狀態。電力公司不得不把人員派到各地變電站，手動重設斷路器。

各地區的供電時隔六個小時才全部恢復。事後調查證實，停電原因不是物理破壞，也不是能源不足，而是黑客攻擊。儘管網路攻擊在電力行業內已非祕聞，這麼大規模的停電事故卻尚屬世界首次。

烏克蘭的遭遇引發了各國重視。一個月後，中國計算機學會計算機專業委員會主辦的“從烏克蘭事件看我國工控系統安全”研討會在公安部召開，沈昌祥作為受邀專家出席。他指出，黑客攻陷了電力公司的排程系統主伺服器。

值得慶幸的是，中國民眾或許不用面對烏克蘭人曾遭受的恐慌。沈昌祥長期推動國家電網電力排程系統安全防護建設專案。他把排程控制系統比作電網的“大腦”和“神經中樞”，管理並控制著電網的可靠安全執行。專案則要為“大腦”增加“抗體”，即電力可信計算密碼平臺。

“抗體”的基礎是主動免疫的可信計算技術。這種運算和防護並存的新計算模式，用密碼實施身份識別、狀態度量、保密儲存，從平臺加電到應用程式的執行，一級認證一級，一級信任一級，未獲認證的程式不能執行，從而及時識別“自己”和“非己”成分，破壞與排斥進入機體的有害物質——— 好比人體的“免疫系統”。

傳統的網路安全保護機制與此完全不同。防火牆、入侵檢測和病毒防範，沈昌祥口中的“老三樣”，以封堵、查殺為主要手段。在沈昌祥看來，面對攻擊，消極被動的老三樣防不勝防，主動免疫的可信計算才能有效抵禦。

“防火牆就像無菌箱、防護門。孩子剛生下來沒有免疫能力，需要放在無菌環境下生存。但他總是要長大吧？病毒是殺不完的，培養他的免疫能力才是正道。”沈昌祥說，可信計算是從體系結構上解決網路的主動免疫。

目前，電力可信計算密碼平臺已在全國34個省級以上排程控制中心和59個地級排程控制中心上線執行，覆蓋了上萬臺伺服器 。沈昌祥說，惡意程式碼免疫、強制訪問控制等功能全面實現，確保了執行安全。

黑客攻擊導致電網癱瘓停電，在普通人聽來也許像電影情節。但現實中，網路攻擊其實無時無刻不在發生，悄然威脅著大眾的生活。除了國家電網，沈昌祥還曾提出中央電視臺的網路製播可信環境建設的方案，為42個頻道節目構建可信計算安全技術體系。得益於此，黑客無法攻入央視的網路製播系統內安插非法畫面或播放。

無論是在軍事還是民用領域，可信計算都已得到廣泛運用。沈昌祥總結了主動免疫可信計算的六大特徵：攻擊者進不去、非授權者重要資訊拿不到、竊取保密資訊看不懂、系統和資訊篡改不了、系統工作癱不成、攻擊行為賴不掉。

1992年開始研究主動免疫防護的沈昌祥，是中國網路空間安全領域最資深的專家之一。2008年北京奧運會、2015年“九·三”大閱兵，以及剛剛結束的G 20杭州峰會幕後，都有他的身影。他笑言，每逢國家有重大活動，自己就要被“關”上一週甚至更久，值守待命。

除了為有關部門提供技術指導，沈昌祥仍活躍在研究與教學的一線。他自認是比較“怪”的科學家，只要是關於網路安全的事情，樣樣都做，能埋頭於實驗室搞研究，也能上講臺給學生授課。

“哪能閒得住呢？事事都要找你。”他說，年輕時業餘愛好拉小提琴、下象棋，現在根本沒時間。久了，反而更習慣忙碌的狀態，“不忙的時候就要生病”。

市場博弈

讓微軟在中國守法

2012年10月，美國微軟公司宣佈將推出Windows8（以下簡稱Win8）作業系統。此前廣受歡迎的WindowsXP（以下簡稱XP）系統，將在2014年正式退役，不再獲得任何安全性更新或技術支援。

與X P不同的是，Win8系統捆綁了可信計算技術。有報導稱，德國有關部門曾指出可信計算事實上能讓微軟和美國國家安全域性遠端控制任何使用該系統的計算機，警告政府及私營機構不要使用W in8。

XP將停止服務，政府採購問題成了當務之急。2013年11月，沈昌祥牽頭聯合26位院士向中央提交推動國產作業系統開發和替代的建議信。“如果2億臺計算機使用了W in8，花巨資買的不是資訊保安，而是被控制權。”他說。

Win8最終沒有進入政府採購目錄。

2015年7月，微軟開始推送Win10系統。沈昌祥說，其核心與Win8基本一致，且在各個埠全面捆綁可信技術。放開Win10進入會嚴重威脅中國的網路安全，中國可信計算產業也將完全失去進入市場的機會。

依據WT O的基本規則，商業主體應尊重銷售國的有關法律和標準。據此，依照我國相關法律，可開展對Win10的安全審查，並對其進行本土化改造。

安全審查組成立，沈昌祥任組長。“遵守我國《電子簽名法》和《商用密碼管理條例》，進行本土化改造，其中可信計算、數字證書、密碼裝置必須是國產自主的。”

一場新的博弈開始了。2015年12月，微軟與中國電子科技集團簽署合資公司備忘錄，注資比例為微軟公司49%，中國電科51%。雙方達成共識，共同開發基於微軟技術的中國政府專用版作業系統。

截至目前，Windows10系統仍未進入中央政府採購目錄。此次與中國企業合作，微軟能否順利推出符合《電子簽名法》和《商用密碼管理條例》的政府定製版，猶未可知。

事實上，微軟曾在2003年許諾向中國企業授權開放作業系統有關原始碼，開發本土化網路安全協議。當年，沈昌祥也是主持者。“我國投入了很大的人力、物力做這件事。產品落地的時候，微軟卻說沒能通過美國政府審批，最後只是賠償了事，我們的很多努力都付諸東流。”

在沈昌祥看來，通過對外合作引進國際先進技術，消化、吸收、再創新，是實現關鍵技術突破，加快形成新產品的一種途徑。但最關鍵、最核心的安全技術，必須做到安全可控，要立足自主創新。

他仍在力推資訊系統國產化。全球開放的國際潮流下，如何既能跟國外企業分享、共贏，又避免讓國內企業失去國內市場、產生技術依賴、放慢自主創新的腳步？如何提升國內企業的技術，開啟其成長空間？一系列的問題，他都在持續思考。

沈昌祥認為，這樣的合作已不僅僅是企業集團自身的事，不能簡單地用企業利益進行衡量，而是關乎國家網路安全。中國需要面對的現實是，在核心技術、基礎設施、體系架構及理念上，都與“網路強國”的目標存在明顯差距，任重道遠。

“這是機遇，是挑戰，是新的博弈，更是尖銳的鬥爭。”他說。

本文轉自d1net（轉載）