1、產(chǎn)品管理部 姚文澤2007年8月自主創(chuàng)新 助力平安信息化建立 長城平安電腦二代產(chǎn)品引見 現(xiàn)狀篇 回想篇 運用篇 技術(shù)篇 對比篇要 點可用性嚴密性完好性可靠性防止信息被未經(jīng)授權(quán)的篡改對信息及信息系統(tǒng)實施平安監(jiān)控保證信息不走漏給未經(jīng)授權(quán)的人保證信息確實為授權(quán)運用者所用現(xiàn)狀篇計算機信息平安所謂信息是指運用計算機處置和存儲的如：政府公文、軍事、商業(yè)、人事檔案、財務(wù)數(shù)據(jù)、個人隱私等等文件和數(shù)據(jù)，這些內(nèi)容需求嚴密，不能泄露。 而計算機信息平安就是確保信息的嚴密性、完好性、可用性、可控性，也就是要保證電子信息的有效性?，F(xiàn)狀篇信息平安現(xiàn)狀 計算機的開放性、規(guī)范化和易用性等特點，使計算機信息具有共享和易于分散的

2、特性，導(dǎo)致計算機信息在處置、存儲、傳輸和運用過程中很容易被泄露、竊取、篡改和破壞，或者遭到計算機病毒的感染。 沒有自主知識產(chǎn)權(quán)，沒有好的處理方案，已成為信息平安的瓶頸。 80% 內(nèi)部12% 網(wǎng)絡(luò)8% 病毒等信息平安攻擊構(gòu)成進不來拿不走看不到逃不脫讀不懂毀不掉現(xiàn)狀篇信息平安防護目的具有國內(nèi)獨一的磁記錄產(chǎn)品研發(fā)和消費才干硬盤磁頭產(chǎn)銷量全球排名第二硬盤盤基片產(chǎn)銷量全球排名第二硬盤產(chǎn)銷量全球排名第五強大而完好的磁記錄產(chǎn)業(yè)鏈長城平安電腦I代回想回想篇長城平安電腦I代回想依托長城完好的磁記錄產(chǎn)業(yè)鏈優(yōu)勢，歷時三年，投資5000萬，研發(fā)出長城世恒S系列平安電腦I代產(chǎn)品。2005年6月推出后，獲得如：中國人民解

3、放軍總后購入長城平安電腦近4000臺、山西省公安系統(tǒng)購入長城平安電腦3000余臺等，累計銷量已達4萬多臺。勝利案例與銷售數(shù)據(jù)回想篇長城平安電腦I代回想榮譽與認證回想篇一夫當關(guān) 萬夫莫開 自主創(chuàng)新 長城平安電腦助力平安信息化建立運用篇運用篇長城電腦公司的使命在信息化建立的過程中，由于技術(shù)和管理等緣由，我們面臨著嚴峻的信息平安問題，同時涉及信息平安的中心技術(shù)并不掌握在我們手中，如何確保信息的平安性，曾經(jīng)成為我們必需面對的難題。突出自主創(chuàng)新，以清醒的頭腦對待國外的先進成果，不依托、不等待，開發(fā)出適宜本人國情的創(chuàng)新產(chǎn)品，已成為我們的當務(wù)之急。中國長城計算機深圳股份以國家信息化平安需求為己任，依托本人強

4、大的研發(fā)和制造實力，自主創(chuàng)新，開發(fā)出世恒S系列平安電腦，打造信息平安防護新天地。運用篇平安電腦產(chǎn)品定位長城世恒S系列是針對軍隊、軍工、政府、公安和其它有平安需求的行業(yè)而開發(fā)的桌面辦公平安電腦產(chǎn)品，采用底層硬件技術(shù)，同時結(jié)合上層平安運用，打造整體平安處理方案，是業(yè)內(nèi)領(lǐng)先、填補國內(nèi)空白的平安電腦產(chǎn)品。整機加電BIOS硬盤操作系統(tǒng)驅(qū)動程序運用軟件TPM平安BIOS平安存儲VT、平安操作系統(tǒng)磐盾平安系統(tǒng)平安平臺運用篇平安電腦中心技術(shù)點長城平安電腦II代引見隱憂一：非法用戶進入系統(tǒng)對于高度的信息,一旦被非法用戶進入,后果不堪想象進入系統(tǒng)需求身份認證操作系統(tǒng)前認證方式可以選擇運用指紋或口令認證錯誤系統(tǒng)自動

