可信安全体系

可信安全体系第1页/共43页目录结构性安全可信安全体系12关键技术及产品应用案例34第2页/共43页通讯系统信息的C.I.A信息安全保障计算机系统密码技术TCSECTCB安全评估、监测、监控、容灾备份、运行安全信息系统安全的发展关注信息的CIA、用户授权、访问控制、审计信息系统防火墙、防病毒、入侵检测、漏洞扫描、IDS…40-70年代70-80年代90年代以来从人员管理、环境安全、技术安全多视角关注第3页/共43页公共网络网络系统节点主体、客体核心网络区域运营资源网络信息系统现状访问控制交换递交第4页/共43页脆弱性安全防护体系技术路线以对系统脆弱性的安全防护为出发点，通过采用不同的技术方案，实现对系统脆弱性的修补、阻断或防范，以避免脆弱性被利用或触发，从而保障系统的正常运行。2.现有方案补漏洞——补丁、升级增加防护设备防火墙防病毒软件入侵检测漏洞扫描。。。第5页/共43页脆弱性安全的特点面向威胁的防护技术以对系统脆弱性的安全防护为出发点多样化的防护技术软件、硬件补丁、设备、规章制度、。。。被动防御新的攻击方式新的防护方案各自为政头痛医头，脚痛医脚松散的防护体系缺乏统筹、缺乏关联第6页/共43页a、被动式防御手段力不从心现有信息系统的安全体系远没有达到人们预期的水平！

b、脆弱性安全防护模型越来越“脆弱”漏洞越堵越多、防火墙越砌越高策略越来越复杂桌面系统越来越庞大兼容性越来越差面临的问题1、系统的问题系统越来越庞大访问控制越来越复杂互操作性越来越差运行效益低下管理成本越来越高2、安全的问题第7页/共43页技术原因系统建设标准不一致，互操作性差PC机软、硬件结构简化，导致资源可任意使用通讯协议存在缺陷对病毒木马的防护有滞后性缺陷对合法的用户没有进行严格的访问控制，可以越权访问脆弱性安全防护模型强调安全功能的多样性和安全保障的强度，而无法保证安全功能的有效性，致使安全机制本身存在被篡改或破坏的可能。第8页/共43页2005年（PITAC）

：（CyberSecurity:ACrisisof

Prioritization）报告中谈到如下的观点：PITAC认为包括军队的信息系统（例如GIG）在内所有的可信信息系统和国家基础设施信息化系统处在广泛地危险之中，长期采用的打补丁和消除信息系统脆弱性的安全策略，不但没有改善信息系统的安全，而且脆弱性正在迅速地扩张。在广泛系统互联及其内外界限越来越模糊情况中，传统区分内外关系的边界防护测量得到了严重挑战。必须要对信息化极其安全进行基础性、整体性的深入研究，探询根本上解决问题的方法，探询新安全理论、模型和方法。

PITAC提出十个方面的问题：研究大范围、大规模的认证与鉴别技术对网络世界基础设施进行安全再整理与再研究在软件工程方面引入安全研究，建立新的软件工程学。在系统整体上去解决安全问题（研究如何利用可信与非可信部件来建立安全体系），加强总体学与体系结构研究实现更加普遍和大范围的监管与监控（基于行为检测模型上网络行为监管与监控）实现更有效地减灾和恢复实现基于行为检测、取证打击网络犯罪支持信息安全新技术实验与测试支持开展信息安全测评认证工作开展网络安全的非技术问题的广泛研究（包括社会与网络行为学研究）国际趋势第9页/共43页革新安全思路从关注面向脆弱性安全到关注结构性安全。从关注面向威胁到面向能力的建设。从关注数据与系统安全防护到关注运营安全和可信秩序的建立。安全思路：研究总体和体系结构，把安全建立在不信任和信任的互相怀疑的基本理念基础之上，采用结构性安全体系，解决整体系统安全。第10页/共43页通讯系统信息的C.I.A结构性安全：建立网络虚拟世界可信有序环境信息安全保障计算机系统密码技术TCSECTCB安全评估、监测、监控、容灾备份、运行安全发展历程关注信息的CIA、用户授权、访问控制、审计信息系统防火墙、防病毒、入侵检测、漏洞扫描、IDS…40-70年代70-80年代90年代以来从人员管理、环境安全、技术安全多视角关注基于可信计算、密码、鉴别认证、访问控制、审计、安全管理等技术构建结构性安全第11页/共43页不同于脆弱性安全，结构性安全不以对系统脆弱性的安全防护为出发点，而是从多个粒度入手，以主动的基础信任体系作为支撑，从整体的关联关系角度出发，定制安全基线，将脆弱性问题的发生及危害程度限制在一定区域和范围，并能对其进行精准的捕获。

