北京同创安全与飞腾可信一体机服务器联合解决方案

    国家关键领域的基础设施面临严重的安全风险，研究表明今年上半年针对能源电力行业的APT攻击已经占到攻击总数的15%，其中APT攻击中利用了大量的0day漏洞，0day漏洞逐渐渗透到系统底层，而传统设备缺少对系统底层的安全防护能力。

    传统计算机系统在安全保障上难以为继，用“可信计算构筑网络安全”已成为广泛共识，基于可信计算技术来构建新一代的安全架构已成为国际主流，我国《国家网络空间安全战略》和《网络安全等级保护制度2.0》中都对可信计算提出了明确的需求。

    目前在电力行业中可信计算产品主要以插卡加操作系统内核软件为主要应用模式，这种产品模式在安全防护能力上和实施成本有不足之处。首先基于可信卡的可信功能主要以密码为主，缺少网络安全监测预警的机制、攻击回溯、内存深度检测等功能，无法完全满足关键信息基础设施安全保护条例中的安全要求。

    其次插卡的部署方式，需要进行断电开箱操作上看比较负载，尤其是在大量在线运行的业务系统中进行部署，会有较大的实施工作量。另一个方面配套的可信软件需要安装部署在操作系统之中，可信软件与操作系统的兼容性往往也容易出现问题，这给上线前的适配测试也带了不少工作量。

    近年来，信创产业发展迅速，以处理器、服务器、操作系统等为代表的基础软硬件在实现自主可控的同时达到了世界先进水平，将可信计算技术与基础软硬件深度融合形成整机设备已经是安全发展的必然趋势。

    同创可信团队依据可信计算3.0体系设计，利用CPU内置可信根技术，在飞腾芯片中嵌入TPCM模块，将计算资源与防护部件进行分离，设立可信专用资源，采用可信度量、可信控制等技术对BIOS、操作系统内核进行可信判定并采取响应机制，建立起启动信任链。整机以TPCM为支撑，在操作系统内核中融合TSB，搭配可信管理软件，实现了主动免疫的特性。

    服务器启动后，利用白名单化的管控策略，加以实时的动态监控，根据业务、程序等清晰定义系统运行所依赖的、可预期的可信行为，使得意外行为无法发生，为电力业务系统的稳定运行打造了一个安全可信的计算环境。                        

方案优势：

• 丰富全面的安全功能：支持启动信任链、静态度量、动态度量等核心可信功能，并具有预警的机制、攻击回溯、内存画像等核心安全功能，有效应对针对关键信息系统的APT攻击。
• 开箱即用，部署简易：利用CPU内置的安全机制构建CPU内置可信根省去了外插卡的部署成本，同时原生搭在了支持可信BIOS和可信操作系统，出厂就完成了可信软件与操作系统的深度适配。
• 高稳定，低成本：CPU内置可信根利用CPU的高度集成提升了可信芯片的寿命和稳定性，同时利用CPU大量流片数量分摊了可信密码芯片的生产成本，真正做到节本增效。

    可信一体机服务器针对硬件、固件、系统和应用等不同的防御平面部署多层次的防御体系，加大了防御纵深，使攻击者无法达成攻击目的或在达成攻击目的之前就被发现和制止。