行业: 全行业
技术: 安全可信
我国信息化工程项目逐步的向信创产业大力发展,目前信创替代工程逐步的在党政等重点行业有序推进,标准着我国信息化基础设施蓄力爆发;在关键基础设施上国内目前加大产业的扶植,实现芯片、系统、数据库等自主研发。同时等保2.0标准已经推广了2年多,基于网络、系统的安全,将可信计算3.0技术作为重点的植入,目前各个行业对可信计算开始产生需求,可信计算双体系机构能够从底层解决用户对安全的问题,保障信息系统安全的运行。因此与飞腾共同合作开发基于飞腾CPU内置式安全可信技术方案,满足国家关键基础行业等保系统的安全可信要求。
依据可信计算 3.0 双体系架构理念设计, 我们将基于飞腾 CPU 多核架构提供 的资源隔离和交互机制, 构建双体系可信免疫计算环境。双体系可信免疫计算环境是一个防护部件与计算部件并行运行, 实现主动免疫的计算体系结构; 其计算部件负责完成业务计算任务, 其防护部件负责对计算部件进行监控和保护, 确保业务计算任务的执行符合预期。防护部件根据可信安全策略, 以密码为基因,通过身份识别、状态度量、状态分析、动态感知、响应控制、保密存储和安全控制等一系列手段为计算部件的可靠运行保驾护航。
新版本的飞腾多核CPU架构, 可以将CPU、内存空间和 I/O 外设等计算机硬件资源划分为两组互相隔离的资源集合, 并提供安全防护和相互通信的能力。因而我们具备基于飞腾 CPU 实现双体系可信免疫计算环境的条件。我们利用飞腾CPU的特性,将CPU、内存空间和 I/O 外设划分为计算节点和可信节点两组硬件资源。
一方面通过设置, 使防护节点与外部复杂的计算环境隔离出来, 成为一个相对封闭的环境, 即防护节点资源不可从外部访问, 计算节点也不可访问防护节点的资源。从而使防护节点的资源得到有效保护,安全级别更高。
另一方面通过设置,使防护节点可以访问节点的资源,以便对其进行监控和保护;计算节点和可信节点通过专用的交互机制和特定接口进行通信, 在提供交互能力的同时,最大程度的保护防护部件不受计算节点的干涉和破坏。
TPCM 是可信免疫双体系架构的核心部件, 负责对计算节点进行可信度量和 防护,并生成可信日志和报告数据。 TPCM 包括可信硬件资源、可信操作系统、内置TCM和可信软件基。
方案优势:
基于双体系架构保障计算全程可测可控
基于计算与安全防护并行的主动免疫双体系防御架构,防护部件可主动访问计算部件的所有资源(如存储、I/O等),而计算部件无法访问防护部件的资源,双方只能通过专用的安全通道进行交互,构建了整个主动免疫防护体系的基石,由于不向应用提供服务,极大地减少了安全的暴露面,让防御能力进一步提升,极大地增强了安全防护的能力。
防护部件以可信根为核心和信任源点,能够先于计算部件处理器启动,对计算部件资源和总线进行初始化配置,并通过直接总线共享机制访问主机所有资源,进行静态和动态可信验证,通过验证方能启动或继续执行,否则进行报警和控制,主动抵御入侵行为。
基于可信计算3.0的恶意代码主动免疫防御
采用可信计算3.0主动免疫防御机制能够主动度量系统中的执行程序、执行代码、计算环境等,依据策略基于白名单保护业务程序,阻止非授权及非预期的执行程序运行,免补丁升级,免病毒、木马查杀,同时实现对已知或未知恶意代码的主动防御。
策略语言定制多场景的精准安全防护
结合用户真实场景,将深度分析沉淀的安全成果转化为简单的模板选择,可有效降低用户安全配置难度,无需查看手册进行复杂配置,根据用户需求直接选择相应场景的安全策略,使策略落地更快捷,安全防护更有效。策略学习模式可以最大程度上让可信策略贴近系统的实际情况,制定出的策略能与实际业务有高契合度,减少管理员工作。
针对高端用户可采用策略语言描述安全场景表达安全需求,形成系统安全防护的编码序列,由TSB可信软件基解释和执行,进行可信保障和可信验证,实现动态度量和智能感知,达到主动免疫防御的效果,为构建高等级的动态化(云计算场景)、智能化主动防御体系提供基础支撑。
基于可信计算平台构建协同联动的整体安全防御体系
可信计算3.0的双体系架构将安全机制的度量和控制带到了前所未有的广度和深度,能够获取最真实、最底层、最广泛的信息数据,能够为综合数据分析的安全服务提供有效支撑。
同时可信机制保障了各个安全机制自身的安全不被破坏,通过可信报告信任管理的方式,增强各安全机制的安全判断参考点,使得各个安全部件能够有效联动协同防护,形成整体的防御体系。
与基础软硬件相融合实现应用无感高效防护
可信计算3.0防护机制可内置于基础设备中,可信根可内置于CPU中,TSB可信软件基可内置于操作系统中,内置可信的防御机制与基础软硬件的融合使得安全部署十分容易,在新基础设备中就已经内置的可信机制极大地减轻了用户系统的部署负担。
透明支撑应用系统不需要修改应用从而能够实现有效防护,无需改变用户的使用习惯,让用户在无感的情况下获得高强度的安全保障。可信机制在进行安全运算时不占用业务系统的资源从而使得在安全防护的同时业务系统仍然能够高性能运转。
用户改造成本低、运维压力小
目前该解决方案已经在D2000、2000+、S2500上完成产品的开发和适配,目前已经开始在整机的伙伴中逐渐导入,例如:长城服务器、清华同方终端设备等。
飞腾腾锐D2000
飞腾腾云S2500
北京可信华泰信息技术有限公司是中国电子信息产业集团有限公司“PKS”体系核心支撑企业之一,是可信计算龙头企业,专注于可信计算3.0技术研发和应用,开创了中国“主动免疫防御体系/自主可信3.0战略”。
可信华泰先后牵头和参与制定国家标准4项,行业标准10余项,申请发明专利近200项,获得部级科技进步一等奖一项,二等奖两项,牵头并参与国家级重点研发计划及省部级科研、产业化等30余项重大项目,被主管部门认定为国家网络与信息安全信息通报机制技术支持单位、国家专精特新“小巨人”企业、北京市专精特新“小巨人”企业、北京市“专精特新”企业、北京市知识产权试点单位、工信部网络安全技术应用试点示范项目企业、工信部工业互联网试点示范项目企业等。公司所研发的多款“白细胞”安全防护产品和技术架构获得了北京市三新产品认定,并经院士专家鉴定达到国际领先水平。公司以可信计算3.0技术为基础,覆盖主机安全、云计算安全、工业互联网安全、物联网安全、大数据安全等领域,推出了多款可信计算安全防护产品,并已在各行业的众多高安全等级系统中部署和使用。