安全生产_某信息安全公司结构性安全的基础和实践教材

可信安全体系 结构性安全的基础和实践 2020年2月 目录 结构性安全 可信安全体系 1 2 关键技术及产品 应用案例 3 4 信息的C I A 信息安全保障 计算机系统 密码技术 TCSECTCB 安全评估 监测 监控 容灾备份 运行安全 信息系统安全的发展 关注信息的CIA 用户授权 访问控制 审计 信息系统 防火墙 防病毒 入侵检测 漏洞扫描 IDS 40 70年代 70 80年代 90年代以来 从人员管理 环境安全 技术安全多视角关注 核心网络区域 信息系统现状 访问控制 交换 递交 脆弱性安全防护体系 技术路线以对系统脆弱性的安全防护为出发点 通过采用不同的技术方案 实现对系统脆弱性的修补 阻断或防范 以避免脆弱性被利用或触发 从而保障系统的正常运行 2 现有方案补漏洞 补丁 升级增加防护设备防火墙防病毒软件入侵检测漏洞扫描 脆弱性安全的特点 面向威胁的防护技术以对系统脆弱性的安全防护为出发点多样化的防护技术软件 硬件补丁 设备 规章制度 被动防御新的攻击方式 新的防护方案各自为政头痛医头 脚痛医脚松散的防护体系缺乏统筹 缺乏关联 a 被动式防御手段力不从心 现有信息系统的安全体系远没有达到人们预期的水平 b 脆弱性安全防护模型越来越 脆弱 漏洞越堵越多 防火墙越砌越高策略越来越复杂桌面系统越来越庞大兼容性越来越差 面临的问题 1 系统的问题系统越来越庞大访问控制越来越复杂互操作性越来越差运行效益低下管理成本越来越高 2 安全的问题 技术原因 系统建设标准不一致 互操作性差PC机软 硬件结构简化 导致资源可任意使用通讯协议存在缺陷对病毒木马的防护有滞后性缺陷对合法的用户没有进行严格的访问控制 可以越权访问脆弱性安全防护模型强调安全功能的多样性和安全保障的强度 而无法保证安全功能的有效性 致使安全机制本身存在被篡改或破坏的可能 2005年 PITAC CyberSecurity ACrisisofPrioritization 报告中谈到如下的观点 PITAC认为包括军队的信息系统 例如GIG 在内所有的可信信息系统和国家基础设施信息化系统处在广泛地危险之中 长期采用的打补丁和消除信息系统脆弱性的安全策略 不但没有改善信息系统的安全 而且脆弱性正在迅速地扩张 在广泛系统互联及其内外界限越来越模糊情况中 传统区分内外关系的边界防护测量得到了严重挑战 必须要对信息化极其安全进行基础性 整体性的深入研究 探询根本上解决问题的方法 探询新安全理论 模型和方法 PITAC提出十个方面的问题 研究大范围 大规模的认证与鉴别技术对网络世界基础设施进行安全再整理与再研究在软件工程方面引入安全研究 建立新的软件工程学 在系统整体上去解决安全问题 研究如何利用可信与非可信部件来建立安全体系 加强总体学与体系结构研究实现更加普遍和大范围的监管与监控 基于行为检测模型上网络行为监管与监控 实现更有效地减灾和恢复实现基于行为检测 取证打击网络犯罪支持信息安全新技术实验与测试支持开展信息安全测评认证工作开展网络安全的非技术问题的广泛研究 包括社会与网络行为学研究 国际趋势 革新安全思路 从关注面向脆弱性安全到关注结构性安全 从关注面向威胁到面向能力的建设 从关注数据与系统安全防护到关注运营安全和可信秩序的建立 安全思路 研究总体和体系结构 把安全建立在不信任和信任的互相怀疑的基本理念基础之上 采用结构性安全体系 解决整体系统安全 信息的C I A 结构性安全 建立网络虚拟世界可信有序环境 信息安全保障 计算机系统 密码技术 TCSECTCB 安全评估 监测 监控 容灾备份 运行安全 发展历程 关注信息的CIA 用户授权 访问控制 审计 信息系统 防火墙 防病毒 入侵检测 漏洞扫描 IDS 40 70年代 70 80年代 90年代以来 从人员管理 环境安全 技术安全多视角关注 基于可信计算 密码 鉴别认证 访问控制 审计 安全管理等技术构建结构性安全 不同于脆弱性安全 结构性安全不以对系统脆弱性的安全防护为出发点 而是从多个粒度入手 以主动的基础信任体系作为支撑 从整体的关联关系角度出发 定制安全基线 将脆弱性问题的发生及危害程度限制在一定区域和范围 