自主操作系统与信息安全、国家安全

各位领导，各位来宾，非常高兴今天有机会与大家探讨一下信息安全的核心技术之一——操作系统。目前，我们已经形成的共识是，网络空间是继海陆空天之外的第五大国家主权空间，保卫网络空间安全就是保卫国家主权。

大家对棱镜门事件印象很深，但是棱镜门事件其实只是冰山一角，不足为奇。更为重要的是，美国在网络空间上确定了霸主地位，制定游戏规则。目前网络空间的安全已经成为世界的焦点，也是中国面对的新挑战。

XP停服的深层思考

比如近期大家广泛关注的Windows XP停止服务就是这些挑战的典型表现。据初步统计，目前我国运行Windows XP的计算机在2亿台左右，我认为，这不是一个事件，而是一个风险，同时带给我们挑战和机遇。

表面上看，操作系统老版本停止服务是非常正常的，因为它要推行新的版本，要进行必要的升级。但实际上，摆在我们面前的并不是普通的操作系统升级这样简单。我们面临的选择是，要么继续使用Windows XP，要么升级到Windows 8。如果继续使用Windows XP，由于失去了各类服务，用户就会面临非常大的安全风险；如果升级到Windows 8，由于Windows 8与可信平台模块TPM2.0绑定，该模块可以强化操作系统对用户的控制，同时Windows 8捆绑了微软的杀毒软件，为从容监控用户的系统提供了更大的可能。

出于商业目的，Windows 8会将更多的程序进行检查。Windows 8对安全和程序认证方面的增强，可能对操作系统本身的安全性有所提升，但是对中国的用户，特别是一些核心、涉密机构来说反而更不安全了。所以，升级采购Windows 8，不仅是要花更多的钱的问题。更重要的，我们对安全的控制权将会丧失，我们要对应用软件进行二次开发也会遇到很大的困难。根据这个情况，我们很明确地提出来不能采购Windows 8。

自主操作系统的发展目标

当然，我们不能光是不采购，在操作系统安全方面，我们还要有思路、有对策，有替代的解决方案。

针对这一问题的战略思路是，要把当前急需解决的问题与长远发展的问题统一起来。操作系统的安全可信问题，既是挑战，也是机遇。它给我们提供了一个自主创新的大好时机。一方面，我们要通过服务接管和安全加固来解决Windows XP急需解决的安全问题，使得现有Windows XP系统不受恶意代码感染，保护国家大量运行在Windows XP上的业务系统不受安全威胁。另一方面，我们同时还在加快操作系统国产化替代的步伐，为操作系统的国产化替代提供安全和服务支撑。

这个工程很有意义，我们非常需要为以后创造自主可控、安全可信的操作系统打好基础。我把这个工程的近期、中期和远期目标都给大家介绍一下。

在近期目标中，我们希望通过自主可控、安全可信的操作系统安全加固方案来加固Windows XP系统，我们会严格按照要求和标准，经过第三方测试，向社会公布推荐的加固解决方案。当然，这只是被动的解决方案。我们没有任何改变Windows XP的能力，没有办法打补丁，这并不是因为我们不聪明，而是因为我们遇到了挑战。

其实，要摆脱被动局面，我们可以换一个思路。我们可以从可信计算的角度，一边计算一边检查，也做和Windows 8类似的事情。可信计算在中国不是没有，中国其实做得非常多，很有特色和创新。尽管漏洞、病毒仍然存在，但是如果我们能进行安全加固，这些后门、漏洞不会被别人利用，就可以降低安全风险。

在中期目标中，我们要通过协同攻关，到2020年形成所谓的智能操作系统，包含PC终端、手机、嵌入式的操作系统，出现一两款具有一定规模、成熟的国产操作系统，能够实现对国外操作系统的替代。而长期来看，不仅是要解决替代的问题，更重要的我们要在国际上创立属于中国的操作系统品牌和产品，它不仅要在中国应用，还应该在世界上占有一席之地。

