1、1可信计算发展进程“没有网络安全就没有国家安全,没有信息化就没有现代化。”习近平2什么是可信计算 “如果一个实体的行为总是按照预期的方式和目标进行,那它就是可信的(An entity can be trusted if it always behaves in the expectedmanner for the intended purpose)”-可信计算组织TCG(TrustedComputing Group)010203运算与防护并存计算运算同时进行安全防护全程可测可控可信信任链与可信节点共同构建的可信架构全程可量化与主动监控自我免疫从硬件通电开始,直到软件运行,所有环节均有底层的可信
2、节点监控与保护3为什么需要可信计算123网络安全态势严峻网络环境下的病毒源头、种类、数量均呈现爆发性增长,攻击手段与频率不断加剧传统手段难以招架”杀病毒、防火墙、入侵检测“传统老三样已经过时,难以应对新型攻击,堵漏洞、打补丁的传统思路不利于整体网络安全安全系统设计漏洞在网络安全系统设计的时候,必定会存在逻辑组合和组合不全的缺陷,缺失相对的安全目标,防御体系,无法确保完成计算任务的逻辑组合不被篡改和破坏网络安全永恒不变没有网络安全就没有国家安全,构筑网络安全,应坚持走自主可控、安全可信的道路,基于我国自主创新的可信计算技术,抢占网络空间安全战略制高点44病毒肆虐实例 2017年5月,勒索病毒席卷
3、全球150多个国家,短短数小时近40万用户遭受攻击勒索,被感染的政府机构、高校、医院、电力系统等终端设备几近瘫痪,引发出迄今为止网络世界最大的安全危机。次月,新型勒索病毒Petya肆虐多过政府、银行、电力系统、通信系统等,多个行业受到不同程度影响。今年月日,台积电营运总部和新竹科学园区的的英寸晶圆厂的电脑,遭到勒索病毒入侵,生产线全数停摆。几个小时之内,台积电在台湾北、中、南三处重要生产基地均未能幸免。网络安全刻不容缓,可信计算新出路5可信计算发展里程碑可信计算平台联盟TCPA历史上第一个可信计算机系统评价标准(TCSEC)颁布,又称橙皮书。可信计算组织(TCG)成立TPM 2.0纳进ISO标
4、准6可信计算的演进04新时期可信计算03可信计算 V3.002可信计算 V2.001可信计算 V1.0容错计算被动可信主动免疫技术融合 以世界容错组织为代表,主要特征是主机可靠性,通过容错算法、故障诊查实现计算机部件的冗余备份和故障切换。以TCG为代表,主要特征是包含PC节点安全性,通过主程序调用外部挂接的可信芯片实现被动度量。我国自主建立,主要特征是系统免疫性,保护对象是以系统节点为中心的网络动态链,构成“宿主+可信”双体系可信免疫架构,宿主机运算的同时由可信机制进行安全监控,实现对网络信息系统的主动免疫防护。结合云技术,在硬件基础之上的构建基于建立动态信任链的可信计算平台。主要特征:向上支
5、撑传统的商业操作系统,向下兼容硬件体系,由此建立完善、可控的可信机制、执行安全策略最终保障系统安全。7国内外可信计算领域比对TCG组织中国可信计算VSVS1、TPM为外挂式被动设备2、信任链从BIOS开始建立3、TCG原版本只采用公钥密码算法RSA,杂凑算法只支持SHA1系列,回避对称密码。可信计算模块1、被动对外设、系统、软件、网络进行度量2、可信监控体系和宿主计算体系耦合度量与监控1、TCPM为主动控制设备2、信任链从TPCM开始建立3、可信平台模块(TPM2.0)则采用了自主研发的对称与公钥结合的密码体制可信计算模块1、主动对外设、系统、软件、网络进行度量2、可信监控体系和宿主计算体系分
6、离度量与监控8国内可信计算状况产业联盟成立 2014年,在中国工程院沈昌祥院士提议下,中国电子信息产业集团、中国信息安全研究院、中国电力科学研究院等60家单位组成可信计算产业联盟,标志着可信计算正式由一门技术上升为国家层面的产业。国家战略定位 中国”十二五“规划中首次将可信计算与信息安全写进国家的安全战略中,而”十三五“规划中进一步提出推进绿色计算、可信计算、数据和网络安全等信息技术产品的研发与产业化要求自主创新发展 我国的可信计算已经进入3.0时代,主动免疫架构得到多方面应用,在技术的牵引下,研制出一些列的支持可信计算的国产CPU、操作系统、应用软件等,软硬件发展已基本达到体系化要求,有些方