并能对其进行精准的捕获 目的 将多种保护机制相互关联 相互支撑 相互制约 通过相互之间的结构性关系 提高健壮性 把计算机网络这个虚拟世界变成一个有序 可认证 可管理且可追踪控制的空间 可信安全理念 结构性安全 13 体系化导向 变被动为主动关注于多种保护机制的紧密关联 相互支撑 相互制约基于数字标签划分安全域 实现细粒度访问控制一体化安全管理可信安全体系体系化结构性安全的基础 体系化结构性安全 1 细粒度的访问控制主体 客体 节点 网络可标识 可认证2 强关联相互配合 群体作战3 高整体效益体系化的结构性安全4 可被验证的基础信任体系保障安全机制的有效性5 精准的捕获能力发现 定位 追踪 打击 实现目标 等级保护体系架构 一个中心 三重防护安全管理中心安全计算环境安全区域边界安全通信网络 现有架构 目录 结构性安全 可信安全体系 1 2 关键技术及产品 应用案例 3 4 可信安全体系以可信根为基础 致力于通过可信链的建立 通过标签技术 保障计算环境 区域边界和通信网络的安全 从而实现一个可信 有序 易管理的安全保护环境 为信息系统的安全功能和安全保证提供整体解决方案 从根本上提高系统的安全保护能力 可信安全体系通过实现体系化结构性安全防护 将脆弱性行为限制在小的区域 限制脆弱性行为造成的安全危害 可信安全体系 可信安全体系 体系目标 可验证的基础信任体系 基于可信技术 确保用户身份可信 平台可信 用户行为可信细粒度的访问控制主体 客体 节点 网络可标识 可认证 用户分级 系统分域 网络分域 应用分域 可实现跨域访问控制 可信网络连接基于可信技术 集身份认证 数字标签和传输控制于一体 从底层开始 实现端到端的统一安全标记 在机制上屏蔽了可能的各种未知恶意攻击可信数据交换基于数字标签是吸纳不同安全等级 不同级别的区域安全可控的互联互通 一体化的安全管理 整体安全效应最大化不同安全产品相互关联 相互支撑 相互制约 通过相互之间的结构性关系 来提供系统整体的安全性 操作系统 OS装载程序 主引导记录 可信BIOS 可信BIOS 主引导记录 OS装载程序 操作系统 敏感信息 系统工具 应用程序 用户身份卡 敏感信息 应用程序 网络 系统加电 1 计算环境的完整性 为系统中的主客体 用户 BIOS 进程 敏感信息 网络 打上数字标签 并为主客体生成预期值 指定主体的行为规则 2 信任链传递机制的度量与评估 对系统中主客体采用基于标签的可信度量 通过一级度量一级 一级验证一级 确保主体的行为是可被度量 当前系统的运行环境可被计算和证明 可验证的基础信任体系 可验证的基础信任体系 可信引导模块 BIOS MBR OSLoader OSKernel Service APP 普通计算机 普通计算机安全加固 可信安全计算机 TCM模块 认证模块 BIOS MBR OSLoader OSKernel Service APP OSKernel BIOS MBR OSLoader 完整性度量模块 Service APP 安全起点 安全起点 可信根 系统引导完整性 系统应用 服务 内核 安全机制完整性 没有任何加固 按照标准方式启动 基于软件的方式进行加固 安全机制会被旁路篡改 基于底层的硬件加固 软件硬件相结合 无法绕过 可验证的基础信任体系 用户B 客体1 客体n 客体1 主体B 主体A 可信安全计算机 TCM 主体D 主体C 客体1 客体1 客体n 用户A 客体n 客体n 用户A信任的运行环境 用户B信任的运行环境 不信任运行环境 用户身份可信 插卡开机用户行为可信 受信任主体有序管理和运行 非信任主体不运行受信任主体被攻击篡改 自动修复与平台身份结合的文件加密存储系统锁定及端口控制用户行为可信监管平台可信 基于TCM模块的测量可信根 存储可信根 报告可信根与完整的信任链 保护安全机制不被旁路 细粒度访问控制 系统内细粒度 用户 主体 客体 分级分域和访问控制 安全域A 安全域B 安全域C 安全域访问控制系统 网络分级分域 安全域的划分 安全域隔离与访问控制 终端准入控制 细粒度访问控制 可信网络连接结构 申请上网 安全评估 审核 终端开机认证可信校验与可信链传递 