安全漏洞威胁升级，飞腾可信计算 3.0 双体系架构加速护航新基建

授权转自飞腾PHYTIUM

随着新基建的加速推进，网络安全最近正成为各方关注焦点。2020 北京网络安全大会、第八届互联网安全大会陆续召开，《2019 年中国互联网网络安全报告》发布，2020 国家网络安全宣传周也即将开幕。飞腾公司积极应对网络安全挑战，打造安全可信的国产计算系统，在为新基建各型设备提供核心算力支撑的同时，为新基建网络安全保驾护航。

零日漏洞占比超 1/3 被篡改政府网站数量同比增长 138%

国家互联网应急中心（CNCERT）近日发布了《2019 年中国互联网网络安全报告》，该报告显示，我国在重大安全漏洞方面的应对能力不断强化，但事件型漏洞和高危零日漏洞数量上升，信息系统面临的漏洞威胁形势更加严峻。

2019 年，国家信息安全漏洞共享平台（CNVD）接收的事件型漏洞数量约 14.1 万条，首次突破 10 万条，较 2018 年同比大幅增长 227%。CNVD 收录安全漏洞数量创下历史新高，共计 16193 个，同比增长了 14%。近 5 年来，零日漏洞（指 CNVD 收录该漏洞时还未公布补丁）收录数量持续走高，年均增长率高达 47.5%。2019 年收录的零日漏洞数量继续增长，占总收录漏洞数量的 35.2%。这些漏洞在披露时尚未发布补丁或相应的应急措施，严重威胁我国网络空间安全。

2019 年，我国境内被篡改的网站数量超过 18 万个，较 2018 年大幅增长。其中被篡改的政府网站数量为 515 个，较 2018 年增长 138%。重要机关、党政部门亦成为网络攻击的重要目标。

新基建将带来万物互联的智能世界，随着 5G、AI、VR/AR、云计算、物联网等新技术的发展，智能交通、智慧电网、智慧家居等智慧应用的落地，网络安全威胁将进一步加剧。

飞腾实现可信计算 3.0 双体系架构加速产品和解决方案落地

CPU 是信息系统的安全基石。作为国内领先的自主核心芯片提供商和网信产业链核心成员，飞腾公司以实际行动防范安全漏洞、设计研发主动免疫的可信计算 CPU 并推动落地应用，责无旁贷。

在日前召开的 “ 2020 北京网络安全大会第二届网络空间安全可信技术创新论坛 ” 上，飞腾公司副总经理郭御风发表了题为《CPU 内生安全构建可信计算平台》的主题演讲。郭御风表示，安全是万物互联数智时代的核心需求，安全可信开启了网络安全 “ 主动防御 ” 新时代。

PSPA（Phytium Security Platform Architecture）是飞腾公司制定的处理器安全架构标准，这也是国产 CPU 企业首次发布 CPU 层面的安全架构标准，从 CPU 层面实现了国产计算机系统自底向上的本质安全。可信计算 3.0 是我国网络安全等保 2.0 标准确定的核心防御技术，飞腾 PSPA 实现了可信计算 3.0 的双体系架构，真正将安全可信做到 “ 芯内 ” 去。

PSPA 从十个方面定义了安全处理器中涉及的软硬件功能和属性，包括密码加速引擎、密钥管理、可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫，涉及芯片的硬件设计、固件设计、量产等多个方面，对密码算法、可信计算、全周期管理、抗攻击、生产安全等方面均有全面的考虑和解决方案。

飞腾已在 2019 年 9 月发布的 FT-2000/4 安全 CPU 的设计中贯穿了该规范的要求。FT-2000/4 安全 CPU 不仅在内置安全性方面拥有独到创新，而且从 CPU 层面为可信计算提供了有效支撑。

郭御风表示：
飞腾后续的 CPU 设计，无论是面向服务器的（腾云 S 系列）、面向桌面的（腾锐 D 系列），还是面向嵌入式的（腾珑 E 系列），都将全面支持 PSPA 安全架构标准，使得内生安全技术的覆盖面越来越广。

明年，飞腾还将进一步推出支持 PSPA 2.0 安全架构的芯片。

除了新产品研发，飞腾正在积极携手合作伙伴打造 PSPA 联合解决方案，构筑、壮大可信计算生态圈。在系统解决方案层面，飞腾已经构建了主动免疫可信计算平台、内生免疫反腐败子系统，具有更卓越性能和更高的安全性。目前，飞腾的生态合作伙伴已基于 PSPA 开发了可信防火墙、可信计算机终端、可信 PLC、可信 DCS 等产品，并携手飞腾，针对可信区块链、安全浏览器、可信云等典型应用场景，形成了联合解决方案。未来，飞腾还将携手更广泛的生态伙伴，推出更多安全可信的联合解决方案。

飞腾已携手生态伙伴打造 高安全的 全数据流程、全技术栈、全生命周期、完全 自主的可信 区块链 联合解决方案，覆盖数据的全流程，从物联网终端、计算机终端、边缘云、通信网络到云平台，在每个环节均设置安全可信的软硬件措施；覆盖技术架构各个层次，从最底层芯片、整机、操作系统、云平台到区块链服务与区块链应用，在每个技术层次均设置安全可信的软硬件措施；覆盖设备的全生命周期，从芯片出厂、整机出厂、用户使用到整机返厂、芯片返厂，再到设备销毁，在每个周期均采用严格的软硬件控制措施，保证敏感数据不泄露；从芯片产品、整机、操作系统、云平台到区块链产品，每个产品均为完全自主设计，安全性可以得到充分的保障。

基于飞腾 CPU 的可信计算联合解决方案，已经在部分政务办公、能源电力和金融行业以及移动办公平台等众多涉及国计民生的关键领域获得落地应用。

沈昌祥：主动免疫可信计算为新基建构筑安全防线

主动免疫可信计算是一种全新计算模式，它以密码为基因抗体实施身份识别、状态度量、保密存储等功能，能在计算运算的同时进行安全防护，可及时识别 “ 自己 ” 和 “ 非己 ” 成分，实现计算全程可测可控，不被干扰，从而破坏与排斥进入机体的有害物质。其相当于为网络信息系统培育了免疫能力，是发挥 5G、数据中心等新基建动能作用的源头和前提。

目前，我国主动免疫可信计算已发展至 3.0 时代，去年 12 月开始正式实施的 “ 网络安全等级保护制度 2.0 标准 ”，已经将可信计算 3.0 列为其核心防御技术。

在前不久召开的 2020 北京网络安全大会、第八届互联网安全大会上，中国工程院院士、国家集成电路产业发展咨询委员会委员沈昌祥指出，随着 5G 的普及，网络带宽提高、传输距离缩短、基站密度增大，及时按照国家网络安全法律和等级保护制度要求，推广安全可信产品和服务就显得尤为重要。

沈昌祥认为，新基建以数据和网络为核心，其健康发展前提就是用主动免疫的 “ 可信计算 ” 筑牢安全防线。沈昌祥院士提出了 “ 必须要构建主动免疫防护的新体系 ”的观点，新的体系需要同时具备 “ 计算与安全防护同时进行 ”、“ 计算部件+防护部件双重结构 ”、“ 三重防护框架 ”、“ 人机可信交互 ”、“ 建立可信设施 ”、“ 让攻击者无处下手 ” 等特点。

新基建呼唤新安全，新安全赋能新基建。随着等保 2.0 和可信计算 3.0 的深入推进，飞腾 PSPA 必将为更多新基建用户建立从端到云的安全可信信息系统提供更好的支撑。

相关阅读：