以下内容摘自胡俊老师的文章菜农观点 胡俊:如何理解和学习可信计算3.0-中关村可信计算产业联盟
可信3.0是我国在网络空间安全架构上的原始创新
目录
1、安全可信、可信计算和可信3.0(主动免疫可信)三个概念之间的关系
一、可信3.0基本概念和学习思路
1、安全可信、可信计算和可信3.0(主动免疫可信)三个概念之间的关系
我国网络安全法、国家网络空间安全基本战略中都提出了安全可信的要求,网络安全等级保护标准中则以安全可信作为其核心理念,现在安全可信的概念比较火,可信计算和可信3.0也是频繁出现的概念。但是目前网络上安全可信、可信计算和可信3.0的理解是比较混乱的。一些IT新闻里宣传的“安全可信”,其实并非真正的安全可信。在这一节中,我们梳理一下这三个概念的关系。
我国现在非常重视网络安全问题,网络安全已经被提到国家安全的高度。而我国**网络安全的基本要求是安全可信**。它并非一个抽象的概念,在我国的等级保护制度中,对安全可信有比较明确的定义。
**在我国的等级保护制度中,对重要信息系统安全可信的要求是构造一个安全管理中心支持的三重(安全计算环境、安全区域边界和安全通信网络)防御框架**,从技术和管理两个方面进行设计,做到系统的 “**可信、可控,可管**”。更具体一点说,**可信是指针对可信计算资源构造保护环境**,从可信计算基(TCB)开始层层扩充,对计算资源进行保护,确保系统服务安全;**可控则是针对信息资源(数据和应用)构建业务流程控制链,以访问控制为核心**,实现主体(用户)按策略规则访问客体(信息资源),确保业务信息安全;**可管则是保证资源安全必须实行科学管理,强调最小权限管理**,高等级系统实行三权分离管理体制,禁止设不受控的超级用户。
**可信3.0也就是主动免疫可信,则是我国在网络安全领域长期研究之后提出的一种系统化的实现安全可信的方法**,这一方法其**核心特点为构造计算部件和安全部件分离的双系统体系架构**,**安全部件构建完整的信任链条以保证其自身可信,通过安全部件对计算部件的主动监控实现系统流程的可控**,通过主动运作的安全部件来支撑对系统安全的管理。这一方法具有通用性,可以有效地实现系统的安全可信。我国的可信计算系列标准对这一方法的组成和各核心部件进行了描述。
*简而言之,**我国网络空间安全要求安全可信,其具体含义是通过安全管理中心支持的三重防御框架实现“可信,可控,可管”,这个在我国等级保护标准中已明确。可信3.0则是实现安全可信的有效方法,其核心特点为双系统体系架构下的主动免疫可信,我国等级保护系列国家标准对其作出了规范。***可信3.0技术具有通用性、先进性,可为我国网络空间安全提供有效支持。下图给出了三个概念之间关系的说明。
2、可信计算的时代划分和可信3.0的先进性
在计算机领域,“可信“在上世纪70年代已经作为系统可靠性的概念而提出。而后又发展到网络安全领域,目前在软件可靠性领域,可信这个概念仍旧有广泛的应用。但是,可信概念应用于网络安全时,其含义和其原始含义已经有了很大的区别。软件可靠性领域的“可信“和安全可信不是一回事。
我们可以把软件可靠性领域的“可信“看做可信1.0,它主要关注的是主机可靠性,通过增加冗余备份、容错算法等技术实现,在非安全领域,可信1.0还有很广泛的应用。但安全领域冗余是解决不了主动的恶意攻击问题的,因此国外TCG组织提出基于可信的硬件构造可信软件栈,基于密码学和硬件安全技术实现调用过程中可信部件的行为可信,通过这些可信行为来支撑阶段的可信。这里可信部件是被计算部件调用的,在可信机制中是被动的一方。我们把它叫做可信2.0,也叫被动可信。被动可信能够增强节点的可信,但它存在着很多局限性,并且其可信的实现严重依赖于计算部件如操作系统和应用自身的可信。我国从网络安全的基本理论出发,总结信息安全和可信计算的理论,经长期研发后,提出了可信3.0的理论。这一理论面向网络安全,提出计算部件和可信部件分别构成逻辑上独立的系统,可信部件主动监控计算部件以实现系统可信。这一理论中可信部件不依赖于操作系统和核心应用,可独立发展,解决了可信2.0面临的很多问题,适合搭建安全管理中心集中管理的三重防御体系,是适合我国网络安全要求的可信计算理论。
可信3.0是基于我国网络安全实际情况,由我国相关科研人员自行研发,面向网络安全的创新体系架构。可信1.0主要考虑通过备份等机制增强系统可靠性,它是在系统中添加冗余,再通过一个实现容错算法的层来实现;可信2.0基于可信平台模块(TPM)等可信根,实现一个软硬件结合的被动组件,向系统硬件、操作系统和应用提供可信调用接口,系统可以使用这些接口实现特定的可信功能;可信3.0则构造一个逻辑上可以独立运行的可信子系统,通过这一可信子系统,以主动的方式监控宿主信息。从三种可信理论的概要结构图中,我们可以看到明显的区别和升级过程,这就是我们定义可信1.0、可信2.0和可信3.0的依据。
可信3.0是个新的体系,学习可信3.0需要跳出一些传统安全的理念。大家可以分三个阶段来学习可信3.0,首先是从更宏观的尺度上重塑网络安全观,第二步则是理解我国提出的主动可信体系架构,第三步则是结合实际安全需求研究基于可信3.0的解决方案,并体会到可信3.0的优势。
二 、 重塑网络安全观
