可信基本概念
可信计算发展史及相关概念
可信1.0:通过增加一个中间层来处理冗余资源,增强系统可靠性;可信1.0主要考虑通过备份等机制增强系统可靠性,不考虑遭受恶意攻击的情况
可信2.0:构建一个从可信根到可信软件栈的被动可信组件,支持硬件、操作系统和应用自行执行的可信计算功能;可信2.0实现一个被动的可信组件,向系统硬件、操作系统和应用提供可信调用接口,系统可以使用这些接口实现特定的可信功能
可信3.0:构建一个与原系统并行运行的可信子系统,以“主动免疫”的方式向系统提供透明于应用的可信支持;可信3.0有一个逻辑上可以独立运行的可信子系统,通过可信子系统,以主动的方式向宿主信息系统提供可信支撑功能
主动免疫防御特性
可信计算3.0主动免疫防御特性 | |
分项 | 特征 |
理论基础 | 计算复杂度,可信验证 |
应用适应面 | 取决于系统的安全需求,通过制定策略使用安全需要 |
安全强度 | 强\可抵御未知病毒、位置漏洞的攻击、智能感应 |
保护目标 | 统一管理平台策略支撑下的数据信息处理可信和系统服务资源可信 |
技术手段 | 密码为基因,主动识别、主动度量、主动保密存储 |
防范位置 | 行为的源头 |
成本 | 低,可在多核处理器内部实现可新节点 |
实施难度 | 易实施,既可适用于新系统建设也可进行旧系统改造 |
对应用的影响 | 不需要修改原应用,通过制定策略进行主动实时防护/业务性能影响3%以下 |
安全防护效果
攻击者进不去、非授权者拿不到、窃取信息看不懂、系统工作瘫不成、系统信息改不了、攻击行为赖不掉
可信验证要求
GB/T 22239信息系统安全等级保护基本要求
第二级 | ||
安全通信网络 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 | |
安全区域边界 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全计算环境 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
第三级 | |
安全通信网络 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
安全区域边界 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
安全计算环境 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
第四级 | |
安全通信网络 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到被坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 |
安全边界区域 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审讦记录送至安全管理中心,并进行动态关联感知。 |
应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信 | |
安全计算环境 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,井在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到被坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 |
应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | |
可信计算技术
可信计算技术:;提供系统的可靠性/可用性、信息和行为安全性的计算机系统,可信包括许多方面,如正确性、可靠性、安全性、可用性、效率等,但安全性和可靠性是现阶段可信最主要两方面,简称可信=可靠+安全
可信:针对计算资源(软硬件)构建保护环境,以可信计算机 (TCB)为基础,层次扩充,对计算资源进行保护,确保系统服务安全
可控:针对信息资源(数据与应用)构建业务流程控制链,以可访问控制为核心,实行主体(用户)按策略规则访问客体(信息资源)),确保业务信息安全
可管:保证资源安全必须实行科学管理,强调最小权限管理,高等级系统实现三权分离管理体制,不许设超级用户
可信验证测评
设计策略 | 一级 | 二级 | 三级 | 四级 |
所有计算节点都应基于可信根实现开机到操作系统启动的可信验证 | 所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并将验证结果形成审计纪录。 | 所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证。并在应用程序的关键执行环节对其执行环境进行可信验证,主动抵御入侵行为。并将验证结果形成审计纪录,送到管理中心。 | 所有计算节点都应基于可信计算技术实现开机到操作系统启动。再到应用程序启动的可信验证,并在应用程序的所有执行环节对其执行环境进行可信验证,主动抵御入侵行为。并将验证结果形成审计纪录,送到管理中心,进行动态关联感知,形成实时的态势。 | |
