沈昌祥，張大偉，劉吉強，葉珩，邱碩

（北京交通大學信息安全體系結構研究中心，北京 100044）

可信3.0戰(zhàn)略：可信計算的革命性演變

沈昌祥，張大偉，劉吉強，葉珩，邱碩

（北京交通大學信息安全體系結構研究中心，北京 100044）

本文介紹了傳統(tǒng)防御體系建設的現(xiàn)狀、問題及未來構建策略。通過對現(xiàn)有防御體系建設現(xiàn)狀和存在問題的剖析，以及可信計算的演變歷程，提出了用可信3.0構建主動防御體系的思想，進一步給出了可信3.0主動防御在云計算中的應用，并針對網(wǎng)絡安全動態(tài)變化存在的問題給出了切實可行的主動防御實施建議。

可信3.0；主動防御；主動免疫；等級保護；防護框架

DOI 10.15302/J-SSCAE-2016.06.011

一、前言

近年來網(wǎng)絡攻擊手段不斷變化和升級，我國的網(wǎng)絡安全態(tài)勢依然嚴峻。中國互聯(lián)網(wǎng)信息中心發(fā)布的《中國互聯(lián)網(wǎng)發(fā)展狀況統(tǒng)計報告》指出，截至 2016年6月，我國網(wǎng)民規(guī)模達 7.1 億，互聯(lián)網(wǎng)普及率達 51.7 %[1,2]。高速發(fā)展的互聯(lián)網(wǎng)帶給我們便利的同時，安全問題也很突出，國家互聯(lián)網(wǎng)應急中心(CNCERT) 2015年共發(fā)現(xiàn)1.05×105多個木馬和僵尸網(wǎng)絡控制端；互聯(lián)網(wǎng)惡意程序數(shù)量近1.48×106個，較2014年增長55.3 %；分布式拒絕服務（DDoS）攻擊的態(tài)勢嚴峻，2015年前三季度，1 Gbit/s以上的DDoS攻擊次數(shù)近3.8×105次，日均攻擊次數(shù)1 491次。

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)的發(fā)展，越來越多的信息系統(tǒng)部署到云上，尤其是關系國計民生與企業(yè)生存的基礎設施和工業(yè)信息系統(tǒng)，倘若這些系統(tǒng)中的漏洞被發(fā)現(xiàn)后加以利用，后果將不堪設想。傳統(tǒng)的封堵查殺的被動防御手段，已經(jīng)凸顯出在技術防護方面的不足[3～5]，構建主動防御體系勢在必行。

二、傳統(tǒng)防御體系建設中的問題

等級保護制度是我國網(wǎng)絡安全防護體系的重要依據(jù)。等級保護工作自1994年實施以來，取得了較大的成就，發(fā)揮了重要的作用。但在目前的等級保護建設中仍存在一定的問題。

1.安全管理人員對等級保護工作的重視程度還不夠

安全管理人員認識還不到位，防范意識不足，管理不規(guī)范，工作方式簡單，缺乏手段；在工作中，標準化的安全技術管理工具缺失，同時又由于攻擊手段的多樣性，即便建立良好的相應保障措施，仍舊會存在管理規(guī)范的漏洞，這些都影響信息安全等級保護制度的全面落實[6]。

2.安全基礎不可控，主動防御缺失

當前信息安全的主題是主動防御，等級保護更像是一種前置的保護手段，消極被動的防護措施始終是治標不治本，很難從源頭上保障信息系統(tǒng)的安全[7]。

3.技術標準不能與時俱進

伴隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等的發(fā)展，新興技術產(chǎn)業(yè)所提供的便捷服務越來越多地受到企業(yè)與用戶的青睞，巨大的市場潛力下面帶來的便是可怕的安全問題，等級保護政策標準的滯后，已經(jīng)無法滿足新型信息系統(tǒng)的安全需求[8]。

三、可信3.0構建主動免疫防御體系

可信計算的發(fā)展經(jīng)歷了幾個階段。最初的可信1.0來自計算機可靠性，主要以故障排除和冗余備份為手段，是基于容錯方法的安全防護措施?？尚?.0以可信計算組織(TCG)出臺的TPM1.0為標志，主要以硬件芯片作為信任根，以可信度量、可信存儲、可信報告等為手段，實現(xiàn)計算機的單機保護。不足之處在于：未從計算機體系結構層面考慮安全問題，很難實現(xiàn)主動防御。我國的可信計算技術已經(jīng)發(fā)展到了3.0階段的“主動防御體系”，確保全程可測可控、不被干擾，即防御與運算并行的“主動免疫計算模式”[9]。