5、鎖死一道鎖：非法用戶進不來運用篇隱憂二：在用硬盤失控硬盤是數(shù)據(jù)信息存儲的載體，硬盤失控的后果同非法進入系統(tǒng)的后果一樣嚴重獨有創(chuàng)新平安平臺技術(shù)，其它機器無法啟動偷到的硬盤存儲數(shù)據(jù)采用64位硬件底層加密，全盤加密二道鎖：硬盤數(shù)據(jù)有加密運用篇長城平安電腦II代引見隱憂三：用戶口令不好記越重要的運用者，口令設(shè)置得越復(fù)雜，這樣就容易遺忘，寫下來又留下后門，容易被盜采用指紋識別技術(shù)作為口令，具有獨一性在系統(tǒng)引導(dǎo)前識別，無法破壞，不用記、不用寫結(jié)合TPM芯片進展口令維護三道鎖：獨終身物識別碼運用篇長城平安電腦II代引見隱憂四：淘汰硬盤喪失數(shù)據(jù)刪除后可經(jīng)過軟件等方法恢復(fù)，淘汰硬盤即使刪除了數(shù)據(jù)，假設(shè)喪失后果也

6、很嚴重獨有創(chuàng)新平安擦除技術(shù)，數(shù)據(jù)徹底粉碎平安平臺，其它機器無法啟動偷到的硬盤存儲數(shù)據(jù)采用64位硬件底層加固四道鎖：長城磐盾系統(tǒng)運用篇長城平安電腦II代引見隱憂五：操作系統(tǒng)留有后門目前廣泛運用的Windows系統(tǒng)是國外的產(chǎn)品，我們沒有源碼，如留有后門將非?？膳乱]運用國產(chǎn)Linux操作系統(tǒng)中標軟源碼在本人手中X界面，簡單易用五道鎖：國產(chǎn)操作系統(tǒng)運用篇長城平安電腦II代引見隱憂六：內(nèi)部人員泄密少數(shù)內(nèi)部人員有意或無意呵斥涉密信息泄露，危害也很大日志功能，清楚記錄登錄等信息，不可抵賴外部存儲設(shè)備如U盤可禁用，防止非法拷貝TPM、指紋多重組合加密六道鎖：日志、禁用和加密運用篇長城平安電腦II代引見隱憂七

7、：BIOS不平安系統(tǒng)啟動最先開場的是BIOS，我們還沒有源碼，假設(shè)BIOS留有后門，那么其它平安都是空中樓閣國內(nèi)首款自主知識產(chǎn)權(quán)BIOS，自有源碼TPM一致性、完好性校驗，保證BIOS內(nèi)容不被篡改模塊化設(shè)計，便于更新，修正七道鎖：首款國產(chǎn)BIOS運用篇長城平安電腦II代引見隱憂八：有用數(shù)據(jù)被破壞誤操作、病毒等呵斥有用信息喪失或系統(tǒng)解體，影響運用和正常任務(wù)長城磐盾系統(tǒng)具有備份、恢復(fù)功能，保證系統(tǒng)可用金山毒霸殺毒軟件八道鎖：備份、恢復(fù)和殺毒運用篇長城平安電腦II代引見隱憂九：多人運用信息交叉多人共用一臺電腦時，每個客戶的私密信息根本是公開的，很容易呵斥涉密信息走漏獨有用戶空間最多三個，各空間不可見