可信验证测评设计策略
—级:TCM、TPCM、检验软件+静态可信验证,基础软件可信+BIOS、引导OS,装载系统
二级:TCM、TPCM、检验软件、可信软件基(TSB) +静态可信验证基础软件可信+BIOS、引导OS,装载系统+建链检验应用程序可信+应用加载
三级:TCM、TPCM、检验软件、可信软件基(TSB)+静态可信验证基础软件可信+BIOS、引导OS,装载系统+建链检验应用程序可信、动态度量执行环境+应用加载、应用执行
四级:TCM、TPCM、检验软件、可信软件基(TSB)静态可信验证,基础软件可信+BIOS、引导OS,装载系统+建链检验,应用程序可信、动态度量执行环境、实时感知关联态势+所有执行
等级测评可信验证保障
等级 | 按级监管 | 保护级(GB17859) | 可信保障 |
一级 | 自主保护 | 自主访问 | 基础软件可信 |
二级 | 指导保护 | 审计(自主访问) | 应用程序可信 |
三级 | 监督检查 | 标记(强制访问) | 执行动态度量 |
四级 | 强制监督检查 | 结构化保证 | 实时关联感知 |
五级 | 专门监督检查 | 实时监控 | 智能处置 |
可信验证产品测评
策略模板:策略学习
快速部署:可信访问控制
主动免疫:可信应用防护
可信协同:可信连接
高效处理·静态度量.动态度量
安全可信产品分等级测评
对安全可信信息安全产品应具备的安全可信功能提出具体要求,例如可信度量、度量验证、可信审计、可信管理、可信报告生成、可信连接、密码算法、审计日志等。
安全等级分为基本级和增强级,安全可信功能强弱是等级划分的具体依据。
基本级产品(等保2.0二级及以下)∶应基于可信根,实现静态度量阶段的完整性度量。
增强级产品(等保2.0三级及以上)︰应基于可信根,实现静态度量阶段和动态度量阶段的完整性度量。
安全可信产品主要测评项
测评项 | 基本级 | 增强级 |
可信根 | 可信根中可信密码模块需硬件实现、可信平台 控制模块可由软件实现 | 可信根中可信密码模块和可信平台控制模块应由硬件实现 |
可信度量 | 应能够对引导程序、操作系统内核、应用程序及重要配置参数等进行静态度量 | 应能够基于可信根对引导程序、操作系统内核、应用程序,及重要配置参数进行静态度量,并在应用,程序的所有执行环节,包括身份鉴别、访问控制、安全审计、安全管理等安全功能,对系统调用的主体、客体、操作,以及中断表、关键内存区域进行动态度量。 |
度量验证 | 应能够对基于可信根对被度量对象进行可信验证若验证失败应能够进行告警 | 应能够基于增强可信根对被度量对象进行验证,若验证失败,应能够进行告警和控制,控制措施包括报警、阻断、恢复等。 |
可信审计 | 应能够对度量动作和结果生成可信审计记录,可信审计记录应包括时间、度量方式、度量对象、度量值、验证结果等,并能够对可信审计记录进行完整性保护。 | 同基本级 |
可信管理 | 1、可信策略配置应能够对可信策略进行配置。包括被度量对象、度量方式、度量触发方式、控制机制等; 2、可信管理功能应支持授权管理员对以下策略进行管理,包括完整性基准值、可信策略、可信审计策略管理 3、属性初始化,应能够使用默认值对创建的可信策略和可信审计策略进行初始化。 | 1-3、同基本级 4、安全角色 安全管理角色应遵循三权分立原则。其管理职责由原系统管理员、安全管理员和审计管理员共同承担,其中基准值采集等功能应由系统管理员进行管理, 可信度量、度量验证的策略应由安全管理员进行管理,可信的审计功能及审计策略应由审计管理员进行管理。 |
可信报告生成 | 应能够生成可信报告,可信报告应包含静态度量结果。并使用可信根中平台身份密钥对可信报告进行签名保护。 | 应能够生成可信报告。可信报告应包含静态度量结果。动态度量结果,并使用可信根中平台身份密钥对可信报告进行签名保护。 |
可信连接 | 1、可信管理中心接入应通过可信根对可信管理中心进行身份鉴别,鉴别成功后执行以下功能:a)接收可信管理中心的策略、基准值等信息;b)向可信管理中心发送基准值,审计记录和可信报告。 | 1、同基本级。 2、若为网络边界设备,应基于可信根对接入网络的设备进行身份鉴别和可信状态验证。 |
密码算法 | 应使用国家密码管理主管部门认证核准的密码技术和产品 | 同基本级 |
审计记录 | 应对可信度量、可信验证、可信审计、可信管理、可信报告生成、可信连接等不安全可信相关的事件生成审计记录;每一条审计记录至少应包括事件发生的日期、时间、对象.事件描述和结果。若采用远程登录方式对产品进行管理,还应记录管理主机的地址。 | 应对可信管理员鉴别、可信度量、可信验证、可信审计、可信管理、可信报告生成、可信连接等不安全可信相关的事件生成审计记录;每一条审计记录至少应包括事件发生的日期、时间、对象、事件描述和结果。若采用远程登录方式对产品进行管理,还应记录管理主机的地址。 |
可信验证测评的度量验证
静态度量验证:安全管理中心里启动的度量日志,度量对象,度量结果,相关的日志
动态度量验证:相关配置界面,度量对象,系统的调用表,终端控制表,度量的操作,周期性度量情况,可信报告