可信3.0已經(jīng)形成了自主創(chuàng)新的體系，并在很多領域開展了規(guī)模應用。我國經(jīng)過長期攻關，取得了巨大的創(chuàng)新成果，包括：平臺密碼方案創(chuàng)新，提出了可信計算密碼模塊（TCM），采用SM系列國產(chǎn)密碼算法，并自主設計了雙數(shù)字證書認證結構；提出了可信平臺控制模塊（TPCM），TPCM作為自主可控的可信節(jié)點植入可信根，先于中央處理器（CPU）啟動并對基本輸入輸出系統(tǒng)（BIOS）進行驗證；將可信度量節(jié)點內(nèi)置于可信平臺主板中，構成了宿主機CPU加可信平臺控制模塊的雙節(jié)點，實現(xiàn)信任鏈在“加電第一時刻”開始建立；提出可信基礎支撐軟件框架，采用宿主軟件系統(tǒng)+可信軟件基的雙系統(tǒng)體系結構；提出基于三層三元對等的可信連接框架，提高了網(wǎng)絡連接的整體可信性、安全性和可管理性。創(chuàng)新點可概括為：“自主密碼為基礎，可控芯片為支柱，雙融主板為平臺，可信軟件為核心，對等網(wǎng)絡為紐帶，生態(tài)應用成體系”。

同時經(jīng)過多年技術攻關和應用示范，可信3.0已具備了產(chǎn)業(yè)化條件。可信3.0標準體系逐步完備，相關標準的研制單位達40多家，覆蓋芯片、整機、軟件和網(wǎng)絡連接等整個產(chǎn)業(yè)鏈，授權專利達40多項，標準的創(chuàng)新點都作了技術驗證，有力支撐了產(chǎn)業(yè)化。在2014年成立了中關村可信計算產(chǎn)業(yè)聯(lián)盟，推動可信3.0的產(chǎn)業(yè)化工作。聯(lián)盟成員單位已有180多家，組成了13個專業(yè)委員會，涵蓋了包括“產(chǎn)學研用”各界的可信計算產(chǎn)業(yè)鏈的各個環(huán)節(jié)，具有廣泛的代表性?？尚?.0在一些關鍵信息基礎設施安全保障建設中成功應用。主動免疫的主動防御可信計算技術產(chǎn)品已成功應用于中央電視臺可信直播環(huán)境和國家電網(wǎng)電力調(diào)度系統(tǒng)防護系統(tǒng)等，成功構筑了符合等級保護四級的防御體系。

四、可信3.0的主動防御策略在云計算模式中的應用

結合主動免疫的主動防御思想和等級保護的防御體系，我們提出了“以主動免疫的可信計算為基礎、訪問控制為核心，構建可信安全管理中心支持下的積極主動三重防護框架”的主動防御策略（見圖1）。

主動免疫的三重防護主動防御框架以主動免疫可信計算技術為核心，圍繞安全管理中心形成由安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡組成的縱深積極防御體系，在防御體系的各層面建立保護機制、響應機制和審計機制之間的策略聯(lián)動。

圖1 主動免疫的三重防護主動防御框架

云計算提供了動態(tài)伸縮的虛擬化資源，通過網(wǎng)絡為用戶提供多種服務，云計算面臨的安全風險是由其自身的技術特點和服務模式引起并導致的。目前，可信計算主要在兩個方面服務于云安全：一是為云中各節(jié)點的安全機制提供可信保障，防止安全機制被破壞、被篡改；二是為安全機制提供可信協(xié)同，將不同的安全機制集成起來，從整體上服務于云安全[10]。

可信云架構為云服務提供了系統(tǒng)的可信計算服務功能，提供了可信的安全保障機制，具體為：通過建立云架構下的可信鏈，為虛擬運行環(huán)境提供可信保障；通過建立基于可信第三方的監(jiān)控技術，可以有效監(jiān)控云服務的執(zhí)行，解決云服務不可信問題；通過基于可信根支撐的隔離技術，可以在云環(huán)境建立起具有可信保障的多層隔離防線，為虛擬機提供安全可信的隔離環(huán)境；通過可信接入技術提供可信的云環(huán)境接入方法，解決開放云環(huán)境所帶來的一系列安全問題[11]。

可信云架構是云環(huán)境安全管理中心、宿主機、虛擬機和云邊界設備等不同節(jié)點上可信根、可信硬件和可信基礎軟件通過可信連接組成的一個分布式可信系統(tǒng)，支撐云環(huán)境的安全，并向云用戶提供可信服務。一般而言，可信云架構需要與一個可信第三方相連，由可信第三方提供云服務商和云用戶共同認可的可信服務，并由可信第三方執(zhí)行對云環(huán)境的可信監(jiān)管?？尚旁朴嬎泱w系安全框架如圖2所示[12]。

圖2 可信云計算體系安全框架

可信云架構中，各節(jié)點的安全機制和可信功能不同，因此可信基礎軟件所執(zhí)行的可信功能也有所區(qū)別。這些可信功能互相配合，為云環(huán)境提供整體的可信支撐功能。架構中的各安全組件功能如下。

1. 安全管理中心

安全管理中心上運行著云安全管理應用，包括系統(tǒng)管理、安全管理和審計管理等機制。安全管理中心上的可信基礎軟件是可信云架構的管理中心，它可以監(jiān)控安全管理行為，并與各宿主機節(jié)點上的可信基礎軟件相連接，從體系上實現(xiàn)安全。

2. 云邊界設備

云環(huán)境的邊界設備運行邊界接入安全機制?？尚呕A軟件與邊界安全接入機制耦合，提供可信鑒別、可信驗證等服務，保障邊界安全接入機制的可信性。

3. 宿主機

宿主機可信基礎軟件的可信支撐機制需保障宿主機安全機制和虛擬機管理器安全機制的安全，同時還要為虛擬機提供虛擬可信根服務。而宿主機安全機制的主動監(jiān)控機制則相當于云環(huán)境的一個可信服務器，它接收云安全管理中心的可信管理策略，將云安全管理中心發(fā)來的策略本地化，依據(jù)可信策略向虛擬環(huán)境提供可信服務。

4. 虛擬機

虛擬機上的可信基礎軟件為自身的可信安全機制提供支持，同時對虛擬機上的云應用運行環(huán)境進行主動監(jiān)控。虛擬機、宿主機和安全管理中心的可信基礎軟件，實際構成了一個終端-代理服務器-管理中心的三元分布式可信云架構。

5. 可信第三方

可信第三方是云服務商和云用戶都認可的第三方，如政府的云計算監(jiān)管部門，測評認證中心等?？尚诺谌较蛟萍軜嬏峁┛尚殴蘸涂尚疟O(jiān)管功能。

6. 用戶可信終端

云用戶終端上也可以安裝可信基礎軟件和構造可信計算基。安裝可信基礎軟件并構造了可信計算基的用戶終端即為用戶可信終端。

五、對策建議

習近平總書記指出，網(wǎng)絡安全是動態(tài)的而不是靜態(tài)的，需要樹立主動防御、動態(tài)綜合的防護理念。貫徹落實總書記“網(wǎng)絡強國”戰(zhàn)略思想，就需要變革傳統(tǒng)的網(wǎng)絡安全防護理論，積極適應網(wǎng)絡安全的動態(tài)特點，基于等級保護的主動防御思想，構筑以主動免疫為特征的主動防御體系。

1.實現(xiàn)被動防護與主動防御的過渡，將主動免疫融入等級保護

當今信息安全的主要特征是要建立主動防御體系，而等級保護作為我國目前主要的前置保護手段，消極被動防御治標不治本，不符合主動防御的思想?？尚庞嬎?.0能夠?qū)崿F(xiàn)計算機體系結構的主動免疫，及時識別“自己”和“非己”成分，漏洞缺陷不會被輕易利用。我們急需將傳統(tǒng)的三重防護上升為可信計算環(huán)境、可信邊界、可信通信網(wǎng)絡組成的可信環(huán)境下的三重防護，構建主動免疫的主動防御體系。

2.建立健全網(wǎng)絡安全技術支撐體系，完善可信主動防御新標準的制定

現(xiàn)行網(wǎng)絡安全防護政策標準的滯后，難以滿足新型信息化系統(tǒng)的安全需求。物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)呈現(xiàn)出新特點和新需求，更多的行業(yè)應用接入到互聯(lián)網(wǎng)；云計算呈現(xiàn)出邊界消失、服務分散、數(shù)據(jù)遷移的特點；移動互聯(lián)、智能終端的普及在用戶終端層面帶來新的安全威脅，這些都對信息安全防御提出了新的挑戰(zhàn)。

建立健全云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)系統(tǒng)等新型信息系統(tǒng)的主動免疫、主動防御的標準和等級保護技術標準，完善實施定級、測評、管理全過程的技術支持，以達到攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息篡改不了、系統(tǒng)工作癱不成和攻擊行為賴不掉的防護效果，從而達到“主動防御方能有效防護”的效果。

3.從國情出發(fā)，按需適度、安全，逐步發(fā)展完善主動防御體系

在由被動防御向可信主動防御的轉(zhuǎn)變過程中，不能操之過急，要堅持正確的技術路線，從國情出發(fā)，按需適度、安全地打好基礎，逐步發(fā)展完善。

[1]沈昌祥. 構建積極防御綜合防范的防護體系[J]. 電力信息與通信技術, 2004, 2(5):1-3. Shen C X. Construction of the active defense and comprehensive prevention protection system [J]. Information Security and Communications Privacy, 2004, 2(5):1-3.