7、面属于国际领先水平。9第一部分 小结 01当今网络安全形势依旧严峻02可信计算经多年演进,已发展为产业化,并逐步向体系化构建03我国可信计算起步虽晚,但后发赶超,部分成果已跻身国际领先水平04可信计算3.0将是我国可信计算领域发展方向与核心领先技术2主动免疫与安全云架构“从科学的视角认识网络安全,应包括三个方面的内容,即利用逻辑缺陷攻击的网络安全是永远的主题、可信免疫的计算模式与结构和安全可信系统架构。”沈昌祥11技术诞生前提安全战略提升 年发布的国家网络空间安全战略也指出:重视软件安全,加快安全可信产品的推广应用。安全组合无法穷尽 网络安全风险的实质是设计系统不能穷尽所有逻辑组合,必定存在逻
8、辑不全的缺陷专项法规保障 网络安全法十六条强调:推广安全可信的网络产品和服务。12可信计算 3.0主动免疫 在计算、运算的同时进行安全防护,全程可测可控,一边计算一边防护。建立以主动免疫为标志的可信计算体系,相当于为网络信息系统培育了免疫能力。排异反应识别病毒密码保护 以密码为基因,对包括身份认证在内的一系列安全措施,实现运算和防护并存的主动免疫体系结构相当于人体免疫系统,免疫系统的免疫基因有三大功能:13 可信计算 3.0体系结构u创新主动免疫体系结构u创新可信密码体系u创新可信计算标准体系u主要体现在应用可信、系统配套、主机支撑和可信根底四个方面u主要包括对密码机制创新(对称密码与公钥密码
9、相结合)、密码算法创新(全部采用国际自主设计算法)、证书结构创新(双证书结构,简化证书管理)u主要由自主创新密码体系、主动度量控制芯片、计算可信融合主板、双重系统核心软件四部分组成,而整体由可信策略安全进行管控通过这样的整体创新结构设计,能够克服TCG部件TPM被动挂接调用的局限性。而可信计算3.0网络的主要特征体现在,系统免疫性、节点虚拟动态链、宿主+可信双节点,以及整体可信免疫架构这几方面。14技术可控条件可知 对合作方开放全部源代码,要心里有数,不能盲从可编 要基于对源代码的理解,能自主编写代码可重构 面向具体的应用场景和安全要求,对核心技术要素进行重构,形成定制化的新的体系结构可信 通
10、过可信计算技术增强自主系统免疫性,防范漏洞影响系统安全性,使国产化真正落地有知识产权 要对最终的系统拥有自主知识产权,保护好自主创新的知识产权及其安全。坚持核心技术创新专利化,专利标准化,标准推进市场化。要走出国门,成为世界品牌15技术发展原动力12 面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。目前,可信计算已经成为世界网络空间斗争的焦点,美国第三次抵消战略(对抗下一代敌人的下一代技术)已经把高可信网络军事系统列为重点,未来将围绕安全可信展开新的较量。要坚持自主可控、安全可信 国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统都将采用可信计算3
11、.0作为基础支撑抢占网络空间安全核心技术战略制高点 采用可信计算,可避免如微软停止服务所引起的安全风险,有力支撑了习总书记提出的:“引进必须安全可控”的重要指示如何摆脱受制于人的尴尬局面?16构筑主动防御、安全可信的保障体系 识别(确定可信主、客体);控制(制定可信主、客体间访问规则);报警(审计主客体访问行为,监控主客体运行时状态)主动免疫体系平台组成 系统重构可信主机、主板配插PCI可信控制卡、配接USB可信控制模块。自主可信计算平台产品形态可信主机可信控制卡 可信控制模块识别控制报警17可信计算与可信云安全框架可信计算 云安全是可信计算当前的重点应用方向,基于可信计算建立主动免疫的可信云
12、安全框架,是解决当前各类云安全问题的重要基础和保障,采用安全可信系统架构可以确保体系结构可信、资源配置可信、操作行为可信、数据存储可信和策略管理可信,从而达到积极主动防御目的。云计算、大数据、工业控制、物联网等新型信息化环境需要安全可信作为基础和发展的前提,必须进行可信度量、识别和控制。18自主创新的体系结构框架 我国可信计算革命性地开创了自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、可信连接为纽带、策略管控成体系、安全可信保应用的全新的可信计算体系结构框架。打基础具有自主的密码体系构主体确定了四个主体标准是可信平台控制模块、可信平台主板功能接口、可信基础支撑软件及可信网络连
