可信3.0戰略：可信計算的革命性演變

沈昌祥，張大偉，劉吉強，葉珩，邱碩

（北京交通大學信息安全體系結構研究中心，北京 100044）

可信3.0戰略：可信計算的革命性演變

沈昌祥，張大偉，劉吉強，葉珩，邱碩

（北京交通大學信息安全體系結構研究中心，北京 100044）

本文介紹了傳統防御體系建設的現狀、問題及未來構建策略。通過對現有防御體系建設現狀和存在問題的剖析，以及可信計算的演變歷程，提出了用可信3.0構建主動防御體系的思想，進一步給出了可信3.0主動防御在云計算中的應用，并針對網絡安全動態變化存在的問題給出了切實可行的主動防御實施建議。

可信3.0；主動防御；主動免疫；等級保護；防護框架

DOI 10.15302/J-SSCAE-2016.06.011

一、前言

近年來網絡攻擊手段不斷變化和升級，我國的網絡安全態勢依然嚴峻。中國互聯網信息中心發布的《中國互聯網發展狀況統計報告》指出，截至 2016年6月，我國網民規模達 7.1 億，互聯網普及率達 51.7 %[1,2]。高速發展的互聯網帶給我們便利的同時，安全問題也很突出，國家互聯網應急中心(CNCERT) 2015年共發現1.05×105多個木馬和僵尸網絡控制端；互聯網惡意程序數量近1.48×106個，較2014年增長55.3 %；分布式拒絕服務（DDoS）攻擊的態勢嚴峻，2015年前三季度，1 Gbit/s以上的DDoS攻擊次數近3.8×105次，日均攻擊次數1 491次。

隨著云計算、大數據、物聯網的發展，越來越多的信息系統部署到云上，尤其是關系國計民生與企業生存的基礎設施和工業信息系統，倘若這些系統中的漏洞被發現后加以利用，后果將不堪設想。傳統的封堵查殺的被動防御手段，已經凸顯出在技術防護方面的不足[3～5]，構建主動防御體系勢在必行。

二、傳統防御體系建設中的問題

等級保護制度是我國網絡安全防護體系的重要依據。等級保護工作自1994年實施以來，取得了較大的成就，發揮了重要的作用。但在目前的等級保護建設中仍存在一定的問題。

1.安全管理人員對等級保護工作的重視程度還不夠

安全管理人員認識還不到位，防范意識不足，管理不規范，工作方式簡單，缺乏手段；在工作中，標準化的安全技術管理工具缺失，同時又由于攻擊手段的多樣性，即便建立良好的相應保障措施，仍舊會存在管理規范的漏洞，這些都影響信息安全等級保護制度的全面落實[6]。

2.安全基礎不可控，主動防御缺失

當前信息安全的主題是主動防御，等級保護更像是一種前置的保護手段，消極被動的防護措施始終是治標不治本，很難從源頭上保障信息系統的安全[7]。

3.技術標準不能與時俱進

伴隨著云計算、物聯網、大數據等的發展，新興技術產業所提供的便捷服務越來越多地受到企業與用戶的青睞，巨大的市場潛力下面帶來的便是可怕的安全問題，等級保護政策標準的滯后，已經無法滿足新型信息系統的安全需求[8]。

三、可信3.0構建主動免疫防御體系

可信計算的發展經歷了幾個階段。最初的可信1.0來自計算機可靠性，主要以故障排除和冗余備份為手段，是基于容錯方法的安全防護措施?？尚?.0以可信計算組織(TCG)出臺的TPM1.0為標志，主要以硬件芯片作為信任根，以可信度量、可信存儲、可信報告等為手段，實現計算機的單機保護。不足之處在于：未從計算機體系結構層面考慮安全問題，很難實現主動防御。我國的可信計算技術已經發展到了3.0階段的“主動防御體系”，確保全程可測可控、不被干擾，即防御與運算并行的“主動免疫計算模式”[9]。