目的：将多种保护机制相互关联、相互支撑、相互制约、通过相互之间的结构性关系，提高健壮性。把计算机网络这个虚拟世界变成一个有序、可认证、可管理且可追踪控制的空间。可信安全理念:结构性安全第12页/共43页13体系化导向变被动为主动关注于多种保护机制的紧密关联、相互支撑、相互制约基于数字标签划分安全域，实现细粒度访问控制一体化安全管理可信安全体系体系化结构性安全的基础体系化结构性安全第13页/共43页

1.细粒度的访问控制 主体、客体、节点、网络可标识、可认证

2.强关联 相互配合，群体作战3.高整体效益体系化的结构性安全

4.可被验证的基础信任体系保障安全机制的有效性

5.精准的捕获能力发现，定位、追踪、打击实现目标第14页/共43页等级保护体系架构——一个中心，三重防护安全管理中心安全计算环境安全区域边界安全通信网络现有架构第15页/共43页目录结构性安全可信安全体系12关键技术及产品应用案例34第16页/共43页可信安全体系以可信根为基础，致力于通过可信链的建立，通过标签技术，保障计算环境、区域边界和通信网络的安全，从而实现一个可信、有序、易管理的安全保护环境，为信息系统的安全功能和安全保证提供整体解决方案，从根本上提高系统的安全保护能力；可信安全体系通过实现体系化结构性安全防护，将脆弱性行为限制在小的区域，限制脆弱性行为造成的安全危害；可信安全体系第17页/共43页可信安全体系结构化TCBTCMLACLab核心扩展结构访问控制代理可信网关代理结构访问控制主体结构访问控制可信网关主体可信网关TCM代理认证代理监管代理TCM代理管理者可信管理平台主体资源管理中心监管代理管理者可信监管平台主体监管中心认证代理管理者可信认证平台主体认证中心第18页/共43页体系目标可验证的基础信任体系——基于可信技术，确保用户身份可信、平台可信、用户行为可信细粒度的访问控制主体、客体、节点、网络可标识、可认证。用户分级、系统分域、网络分域、应用分域，可实现跨域访问控制。可信网络连接基于可信技术，集身份认证、数字标签和传输控制于一体，从底层开始，实现端到端的统一安全标记，在机制上屏蔽了可能的各种未知恶意攻击可信数据交换基于数字标签是吸纳不同安全等级、不同级别的区域安全可控的互联互通。一体化的安全管理，整体安全效应最大化不同安全产品相互关联、相互支撑、相互制约，通过相互之间的结构性关系，来提供系统整体的安全性。第19页/共43页操作系统OS装载程序主引导记录可信BIOS开机加电可信BIOS主引导记录OS装载程序操作系统敏感信息系统工具应用程序开机加电用户身份卡敏感信息应用程序

网络可信安全模块TCM可信安全模块TCM系统加电1.计算环境的完整性：为系统中的主客体（用户、BIOS、进程、敏感信息、网络）打上数字标签，并为主客体生成预期值，指定主体的行为规则；2.信任链传递机制的度量与评估：对系统中主客体采用基于标签的可信度量，通过一级度量一级，一级验证一级，确保主体的行为是可被度量，当前系统的运行环境可被计算和证明。可验证的基础信任体系第20页/共43页---可验证的基础信任体系可信引导模块BIOSMBROSLoaderOSKernelService&APP普通计算机普通计算机安全加固可信安全计算机TCM模块认证模块BIOSMBROSLoaderOSKernelService&APPOSKernelBIOSMBROSLoader完整性度量模块Service&APP安全起点安全起点可信根系统引导完整性系统应用、服务、内核、安全机制完整性没有任何加固,按照标准方式启动基于软件的方式进行加固,安全机制会被旁路篡改基于底层的硬件加固,软件硬件相结合,无法绕过可验证的基础信任体系第21页/共43页

用户B客体1客体n客体1……主体B主体A可信安全计算机

TCM主体D主体C客体1客体1客体n……

用户A客体n客体n…………用户A信任的运行环境用户B信任的运行环境不信任运行环境用户身份可信:插卡开机用户行为可信:受信任主体有序管理和运行，非信任主体不运行

受信任主体被攻击篡改，自动修复

与平台身份结合的文件加密存储

系统锁定及端口控制

用户行为可信监管平台可信:基于TCM模块的测量可信根、存储可信根、报告可信根与完整的信任链，

保护安全机制不被旁路。细粒度访问控制系统内细粒度（用户、主体、客体）分级分域和访问控制第22页/共43页安全域A安全域B安全域C安全域访问控制系统网络分级分域安全域的划分安全域隔离与访问控制终端准入控制细粒度访问控制第23页/共43页可信网络连接结构用户终端可信接入网关安全策略管理中心安全修补服务器修补成功发送安全信息申请上网安全评估需要修补内容未通过修补信息库审核分级分域授权允许上网访问控制终端开机认证可信校验与可信链传递平台鉴别通过认证未通过认证采取相应安全策略平台身份完整性获取权限通过申请入网第24页/共43页中心服务区交换区接入区接入报送终端（可信安全终端）交换机交换机交换机路由器可信交换网关接入终端1、完整性信任评估2、网络准入控制3、访问控制（标签）4、安全交换（标签）5、受信任主体访问