13、接架构搞配套提出了四个配套标准,分别是可信计算规范体系结构、可信服务器平台、可信存储及可信计算机可信性测评指南成体系包括了管控应用相关标准,涉及到等级保护系统各个方面全新的可信计算标准体系 基于创新的体系结构框架,完成了核心的9部国家标准和5部国军标的研究起草工作。其中,已发布国家标准3项和国军标3项,即将发布国家标准2项,已发布团体标准(中关村可信计算产业联盟标准)4项,授权国家专利上百项。自主创新的标准体系19创新可信密码体系密码算法 全部采用国有自主设计的算法,定义了可信计算密码模块(TCM)密码机制 采用对称(SM2 算法)与公钥密码(SM2算法)相结合体制,提高了安全性和效率,其中,
14、还应用SM3算法进行完整性校验证书结构 采用双证书结构,简化了证书管理,提高了可用性和可管理性20 创建主动免疫体系结构主动免疫是中国可信计算革命性创新的集中体现 我国自主创建的主动免疫体系结构,在双系统体系框架下,采用自主创新的对称/非对称相结合的密码体制作为免疫基因软件基础层 实现宿主操作系统和可信软件基的双重系统核心,通过在操作系统核心层并接一个可信的控制软件,接管系统调用,在不改变应用软件的前提下实施对应执行点的可信验证,达到主动防御效果网络层 采用三层三元对等的可信连接架构,在访问请求者、访问连接者和管控者(即策略仲裁者)之间进行三重控制和鉴别,管控者对访问请求者和访问连接者实现统一
15、的策略验证,解决了合谋攻击的难题,提高系统整体的可信性平台主板 在可信平台主板中增加了可信度量控制节点,实现了计算和可信双节点融合控制芯片 在主动度量控制芯片(TPCM)硬件中植入可信源根,并加以信任根控制功能,实现密码与控制相结合,将可信平台控制模块设计为可信计算控制节点,实现TPCM对整个平台的主动控制21云中心结构应用多用户并行应用虚拟化平台层应用多用户并行应用虚拟化软件应用层虚拟化服务(设备服用)物理资源基础架构层服务器网络存储用户终端用户终端通信网络前置机WEBWEB服务前置机WEBWEB服务SaaSPaaSIaaS服务管理器用户区域边界计算环境管理平台 云中心组成架构 信息系统云化
16、是指其信息处理流程在云计算中心完成,一般由用户网络接入、区域边界、计算环境和管理平台组成,可以同时运行多个不同安全级别的信息系统,其安全防护能力高于承运最高等级信息系统的级别22 可信云安全框架云计算可信安全架构是在安全管理中心支撑下的可信计算环境、可信接入边界、可信通信网络三重防护架构,如下图所示:系统 安全 审计安全管理中心可信接入边界用户终端应用服务资源平台虚拟层计算单元计算节点可信计算环境可信通信网络可信云安全架构23可信云计算环境及连接传递虚拟计算节点n虚拟计算节点1虚拟计算节点2VM应用应用运行环境应用1应用2应用n可信基础软件虚拟环境安全机制云计算环境节点虚拟可信模VMM安全机制
17、VM层宿主机系统n宿主机系统1宿主机系统2可信基础软件安全机制物理可信模可信硬件宿主机物理平台云边界安全机制可信基础软件物理可信模云边界可信检测系统可信硬件平台可信云边界平台可信监管可信基础软件可信交换路由系统可信模平台可信通信网络可信安全机制云用户信任的传递云边界安全机制系统管理安全管理云安全管理中心审计管理可信连接可信接入可信接入可信云计算资源组成可信连接 可信链传递从基础设施可信根出发,度量基础设施、计算平台,验证虚拟计算资源可信,支持应用服务的可信,确保计算环境可信。24第二部分 小结 01我国在可信计算领域已经自主建立了完整的体系,开创了可信计算3.0时代02主动免疫的可信计算体系是
18、我国构建网络安全和信息系统安全的重要基础和保障03云计算是可信计算当前最重要的应用方向之一04在云计算领域引入可信计算,构造主动免疫的云安全框架体系,可以指导完善云计算系统的安全防御机制,有力保障云计算产业的健康发展3电网自适应防护体系”可信计算已经进入3.0时代,作为等级保护的关键支撑技术之一,将在落实网络安全等级保护制度上发挥更大作用。构筑网络安全,应坚持走自主可控、安全可信的道路,基于我国自主创新的可信计算技术,抢占网络空间安全战略制高点。”沈昌祥26 公司网络安全总体框架政治安全社会安全经济安全安全管理能力安全防护能力态势感知能力应急响应能力合规管控风险管控管理技术组织责任资源企业安全
