在数字化时代，关键信息基础设施（CII）已成为国家经济社会运行的神经中枢，其网络安全直接关系到国家安全、社会稳定和公共利益。我国网络安全领域的领军人物、中国工程院院士沈昌祥长期致力于网络安全体系构建，特别是在关键信息基础设施的网络安全等级保护（简称“等保”）制度、核心技术与网络设备技术服务方面，提出了系统性的理论框架与实践路径。

一、 网络安全等级保护制度：法律基石与根本遵循

沈昌祥院士强调，网络安全等级保护制度是我国网络安全的基本制度，是保障关键信息基础设施安全的根本遵循。《网络安全法》明确规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。等保2.0体系的核心在于“一个中心，三重防护”（安全管理中心、计算环境安全、区域边界安全、通信网络安全），通过分级分类保护，构建主动防御、动态防护、整体防控的网络安全综合防护体系。对于关键信息基础设施，必须执行最高级别的保护要求（等保第三级及以上），实施严格的安全管理、技术防护和定期测评。

二、 核心技术：主动免疫与可信计算

在核心技术层面，沈昌祥院士力主发展并推广“主动免疫”的可信计算技术。他认为，传统的封堵查杀“事后补救”式安全手段已难以应对日益高级、隐蔽的网络攻击，尤其是针对关键基础设施的APT（高级持续性威胁）攻击。

1. 可信计算3.0：这是沈昌祥院士倡导的核心技术体系。它通过构建可信根、可信链传递和可信度量，确保计算设备在启动、运行、应用等各环节始终处于预期和可控的可信状态。其核心思想是“计算+防护”并行，为网络信息系统建立免疫系统，实现主动防御。
2. 安全可信的体系结构：将安全功能内生于信息系统之中，而非简单外挂。通过可信密码模块、可信软件基、可信网络连接等关键组件，形成从硬件、固件、操作系统到应用程序的完整可信链条，确保设备、数据、行为的可信。
3. 动态感知与协同防御：结合大数据、人工智能等技术，实现对网络威胁的动态感知、智能分析和协同处置。构建覆盖全网的网络安全态势感知平台，对关键信息基础设施的安全状态进行实时监控和预警。

三、 网络设备技术服务：从合规到内生安全的实践

网络设备（如路由器、交换机、防火墙、服务器等）是构成关键信息基础设施的物理实体，其自身安全及提供的技术服务是落实等保要求和可信计算理念的关键环节。沈昌祥院士的观点对此有深刻指导：

1. 设备自身安全可信：网络设备的生产制造应融入可信计算理念，出厂即具备可信根，确保硬件和基础固件的不可篡改性。设备应支持基于可信计算的身份认证、加密传输和完整性校验。
2. 等保合规技术服务：网络设备供应商和技术服务商需深度理解等保2.0要求，提供能够满足相应等级安全要求的设备配置方案、安全策略模板和技术支持服务。例如，提供满足等保要求的访问控制、安全审计、入侵防范、恶意代码防范等功能模块。
3. 构建主动防御能力：技术服务不应仅限于安装部署和故障排除，更应帮助用户构建基于可信计算的主动防御体系。包括协助部署可信计算环境、实现网络边界可信接入、构建动态可信验证机制等。
4. 全生命周期安全服务：涵盖网络设备的规划、设计、采购、集成、运行、维护直至报废的全过程。提供持续的安全漏洞监测、补丁管理、配置加固、安全评估和应急响应服务，确保持续符合等保要求并有效应对新型威胁。
5. 人才培养与意识提升：技术服务包含对关键信息基础设施运营单位技术人员的安全技能培训，提升其运用可信计算等先进技术进行安全运维和管理的实战能力。

沈昌祥院士关于关键信息基础设施网络安全等级保护的核心思想，可以概括为：以国家法律法规和等保制度为纲，以主动免疫的可信计算3.0技术为核，以安全可信的网络设备与全生命周期技术服务为基，构建一个能够有效抵御已知和未知威胁的、具备自我免疫、自我恢复能力的网络安全纵深防御体系。这不仅是技术路径的选择，更是捍卫国家网络空间主权和安全的战略必需。随着物联网、云计算、5G等新技术在关键领域的深度融合，持续深化等保制度、创新可信计算技术、提升网络设备安全服务水平，将是筑牢国家关键信息基础设施安全防线的永恒课题。