用可信计算解决操作系统安全问题

在可信计算领域，中国已经做了将近20年。2005年，中国就制定了相关的国家标准，现在已经拥有了主要的、核心的产品。

可信计算平台上的产品有三种形态，分别是在专用主板上嵌入可信密码模块，主板配插PCI可信密码模块，主板配接USB可信密码模块，后面的方法更为方便。我们现在其实已经有了很多这样的案例。

大家知道，这样的操作虽然非常简单，但可以有效解决计算机所面临的安全问题。因为通过可信计算体系，我们可以实现计算机的免疫。第一，可信计算平台要进行识别，确定可信的主、客体；第二，可信计算平台会基于识别的结果，对属于自己的进行保护，不属于自己的进行排斥，有害的还要消灭，这就是可信计算的主动控制、主动度量、主动采取措施；第三，它发现问题后还要报警，从而实现及时免疫的功能。

在Windows XP停止服务以后，根据上面讲的三种模式，将新的可信计算系统引入到老的Windows XP平台上，就能够实现即使系统中有Bug、有漏洞，攻击者也无法实施攻击。这样就可以有效保证主客体的可信认证，源代码的保护不被篡改，应用程序不被破坏等。此外，还可以实现信息保护，系统可以分辨是“好人”还是违规的“坏人”，从而实现资源可信度量，行为可信鉴定等。

这样可以让主动免疫系统介入到系统调用、进程创建的过程中，达到动态度量、客观验证、实时拦截的主动、实时的免疫功能，在免疫过程中，发现异常情况的同时还会发出警告、报警。其实，这种做法比传统的查杀病毒的方式更简单，因为如果一旦遇到情况，系统会报警并对恶意的行为进行控制，这种主动的控制要比被动的扫描更加有效。

此外，我还建议大家关注信息安全等级保护的相关标准，这个标准不是写出来的，而是通过实验得出来的。这个标准包括安全计算环境、安全区域边界、安全通信网络三个层面，这三个层面还需要安全管理中心的支持。而安全管理中心又包括资源和系统管理、安全管理、审计管理等方面。我认为，用可信计算的思想和技术来实施信息安全等级保护是非常必要的。

有了可信计算，我们可以做到免病毒查杀、免打补丁、不用修改应用软件，不给用户的使用增加麻烦。而且，可信计算体系是可以支持各种异构环境的，它不光针对Windows XP，在Linux等系统上同样适用。

这个体系既可以在离线的情况下实施服务配置，也可以在网络环境中实施配置，不仅可以在移动网络上实现服务支持，在互联网上也可以实现安全服务支持。当然，在互联网上的可信安全还是有区别的，在这方面我们已经做了充分的实验，有些产品也已经发布。

Windows系统被广泛使用，全世界都在帮它找Bug。而自主的产品应用不够广、投资少又缺乏经验，在这种情况下我们自主的操作系统的Bug会比人家的少吗？肯定要多！那怎么办呢？只有采用即使有Bug但不被人家所利用的免疫系统，才能使得我们自主可控的路子走下去，为中国IT系统的自主可控、安全可信保驾护航。

可喜的是，中国已经做了十几年的可信计算，在某种意义上，我们比国外早了将近十年。我们有自己的创新，现在主要的计算机厂商已有可信计算的产品，包括硬件和软件，在一些主机系统，自动化办公系统上有充分的使用。比如在国家电网，可信计算就经过了严格的测试并得到应用，可信计算已经开始为我们的电网系统进行等级保护、安全保护，同时免去了系统升级所带来的复杂问题，节约了大量的成本。

希望通过Windows XP停服，促使我们携手攻关，解决操作系统自主可控、安全可信的问题。谢谢大家！（本文根据沈昌祥院士在第十五届中国信息安全大会上的演讲编辑整理，未经本人确认。标题为编者加。）endprint