19、一个目标两把抓手三条底线四种能力五个到位分区分域全面感知纵深防御等级保护防护策略指引落实手段推进加强完善提升保护网络安全法国家网络空间安全战略网络安全等级保护制度电力监控系统安全防护合规管控风险管控人才培养、技术创新、产业支撑组织 责任、管理、技术、资源安全管理能力安全防护能力安全态势感知能力应急响应能力网络安全风险整体防控能力维护关键信息基础设施免受攻击、侵入、干扰和破坏经济安全社会安全政治安全防护思路纵深防御全面感知分区分域等级保护总体框架27 公司网络安全分区现状 指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等,部署于控
20、制区、非控制区和生产管理区。典型的电力监控系统主要包括:电力数据采集与监控系统、能量管理系统、变电站自动化系统、配电自动化系统、计量自动化系统、调度数据网、综合数据网、电力设备在线监测系统等。指承载公司营销、资产、财务等管理与日常办公业务流程的信息系统,不涉及电力生产及供应过程监视和控制,部署于信息内网区和信息外网区。典型的管理信息系统主要包括:营销管理系统、资产管理系统、人力资源管理系统、协同办公系统、决策支持系统、电子商务系统、互联网网站等。电力监控系统管理信息系统28 公司网络安全分区现状“五区两网”(I、II、III、IV、V区,调度数据网、综合数据网)29公司终端安全分区要求序号场所
21、现状网络区域安全措施1有人值守站,集控站既有一定数量安全区IV终端,又有安全区III业务终端的III区和安全区IV分为安全区III、安全区IV独立局域网,各自独立出口接入广域网,边界防火墙由系统运行部、信息部分别部署及管理。2无人值守站主要为安全区III业务终端以及个别安全区IV办公终端III区将为数很少的安全区IV终端划进安全区III,局域网只从安全区III出口接入广域网,边界防火墙由系统运行部部署及管理,改造列入网络安全规划,逐步开展。3发电厂基本为安全区III办公终端III区通过发电厂专网或作为综合数据网的一个网络节点接入,使用防火墙作边界安全防护设备。4供电所营业厅基本为安全区IV办公
22、终端安全区IV不单独设立局域网,改为供电局本部局域网的延伸,终端主要由局本部局域网边界防火墙进行保护30智能电网信息安全防护体系架构31电网自适应防护体系构建可信动态转换可信风险防护矩阵以黑白名单作为基础信任与非信任作为样本基数,即可信计算当中的识别“自己”和“非己”成分。以入网终端的属性、运行系统类别、行为惯性检测等要素作为可信节点判断参数,实现可信计算动态链的白样本转化结合南网总公司的防护基线,汇总并实施“5层7域”的安全防护矩阵,在设备或系统运行过程中,融入白样本信息在每个节点而定可信计算中确保实时监测与自主可控,最终打造电网网络安全的自适应防护体系名单样本归集自适应防护体系构建32安全
23、风险矩阵信息安全主要风险分析矩阵图33构建过程焦点问题12WHO 白名单、白样本使用主体归属判定,使用主体是哪些?WHEN何时用白名单、何时用白样本?不运行,重要检查时仍需升级RUN杀软不升级,安全检查是否允许43ALLOW系统不更新,安全检查是否允许不允许,可减低更新频度,但重要补丁仍需更新区别于传统手段,白名单与白样本应能同时使用并能实时进行转化对于程序稳定,进程变化较少(如:调度自动化系统)采用白名单对于程序更新较频繁,进程变化较多(如:管理信息系统)采用白样本34第三部分 小结 01依托可信计算3.0技术体系,广西电网公司基本建成了一套电网网络安全自适应防护体系,大幅提升了电网的供电可
24、靠性02当前体系日趋完善、自我演进中,并在此过程中能切实为电网公司网络安全保驾护航03可信计算技术下的自适应防护体系搭建是电网网络安全的重要的发展方向之一04在严谨遵循南网总公司安全基线前提下,结合区域电网网络的信息安全特征,构建属于自身的可信信任体系是解决安全问题的重要手段4自主研发创新 网络安全是国家安全的重要组成部分,电网网络安全是网络安全的命脉所在。可信计算改变了被动应对的防护模式,形成主动防御能力,发展基于可信计算的网络安全自适应防护关键技术已刻不容缓。36实战场景电力监控系统网络与信息安全防护是防范黑客、恶意代码攻击及侵害,保障电网安全稳定运行的重要屏障。主站被攻击导致电网被恶意控
