在數字化時代，關鍵信息基礎設施（CII）已成為國家經濟社會運行的神經中樞，其網絡安全直接關系到國家安全、社會穩定和公共利益。我國網絡安全領域的領軍人物、中國工程院院士沈昌祥長期致力于網絡安全體系構建，特別是在關鍵信息基礎設施的網絡安全等級保護（簡稱“等保”）制度、核心技術與網絡設備技術服務方面，提出了系統性的理論框架與實踐路徑。

一、 網絡安全等級保護制度：法律基石與根本遵循

沈昌祥院士強調，網絡安全等級保護制度是我國網絡安全的基本制度，是保障關鍵信息基礎設施安全的根本遵循。《網絡安全法》明確規定，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的關鍵信息基礎設施實行重點保護。等保2.0體系的核心在于“一個中心，三重防護”（安全管理中心、計算環境安全、區域邊界安全、通信網絡安全），通過分級分類保護，構建主動防御、動態防護、整體防控的網絡安全綜合防護體系。對于關鍵信息基礎設施，必須執行最高級別的保護要求（等保第三級及以上），實施嚴格的安全管理、技術防護和定期測評。

二、 核心技術：主動免疫與可信計算

在核心技術層面，沈昌祥院士力主發展并推廣“主動免疫”的可信計算技術。他認為，傳統的封堵查殺“事后補救”式安全手段已難以應對日益高級、隱蔽的網絡攻擊，尤其是針對關鍵基礎設施的APT（高級持續性威脅）攻擊。

1. 可信計算3.0：這是沈昌祥院士倡導的核心技術體系。它通過構建可信根、可信鏈傳遞和可信度量，確保計算設備在啟動、運行、應用等各環節始終處于預期和可控的可信狀態。其核心思想是“計算+防護”并行，為網絡信息系統建立免疫系統，實現主動防御。
2. 安全可信的體系結構：將安全功能內生于信息系統之中，而非簡單外掛。通過可信密碼模塊、可信軟件基、可信網絡連接等關鍵組件，形成從硬件、固件、操作系統到應用程序的完整可信鏈條，確保設備、數據、行為的可信。
3. 動態感知與協同防御：結合大數據、人工智能等技術，實現對網絡威脅的動態感知、智能分析和協同處置。構建覆蓋全網的網絡安全態勢感知平臺，對關鍵信息基礎設施的安全狀態進行實時監控和預警。

三、 網絡設備技術服務：從合規到內生安全的實踐

網絡設備（如路由器、交換機、防火墻、服務器等）是構成關鍵信息基礎設施的物理實體，其自身安全及提供的技術服務是落實等保要求和可信計算理念的關鍵環節。沈昌祥院士的觀點對此有深刻指導：

1. 設備自身安全可信：網絡設備的生產制造應融入可信計算理念，出廠即具備可信根，確保硬件和基礎固件的不可篡改性。設備應支持基于可信計算的身份認證、加密傳輸和完整性校驗。
2. 等保合規技術服務：網絡設備供應商和技術服務商需深度理解等保2.0要求，提供能夠滿足相應等級安全要求的設備配置方案、安全策略模板和技術支持服務。例如，提供滿足等保要求的訪問控制、安全審計、入侵防范、惡意代碼防范等功能模塊。
3. 構建主動防御能力：技術服務不應僅限于安裝部署和故障排除，更應幫助用戶構建基于可信計算的主動防御體系。包括協助部署可信計算環境、實現網絡邊界可信接入、構建動態可信驗證機制等。
4. 全生命周期安全服務：涵蓋網絡設備的規劃、設計、采購、集成、運行、維護直至報廢的全過程。提供持續的安全漏洞監測、補丁管理、配置加固、安全評估和應急響應服務，確保持續符合等保要求并有效應對新型威脅。
5. 人才培養與意識提升：技術服務包含對關鍵信息基礎設施運營單位技術人員的安全技能培訓，提升其運用可信計算等先進技術進行安全運維和管理的實戰能力。

沈昌祥院士關于關鍵信息基礎設施網絡安全等級保護的核心思想，可以概括為：以國家法律法規和等保制度為綱，以主動免疫的可信計算3.0技術為核，以安全可信的網絡設備與全生命周期技術服務為基，構建一個能夠有效抵御已知和未知威脅的、具備自我免疫、自我恢復能力的網絡安全縱深防御體系。這不僅是技術路徑的選擇，更是捍衛國家網絡空間主權和安全的戰略必需。隨著物聯網、云計算、5G等新技術在關鍵領域的深度融合，持續深化等保制度、創新可信計算技術、提升網絡設備安全服務水平，將是筑牢國家關鍵信息基礎設施安全防線的永恒課題。