可信3.0已經形成了自主創新的體系，并在很多領域開展了規模應用。我國經過長期攻關，取得了巨大的創新成果，包括：平臺密碼方案創新，提出了可信計算密碼模塊（TCM），采用SM系列國產密碼算法，并自主設計了雙數字證書認證結構；提出了可信平臺控制模塊（TPCM），TPCM作為自主可控的可信節點植入可信根，先于中央處理器（CPU）啟動并對基本輸入輸出系統（BIOS）進行驗證；將可信度量節點內置于可信平臺主板中，構成了宿主機CPU加可信平臺控制模塊的雙節點，實現信任鏈在“加電第一時刻”開始建立；提出可信基礎支撐軟件框架，采用宿主軟件系統+可信軟件基的雙系統體系結構；提出基于三層三元對等的可信連接框架，提高了網絡連接的整體可信性、安全性和可管理性。創新點可概括為：“自主密碼為基礎，可控芯片為支柱，雙融主板為平臺，可信軟件為核心，對等網絡為紐帶，生態應用成體系”。

同時經過多年技術攻關和應用示范，可信3.0已具備了產業化條件?？尚?.0標準體系逐步完備，相關標準的研制單位達40多家，覆蓋芯片、整機、軟件和網絡連接等整個產業鏈，授權專利達40多項，標準的創新點都作了技術驗證，有力支撐了產業化。在2014年成立了中關村可信計算產業聯盟，推動可信3.0的產業化工作。聯盟成員單位已有180多家，組成了13個專業委員會，涵蓋了包括“產學研用”各界的可信計算產業鏈的各個環節，具有廣泛的代表性。可信3.0在一些關鍵信息基礎設施安全保障建設中成功應用。主動免疫的主動防御可信計算技術產品已成功應用于中央電視臺可信直播環境和國家電網電力調度系統防護系統等，成功構筑了符合等級保護四級的防御體系。

四、可信3.0的主動防御策略在云計算模式中的應用

結合主動免疫的主動防御思想和等級保護的防御體系，我們提出了“以主動免疫的可信計算為基礎、訪問控制為核心，構建可信安全管理中心支持下的積極主動三重防護框架”的主動防御策略（見圖1）。

主動免疫的三重防護主動防御框架以主動免疫可信計算技術為核心，圍繞安全管理中心形成由安全計算環境、安全區域邊界和安全通信網絡組成的縱深積極防御體系，在防御體系的各層面建立保護機制、響應機制和審計機制之間的策略聯動。

圖1 主動免疫的三重防護主動防御框架

云計算提供了動態伸縮的虛擬化資源，通過網絡為用戶提供多種服務，云計算面臨的安全風險是由其自身的技術特點和服務模式引起并導致的。目前，可信計算主要在兩個方面服務于云安全：一是為云中各節點的安全機制提供可信保障，防止安全機制被破壞、被篡改；二是為安全機制提供可信協同，將不同的安全機制集成起來，從整體上服務于云安全[10]。

可信云架構為云服務提供了系統的可信計算服務功能，提供了可信的安全保障機制，具體為：通過建立云架構下的可信鏈，為虛擬運行環境提供可信保障；通過建立基于可信第三方的監控技術，可以有效監控云服務的執行，解決云服務不可信問題；通過基于可信根支撐的隔離技術，可以在云環境建立起具有可信保障的多層隔離防線，為虛擬機提供安全可信的隔離環境；通過可信接入技術提供可信的云環境接入方法，解決開放云環境所帶來的一系列安全問題[11]。

可信云架構是云環境安全管理中心、宿主機、虛擬機和云邊界設備等不同節點上可信根、可信硬件和可信基礎軟件通過可信連接組成的一個分布式可信系統，支撐云環境的安全，并向云用戶提供可信服務。一般而言，可信云架構需要與一個可信第三方相連，由可信第三方提供云服務商和云用戶共同認可的可信服務，并由可信第三方執行對云環境的可信監管?？尚旁朴嬎泱w系安全框架如圖2所示[12]。

