1、發(fā)展可信計算，加強信息安全保障Developing trusted computing to strength information assurance,寧家駿（國家信息中心） () 2008.10,提 綱,一、信息安全形勢呼喚可信計算 Trust computing is the requirement of new situation in information security 二、可信計算能夠保障信息安全 Trust computing is one of the main measure to be able to guarantee the information securi

2、ty,環(huán)境和背景Background,近年來，我國經濟社會持續(xù)快速發(fā)展發(fā)展，信息化步伐加快，在促進經濟發(fā)展、調整經濟結構、改造傳統(tǒng)產業(yè)和提高人民生活質量等方面發(fā)揮了不可替代的重要作用。一方面社會經濟對信息化的依賴程度越來越高，同時逐步建設和積累了一批寶貴的信息資產。 與之而來的各類計算機犯罪及“黑客”攻擊網(wǎng)絡事件屢有發(fā)生，手段也越來越高技術化，從而對各國的主權、安全和社會穩(wěn)定構成了威脅。 計算機互聯(lián)網(wǎng)絡涉及社會經濟生活各個領域，并直接與世界相聯(lián)，可以說是國家的一個政治“關口”，一條經濟“命脈”。網(wǎng)絡與信息安全已上升為一個事關國家政治穩(wěn)定、社會安定、經濟有序運行和社會主義精神文明建設的全局性問題

3、。,北京奧運會信息系統(tǒng)是奧運史上最為龐大和復雜的信息系統(tǒng)， “數(shù)字奧運”是北京奧運會的三大主題之一“科技奧運”的重要內容，信息網(wǎng)絡在北京奧運會上承載賽程管理、新聞發(fā)布、賽事服務、商業(yè)運作等海量數(shù)據(jù)處理，其安全性直接關系到奧運會能否正常運行。一場圍繞奧運安全的網(wǎng)絡較量，已悄然拉開大幕。如何防止 北京奧運會比賽正在緊張進行，突然，電視直播和網(wǎng)絡直播畫面被切換到不相干的信號； 觀眾都在關注著北京奧運會比賽成績，突然，奧運會官方網(wǎng)站的比賽成績被篡改，重要數(shù)據(jù)丟失 隨著奧運臨近，黑客入侵、計算機病毒、服務器癱瘓、篡改網(wǎng)頁，各種形式針對奧運信息網(wǎng)絡的攻擊有加劇之勢，北京奧運網(wǎng)絡安全形勢十分嚴峻。 外電對北

4、京奧運的網(wǎng)絡安全也十分關注，他們分析，為了“出名”，很多黑客都把奧運會作為挑戰(zhàn)和攻擊的對象，此外北京奧運會又可能面臨個人、群體、組織乃至國家性的或帶有某種政治目的的網(wǎng)絡攻擊。,Beijing Olympic Game has made more progress, including information assurance 北京奧運會信息系統(tǒng)安全成績顯著,打了一場漂亮的奧運信息安全保衛(wèi)戰(zhàn),早在去年外界就以醒目的標題：“網(wǎng)絡病毒正在虎視眈眈地盯著奧運會！” 6月下旬以來，木馬病毒就被冠以奧運開幕式的文件名，在網(wǎng)絡上到處發(fā)送。一些黑客集團將在奧運期間大肆活動。其目的很明確就是破壞北京奧運信息安

5、全。 事實上，每一次大賽都將成為黑客大肆活動期。公開資料顯示，2000年悉尼奧運會期間，官方網(wǎng)站經受了113億次攻擊，奧運期間平均每天遭受2.5萬次的攻擊。2006年2月意大利都靈冬奧會期間，網(wǎng)絡安全系統(tǒng)平均每天生成300多萬次安全事件報告。一位網(wǎng)絡安全專家預計，北京奧運期間可能產生2億個網(wǎng)絡安全警報。 然而經過我國各方通力協(xié)作，全方位的保衛(wèi)北京奧運信息打了一場漂亮的戰(zhàn)役，經受住了成了整個中國網(wǎng)絡與信息安全界的嚴峻考驗。 這車戰(zhàn)役的勝利，是黨中央、國務院正確領導的結果，是各級信息安全主管部門嚴陣以待、兢兢業(yè)業(yè)努力的結果，是一場人民戰(zhàn)爭的勝利,超常舉措 巨大投入 unusual methods