平台鉴别 申请入网 中心服务区 交换区 接入区 接入报送终端 可信安全终端 交换机 交换机 交换机 路由器 可信交换网关 接入终端 1 完整性信任评估2 网络准入控制3 访问控制 标签 4 安全交换 标签 5 受信任主体访问 代理服务器 可信安全服务器 报送服务器 可信安全服务器 基于数据标签的可信数据交换 基于数字标签的可信交换 建立安管中心实现一体化安全管理 包括系统管理 安全管理 审计管理 系统管理实现对系统资源和运行配置的控制和管理 安全管理对系统中用户和资源进行统一的标记管理 配置一致的安全策略 进行统一的认证管理 审计管理对分布在系统各个组成部分的安全审计机制进行集中管理 系统管理 安全管理 审计管理相互关联 相互支撑 相互制约 实现全系统一体化的安全管理 一体化安全管理 目录 结构性安全 可信安全体系 1 2 关键技术及产品 应用案例 3 4 可信安全体系关键技术可信计算技术基于标签的访问控制技术基于标签的数据交换技术一体化安全管理等等 可信安全体系 为安全计算环境 安全区域边界 安全通信网络和安全管理中心的具体实现提供技术支撑 可信计算技术是可信安全体系的基础 从可信根出发 解决计算机结构简化引起的安全问题 主要思路是在计算机主板上嵌入安全芯片 度量硬件配置 操作系统 应用程序等整个平台的完整性 并采用信任链机制和操作系统安全增强等综合措施 强化软 硬件结构安全 保证安全机制的有效性 从整体上解决计算机面临的脆弱性安全问题 可信计算技术 国际背景1999年 由Intel IBM HP Microsoft Compaq发起TCPA TrustedComputingPlatformAlliance 组织 推动构建一个可信赖的计算环境 这个组织的成果是定义了一个平台设备认证的架构 以及嵌入在主板上的安全芯片 TPM TrustedPlatformModule 和上层软件中间件TSS TrustedSoftwareStack 的第一个规范 可信计算背景 体系结构Architecture TPM 移动设备Mobile 客户端PCClient 服务器Server 软件包SoftwareStack 存储Storage 可信网络连接TrustedNetworkConnect TCG对于可信计算平台的划分 国内背景信安标委WG3信安标委WG1国家密码管理局 可信计算背景 平台组成结构可信密码模块 TCM TCM服务模块 TSM 可信计算技术 1 可信安全计算平台 利用标签标识用户 节点 网络 应用 数据敏感度和作用范围 同时也标识了相应的安全策略 数字标签的产生 存储和使用机制由信任链和TCM保证 2 基于标签的访问控制技术主要用于系统内实现高安全级别要求的强制访问控制 保证访问控制机制不能被绕过 本身不能被篡改 抗攻击 同时足够小 可以被证明 3 也能据此辨识应用并对不同应用的流量进行检测 根据情况选用加密算法 确保信息在可信通道传输过程中的完整性 机密性及不可篡改性 基于标签的访问控制技术 利用安全通道技术 标签技术和密码技术在保障不同安全等级网络隔离的基础上 通过 五指定 实现各个安全等级网络的多级安全互联互通 通过对不同安全等级的网络划分安全域的方式 和设置不同安全等级安全域之间的访问控制策略 达到了不同安全等级安全域之间安全隔离以及对指定应用数据进行交换的目的 实现细粒度的访问控制 完全实现五指定功能 控制接入用户控制接入终端控制接入应用数据控制接入目标节点控制接入目标节点上应用系统 基于标签的数据交换技术 可信安全体系 瑞达产品体系 可信交换网关 J3210 强龙可信安全计算机 巨龙可信安全服务器 安全域访问控制系统 巨龙可信安全服务器 可信安全体系的基石 作为可验证信任体系的基础产品 定制用户 平台 主体 客体 节点的安全基线 实现用户和平台身份可认证 行为可控制和审计 将安全基线由节点延伸到网络 基于数字标签技术 实现用户分级 系统分域 网络分域 应用分域 安全域访问控制及安全域间的可信信息交换 一体化的安全管理 提供系统整体的安全性 并能精准捕获用户 主体 节点和网络的危害行为 低等级安全域 高等级安全域 可信软件 瑞达产品结构 目录 结构