代理服务器（可信安全服务器）报送服务器（可信安全服务器）基于数据标签的可信数据交换基于数字标签的可信交换第25页/共43页

建立安管中心实现一体化安全管理，包括系统管理、安全管理、审计管理。系统管理实现对系统资源和运行配置的控制和管理；安全管理对系统中用户和资源进行统一的标记管理，配置一致的安全策略，进行统一的认证管理；审计管理对分布在系统各个组成部分的安全审计机制进行集中管理。

系统管理、安全管理、审计管理相互关联、相互支撑、相互制约，实现全系统一体化的安全管理。一体化安全管理第26页/共43页目录结构性安全可信安全体系12关键技术及产品应用案例34第27页/共43页可信安全体系关键技术可信计算技术基于标签的访问控制技术基于标签的数据交换技术一体化安全管理等等可信安全体系为安全计算环境、安全区域边界、安全通信网络和安全管理中心的具体实现提供技术支撑第28页/共43页可信计算技术是可信安全体系的基础，从可信根出发，解决计算机结构简化引起的安全问题。主要思路是在计算机主板上嵌入安全芯片，度量硬件配置、操作系统、应用程序等整个平台的完整性，并采用信任链机制和操作系统安全增强等综合措施，强化软、硬件结构安全，保证安全机制的有效性，从整体上解决计算机面临的脆弱性安全问题。可信计算技术第29页/共43页国际背景

1999年，由Intel、IBM、HP、Microsoft、Compaq发起TCPA（TrustedComputingPlatformAlliance）组织，推动构建一个可信赖的计算环境，这个组织的成果是定义了一个平台设备认证的架构，以及嵌入在主板上的安全芯片（TPM：TrustedPlatformModule）和上层软件中间件TSS（TrustedSoftwareStack）的第一个规范。

可信计算背景第30页/共43页体系结构ArchitectureTPM移动设备Mobile客户端PCClient服务器Server软件包SoftwareStack存储Storage可信网络连接TrustedNetworkConnectTCG对于可信计算平台的划分第31页/共43页国内背景信安标委WG3信安标委WG1国家密码管理局可信计算背景第32页/共43页平台组成结构可信密码模块（TCM）TCM服务模块（TSM）

可信计算技术第33页/共43页1.可信安全计算平台，利用标签标识用户、节点、网络、应用、数据敏感度和作用范围，同时也标识了相应的安全策略。数字标签的产生、存储和使用机制由信任链和TCM保证。2.基于标签的访问控制技术主要用于系统内实现高安全级别要求的强制访问控制，保证访问控制机制不能被绕过，本身不能被篡改，抗攻击，同时足够小，可以被证明。3.也能据此辨识应用并对不同应用的流量进行检测。根据情况选用加密算法，确保信息在可信通道传输过程中的完整性、机密性及不可篡改性。基于标签的访问控制技术第34页/共43页

利用安全通道技术、标签技术和密码技术在保障不同安全等级网络隔离的基础上，通过“五指定”，实现各个安全等级网络的多级安全互联互通；通过对不同安全等级的网络划分安全域的方式，和设置不同安全等级安全域之间的访问控制策略，达到了不同安全等级安全域之间安全隔离以及对指定应用数据进行交换的目的。实现细粒度的访问控制（完全实现五指定功能）

控制接入用户

控制接入终端

控制接入应用数据

控制接入目标节点

控制接入目标节点上应用系统基于标签的数据交换技术第35页/共43页芯片系列J3210J3223可信平台系列强龙系列巨龙系列JTQ-1810-EJTS-110JTQ-1810-QJTS-264JTQ-DNSJTS-464网关系列安全域访问控制系统可信交换网关可信软件系列可信安全域管理系统安全管理中心可信安全体系芯片系列可信安全体系的基石可信平台系列节点可信网关系列网络可信可信软件系列一体化的安全管理产品体系产品目标瑞达产品体系第36页/共43页可信交换网关J3210强龙可信安全计算机巨龙可信安全服务器安全域访问控制系统巨龙可信安全服务器可信安全体系的基石，作为可验证信任体系的基础产品。定制用户、平台、主体、客体、节点的安全基线，实现用户和平台身份可认证、行为可控制和审计。将安全基线由节点延伸到网络，基于数字标签技术，实现用户分级、系统分域、网络分域、应用分域、安全域访问控制及安全域间的可信信息交换。一体化的安全管