8、，信息不能互訪，不同用戶依托不同身份來識別VT虛擬化技術(shù)、關(guān)機光盤檢測提示功能九道鎖：獨有多用戶技術(shù)運用篇長城平安電腦II代引見隱憂十：機器質(zhì)量差不穩(wěn)定電腦一旦出現(xiàn)大批量質(zhì)量問題，將影響任務(wù)，甚至呵斥嚴重的后果獨家MTBF平均缺點間隔時間超越12萬小時獲得整機、電源和顯示器三張證書獨家經(jīng)過防雷認證十道鎖：MTBF 12萬來護航運用篇長城平安電腦II代引見隱憂十一：易用性降低平安性添加后，易用性能夠會降低，將降低運用和任務(wù)效率BIOS采用圖形界面，容易設(shè)置智能驅(qū)動，驅(qū)動程序自動安裝指紋識別，悄然一刷護心鏡：人性化設(shè)計運用篇長城平安電腦II代引見信息平安防護九重天 自主創(chuàng)新 長城平安電腦助力平安信

9、息化建立技術(shù)篇一重天自主創(chuàng)新平安BIOSBIOS是整個系統(tǒng)平安和可信任的根底，假設(shè)沒有BIOS的平安，其它平安處理方案就沒有了平安的根底，也就成為了平安的空中樓閣。長城平安BIOS，是具有自主知識產(chǎn)權(quán)的創(chuàng)新平安BIOS，采用最新UEFI (Unified Extensible Firmware Interface)平安架構(gòu)，提出并采用了一系列先進的設(shè)計方法和先進技術(shù)，是一個具有高平安性、中文化、易運用的平安管理操作平臺。技術(shù)篇一重天自主創(chuàng)新平安BIOS 長城平安BIOS采用基于UEFI框架的模塊化設(shè)計是與傳統(tǒng)BIOS在邏輯構(gòu)造上最大的創(chuàng)新點。 UEFI BIOS可以同時支持圖形化界面和傳統(tǒng)的文

10、本界面。 UEFI BIOS系統(tǒng)也包含一個兼容支持模塊，它可以在16位實方式下啟動計算機以及訪問擴展設(shè)備的ROM。這樣，即使PC平臺中的部分硬件沒有專門為UEFI BIOS設(shè)計，UEFI BIOS的兼容支持模塊也可以讓它們在整個系統(tǒng)中正常任務(wù)。技術(shù)篇一重天自主創(chuàng)新平安BIOS 擁有自主知識產(chǎn)權(quán)和全部源碼，防止后門存在 完全的模塊化設(shè)計，擁有更好的可讀性和可維護性 良好的可擴展性，便于擴展和開發(fā)新的功能模塊 高明晰的中文化、圖形化人機界面，大大加強易用性技術(shù)篇一重天自主創(chuàng)新平安BIOS 平安BIOS定義了類似操作系統(tǒng)的用戶和管理員兩種角色， 用戶和管理員擁有不同的BIOS設(shè)置權(quán)限 平安BIOS可

11、以進展針對平安存儲的用戶區(qū)創(chuàng)建和刪除 平安BIOS可以進展密碼指紋的設(shè)置與去除 平安BIOS可以設(shè)置BIOS寫維護 平安BIOS可以導(dǎo)出登錄日志，進展審計 平安BIOS可以設(shè)置密碼輸入錯誤次數(shù) 平安BIOS可以設(shè)置同平安存儲的平臺綁定 平安BIOS可以進展類似傳統(tǒng)BIOS的功能管理設(shè)置技術(shù)篇二重天自主創(chuàng)新平安存儲平安存儲是信息平安的中心技術(shù)，假設(shè)沒有存儲的平安，信息將很容易失控。長城平安存儲技術(shù)采用創(chuàng)新的全硬件設(shè)計，經(jīng)過在硬盤盤體上嵌入專業(yè)平安控制芯片，可以實現(xiàn)負磁道功能和數(shù)據(jù)加密功能。技術(shù)篇二重天自主創(chuàng)新平安存儲長城平安存儲的負磁道技術(shù)是利用硬盤加電初始化前的磁頭“歸零與尋址特性，經(jīng)過專業(yè)平

