日前，中國工程院院士、海軍計算技術研究所高級工程師沈昌祥在第三屆國家網絡安全宣傳周上獲頒“2016年網絡安全杰出人才獎”。

對這位76歲的科學家而言，榮譽并不罕見。他曾獲得國家科技進步一等獎2項、二等獎3項、三等獎3項，軍隊科技進步獎十多項。但有關網絡安全的國家級人才獎，還是沈昌祥的第一個，也是全國的第一個。

“不要以為網絡安全就是個人身份信息在網上被泄露、銀行卡錢丟了，從去年烏克蘭遭遇的大面積停電來看，信息化時代網絡安全還有可能會讓飛機掉了、火車撞了、供電停了、生活工作一片黑暗和混亂。”談及網絡安全，沈昌祥說，其實在平靜的互聯網背后，是尖銳的斗爭。

可信計算

構建“主動免疫”網絡

停電了！2015年12月23日，烏克蘭伊萬諾-弗蘭科夫斯克州，沒有任何征兆，140萬居民突然陷入黑暗。

種種跡象顯示，這次停電不同尋常：烏克蘭全國的135個變電站中，至少有30個癱瘓。有居民給電力公司打電話通報故障，始終占線。調度員無法遠程監控變電站的狀態。電力公司不得不把人員派到各地變電站，手動重設斷路器。

各地區的供電時隔六個小時才全部恢復。事后調查證實，停電原因不是物理破壞，也不是能源不足，而是黑客攻擊。盡管網絡攻擊在電力行業內已非秘聞，這么大規模的停電事故卻尚屬世界首次。

烏克蘭的遭遇引發了各國重視。一個月后，中國計算機學會計算機專業委員會主辦的“從烏克蘭事件看我國工控系統安全”研討會在公安部召開，沈昌祥作為受邀專家出席。他指出，黑客攻陷了電力公司的調度系統主服務器。

值得慶幸的是，中國民眾或許不用面對烏克蘭人曾遭受的恐慌。沈昌祥長期推動國家電網電力調度系統安全防護建設項目。他把調度控制系統比作電網的“大腦”和“神經中樞”，管理并控制著電網的可靠安全運行。項目則要為“大腦”增加“抗體”，即電力可信計算密碼平臺。

“抗體”的基礎是主動免疫的可信計算技術。這種運算和防護并存的新計算模式，用密碼實施身份識別、狀態度量、保密存儲，從平臺加電到應用程序的執行，一級認證一級，一級信任一級，未獲認證的程序不能執行，從而及時識別“自己”和“非己”成分，破壞與排斥進入機體的有害物質——— 好比人體的“免疫系統”。

傳統的網絡安全保護機制與此完全不同。防火墻、入侵檢測和病毒防范，沈昌祥口中的“老三樣”，以封堵、查殺為主要手段。在沈昌祥看來，面對攻擊，消極被動的老三樣防不勝防，主動免疫的可信計算才能有效抵御。

“防火墻就像無菌箱、防護門。孩子剛生下來沒有免疫能力，需要放在無菌環境下生存。但他總是要長大吧？病毒是殺不完的，培養他的免疫能力才是正道。”沈昌祥說，可信計算是從體系結構上解決網絡的主動免疫。

目前，電力可信計算密碼平臺已在全國34個省級以上調度控制中心和59個地級調度控制中心上線運行，覆蓋了上萬臺服務器 。沈昌祥說，惡意代碼免疫、強制訪問控制等功能全面實現，確保了運行安全。

黑客攻擊導致電網癱瘓停電，在普通人聽來也許像電影情節。但現實中，網絡攻擊其實無時無刻不在發生，悄然威脅著大眾的生活。除了國家電網，沈昌祥還曾提出中央電視臺的網絡制播可信環境建設的方案，為42個頻道節目構建可信計算安全技術體系。得益于此，黑客無法攻入央視的網絡制播系統內安插非法畫面或播放。

無論是在軍事還是民用領域，可信計算都已得到廣泛運用。沈昌祥總結了主動免疫可信計算的六大特征：攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息篡改不了、系統工作癱不成、攻擊行為賴不掉。