25、制1攻击导致电力监控失灵2攻击导致调度通信中断3装置被植入恶意代码导致装置误动、拒动4厂站监控系统遭受物理攻击5电力监控系统安全防护失效被黑客、恶意代码攻击监控系统通信中断;失去对电网监控电网被恶意操控电网被恶意操控电网电压、频率崩溃引发电力事故大面积停电特大事故重大事故重大事故重大事故一般事故37实战场景电力监控系统网络与信息安全防护是防范黑客、恶意代码攻击及侵害,保障电网安全稳定运行的重要屏障。电厂、用户站、牵引站涉网电力监控系统存在隐患风险1l电厂电力监控系统与主网通过调度数据网相连,牵引站通过专线互联。涉网部分的监管相对比较薄弱,存在风险。38实战成果电力互联网络及系统安全平台安全防护
26、业务用电安全主动拦截攻击项目通过西电东送应用于香港、澳门、越南、老挝、缅甸的电力互联网络及系统安全,保护范围超过大湄公河次区域电力交易总量的98%。项目在广西电网公司信息中心、电科院、南宁、河池、贵港、玉林供电局应用于保护智能用电小区居民用电、营业厅缴费终端、费控及变电站设备在线监测、视频监控等业务用电安全。应用于智能充电服务平台安全防护,成功保障华南5省、香港、澳门6万辆电动汽车、624座充电站、10万个充电桩的互通数据传输安全。成功发现并阻断“海莲花”、“摩诃草”等APT攻击25次,保障了广西电网公司社会用电量超过2000亿千瓦时,对广西新一代信息技术创新发展,国家及地区能源安全保障乃至“
27、一带一路”建设具有重大战略意义。39 基于云计算和可信计算的信息安全大数据资源访问控制系统信息安全管理模块云存储服务模块基于可信的密钥生成模块大数据服务模块基于可信的解密模块10月份用于在可信的安全网络环境下,将云存储服务模块上的封装好的三重加密密文解密得到明文信息。大数据服务模块用于在可信的安全网络环境下,生成系统初始的公开参数和主密钥。用于在可信的安全网络环境下,对用户属主客户端上的明文进行三重加密。用于为访问用户提供数据存储服务用于根据已验证的信息管理经验对信息安全进行管理,包括风险评估模块和风险控制模块。基于可信的加密模块用户接入模块用于实现访问用户向云存储服务模块发送访问请求以及读取
28、云存储服务模块上的密文。技术内容图2:原理示意图图1:各模块的架构连接示意图创新成果40基于可信计算的大数据安全防护云系统技术内容多级可信安全防护配置系统安全等级相同的网络节点之间,采用基于网络层的安全网际协议IPSec进行信息交互;不同安全等级的网络节点之间,采用工作在网络层协议之上的应用层协议进行信息交互。云服务系统包括云存储模块和云计算模块包括关联矩阵生成模块、最小生成树模块、分级模块和更替模块,通过计算网络节点的重要性值将网络节点分为4个不同的安全等级。网络安全监测系统用于监测网络节点数和网络节点位置,配合网络节点安全分级系统共同构建安全信任环境,其包括感知模块和传输模块。可信云网络节
29、点安全分级系统图3:结构框架图创新成果41基于大数据和可信计算的信息网络安全自防御系统技术内容基于可信的数据集储模块基于可信的数据传输模块风险分析反馈模块风险检测模块安全防御模块10月份对反馈信息、检测结果和评估结果进行综合分析,得到相应的综合风险,调用相应且合适的安全策略。用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果。根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息。用于对风险检测模块的输出结果进行评估并输出评估结果。用于实现各模块的有用数据的加密传递。用于收集并加密存储终端的含有用户相关信息的有用数据。风险评估模块预警模块包括安全开
30、关和报警器,当风险超过自防御系统防御能力或者安全防御模块出现故障时,安全开关会自动将切断电源,同时报警器发出警报。图4:本发明各模块的连接示意图图5:本发明的原理示意图创新成果42基于大数据和可信计算的信息安全风险防护系统技术内容可信风险控制总模块可信数据提供总模块可信风险评估总模块l 通过可信的信息采集模块、大数据分析模块以及可信数据云存储模块共同构建;l 用于根据分析出的数据和已经经过认证的风险管理经验对网络信息安全风险进行风险评估,包括针对信息安全威胁场景的模糊风险评估模块和可信风险分析模块。l 包括可信风险控制模块,所述可信风险控制模块用于根据所述分析结果调整网络的访问控制策略和易感节点安全策略,加强已被感染节点的安全管理。图7:本发明的原理示意图图4:本发明各模块的连接示意图创新成果