[2]中國互聯(lián)網(wǎng)絡信息中心. 第38次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告 [EB/OL]. (2016-08-03)[2016-10-08]. http://www.cnnic.net.cn/ hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm. China Internet Network Information Center. The 38th statistical report on internet development in China [EB/OL]. (2016-08-03) [2016-10-08]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm.

[3]沈昌祥. 云計算安全與等級保護[J]. 信息安全與通信保密, 2012(1): 12-14. Shen C X. Cloud computing security and hierarchical protection [J]. Information Security and Communications Privacy, 2012(1): 12-14.

[4]沈昌祥. 可信計算構筑主動防御的安全體系[J]. 信息安全與通信保密, 2016(6): 34. Shen C X. Building a defense security system with trusted computing [J]. Information Security and Communications Privacy, 2016(6): 34.

[5]沈昌祥, 張煥國, 王懷民,等. 可信計算的研究與發(fā)展[J]. 中國科學:信息科學, 2010,40 (2): 139-166. Shen C X, Zhang H G, Wang H M, et al. Research and development of trusted computing [J]. Scientia Sinica Informationis, 2010, 40 (2): 139-166.

[6]張偉麗. 信息安全等級保護現(xiàn)狀淺析[J]. 信息安全與技術, 2014(9): 9-13. Zhang W L. Discussion the status of information security base on graded protection [J]. Information Security and Technology, 2014 (9): 9-13.

[7]宋言偉,馬欽德,張健. 信息安全等級保護政策和標準體系綜述[J]. 信息通信技術. 2010, 4(6): 58-63. Song Y W, Ma Q D, Zhang J. Information security level protection policies and standard system [J]. Information and Communications Technologies, 2010, 4(6): 58-63.

[8]沈昌祥. 等級保護整改的技術路線[J]. 信息網(wǎng)絡安全, 2008(11):14-15. Shen C X. The rectification routes of hierarchical protection [J]. Netinfo Security, 2008 (11): 14-15.

[9]沈昌祥. 大力發(fā)展我國可信計算技術和產(chǎn)業(yè)[J]. 信息安全與通信保密, 2007(9): 19-21. Shen C X. Developing the trusted computing technology and industry [J]. Information Security and Communications Privacy, 2007(9):19-21.

[10]沈昌祥. 云計算安全[J]. 信息安全與通信保密, 2010(12):12. Shen C X. The Security of Cloud Computing [J]. Information Security and Communications Privacy, 2010 (12):12.

[11]沈昌祥. 堅持自主創(chuàng)新加速發(fā)展可信計算[J]. 計算機安全, 2006(6): 2-4. Shen C X. Independent innovation to accelerate the development of trusted computing [J]. Network and Computer Security, 2006(6):2-4.

[12]沈昌祥. 用可信計算構筑網(wǎng)絡安全[J]. 中國信息化, 2015(11): 33-34. Shen C X. Building a cyberspace security system with trusted computing [J]. China Information, 2015(11):33-34.

The Strategy of TC 3.0: A Revolutionary Evolution in Trusted Computing

Shen Changxiang, Zhang Dawei, Liu Jiqiang, Ye Heng, Qiu Shuo
(Center of Information Security Architecture in Beijing Jiaotong University, Beijing 100044, China)

This paper introduces the status, problems, and future strategies of the traditional defense system and analyzes issues in the current protection structure. We then propose the trusted computing (TC) 3.0 strategy, which is an active defense architecture based on active immunity. Furthermore, we give an example of TC 3.0 in cloud computing and provide some suggestions on enforcing active defense.

trusted computing (TC) 3.0; active defense; active immunity; multi-level protection; protection structure

TP309

A

2016-10-12；

2016-10-18

沈昌祥，中國工程院，院士，北京交通大學，教授，主要研究方向為信息安全；E-mail: 13911888336@163.com

中國工程院重大咨詢項目“網(wǎng)絡空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn