沈昌祥，張大偉，劉吉強(qiáng)，葉珩，邱碩

（北京交通大學(xué)信息安全體系結(jié)構(gòu)研究中心，北京 100044）

可信3.0戰(zhàn)略：可信計算的革命性演變

沈昌祥，張大偉，劉吉強(qiáng)，葉珩，邱碩

（北京交通大學(xué)信息安全體系結(jié)構(gòu)研究中心，北京 100044）

本文介紹了傳統(tǒng)防御體系建設(shè)的現(xiàn)狀、問題及未來構(gòu)建策略。通過對現(xiàn)有防御體系建設(shè)現(xiàn)狀和存在問題的剖析，以及可信計算的演變歷程，提出了用可信3.0構(gòu)建主動防御體系的思想，進(jìn)一步給出了可信3.0主動防御在云計算中的應(yīng)用，并針對網(wǎng)絡(luò)安全動態(tài)變化存在的問題給出了切實可行的主動防御實施建議。

可信3.0；主動防御；主動免疫；等級保護(hù)；防護(hù)框架

DOI 10.15302/J-SSCAE-2016.06.011

一、前言

近年來網(wǎng)絡(luò)攻擊手段不斷變化和升級，我國的網(wǎng)絡(luò)安全態(tài)勢依然嚴(yán)峻。中國互聯(lián)網(wǎng)信息中心發(fā)布的《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》指出，截至 2016年6月，我國網(wǎng)民規(guī)模達(dá) 7.1 億，互聯(lián)網(wǎng)普及率達(dá) 51.7 %[1,2]。高速發(fā)展的互聯(lián)網(wǎng)帶給我們便利的同時，安全問題也很突出，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT) 2015年共發(fā)現(xiàn)1.05×105多個木馬和僵尸網(wǎng)絡(luò)控制端；互聯(lián)網(wǎng)惡意程序數(shù)量近1.48×106個，較2014年增長55.3 %；分布式拒絕服務(wù)（DDoS）攻擊的態(tài)勢嚴(yán)峻，2015年前三季度，1 Gbit/s以上的DDoS攻擊次數(shù)近3.8×105次，日均攻擊次數(shù)1 491次。

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)的發(fā)展，越來越多的信息系統(tǒng)部署到云上，尤其是關(guān)系國計民生與企業(yè)生存的基礎(chǔ)設(shè)施和工業(yè)信息系統(tǒng)，倘若這些系統(tǒng)中的漏洞被發(fā)現(xiàn)后加以利用，后果將不堪設(shè)想。傳統(tǒng)的封堵查殺的被動防御手段，已經(jīng)凸顯出在技術(shù)防護(hù)方面的不足[3～5]，構(gòu)建主動防御體系勢在必行。

二、傳統(tǒng)防御體系建設(shè)中的問題

等級保護(hù)制度是我國網(wǎng)絡(luò)安全防護(hù)體系的重要依據(jù)。等級保護(hù)工作自1994年實施以來，取得了較大的成就，發(fā)揮了重要的作用。但在目前的等級保護(hù)建設(shè)中仍存在一定的問題。

1.安全管理人員對等級保護(hù)工作的重視程度還不夠

安全管理人員認(rèn)識還不到位，防范意識不足，管理不規(guī)范，工作方式簡單，缺乏手段；在工作中，標(biāo)準(zhǔn)化的安全技術(shù)管理工具缺失，同時又由于攻擊手段的多樣性，即便建立良好的相應(yīng)保障措施，仍舊會存在管理規(guī)范的漏洞，這些都影響信息安全等級保護(hù)制度的全面落實[6]。

2.安全基礎(chǔ)不可控，主動防御缺失

當(dāng)前信息安全的主題是主動防御，等級保護(hù)更像是一種前置的保護(hù)手段，消極被動的防護(hù)措施始終是治標(biāo)不治本，很難從源頭上保障信息系統(tǒng)的安全[7]。

3.技術(shù)標(biāo)準(zhǔn)不能與時俱進(jìn)

伴隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等的發(fā)展，新興技術(shù)產(chǎn)業(yè)所提供的便捷服務(wù)越來越多地受到企業(yè)與用戶的青睞，巨大的市場潛力下面帶來的便是可怕的安全問題，等級保護(hù)政策標(biāo)準(zhǔn)的滯后，已經(jīng)無法滿足新型信息系統(tǒng)的安全需求[8]。

三、可信3.0構(gòu)建主動免疫防御體系

可信計算的發(fā)展經(jīng)歷了幾個階段。最初的可信1.0來自計算機(jī)可靠性，主要以故障排除和冗余備份為手段，是基于容錯方法的安全防護(hù)措施?？尚?.0以可信計算組織(TCG)出臺的TPM1.0為標(biāo)志，主要以硬件芯片作為信任根，以可信度量、可信存儲、可信報告等為手段，實現(xiàn)計算機(jī)的單機(jī)保護(hù)。不足之處在于：未從計算機(jī)體系結(jié)構(gòu)層面考慮安全問題，很難實現(xiàn)主動防御。我國的可信計算技術(shù)已經(jīng)發(fā)展到了3.0階段的“主動防御體系”，確保全程可測可控、不被干擾，即防御與運算并行的“主動免疫計算模式”[9]。

可信3.0已經(jīng)形成了自主創(chuàng)新的體系，并在很多領(lǐng)域開展了規(guī)模應(yīng)用。我國經(jīng)過長期攻關(guān)，取得了巨大的創(chuàng)新成果，包括：平臺密碼方案創(chuàng)新，提出了可信計算密碼模塊（TCM），采用SM系列國產(chǎn)密碼算法，并自主設(shè)計了雙數(shù)字證書認(rèn)證結(jié)構(gòu)；提出了可信平臺控制模塊（TPCM），TPCM作為自主可控的可信節(jié)點植入可信根，先于中央處理器（CPU）啟動并對基本輸入輸出系統(tǒng)（BIOS）進(jìn)行驗證；將可信度量節(jié)點內(nèi)置于可信平臺主板中，構(gòu)成了宿主機(jī)CPU加可信平臺控制模塊的雙節(jié)點，實現(xiàn)信任鏈在“加電第一時刻”開始建立；提出可信基礎(chǔ)支撐軟件框架，采用宿主軟件系統(tǒng)+可信軟件基的雙系統(tǒng)體系結(jié)構(gòu)；提出基于三層三元對等的可信連接框架，提高了網(wǎng)絡(luò)連接的整體可信性、安全性和可管理性。創(chuàng)新點可概括為：“自主密碼為基礎(chǔ)，可控芯片為支柱，雙融主板為平臺，可信軟件為核心，對等網(wǎng)絡(luò)為紐帶，生態(tài)應(yīng)用成體系”。

同時經(jīng)過多年技術(shù)攻關(guān)和應(yīng)用示范，可信3.0已具備了產(chǎn)業(yè)化條件?？尚?.0標(biāo)準(zhǔn)體系逐步完備，相關(guān)標(biāo)準(zhǔn)的研制單位達(dá)40多家，覆蓋芯片、整機(jī)、軟件和網(wǎng)絡(luò)連接等整個產(chǎn)業(yè)鏈，授權(quán)專利達(dá)40多項，標(biāo)準(zhǔn)的創(chuàng)新點都作了技術(shù)驗證，有力支撐了產(chǎn)業(yè)化。在2014年成立了中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟，推動可信3.0的產(chǎn)業(yè)化工作。聯(lián)盟成員單位已有180多家，組成了13個專業(yè)委員會，涵蓋了包括“產(chǎn)學(xué)研用”各界的可信計算產(chǎn)業(yè)鏈的各個環(huán)節(jié)，具有廣泛的代表性。可信3.0在一些關(guān)鍵信息基礎(chǔ)設(shè)施安全保障建設(shè)中成功應(yīng)用。主動免疫的主動防御可信計算技術(shù)產(chǎn)品已成功應(yīng)用于中央電視臺可信直播環(huán)境和國家電網(wǎng)電力調(diào)度系統(tǒng)防護(hù)系統(tǒng)等，成功構(gòu)筑了符合等級保護(hù)四級的防御體系。

