文章目录
一、引言
2020年8月,公安部网络安全保卫局一级巡视员、副局长、总工程师郭启全在2020年北京网络安全大会“中关村可信计算产业联盟第二届网络空间安全可信技术创新论坛”中,提出了将可信计算植入基础软硬件和系统,围绕“应用可信计算技术的重要性和迫切性、将可信计算技术要求植入基础软硬件和网络、大力推广应用等级保护2.0技术要求与可信计算3.0要求”等三方面详细解读了等级保护2.0和可信计算3.0相互间的关系。
应用可信计算技术的重要性和迫切性
- 2020年3月中央批准,公安部负责指导监督关键信息基础设施安全保护工作;
- 近期,公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号);
- 组织指导各地区、各部门贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度,建立良好的网络安全保护生态。
将可信计算技术要求植入基础软硬件和网络
- 把可信验证要求植入芯片、CPU、服务器、操作系统、数据库等基础软硬件;
- 把可信验证要求植入网络设备、网络安全产品,解决底层安全问题;
- 把可信计算技术植入“安全管理中心、安全通信网络、安全区域边界、安全计算环境”网络要素,实现对网络要素全覆盖;
- 把可信计算技术植入整机、云计算平台、物联网、工控系统、移动互联网;
- 把可信计算技术植入第二级以上网络。
大力推广应用等保2.0技术要求与可信计算3.0要求
- 开展基础软硬件与网络安全产品的可信适配性测试和验证;
- 将网络安全等级保护2.0技术要求与可信计算3.0要求紧密结合,开展联合攻关和验证;
- 搭建典型应用系统,大力推广应用等级保护2.0技术要求与可信计算3.0要求,开展检测验证;
- 建立良好的网络安全保护生态,大力提升关键信息基础设施的内生安全、主动免疫和主动防御能力。
传统的计算机体系结构过多地强调了计算功能,一直处在被动防御,忽略了主动安全防御,这相当于一个人没有免疫系统,只能生活在无菌状态下。而等保2.0时代保护策略是:变被动防御为主动防御,变层面防御为立体防御,可信计算技术为主动防御提供了新的思路。
来看下等保2.0里面规定的可信计算内容有哪些,以三级系统为例,在安全通信网络、安全区域边界、安全计算环境、安全管理中心四个技术层面均对可信计算的要求。
8.1.2 安全通信网络
8.1.2.3 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
8.1.3 安全区域边界
8.1.3.6 可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
8.1.4 安全计算环境
8.1.4.6 可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
二、可信计算的概念
2.1 可信计算的定义
关于可信,目前尚未有一个统一的定义,不同的组织给出了自己的定义,主要有以下几种说法。
- 1999年,国际标准化组织与国际电子技术委员会在 ISO/IEC 15408标准中定义可信为:参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和一定程度的物理干扰。
- 2002年,国际可信计算工作组TCG用实体行为的预期性来定义可信:一个实体是可信的,如果它的行为总是以预期的方式,朝着预期的目标。这一定义的优点是抓住了实体的行为特征,符合哲学上实践是检验真理的唯一标准的基本原则。
- 电气电子工程师学会IEEE可信计算技术委员会认为:可信是指计算机系统所提供的服务是可信赖的,而且这种可信赖是可论证的。
最低0.47元/天 解锁文章
787
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