1992年開始研究主動免疫防護的沈昌祥，是中國網絡空間安全領域最資深的專家之一。2008年北京奧運會、2015年“九·三”大閱兵，以及剛剛結束的G 20杭州峰會幕后，都有他的身影。他笑言，每逢國家有重大活動，自己就要被“關”上一周甚至更久，值守待命。

除了為有關部門提供技術指導，沈昌祥仍活躍在研究與教學的一線。他自認是比較“怪”的科學家，只要是關于網絡安全的事情，樣樣都做，能埋頭于實驗室搞研究，也能上講臺給學生授課。

“哪能閑得住呢？事事都要找你。”他說，年輕時業余愛好拉小提琴、下象棋，現在根本沒時間。久了，反而更習慣忙碌的狀態，“不忙的時候就要生病”。

市場博弈

讓微軟在中國守法

2012年10月，美國微軟公司宣布將推出Windows8（以下簡稱Win8）操作系統。此前廣受歡迎的WindowsXP（以下簡稱XP）系統，將在2014年正式退役，不再獲得任何安全性更新或技術支援。

與X P不同的是，Win8系統捆綁了可信計算技術。有報道稱，德國有關部門曾指出可信計算事實上能讓微軟和美國國家安全局遠程控制任何使用該系統的計算機，警告政府及私營機構不要使用W in8。

XP將停止服務，政府采購問題成了當務之急。2013年11月，沈昌祥牽頭聯合26位院士向中央提交推動國產操作系統開發和替代的建議信。“如果2億臺計算機使用了W in8，花巨資買的不是信息安全，而是被控制權。”他說。

Win8最終沒有進入政府采購目錄。

2015年7月，微軟開始推送Win10系統。沈昌祥說，其內核與Win8基本一致，且在各個端口全面捆綁可信技術。放開Win10進入會嚴重威脅中國的網絡安全，中國可信計算產業也將完全失去進入市場的機會。

依據WT O的基本規則，商業主體應尊重銷售國的有關法律和標準。據此，依照我國相關法律，可開展對Win10的安全審查，并對其進行本土化改造。

安全審查組成立，沈昌祥任組長。“遵守我國《電子簽名法》和《商用密碼管理條例》，進行本土化改造，其中可信計算、數字證書、密碼設備必須是國產自主的。”

一場新的博弈開始了。2015年12月，微軟與中國電子科技集團簽署合資公司備忘錄，注資比例為微軟公司49%，中國電科51%。雙方達成共識，共同開發基于微軟技術的中國政府專用版操作系統。

截至目前，Windows10系統仍未進入中央政府采購目錄。此次與中國企業合作，微軟能否順利推出符合《電子簽名法》和《商用密碼管理條例》的政府定制版，猶未可知。

事實上，微軟曾在2003年許諾向中國企業授權開放操作系統有關源代碼，開發本土化網絡安全協議。當年，沈昌祥也是主持者。“我國投入了很大的人力、物力做這件事。產品落地的時候，微軟卻說沒能通過美國政府審批，最后只是賠償了事，我們的很多努力都付諸東流。”

在沈昌祥看來，通過對外合作引進國際先進技術，消化、吸收、再創新，是實現關鍵技術突破，加快形成新產品的一種途徑。但最關鍵、最核心的安全技術，必須做到安全可控，要立足自主創新。

他仍在力推信息系統國產化。全球開放的國際潮流下，如何既能跟國外企業分享、共贏，又避免讓國內企業失去國內市場、產生技術依賴、放慢自主創新的腳步？如何提升國內企業的技術，打開其成長空間？一系列的問題，他都在持續思考。

沈昌祥認為，這樣的合作已不僅僅是企業集團自身的事，不能簡單地用企業利益進行衡量，而是關乎國家網絡安全。中國需要面對的現實是，在核心技術、基礎設施、體系架構及理念上，都與“網絡強國”的目標存在明顯差距，任重道遠。

“這是機遇，是挑戰，是新的博弈，更是尖銳的斗爭。”他說。