四、可信3.0的主動防御策略在云計算模式中的應(yīng)用

結(jié)合主動免疫的主動防御思想和等級保護(hù)的防御體系，我們提出了“以主動免疫的可信計算為基礎(chǔ)、訪問控制為核心，構(gòu)建可信安全管理中心支持下的積極主動三重防護(hù)框架”的主動防御策略（見圖1）。

主動免疫的三重防護(hù)主動防御框架以主動免疫可信計算技術(shù)為核心，圍繞安全管理中心形成由安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)組成的縱深積極防御體系，在防御體系的各層面建立保護(hù)機(jī)制、響應(yīng)機(jī)制和審計機(jī)制之間的策略聯(lián)動。

圖1 主動免疫的三重防護(hù)主動防御框架

云計算提供了動態(tài)伸縮的虛擬化資源，通過網(wǎng)絡(luò)為用戶提供多種服務(wù)，云計算面臨的安全風(fēng)險是由其自身的技術(shù)特點和服務(wù)模式引起并導(dǎo)致的。目前，可信計算主要在兩個方面服務(wù)于云安全：一是為云中各節(jié)點的安全機(jī)制提供可信保障，防止安全機(jī)制被破壞、被篡改；二是為安全機(jī)制提供可信協(xié)同，將不同的安全機(jī)制集成起來，從整體上服務(wù)于云安全[10]。

可信云架構(gòu)為云服務(wù)提供了系統(tǒng)的可信計算服務(wù)功能，提供了可信的安全保障機(jī)制，具體為：通過建立云架構(gòu)下的可信鏈，為虛擬運行環(huán)境提供可信保障；通過建立基于可信第三方的監(jiān)控技術(shù)，可以有效監(jiān)控云服務(wù)的執(zhí)行，解決云服務(wù)不可信問題；通過基于可信根支撐的隔離技術(shù)，可以在云環(huán)境建立起具有可信保障的多層隔離防線，為虛擬機(jī)提供安全可信的隔離環(huán)境；通過可信接入技術(shù)提供可信的云環(huán)境接入方法，解決開放云環(huán)境所帶來的一系列安全問題[11]。

可信云架構(gòu)是云環(huán)境安全管理中心、宿主機(jī)、虛擬機(jī)和云邊界設(shè)備等不同節(jié)點上可信根、可信硬件和可信基礎(chǔ)軟件通過可信連接組成的一個分布式可信系統(tǒng)，支撐云環(huán)境的安全，并向云用戶提供可信服務(wù)。一般而言，可信云架構(gòu)需要與一個可信第三方相連，由可信第三方提供云服務(wù)商和云用戶共同認(rèn)可的可信服務(wù)，并由可信第三方執(zhí)行對云環(huán)境的可信監(jiān)管?？尚旁朴嬎泱w系安全框架如圖2所示[12]。

圖2 可信云計算體系安全框架

可信云架構(gòu)中，各節(jié)點的安全機(jī)制和可信功能不同，因此可信基礎(chǔ)軟件所執(zhí)行的可信功能也有所區(qū)別。這些可信功能互相配合，為云環(huán)境提供整體的可信支撐功能。架構(gòu)中的各安全組件功能如下。

1. 安全管理中心

安全管理中心上運行著云安全管理應(yīng)用，包括系統(tǒng)管理、安全管理和審計管理等機(jī)制。安全管理中心上的可信基礎(chǔ)軟件是可信云架構(gòu)的管理中心，它可以監(jiān)控安全管理行為，并與各宿主機(jī)節(jié)點上的可信基礎(chǔ)軟件相連接，從體系上實現(xiàn)安全。

2. 云邊界設(shè)備

云環(huán)境的邊界設(shè)備運行邊界接入安全機(jī)制?？尚呕A(chǔ)軟件與邊界安全接入機(jī)制耦合，提供可信鑒別、可信驗證等服務(wù)，保障邊界安全接入機(jī)制的可信性。

3. 宿主機(jī)

宿主機(jī)可信基礎(chǔ)軟件的可信支撐機(jī)制需保障宿主機(jī)安全機(jī)制和虛擬機(jī)管理器安全機(jī)制的安全，同時還要為虛擬機(jī)提供虛擬可信根服務(wù)。而宿主機(jī)安全機(jī)制的主動監(jiān)控機(jī)制則相當(dāng)于云環(huán)境的一個可信服務(wù)器，它接收云安全管理中心的可信管理策略，將云安全管理中心發(fā)來的策略本地化，依據(jù)可信策略向虛擬環(huán)境提供可信服務(wù)。

4. 虛擬機(jī)

虛擬機(jī)上的可信基礎(chǔ)軟件為自身的可信安全機(jī)制提供支持，同時對虛擬機(jī)上的云應(yīng)用運行環(huán)境進(jìn)行主動監(jiān)控。虛擬機(jī)、宿主機(jī)和安全管理中心的可信基礎(chǔ)軟件，實際構(gòu)成了一個終端-代理服務(wù)器-管理中心的三元分布式可信云架構(gòu)。

5. 可信第三方

可信第三方是云服務(wù)商和云用戶都認(rèn)可的第三方，如政府的云計算監(jiān)管部門，測評認(rèn)證中心等。可信第三方向云架構(gòu)提供可信公正服務(wù)和可信監(jiān)管功能。

6. 用戶可信終端

云用戶終端上也可以安裝可信基礎(chǔ)軟件和構(gòu)造可信計算基。安裝可信基礎(chǔ)軟件并構(gòu)造了可信計算基的用戶終端即為用戶可信終端。

五、對策建議

習(xí)近平總書記指出，網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的，需要樹立主動防御、動態(tài)綜合的防護(hù)理念。貫徹落實總書記“網(wǎng)絡(luò)強(qiáng)國”戰(zhàn)略思想，就需要變革傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理論，積極適應(yīng)網(wǎng)絡(luò)安全的動態(tài)特點，基于等級保護(hù)的主動防御思想，構(gòu)筑以主動免疫為特征的主動防御體系。

1.實現(xiàn)被動防護(hù)與主動防御的過渡，將主動免疫融入等級保護(hù)

當(dāng)今信息安全的主要特征是要建立主動防御體系，而等級保護(hù)作為我國目前主要的前置保護(hù)手段，消極被動防御治標(biāo)不治本，不符合主動防御的思想?？尚庞嬎?.0能夠?qū)崿F(xiàn)計算機(jī)體系結(jié)構(gòu)的主動免疫，及時識別“自己”和“非己”成分，漏洞缺陷不會被輕易利用。我們急需將傳統(tǒng)的三重防護(hù)上升為可信計算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)組成的可信環(huán)境下的三重防護(hù)，構(gòu)建主動免疫的主動防御體系。

2.建立健全網(wǎng)絡(luò)安全技術(shù)支撐體系，完善可信主動防御新標(biāo)準(zhǔn)的制定

現(xiàn)行網(wǎng)絡(luò)安全防護(hù)政策標(biāo)準(zhǔn)的滯后，難以滿足新型信息化系統(tǒng)的安全需求。物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)呈現(xiàn)出新特點和新需求，更多的行業(yè)應(yīng)用接入到互聯(lián)網(wǎng)；云計算呈現(xiàn)出邊界消失、服務(wù)分散、數(shù)據(jù)遷移的特點；移動互聯(lián)、智能終端的普及在用戶終端層面帶來新的安全威脅，這些都對信息安全防御提出了新的挑戰(zhàn)。

建立健全云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)系統(tǒng)等新型信息系統(tǒng)的主動免疫、主動防御的標(biāo)準(zhǔn)和等級保護(hù)技術(shù)標(biāo)準(zhǔn)，完善實施定級、測評、管理全過程的技術(shù)支持，以達(dá)到攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息篡改不了、系統(tǒng)工作癱不成和攻擊行為賴不掉的防護(hù)效果，從而達(dá)到“主動防御方能有效防護(hù)”的效果。

3.從國情出發(fā)，按需適度、安全，逐步發(fā)展完善主動防御體系

在由被動防御向可信主動防御的轉(zhuǎn)變過程中，不能操之過急，要堅持正確的技術(shù)路線，從國情出發(fā)，按需適度、安全地打好基礎(chǔ)，逐步發(fā)展完善。

[1]沈昌祥. 構(gòu)建積極防御綜合防范的防護(hù)體系[J]. 電力信息與通信技術(shù), 2004, 2(5):1-3. Shen C X. Construction of the active defense and comprehensive prevention protection system [J]. Information Security and Communications Privacy, 2004, 2(5):1-3.

[2]中國互聯(lián)網(wǎng)絡(luò)信息中心. 第38次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告 [EB/OL]. (2016-08-03)[2016-10-08]. http://www.cnnic.net.cn/ hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm. China Internet Network Information Center. The 38th statistical report on internet development in China [EB/OL]. (2016-08-03) [2016-10-08]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm.

[3]沈昌祥. 云計算安全與等級保護(hù)[J]. 信息安全與通信保密, 2012(1): 12-14. Shen C X. Cloud computing security and hierarchical protection [J]. Information Security and Communications Privacy, 2012(1): 12-14.

[4]沈昌祥. 可信計算構(gòu)筑主動防御的安全體系[J]. 信息安全與通信保密, 2016(6): 34. Shen C X. Building a defense security system with trusted computing [J]. Information Security and Communications Privacy, 2016(6): 34.

[5]沈昌祥, 張煥國, 王懷民,等. 可信計算的研究與發(fā)展[J]. 中國科學(xué):信息科學(xué), 2010,40 (2): 139-166. Shen C X, Zhang H G, Wang H M, et al. Research and development of trusted computing [J]. Scientia Sinica Informationis, 2010, 40 (2): 139-166.

[6]張偉麗. 信息安全等級保護(hù)現(xiàn)狀淺析[J]. 信息安全與技術(shù), 2014(9): 9-13. Zhang W L. Discussion the status of information security base on graded protection [J]. Information Security and Technology, 2014 (9): 9-13.

[7]宋言偉,馬欽德,張健. 信息安全等級保護(hù)政策和標(biāo)準(zhǔn)體系綜述[J]. 信息通信技術(shù). 2010, 4(6): 58-63. Song Y W, Ma Q D, Zhang J. Information security level protection policies and standard system [J]. Information and Communications Technologies, 2010, 4(6): 58-63.

[8]沈昌祥. 等級保護(hù)整改的技術(shù)路線[J]. 信息網(wǎng)絡(luò)安全, 2008(11):14-15. Shen C X. The rectification routes of hierarchical protection [J]. Netinfo Security, 2008 (11): 14-15.

[9]沈昌祥. 大力發(fā)展我國可信計算技術(shù)和產(chǎn)業(yè)[J]. 信息安全與通信保密, 2007(9): 19-21. Shen C X. Developing the trusted computing technology and industry [J]. Information Security and Communications Privacy, 2007(9):19-21.

[10]沈昌祥. 云計算安全[J]. 信息安全與通信保密, 2010(12):12. Shen C X. The Security of Cloud Computing [J]. Information Security and Communications Privacy, 2010 (12):12.

[11]沈昌祥. 堅持自主創(chuàng)新加速發(fā)展可信計算[J]. 計算機(jī)安全, 2006(6): 2-4. Shen C X. Independent innovation to accelerate the development of trusted computing [J]. Network and Computer Security, 2006(6):2-4.

[12]沈昌祥. 用可信計算構(gòu)筑網(wǎng)絡(luò)安全[J]. 中國信息化, 2015(11): 33-34. Shen C X. Building a cyberspace security system with trusted computing [J]. China Information, 2015(11):33-34.

The Strategy of TC 3.0: A Revolutionary Evolution in Trusted Computing

Shen Changxiang, Zhang Dawei, Liu Jiqiang, Ye Heng, Qiu Shuo
(Center of Information Security Architecture in Beijing Jiaotong University, Beijing 100044, China)

This paper introduces the status, problems, and future strategies of the traditional defense system and analyzes issues in the current protection structure. We then propose the trusted computing (TC) 3.0 strategy, which is an active defense architecture based on active immunity. Furthermore, we give an example of TC 3.0 in cloud computing and provide some suggestions on enforcing active defense.

trusted computing (TC) 3.0; active defense; active immunity; multi-level protection; protection structure

TP309

A

2016-10-12；

2016-10-18

沈昌祥，中國工程院，院士，北京交通大學(xué)，教授，主要研究方向為信息安全；E-mail: 13911888336@163.com

中國工程院重大咨詢項目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn