院士沈昌祥:网络安全不是“自主可控”而是“安全可信”

2020-05-21 09:52:31 光明网 98

  《网络安全法》于2017年6月开始正式施行。作为维护我国网络空间主权和国家安全,保护公民信息合法权益的基础性法律,它的施行标志着我国网络安全保障迎来新时代。守住网络安全防线,打好网络信息攻坚战,构建安全可信的网络体系。光明网记者专访了中国工程院院士、我国著名信息系统工程专家沈昌祥。

Q:光明网记者:在施行的《网络安全法》条文中,提到要推广安全可信的网络产品和服务。您如何解读法律对网络安全的保障作用?安全可信的网络体系如何构建?

  A:沈昌祥院士:《网络安全法》正式实施。有了网络安全法,我们的网络空间安全有法可依,也就是有法必依,这样才能建立法治的信息社会。没有法,不能成为有序健康发展的社会。“安全是发展的前提,发展是安全的保障。”

  谈到《网络安全法》,我认为最重要的是两个方面:一是监管信息的建立,二是解决核心技术、构建健康的安全的可信的网络体系。“核心技术受制于人的问题”是最大的被动。《网络安全法》第16条要求国务院、省、自治区、直辖市加大力度支持网络安全技术的研究开发和利用。其中,最为突出的一点是“推广安全可信的网络产品和服务”。《网络安全法》没有讲“安全可控”,更没有说“自主可控”,也没有说“安全可靠”,这些词有争议的,最后科学的表达是“安全可信”。“自主可控”并不安全,因为安全是科学问题。“安全不是因为别人做的就不安全,自己做的就安全。”所谓安全,是因为我们计算机科学以前犯了个“错误”,只讲计算输入,不讲安全防护。“这就相当于人生了个没有免疫系统功能的残疾孩子。”因此,我们必须要建立免疫系统。我们人体要健康,必须得有免疫系统。以前,没有免疫系统的IT设备系统,像人一样只能生活在无菌状态下进行病毒查杀,没有免疫系统的“孩子”抗灾能力太差,门关起来小心翼翼也会吓着孩子。同样,我们的防火墙也是如此,被动防护查杀,我称之为“老三样”,这不解决问题。因此《网络安全法》要求推广安全可信网络产品和服务,这是非常科学的。安全可信就是要解决我们以前计算机科学的缺失:“只讲计算输入,没有讲防止人为自然灾害的破坏与攻陷。”安全可信就是要完善既有正面的工作,又要有防护反面攻防的能力,这样才是科学的。因此,以前计算机IT设备不能那么做,只考虑说如何计算如何聪明,脑子是好使了,可身体是没有免疫能力的。所以,我们一定要弥补体系结构的缺失,也就是一边要计算,一边要防护,使得我们计算结果总是能达到预期的目的,这是我们安全的目标。这也是可信计算的模式,意义非常重大

  Q:光明网记者:当前,我国各地、每个行业都在搞大数据。大数据作为“资产”到底能做什么?如何安全利用这些数据产业?我国等级保护制度如何保障数据资产运行安全?

  A:沈昌祥院士:各行各业都在搞大数据、国家也在搞。事实上,大家没有真正搞明白什么是大数据,我这里要讲讲科学道理。

  数据的处理和使用,是按照科学发展观逐步发展、逐步完善的。一开始,数据是有数学以后就有数据。这个数据以前是作为计算参数,也是数值。从有计算设备后就是这么处理的。后来,人们为了处理数据更方便发明了操作系统,在这之后又有了软件系统,软件系统后又把各种数据打包成册。这是因为软件便于查询存储、也便于访问。后来数据是相互之间关系非常紧密的,用起来也更方便。大家就利用这种关系建立了一个数据库,叫关系数据库。以前数据是以文字,数字的形式存储,后来语音、图像等多种多样的数据出来后,跟以前的存储方式就不一样了,这样一来关系数据库计算处理便不方便。它们之间关系不是很密切,数量也很大,因此成了数据存库。现在,数据变性成为了社会财富、社会资源。因此,黑客老说病毒就是通过这个来获取利益的。但是我们数据爆炸以后,在互联网处理过程中大量的大数据是扔掉了,这也是资源。此外,国家搞好这些数据太多了以后,也放不了下,用不了也扔掉了。我们把这些数据搜集起来再清洗分析,把数据垃圾回收后再处理,形成了数据资产。去年的贵阳“数博会”上,大数据被称之为“智慧树”和“钻石矿”。大家所理解的海量数据要共享使用,这种说法是错的。大数据是一个重大的产业,是国家重要技术的依据,也是“智慧制造”的重要来源。所以,大数据安全问题可想而知。只有数据安全以后,大数据产业作为“宝贝”才有价值,它一旦被破坏就没有用。因此,大数据作为一个系统性的产业,需要按照我们国家等级保护制度,通过关键信息设施保护制度和标准来进行安全防护,来促进大数据产业发展。


标签: 网络安全