中國已成為網絡大國，但還不是網絡強國，在信息安全方面面臨著嚴峻挑戰。尤其對于一些核心、有嚴格安全和保密需求的信息系統，如何嚴格實現網絡物理隔離，從信息安全的第一道防線——計算機終端上進行管控呢？

當今世界，信息技術的快速發展深刻改變了人們的生產和生活方式。中國已成為網絡大國，但還不是網絡強國，在信息安全方面面臨著嚴峻挑戰。比如，棱鏡門等事件的披露，暴露了一些國家利用其掌握的互聯網基礎資源和信息技術優勢，實施網絡監控并竊取政治、經濟、軍事秘密、以及企業、個人敏感數據。

風險

在上世紀90年代的海灣戰爭和科索沃戰爭中，美國成功使伊拉克和南聯盟軍隊的防空系統癱瘓了，幾年前的“震網”病毒使伊朗核設施受到大面積破壞……眾多事例顯示出關鍵基礎設施已經成為網絡武器的真實攻擊目標，并有可能引發災難性后果。試想一下，在危急時刻，如果一個國家涉及國計民生的關鍵基礎設施被人攻擊后癱瘓，甚至軍隊的指揮控制系統被人接管，后果將多么嚴重。

“棱鏡門事件不僅給世界各國敲響了警鐘，同時也為我國的政府采購敲響了警鐘。目前，由于芯片、操作系統等核心的信息技術并不掌握在中國手中，導致中國各類機構不得不采購大量的核心技術屬于海外公司的IT設備。一方面，這類產品可能被預置后門程序，本身也可能帶有容易被攻擊的漏洞；另一方面，計算機、路由器等硬件產品所攜帶的軟件也存在安全風險。這種情形，無疑對我國信息安全構成了潛在威脅。”中晟國計科技有限公司(下文簡稱中晟國計)總經理李予溫在接受《中國計算機報》記者專訪時表示。

顯然，對于核心系統采取絕對的物理隔離和嚴格的安全防護措施毫不為過。但問題是，在目前的技術條件下，如何實現這種嚴格的隔離和安全防護。目前的物理隔離設備通常只能實現“單活”——即內網端處于工作狀態時外網端處于休眠狀態，反之亦然，這給用戶的正常工作帶來不便。另外，除了常見的口令等方式，大多數計算機終端缺乏系統的安全防護措施，讓計算機終端這一信息安全防護體系的最前線處于基本不設防的狀態。

責任

李予溫認為，只有從提高技術自主創新能力入手，才是化解危機的有效手段。“外國的核心技術是買不來的，也是市場換不來的。對于中國來講，未來要努力改進的不只是某個點上的技術措施，還有綜合安全能力的提升，重視和加快自主可控的信息安全建設更是刻不容緩。”李予溫說。

“中晟國計自成立以來，就以為國家提供可靠的信息安全屏障為己任。”李予溫告訴記者，中晟國計從目前容易被大家忽視的計算機終端安全著手，經過近3年的研發，在30多項自有專利技術的基礎上，于2013年初在國內率先推出了具備雙主機物理隔離和獨立安全防護系統的安全計算機產品——超安全計算機。在目前的網絡基礎設施不作改動的前提下，它可以大幅度提高計算機終端的安全性。

李予溫告訴記者，中晟國計是一家創業企業，它的超安全計算機凝聚了中晟國計的諸多專利技術和一個核心的理念——為中國的信息安全做出貢獻。“‘中晟國計’這四個字就是我們理念的最好體現，‘中’代表中國，‘晟’表示光明、興盛，‘國’即國家，‘計’就是計算機。”從李予溫的話中，記者感到了中晟國計對中國信息安全厚重的責任感。

顛覆

事實上，在互聯網化日益明顯的今天，用戶越來越依賴互聯網來進行信息的獲取和交換，當然這其中也包括很多核心的關鍵部門和用戶。在這種形勢下，一味地阻斷互聯網并不現實，也不符合發展趨勢。但是用戶如果沒有對來自互聯網的各種安全威脅進行有效的防護，輕則影響信息系統的正常運轉，降低工作效率，重則導致很多安全泄密事故的發生。

國家相關部門頒布的《GB 17859-1999 計算機信息系統安全保護等級劃分準則》等法規和標準，規定了計算機信息系統安全保護能力從用戶自主到訪問驗證的五個等級。政府機構、大型企業等不同機構可以根據國家的要求，遵循不同的等級保護準則。如果在部署信息系統時，從技術和管理上嚴格遵循國家的等級保護法規，那么信息系統的可靠運行和信息安全就可以得到保障。所以，對互聯網的應用與系統的安全并不矛盾，只是應該采取相應的措施，來嚴格執行相關標準，保障系統能夠在安全的前提下使用互聯網。

如何保障安全？對于核心系統和應用而言，最有效的辦法就是物理隔離。李予溫告訴記者，中晟國計的超安全計算機，包括一機雙網隔離計算機，它在嚴格意義上講是雙主機物理隔離計算機。“相對于目前市場上的普通計算機或基于隔離卡的雙網計算機和現有的防護產品而言，中晟國計的一機雙網隔離計算機在三個方面實現了突破。首先，在一個機箱內嵌入了兩套獨立的主機，分別用于需要處理機密數據的內部網絡和普通數據的外部網絡，確保內外網的徹底隔離。第二，它內嵌了獨立于主機之外的安全防護系統，運行于獨立的硬件和操作系統之上，不受用戶操作和外部網絡影響，可以有效保護計算機本身和內部數據信息的安全。第三，它具有獨特的生物識別加電功能、多重用戶身份認證、用戶操作行為全程監控、物理安全防護、機密數據防護、主被動自毀等功能。”李予溫說。

“這些功能不但是目前多數安全防護產品不具備的，而且超安全計算機在多個方面已經達到或超過了國家安全等級保護相關標準的技術要求。”李予溫告訴記者，比如與主機獨立的安全防護系統要求指紋認證為計算機開機加電，如果指紋不符，計算機無法開機；指紋、人臉識別等技術加上超安全計算機安全體系中審計員、管理員、操作員“三權分立”的角色設定，保證了計算機的操作安全。再比如，超安全計算機采用了異型網口等設計方式，防止使用者插錯接口造成數據泄露。“超安全計算機以安全為核心，在很多方面進行了研發和優化，盡量屏蔽一切不安全因素，讓計算機變得安全可靠。同時，通過我們的創新和應用，也可以幫助目前很多單位簡化過于繁瑣的保密制度和安全操作流程，從而幫助用戶達到安全與便捷的統一。”李予溫說。

“中晟國計超安全計算機的安全防護理念，是對當前計算機終端安全防護理念的顛覆。當前的計算機安全防護主要是在計算機操作系統層面作應用防護軟件或采用可信計算技術，通過底層硬件平臺(安全CPU、安全芯片組和嵌入的安全芯片)、BIOS和操作系統的有機結合來控制計算機終端中各種進程的執行，從而提高終端系統的安全性，并在此基礎上解決網絡環境中終端設備的認證和可信接入問題，最終構建一個相對安全的可信計算環境。這些防護都是基于計算機本體上的軟件或軟硬件相結合來實現的，由于計算機的核心硬件和操作系統基本都是被國外廠商所把控，這些安全可信僅意味著對普通的用戶而言是值得信賴的。”李予溫告訴記者，“中晟國計提出了一種超安全計算機的全新的防護理念將計算機的安全防護獨立于計算機本體之外，建立不依附于計算機本體的獨立安全防護體系，其防護系統不與計算機主機做任何連接。”

李予溫介紹，超安全計算機已經得到了廣泛應用，取得了良好的效果，該產品應用至今未發生任何安全事件。“三年前，我拿著專利和設計尋找合作伙伴將超安全計算機進行商品化時，很多人形容這是天方夜譚。”李予溫回憶創業之初，露出一絲苦澀的微笑。時至今日，天方夜譚已經成真，在核心技術受制于人的情況下，中國的信息安全可能更需要天方夜譚式的創新，才能解決涉及國計民生重要領域的安全問題。