12、安芯片，強行實現(xiàn)磁頭尋址偏置，構(gòu)成內(nèi)部盤基片物理區(qū)域隔離劃分“權(quán)利范圍，將一個硬盤空間最多可分成三個可引導(dǎo)區(qū)域，運用時只能激活一個主引導(dǎo)區(qū)，其它引導(dǎo)區(qū)將置成負磁道，被維護起來不能訪問。技術(shù)篇二重天自主創(chuàng)新平安存儲軟件加密方式不僅存在運算量大，而且易于被軟件高手跟蹤、破解。而硬件加密那么運用專業(yè)芯片加密，不但可以減輕CPU的負載，而且在物理上維護了加密算法，不會被隨便地破解。長城平安存儲硬盤經(jīng)過原生的平安芯片提供全盤加密功能，數(shù)據(jù)流在流經(jīng)平安芯片只需很小的延遲時間即可完成這整個過程。技術(shù)篇二重天自主創(chuàng)新平安存儲 經(jīng)過專業(yè)平安控制芯片進展硬盤配置管理 最多可實現(xiàn)三用戶引導(dǎo) 多用戶分區(qū)間數(shù)據(jù)完全物理

13、隔離，相互獨立 不同用戶分區(qū)經(jīng)過平安BIOS進展身份認證 數(shù)據(jù)信息均為硬件底層加密存儲，加密算法可以交換技術(shù)篇三重天自主創(chuàng)新平安平臺長城創(chuàng)新平安平臺由平安主板帶平安BIOS和平安存儲硬盤一對一綁定構(gòu)成。系統(tǒng)開機后先進展長城平安平臺綁定認證，如未經(jīng)過認證，必需先進展重新綁定或重新初始化；如認證經(jīng)過，那么可以進展后續(xù)的動作。 技術(shù)篇三重天自主創(chuàng)新平安平臺所謂的綁定有三層含義： 平安存儲硬盤必需在平安主板帶平安BIOS上運用，在普通主板上不能讀取平安硬盤數(shù)據(jù) 綁定后的平安存儲硬盤即使是在其它平安主板上，如無平安管理員密碼也不能重新綁定，不能讀取此平安硬盤數(shù)據(jù) 在沒有平安管理員密碼的情況下，平安存儲硬

14、盤必需進展初始化，重新初始化后數(shù)據(jù)將全部消逝這樣充分保證了用戶數(shù)據(jù)的平安性，即使平安硬盤失控也不會呵斥泄密等災(zāi)難性損失。 技術(shù)篇四重天自主創(chuàng)新國產(chǎn)TPMTPMTrusted Platform Module，可信平臺模塊出現(xiàn)的目的是在計算和通訊系統(tǒng)中廣泛運用基于硬件平安模塊支持下的可信計算平臺，處理信任根的問題，以提高整體的平安性。長城世恒S平安電腦采用國產(chǎn)TPM平安芯片，即可信平臺模塊平安芯片硬件，是可信計算技術(shù)的中心。TPM 平安芯片在系統(tǒng)平臺中的作用是為系統(tǒng)平臺和軟件提供根底的平安效力，以便建立更為平安可靠的系統(tǒng)平臺環(huán)境。技術(shù)篇四重天自主創(chuàng)新國產(chǎn)TPM 內(nèi)置獨立芯片，采用LPC總線接口通訊

15、，平安級別更高 擁有獨立的處置和存儲單元，可以生成2048位的高強度RSA密鑰 為用戶密鑰等中心信息提供硬件維護存儲功能 提供獨一的硬件身份證明，防止身份的非法盜用 對平安電腦進展完好性度量，建立完好的信任鏈機制 硬件級文件存儲和傳輸加密功能 硬件級虛擬磁盤生成、加密功能技術(shù)篇存儲密鑰的維護是由上層密鑰維護下層密鑰，關(guān)系如圖，最終的跟密鑰SRKStorage Root Key，SRK是一對非對稱密鑰，公鑰用于維護加密下一級存儲密鑰，私鑰一直在TPM內(nèi)部被維護。SRK對下一級SK的加解密都在TPM內(nèi)部進展，攻擊者無法獲得SRK的私鑰，因此無法破解由SRK所維護的下一級SK，同樣無法破解由SK維護

16、的下級密鑰，因此數(shù)據(jù)也無法被破解，保證了數(shù)據(jù)存儲的平安。 四重天自主創(chuàng)新國產(chǎn)TPM技術(shù)篇TPM內(nèi)置SHA-1引擎，可實現(xiàn)Hash算法。TPM在計算機一啟動就對BIOS代碼、硬件option ROM 進展Hash，并將Hash 值存于TPM的PCR中，程序可讀取這些值作為規(guī)范值保管。每次啟動過程中會再次做Hash并將Hash 值存于PCR中，程序會判別此次Hash值能否與規(guī)范值一致，以判別BIOS代碼，option Rom及相關(guān)組件能否被篡改。假設(shè)重要組件被篡改，那么計算時機阻止繼續(xù)啟動到系統(tǒng)，以保證系統(tǒng)和信息的平安。 四重天自主創(chuàng)新國產(chǎn)TPM技術(shù)篇五重天自主創(chuàng)新酷指識別技術(shù)生物識別技術(shù)由于具有

17、獨一性，不喪失等特點，曾經(jīng)在很多高平安級別的領(lǐng)域被采用，有指紋、面部、聲紋和虹膜等識別方式，目前在PC上主要采用的是指紋識別方式，根本是經(jīng)過交換操作系統(tǒng)的Login部分來實現(xiàn)的。長城創(chuàng)新酷指識別技術(shù)采用了BIOS級的指紋識別技術(shù)，實現(xiàn)了BIOS底層開機指紋強迫身份認證功能，確保只需授權(quán)用戶才干開啟信息終端,保證計算機存儲信息不易外泄。并且基于指紋的生物識別技術(shù)門檻比較高，維護平安級別更高。 技術(shù)篇五重天自主創(chuàng)新酷指識別技術(shù)長城酷指識別技術(shù)是經(jīng)過BIOS級的指紋識別鍵盤配合長城酷指軟件一同實現(xiàn)的。在OS下經(jīng)過長城指紋識別鍵盤的指紋識別器，采集用戶指紋數(shù)據(jù)，將指紋數(shù)據(jù)的隱藏文件密鑰交由TPM芯片存

18、儲，由于TPM芯片的高平安性，用戶指紋數(shù)據(jù)是也是高平安級別的。指紋庫存放在負磁道維護的平安隔離區(qū)內(nèi)。技術(shù)篇五重天自主創(chuàng)新酷指識別技術(shù) 順應(yīng)范圍廣，對濕手指、破損的手指，以及滑動的速度、方式都有很強的順應(yīng)性 專業(yè)導(dǎo)槽設(shè)計，識別率高達99.9 指紋對比時間小于0.1s 每用戶最多可注冊10枚指紋，適宜多人運用 可以支持Windows和類Linux操作系統(tǒng) 可以提供文件加密功能技術(shù)篇六重天自主創(chuàng)新長城VT技術(shù) VT虛擬化技術(shù)在同一臺電腦的獨立分區(qū)或“容器內(nèi)，可以運轉(zhuǎn)多個操作系統(tǒng)和運用程序，也就是說，VT技術(shù)使得一臺電腦可以變成多臺同時運轉(zhuǎn)的電腦。 高平安性有效隔離病毒和黑客攻擊，加強敏感數(shù)據(jù)和文檔的管理，防止用戶惡意更改。 高效率在一個操作系統(tǒng)下運轉(zhuǎn)關(guān)鍵運用時，另一系統(tǒng)可以進展維護平安補丁，軟件晉級或其它義務(wù)。技術(shù)篇七重天自主創(chuàng)新平安操作系統(tǒng)操作系統(tǒng)OS是平安技術(shù)的中心之一，目前廣泛運用的操作系統(tǒng)是國外的產(chǎn)品，我們不了解產(chǎn)品構(gòu)成，沒有源代碼，這種情況下我們的操作系統(tǒng)平安