网络空间安全极其脆弱,根本原因是网络安全有三个基本问题没有解决好。这三个问题是计算科学问题、体系结构问题和计算模式问题**。
可信3.0的网络安全观,就是从根源上考虑安全可信解决方法的网络安全观。我们叫它主动免疫机制,不是说它从生物免疫机制中借来了什么神奇技术,而是它借鉴生物免疫的思想,从体系架构上进行了的重构,我们考虑免疫系统具体是怎么运作的,第一,它属于独立运作,不受大脑控制;第二,免疫系统是识别自己与非己,并排斥非己部分。这些做法在网络安全架构中是有其合理性的,能够为网络信息系统培育“免疫能力”,对未知病毒和攻击手段产生抵抗力。可信3.0借鉴这一思想,从计算科学理论、体系架构和计算模式上提出了入手,构建了自己的安全观。
从计算科学理论上说,可信3.0认为网络安全的目标是确保为完成计算任务的逻辑组合不被篡改和破坏,实现正确计算。就是说我们不能靠着修修补补,或者是积累攻击特征来解决网络安全问题,这个不利于整体安全防护,我们要根据完成计算任务的逻辑组合自身的特点来区分“自己”和“非己”,保障“自己”的正确执行,禁止 “非己”。这决定了我们安全机制需要以定制的访问控制为核心,这个也符合经典的网络安全理论和网络安全的最新发展趋势。
从体系架构上说,它对传统冯诺依曼架构做了大手术,构造了独立于传统冯诺依曼架构的可信部件组成的子系统,传统架构则成为计算部件。但这样的架构解耦了计算部件和可信部件,反而减小了对传统架构的影响,让我们可以保持传统架构基本不变,同时,因为屏蔽了计算部件对可信部件的访问,保障可信部件的可信性也变得更容易了。
从计算模式上来说,实现双体系架构后,我们的安全可信体系就可以从系统中分离出来。我们可以从环境入手,具体就是从底层软/硬件、操作系统、网络的控制点入手,通过可信部件进行统一的组织管理,构造出安全管理中心集中管理的三重防御体系。有这个防御体系为基础,我们既可以根据应用安全需求和系统环境,定制系统安全可信策略,通过可信部件监控应用的行为,根据策略允许可信的行为,对不可信的行为采取对应措施。这样的安全机制具有通用性和灵活性,对应用影响更小,部署成本也更低。这就是等级保护中提出的 “一个中心,三重防御”的主动免疫防护框架。
可信安全管理中心支持下的主动免疫防护框架。**第一,要保证计算环境(个体)有免疫能力;第二,要有可信边界;第三,来往的信息(人)要审查、要控制、要可信安全,更重要的是整个社会体系要管理**。防护框架可根据实际需求制定安全规则,并转化为策略来部署实施,和现在防疫措施同样道理。最终我们要达到的效果是:攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉。将保密性、可控性、完整性、可用性、不可否认性牢牢掌控。
三、理解可信体系架构
上节我们提到可信3.0有先进的理念,但我们必须有明确的架构设计,才能落实这些理念。好消息是,这个架构已经明确,并以我国可信计算系列标准的形式明确下来了。我们的可信架构有一系列创新,以确保可信计算的功能能够更好地实现,下图是我国可信计算架构的大致情况:
上面列出的这些可信部件不是简单地堆在一起,而是构成了一个有机的整体,并且与安全管理中心、系统的访问控制机制和其它节点的可信部件对接,形成了分布式的可信子系统,实现对主体(应用进程)的监控和对客体(数据资源)的验证。其流程图如下所示。这个图是用来跑流程的,可以基于这个图来设计基于可信3.0的安全解决方案中的安全策略部署与安全审计流程。
图中所列出的部件由底层向上层层部署,但并非任何时候都需要完整部署。在安全要求较高的场合,需要构造完整信任链时,控制芯片、双融主板、可信软件和可信连接等可信部件一个都不能少,但在安全要求不是很高的场合,也可考虑不使用双融主板,在总线上连接控制芯片,甚至于硬件上仅保留可信密码芯片来提供可信密码功能支持,通过可信软件来实现可信子系统。这种系统就可以在现有系统基础上增加很低的成本来实现。它的缺点则是没有完整的信任链条,遇到真正强力的攻击就不行了。但更靠谱一点的现有系统加固实现,国内有一些公司有这类产品,它可以保持对现有系统的兼容性,还可以建立完整的运营链条,但是它达不到结构化要求,就是它可以达到三级防护,准四级防护,但是四级以上,达不到。想达到四级以上的结构化安全还是需要扎扎实实的把工作做好,基础打好了,未来可以持续发展。有追求的我国网络安全公司还是应该向结构化实现的方向努力。
实现结构化安全,需要对计算部件中的操作系统深入了解和掌握。深入到什么程度呢?沈院士提出了“五可”的理念,包括可知、可编、可重构、可信和可用。可知,就是对合作方开放全部源代码,开放到什么程度呢?不是只有一堆代码就完事儿了,而是你要能把代码编码成你可知的系统,要心里有数,不能盲从;可编,即要基于对源代码的理解,能自主改写代码,编写一些功能,我觉得现在不少做国产操作系统的人还没有达到可编的状态;可重构,即面向具体的应用场景和安全需求,对核心技术要素进行重构,形成定制化的新的体系结构;可信,即通过可信计算技术增强自主系统免疫性,防范未知漏洞攻击影响系统安全性,使国产化真正落地;可用,即做好应用程序与操作系统的适配工作,确保自主系统能够替代国外产品。
3616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
