原标题：网络安全有主动免疫新体系？中国工程院院士沈昌祥告诉你

9月15日下午，网络以“新动能、安全新安全、有主疫新院院新出行”为主题的动免2020国家网络安全宣传周网约车安全保障分论坛在郑州黄河迎宾馆举行。如何构建网络安全主动免疫保障体系？中国工程院院士沈昌祥分享了他的体系理念。

从科学技术上看，中国网络安全风险源于图灵机远离少攻防理念、工程告诉冯·诺依曼结构缺防护部件和工程应用无安全服务的士沈先天性脆弱缺陷。从认知科学上看，昌祥设计IT系统不能穷尽所有逻辑组合，网络必定存在逻辑不全的安全缺陷。

“利用缺陷挖掘漏洞进行攻击是有主疫新院院网络安全永远的命题。”沈昌祥说，动免“传统‘封堵查杀’难以应对未知恶意攻击，体系安全可信计算实施运算的中国同时进行免疫的安全防护，使得存在缺陷不被攻击者所利用，达到预期的计算目标。”

沈昌祥认为，按国家网络安全法律、战略及等保制度必须构建主动免疫防护的新体系，这个新体系应包含六个特征：

第一，要用科学网络安全观构建网络安全主动免疫保障体系。要建立一种主动免疫可信计算的新模式，使得计算机在计算的同时进行安全防护。“这就像人体的免疫系统，要能够及时识别自己和非己成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。”

第二，新体系要具备“二重”体系结构。由计算部件和防护部件协调工作，请求、连接和管控，为网络信息系统增强免疫能力。

第三，要建立“安全办公室”“警卫室”“安全快递”等三重防护框架，对人的操作访问策略四要素进行动态可信度量、识别和控制，确保体系结构、资源配置、操作行为、数据存储、存储管理可信。

第四，“四要素”可信动态访问控制。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提，必须对人的操作访问策略四要素（主体客体、操作、环境）进行动态可信度量、识别和控制。

第五，“五环节”全程管控全面建设。按照网络安全法、密码法、等级保护制度、关键信息基础设施保护制度的要求全程治理，确保体系结构、资源配置操作行为数据存储、策略管理可信。

第六，“六不”防护效果。实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉。

(责任编辑：热点)