圖2 可信云計算體系安全框架

可信云架構中，各節點的安全機制和可信功能不同，因此可信基礎軟件所執行的可信功能也有所區別。這些可信功能互相配合，為云環境提供整體的可信支撐功能。架構中的各安全組件功能如下。

1. 安全管理中心

安全管理中心上運行著云安全管理應用，包括系統管理、安全管理和審計管理等機制。安全管理中心上的可信基礎軟件是可信云架構的管理中心，它可以監控安全管理行為，并與各宿主機節點上的可信基礎軟件相連接，從體系上實現安全。

2. 云邊界設備

云環境的邊界設備運行邊界接入安全機制?？尚呕A軟件與邊界安全接入機制耦合，提供可信鑒別、可信驗證等服務，保障邊界安全接入機制的可信性。

3. 宿主機

宿主機可信基礎軟件的可信支撐機制需保障宿主機安全機制和虛擬機管理器安全機制的安全，同時還要為虛擬機提供虛擬可信根服務。而宿主機安全機制的主動監控機制則相當于云環境的一個可信服務器，它接收云安全管理中心的可信管理策略，將云安全管理中心發來的策略本地化，依據可信策略向虛擬環境提供可信服務。

4. 虛擬機

虛擬機上的可信基礎軟件為自身的可信安全機制提供支持，同時對虛擬機上的云應用運行環境進行主動監控。虛擬機、宿主機和安全管理中心的可信基礎軟件，實際構成了一個終端-代理服務器-管理中心的三元分布式可信云架構。

5. 可信第三方

可信第三方是云服務商和云用戶都認可的第三方，如政府的云計算監管部門，測評認證中心等。可信第三方向云架構提供可信公正服務和可信監管功能。

6. 用戶可信終端

云用戶終端上也可以安裝可信基礎軟件和構造可信計算基。安裝可信基礎軟件并構造了可信計算基的用戶終端即為用戶可信終端。

五、對策建議

習近平總書記指出，網絡安全是動態的而不是靜態的，需要樹立主動防御、動態綜合的防護理念。貫徹落實總書記“網絡強國”戰略思想，就需要變革傳統的網絡安全防護理論，積極適應網絡安全的動態特點，基于等級保護的主動防御思想，構筑以主動免疫為特征的主動防御體系。

1.實現被動防護與主動防御的過渡，將主動免疫融入等級保護

當今信息安全的主要特征是要建立主動防御體系，而等級保護作為我國目前主要的前置保護手段，消極被動防御治標不治本，不符合主動防御的思想。可信計算3.0能夠實現計算機體系結構的主動免疫，及時識別“自己”和“非己”成分，漏洞缺陷不會被輕易利用。我們急需將傳統的三重防護上升為可信計算環境、可信邊界、可信通信網絡組成的可信環境下的三重防護，構建主動免疫的主動防御體系。

2.建立健全網絡安全技術支撐體系，完善可信主動防御新標準的制定

現行網絡安全防護政策標準的滯后，難以滿足新型信息化系統的安全需求。物聯網、云計算、移動互聯網呈現出新特點和新需求，更多的行業應用接入到互聯網；云計算呈現出邊界消失、服務分散、數據遷移的特點；移動互聯、智能終端的普及在用戶終端層面帶來新的安全威脅，這些都對信息安全防御提出了新的挑戰。

建立健全云計算、大數據、物聯網、工業系統等新型信息系統的主動免疫、主動防御的標準和等級保護技術標準，完善實施定級、測評、管理全過程的技術支持，以達到攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息篡改不了、系統工作癱不成和攻擊行為賴不掉的防護效果，從而達到“主動防御方能有效防護”的效果。

3.從國情出發，按需適度、安全，逐步發展完善主動防御體系

在由被動防御向可信主動防御的轉變過程中，不能操之過急，要堅持正確的技術路線，從國情出發，按需適度、安全地打好基礎，逐步發展完善。

[1]沈昌祥. 構建積極防御綜合防范的防護體系[J]. 電力信息與通信技術, 2004, 2(5):1-3. Shen C X. Construction of the active defense and comprehensive prevention protection system [J]. Information Security and Communications Privacy, 2004, 2(5):1-3.