6、and huge cost,奧組委根據(jù)五大網(wǎng)絡不同安全需求，有的放矢地加強安全建設。 針對管理網(wǎng)開展了信息內容安全審計、病毒攻擊監(jiān)測、網(wǎng)絡攻擊監(jiān)測等幾方面的安全建設，并對網(wǎng)內所在USB接口實行接入限制。 做好運動會專網(wǎng)鏈接保障和相關管理制度監(jiān)查，確保運動會專網(wǎng)物理隔離及其管理制度的落實和監(jiān)督檢查上。 將奧運官方網(wǎng)站、奧運場館互聯(lián)網(wǎng)接入與奧運管理網(wǎng)實現(xiàn)復制物理分離。 奧運票務網(wǎng)系統(tǒng)對互聯(lián)網(wǎng)的應用采用了數(shù)據(jù)加密傳輸?shù)谋Ｗo措施，設置了防火墻、VPN網(wǎng)關和密鑰管理等設備。 在防DDOS攻擊上采取建設集中、統(tǒng)一的網(wǎng)絡流量清洗中心，通過在中心部署流量分析、DDOS監(jiān)控、清洗等業(yè)務控制系統(tǒng)，為不同的目標網(wǎng)絡

7、提供相關安全服務,新形勢 新挑戰(zhàn)new situation 消費者市場將從2002年的525億美元增長到9387億美元，復合年增長率為116。 目前還缺乏了適合Web20形勢下、完整的信息安全戰(zhàn)略和信息安全架構,Web2.0下的網(wǎng)絡安全趨勢,Web2.0豐富了互聯(lián)網(wǎng)，又給互聯(lián)網(wǎng)帶來了安全挑戰(zhàn) Bbs，sns社交網(wǎng)絡、視頻分享、博客、維基百科、社區(qū)網(wǎng)絡等Web2.0顛覆了門戶、 用戶創(chuàng)造內容 用戶間交流互動并形成群體智慧 自組織、去中心化和長尾化 以個人為中心 信息傳播的速度和廣度，前所未有 網(wǎng)絡游戲web化應用-社區(qū) 提供新的信息交流機制 趨勢不可阻擋,Web2.0給網(wǎng)絡安全出了新課題,網(wǎng)絡應

8、用環(huán)境更復雜 給網(wǎng)絡安全帶來了許多新挑戰(zhàn) 木馬、黑客組織已經web2.0化 黑客木馬制作已經形成人民戰(zhàn)爭 黑客木馬代碼開源化 黑客木馬培訓更加職業(yè)化、專業(yè)化 社區(qū)分享促進了木馬的發(fā)展 木馬制作難度低、成本低 社區(qū)的虛擬性、自組織、分散性 小眾化、針對性強，難以采集，難以查殺,我國是木馬重災區(qū),木馬傳播極為容易，傳播方式多樣 木馬不需要像病毒一樣感染文件即可大規(guī)模傳播，通過網(wǎng)站進行漏洞攻擊，瀏覽網(wǎng)頁便可中招，網(wǎng)頁上的惡意腳本利用漏洞攻擊即可植入木馬 中招常常在不經意之間，無孔不入、防不勝防 移動介質傳播木馬 局域網(wǎng)arp攻擊蔓延迅速 木馬爆炸型增長,傳統(tǒng)防御為主的安全技術面臨挑戰(zhàn),面對惡意軟件和

9、木馬這類最大威脅，傳統(tǒng)安全面臨巨大挑戰(zhàn) 特征碼掃描技術屬于事后查殺，損失可能已經發(fā)生 傳統(tǒng)防御技術對用戶的打擾太多，不實用 過多的安全威脅通過終端從內部侵入，網(wǎng)絡安全設備無法過濾,用可信計算技術打贏一場網(wǎng)絡安全保衛(wèi)戰(zhàn),面對Web2.0下的網(wǎng)絡安全新形勢 可以充分利用可信技術，打一場反對木馬、保障安全的人民戰(zhàn)爭 利用可技術提供安全服務、盡可能降低網(wǎng)絡安全服務的成本，將每一個用戶武裝起來，壓縮木馬的空間,我國信息安全問題呼喚可信計算,我國面臨的信息安全問題已不再是一個局部性和技術性的問題，而是一個跨領域、跨行業(yè)、跨部門的綜合性安全問題。 確保信息網(wǎng)絡安全也正在成為新世紀國家安全的重要基石和基本內涵

10、。 信息安全呼喚可信計算,提 綱,一、信息安全形勢呼喚可信計算 二、可信計算能夠保障信息安全,安全事故的技術原因： PC機軟、硬件結構簡化，導致資源可任意使用，尤其是執(zhí)行代碼可修改，惡意程序可以被植入 病毒程序利用PC操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點，將病毒代碼嵌入到執(zhí)行代碼程序，實現(xiàn)病毒傳播 黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權限，植入攻擊程序，肆意進行破壞 更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制，可以進行越權訪問，造成不安全事故,身份管理和可信計算將成安全核心,理念的變化將帶來安全防護方式的巨大變化。我們不僅要對自己的信息系統(tǒng)的安全負責，還要對與自己網(wǎng)絡緊密相連的客戶、合作伙伴

11、的信息系統(tǒng)的安全負責。因此，防護系統(tǒng)不能僅僅局限在網(wǎng)絡邊緣，而應該融入到所有的信息系統(tǒng)之中，這樣才能作到“Keep it open, Keep it safe(保持開放，保持安全)”。 微軟提出了一種新的計劃確保安全的數(shù)據(jù)訪問在IPv6網(wǎng)絡中采用聯(lián)合身份認證方式、采用數(shù)據(jù)權限管理保護文件和數(shù)據(jù)、在線身份確認采用智能卡的方式而不是口令的方式。 隨著網(wǎng)絡邊界的模糊，連接向合作伙伴、供應商、客戶擴展，基于網(wǎng)絡拓撲的權限分配模式將不再發(fā)生變化，這意味著我們可以通過一個標準化的方式，創(chuàng)建實現(xiàn)可信和可互操作性目標的簡單的模式。 基于IPv6的IPsec技術是一項未來非常具有前景的技術，采用IPsec技術，

12、在連接的兩端可以實現(xiàn)重要的身份認證，不管網(wǎng)絡邊界或者網(wǎng)絡拓撲是怎樣的，你都能定義策略，從邏輯上控制訪問而不是從物理上控制訪問。,可信計算等新型技術發(fā)展迅速,可信計算平臺是一個以可信計算芯片為基礎的通用安全體系結構，也是當前計算機安全領域的主要發(fā)展方向，該平臺已不可篡改的物理安全芯片，增強計算機的系統(tǒng)啟動、操作系統(tǒng)運行、應用軟件執(zhí)行、密鑰和數(shù)據(jù)存儲及可信網(wǎng)絡連接等環(huán)節(jié)的安全性 歐美等主流廠商與科研機構已經建立了國際可信計算組織TCG，指責推進其產業(yè)標準，并推行網(wǎng)絡 產業(yè)界正在陸續(xù)推出一批可以商用的成果和產品， 如微軟推出的NCSGB可信計算，已經用于Vista；Intel公司推出的LaGrand

13、e結構，將用于下一代處理器，IBM正在推出一完整性度量架構為核心的可信Linux系統(tǒng),可信離徹底解決信息安全問題還遠嗎？,目前安全事件層次不窮，幾乎讓人焦頭爛額，防火墻越砌越高，入侵檢測越做越復雜，病毒庫也越來越龐大，卻依然無法應對層出不窮的惡意攻擊和病毒，尤其是無法禁止已在電腦中駐存的惡意程序網(wǎng)上肆意傳播。 安全軟件越來越大，對硬件環(huán)境的要求也越來越高，但安全事件還是越來越多 這些狀況根子是信息安全產品的被動性。信息安全是使用信息系統(tǒng)的過程中才發(fā)現(xiàn)的。 由于設計信息系統(tǒng)的時候沒有做事前措施，導致安全事件不斷發(fā)生。 因此，現(xiàn)在的信息安全大部分產品以及采取的措施都不是從根本上解決問題，都在修補，

14、效果可向而知。 如何從本原上解決信息安全問題呢？就是可信。 就是要發(fā)放“良民證” 并且，“良民證”可以從技術上保證不會被復制，可以隨時驗證真實性。 對于信息系統(tǒng)，其主體應該是可信，那樣我們離徹底解決信息安全問題還遠嗎？,未來安全走向何方？- 可信計算,今天全球都對安全已經引發(fā)了普遍憂慮，大家都在思考一個問題：未來的安全應走向何方？ 我們認為“可信計算平臺”能夠成為安全問題的下一個答案。 我們把可信作為一種期望，在這種期望下設備按照特定的目的以特定的方式運轉。并以平臺形式制訂出了一系列完整的規(guī)范，包括個人電腦、服務器、移動電話、通信網(wǎng)絡、軟件等等，這些規(guī)范所定義的可信平臺模塊（Trusted P

15、latform Module，TPM）通常以硬件的形式被嵌入到各種計算終端以用于提供更可信的運算基礎。 可信計算平臺就是在整個計算設施中建立起一個驗證體系，通過確保每個終端的安全性提升整個計算體系的安全性,可信化從傳統(tǒng)計算機安全理念過渡到以可信計算理念為核心的計算機安全,近年來計算機安全問題愈演愈烈，傳統(tǒng)安全理念很難有所突破，人們試圖利用可信計算的理念來解決計算機安全問題，其主要思想是在硬件平臺上引入安全芯片，從而將部分或整個計算平臺變?yōu)椤翱尚拧钡挠嬎闫脚_。要解決的問題包括： 基于TCP的訪問控制 基于TCP的安全操作系統(tǒng) 基于TCP的安全中間件 基于TCP的安全應用 ,為了解決計算機和網(wǎng)絡結

16、構上的不安全，從根本上提高其安全性，必須從芯片、硬件結構和操作系統(tǒng)等方面綜合采取措施，由此產生出可信計算的基本思想，其目的是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高整體的安全性。,可信計算的基本思路,可信計算的基本思路是在硬件平臺上引入安全芯片（可信平臺模塊）來提高終端系統(tǒng)的安全性，也就是說是在每個終端平臺上植入一個信任根，讓計算機從BIOS到操作系統(tǒng)內核層，再到應用層都構建信任關系；以此為基礎，擴大到網(wǎng)絡上，建立相應的信任鏈，從而進入計算免疫時代； 當終端受到攻擊時，可實現(xiàn)自我保護、自我管理和自我恢復； 可信計算涉及：可信計算安全芯片，密碼技術和密鑰體系，PKI

17、/PMI技術，身份、權限管理（包括系統(tǒng)管理員），認證體系，可信接入安全服務平臺，以及相應的法律、政策支撐等,著力打造可信計算平臺,著力打造可信計算平臺是信息安全保障的重要使命，通過平臺，實現(xiàn)： 保護指定的數(shù)據(jù)存儲區(qū)，防止敵手實施特定類型的物理訪問 賦予所有在平臺上執(zhí)行的代碼以證明它在一個未被篡改環(huán)境中運行的能力 可信計算平臺為網(wǎng)絡用戶提供了一個更為寬廣的安全環(huán)境，它從安全體系的角度來描述安全問題，確保用戶的安全執(zhí)行環(huán)境，突破被動防御打補丁方式,可信平臺基本功能： 可信平臺需要提供三個基本功能： 數(shù)據(jù)保護 身份證明 完整性測量、存儲與報告,可信計算是安全的基礎，從可信根出發(fā)，解決PC機結構所引起

18、的安全問題 確保用戶唯一身份、權限、工作空間的完整性/可用性 確保存儲、處理、傳輸?shù)臋C密性/完整性 確保硬件環(huán)境配置、操作系統(tǒng)內核、服務及應用程序的完整性 確保密鑰操作和存儲的安全 確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件的攻擊。,基于可信賴平臺模塊（TPM）的可信計算終端,可信任鏈傳遞與可信任環(huán)境,本地應用,服務提供者（TSP）,遠程應用,服務提供者（TSP）,RPC客戶,RPC服務,TSS 核心服務層 （TCS）,設備驅動庫（TDDL）,TPM設備驅動,可信平臺模塊（TPM）,可信平臺體系結構,核心模式,系統(tǒng)進程模式,用戶進程模式,應用程序,可信計算平臺的價值,可信計算之所以受到

19、推崇，究其根本源自于日益復雜的計算環(huán)境中層出不窮的安全威脅，傳統(tǒng)的安全保護方法無論從構架還是從強度上來看已經力有未逮。目前業(yè)內的安全解決方案往往側重于先防外后防內、先防服務設施后防終端設施，而可信計算則反其道而行之，首先保證所有終端的安全性，即透過確保安全的組件來組建更大的安全系統(tǒng)。 可信計算平臺在更底層進行更高級別防護，通過可信賴的硬件對軟件層次的攻擊進行保護可以使用戶獲得更強的保護能力和選擇空間。傳統(tǒng)的安全保護基本是以軟件為基礎附以密鑰技術，事實證明這種保護并不是非?？煽慷掖嬖谥淮鄹牡目赡苄?。 可信計算平臺將加密、解密、認證等基本的安全功能寫入硬件芯片，并確保芯片中的信息不能在外部通過

20、軟件隨意獲取。在這種情況下除非將硬件芯片從系統(tǒng)中移除，否則理論上是無法突破這層防護的，這正是構建可信的基礎。,可信計算正在走向實際應用,可信計算正在國內外走向實用 通過系統(tǒng)硬件執(zhí)行底層的安全功能，能保證一些軟件層的非法訪問和惡意操作無法完成，同時這也為生產更安全的軟件系統(tǒng)提供了支持?？尚庞嬎闫脚_的應用可以為建設安全體系提供更加完善的底層基礎設施，并為需要高安全級別的用戶提供更強有力的解決方案。 對于安全要求較高的場合，可信計算平臺能夠為用戶提供更加有效的安全防護。無論是要保護私密性數(shù)據(jù)，還是要控制網(wǎng)絡訪問，以及系統(tǒng)可用性保障等等. 應用可信計算技術之后都能夠獲得更高的保護強度和更靈活的執(zhí)行方式

21、。,已發(fā)布的Windows Vista版本全面實現(xiàn)可信計算功能，運用TPM和USBKEY實現(xiàn)密碼存儲保密、身份認證和完整性驗證。 實現(xiàn)了版本不能被篡改、防病毒和黑客攻擊等功能。,我國在可信計算技術研究方面起步較早，技術水平不低。在安全芯片、可信安全主機、安全操作系統(tǒng)、可信計算平臺應用等方面都先后開展了大量的研究工作，并取得了可喜的成果，特別是沈昌祥院士為代表的一批學者為此作了突出的貢獻 今天到會的專家、學者和企業(yè)代表就使我國可信計算領域的先行者、探路者和開拓者,我國可信計算還面臨挑戰(zhàn): 理論研究相對滯后 理論滯后于技術 缺少軟件的動態(tài)可信性的度量理論與方法。 信任在傳遞過程中的損失度量尚需要深

22、入研究 關鍵技術尚待攻克 操作系統(tǒng)、網(wǎng)絡、數(shù)據(jù)庫和應用的可信機制配套亟待完善 可信計算的應用需要開拓,自主創(chuàng)新就是從增強國家創(chuàng)新能力出發(fā)，加強原始創(chuàng)新、集成創(chuàng)新和引進消化吸收再創(chuàng)新。 重點跨越就是堅持有所為、有所不為，選擇具有一定基礎和優(yōu)勢、關系國計民生和國家安全的關鍵領域，集中力量、重點突破，實現(xiàn)跨越式發(fā)展。 支撐發(fā)展就是從現(xiàn)實的緊迫需求出發(fā)，著力突破重大關鍵、共性技術，支撐經濟社會的持續(xù)協(xié)調發(fā)展。 引領未來就是著眼長遠，超前部署前沿技術和基礎研究，創(chuàng)造新的市場需求，培育新興產業(yè)，引領未來經濟社會的發(fā)展。,安全測試評估 。,可生存性 。,網(wǎng)絡監(jiān)控與安全管理 病毒與垃圾信息防范 應急響應與數(shù)據(jù)恢復 。,可信計算 逆向分析與可控性 密碼與認證授權 高安全等級系統(tǒng) 。,國家網(wǎng)絡基礎設施 和重要信息系統(tǒng),網(wǎng)絡和系統(tǒng)的生存能力,主動實時防護能力,安全產品和系統(tǒng)的測試評估能力,網(wǎng)絡和系統(tǒng)的自主可控能力,動態(tài)性,可控性,高效性,復雜性,信息安全產業(yè)發(fā)展還趕不上發(fā)展和需要,應該說信息安全學科的最早發(fā)展是由于軍事的需要。在二戰(zhàn)，海灣戰(zhàn)爭中等重要戰(zhàn)爭中，對信息的竊取.破壞.偽裝等信息攻擊手段對戰(zhàn)爭的最終勝利起了決定作用。所以越來越多的國家開始意識到信息安全在國防建設中的重要作用 隨著近年來信息和通信產業(yè)的迅猛發(fā)展，以及全球化