[2]中國互聯網絡信息中心. 第38次中國互聯網絡發展狀況統計報告 [EB/OL]. (2016-08-03)[2016-10-08]. http://www.cnnic.net.cn/ hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm. China Internet Network Information Center. The 38th statistical report on internet development in China [EB/OL]. (2016-08-03) [2016-10-08]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm.

[3]沈昌祥. 云計算安全與等級保護[J]. 信息安全與通信保密, 2012(1): 12-14. Shen C X. Cloud computing security and hierarchical protection [J]. Information Security and Communications Privacy, 2012(1): 12-14.

[4]沈昌祥. 可信計算構筑主動防御的安全體系[J]. 信息安全與通信保密, 2016(6): 34. Shen C X. Building a defense security system with trusted computing [J]. Information Security and Communications Privacy, 2016(6): 34.

[5]沈昌祥, 張煥國, 王懷民,等. 可信計算的研究與發展[J]. 中國科學:信息科學, 2010,40 (2): 139-166. Shen C X, Zhang H G, Wang H M, et al. Research and development of trusted computing [J]. Scientia Sinica Informationis, 2010, 40 (2): 139-166.

[6]張偉麗. 信息安全等級保護現狀淺析[J]. 信息安全與技術, 2014(9): 9-13. Zhang W L. Discussion the status of information security base on graded protection [J]. Information Security and Technology, 2014 (9): 9-13.

[7]宋言偉,馬欽德,張健. 信息安全等級保護政策和標準體系綜述[J]. 信息通信技術. 2010, 4(6): 58-63. Song Y W, Ma Q D, Zhang J. Information security level protection policies and standard system [J]. Information and Communications Technologies, 2010, 4(6): 58-63.

[8]沈昌祥. 等級保護整改的技術路線[J]. 信息網絡安全, 2008(11):14-15. Shen C X. The rectification routes of hierarchical protection [J]. Netinfo Security, 2008 (11): 14-15.

[9]沈昌祥. 大力發展我國可信計算技術和產業[J]. 信息安全與通信保密, 2007(9): 19-21. Shen C X. Developing the trusted computing technology and industry [J]. Information Security and Communications Privacy, 2007(9):19-21.

[10]沈昌祥. 云計算安全[J]. 信息安全與通信保密, 2010(12):12. Shen C X. The Security of Cloud Computing [J]. Information Security and Communications Privacy, 2010 (12):12.

[11]沈昌祥. 堅持自主創新加速發展可信計算[J]. 計算機安全, 2006(6): 2-4. Shen C X. Independent innovation to accelerate the development of trusted computing [J]. Network and Computer Security, 2006(6):2-4.

[12]沈昌祥. 用可信計算構筑網絡安全[J]. 中國信息化, 2015(11): 33-34. Shen C X. Building a cyberspace security system with trusted computing [J]. China Information, 2015(11):33-34.

The Strategy of TC 3.0: A Revolutionary Evolution in Trusted Computing

Shen Changxiang, Zhang Dawei, Liu Jiqiang, Ye Heng, Qiu Shuo
(Center of Information Security Architecture in Beijing Jiaotong University, Beijing 100044, China)

This paper introduces the status, problems, and future strategies of the traditional defense system and analyzes issues in the current protection structure. We then propose the trusted computing (TC) 3.0 strategy, which is an active defense architecture based on active immunity. Furthermore, we give an example of TC 3.0 in cloud computing and provide some suggestions on enforcing active defense.

trusted computing (TC) 3.0; active defense; active immunity; multi-level protection; protection structure

TP309

A

2016-10-12；

2016-10-18

沈昌祥，中國工程院，院士，北京交通大學，教授，主要研究方向為信息安全；E-mail: 13911888336@163.com

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn